Page tree
Skip to end of metadata
Go to start of metadata

Przeznaczenie

Oprogramowanie QR‑CERT v5.0 zostało zaprojektowane jako zestaw komponentów PKI (Public Key Infrastructure) przeznaczonych do obsługi procesu wydawania i zarządzania certyfikatami cyfrowymi (X.509, CVC) oraz procesów wspomagających ze szczególnym uwzględnieniem personalizacji kart subskrybentów.

Komponenty wchodzące w skład oprogramowania posiadają możliwość świadczenia m.in. takich usług jak:

  • tworzenie profilów certyfikatów oraz list CRL,
  • tworzenie urzędów certyfikacji i ustanawianie ich hierarchii,
  • tworzenie polityk wydawania certyfikatów i list CRL,
  • przyjmowanie i rejestrowanie wniosków o wydanie certyfikatu,
  • wydawanie certyfikatów,
  • zarządzanie certyfikatami,
  • zawieszanie i unieważnianie certyfikatów,
  • publikację certyfikatów i list CRL do wskazanych repozytoriów
  • udzielania odpowiedzi OCSP (zgodnie z RFC 2560, RFC 6960, RFC 5912)
  • wydawania znaczników czasu (zgodnie z RFC 3161)

Architektura

System QR-CERT pracuje w architekturze klient-serwer w technologii tzw. „grubego klienta”. Pakiet oprogramowania zrealizowano w postaci modułów programowych współpracujących ze sobą.

Centralne moduły serwerowe (CA-ENGINE, CAO‑GATEWAY, CA‑PUBLISHER, OCSP-SERVER, TS-SERVER, LOG-SERVER) są uruchamiane lokalnie na serwerze, natomiast aplikacje klienckie, takie jak np. QR-CERT Operator, QR-CERT Log Viewer oraz QR-CARD Manager - na stacji lub stacjach zarządzających (dostępowych). System QR-CERT może pracować na systemach operacyjnych AIX, HP-UX, Linux oraz Windows Server. Serwery mogą pracować w środowisku zwirtualizowanym VMWare, Hyper-V, Oracle VM Server lub KVM. Stacje zarządzające pracują pod kontrolą systemów operacyjnych Windows.

Role modułów i realizowane przez nie funkcje zostały podzielone i zorganizowane w taki sposób, aby rozwiązanie pozwalało na skalowanie pod względem wydajności i pojemności. Może to być zrealizowane poprzez rozpraszanie modułów na fizycznie różne serwery w instalacjach oraz  zwiększenie dostępności poprzez zastosowanie klastra niezawodnościowego. Dodatkową korzyścią takiego rozwiązania jest uproszczenie procedur serwisowania.

Typowa praca polegającą na eksploatacji systemu i administracji systemem wykonywana przez role przewidziane w systemie QR-CERT (Administratora, Audytora, Operatora) wykonywana jest za pośrednictwem funkcjonalności udostępnianych przez aplikację QR-CERT Operator.

Głównym repozytorium rozwiązania przechowującym dane i konfigurację modułów centralnych jest relacyjna baza danych zorganizowana za pomocą oprogramowania PostgreSQL, Oracle lub Microsoft SQL Server.

Moduły CA-ENGINE, CAO‑GATEWAY i CA‑PUBLISHER komunikują się z bazą danych w czasie normalnej pracy. W celu uzyskania dostępu do bazy danych muszą uwierzytelnić się do swoich indywidualnych kont bazy danych w oparciu indywidualne nazwy użytkowników bazodanowych i hasła. W rozwiązaniu przyjęto podejście polegającą na przydzielaniu kont bazy danych modułom programowym, natomiast konta użytkowników są realizowane przez warstwę aplikacyjną pakietu oprogramowania QR-CERT  w oparciu o dane zawarte w bazie danych.

W ramach systemu centralnego dla wszystkich trzech typów modułów (CA-ENGINE, CAO‑GATEWAY i CA‑PUBLISHER) istnieje jeden wspólny centralny rejestr bezpieczeństwa obsługiwany przez moduł LOG-SERVER.

Moduły systemu QR-CERT są zorganizowane w taki sposób aby wszystkie mechanizmy bezpieczeństwa dla połączeń podczas komunikacji w warstwie sieciowej z zewnętrznymi platformami sprzętowymi, modułami QR-CERT  lub innym oprogramowaniem realizowały jedynie moduły pakietu oprogramowania QR‑CERT. Modułami które w ramach systemu QR-CERT  mogą zestawiać połączenia sieciowe z zewnętrznym otoczeniem (np. zdalnymi repozytoriami lub aplikacją QR-CERT Operator) są: CAO‑GATEWAY i CA‑PUBLISHER.

Moduły

CA-ENGINE

Moduł CA-ENGINE pełni rolę kluczowego elementu systemu związanego z certyfikacją kluczy publicznych i zajmuje się jedynie obsługą podstawowych funkcji urzędu certyfikacji (CA) polegających na przyjmowaniu zaakceptowanych wcześniej żądań:

  • wydania certyfikatu
  • zawieszenia certyfikatu
  • unieważnienia certyfikatu
  • wygenerowania pełnej listy CRL
  • wygenerowania listy delta CRL

oraz harmonogramowaniem według zadanej konfiguracji automatycznego generowanie pełnych list CRL i list delta CRL.

Wynikiem działania aplikacji są tworzone certyfikaty lub listy CRL w zależności od obsłużonego żądania. Aplikacja dodatkowo w zależności od polityki związanej z danym żądaniem dla niektórych sytuacji wysyła zlecenia opublikowania certyfikatu lub listy CRL do modułu CA‑PUBLISHER.

Najważniejsze cechy modułu to:

  • Moduł przeznaczony do instalacji w bezpiecznym środowisku na serwerze po stronie centralnej (serwerowej) urzędu CA,
  • Konfigurację podstawowych parametrów modułu ustawia się za pomocą edytora tekstu,
  • Konfigurację funkcjonalnych parametrów modułu ustawia się za pomocą QR-CERT Operator za pośrednictwem CAO-GATEWAY,
  • Moduł współpracuje ze sprzętowymi modułami kryptograficznymi (HSM) przechowującymi klucze urzędów CA,
  • Moduł obsługuje kolejki komunikatów odebranych z rozkazami: wydania certyfikatu, unieważnienia certyfikatu, zawieszenia certyfikatu, wygenerowania listy CRL itp..
  • Moduł obsługuje kolejki komunikatów wyjściowych z wypracowanymi danymi: certyfikaty, listy CRL, komunikaty błędu itp..
  • Moduł realizuje weryfikację, uwierzytelnienie i autoryzacją przyjmowanych komunikatów
  • Moduł generuje certyfikaty zgodnie ze wskazaną polityką wydawania certyfikatów
  • Moduł generuje listy CRL zgodnie ze zdefiniowaną polityką wydawania list CRL
  • Moduł rejestruje zachodzące zdarzenia związane z audytem za pośrednictwem modułu LOG-SERVER

CAO-GATEWAY

Moduł CAO‑GATEWAY przeznaczony jest do terminowania połączeń nawiązywanych przez aplikację QR-CERT Operator  za pomocą których użytkownicy pracują interaktywnie z systemem. Moduł realizuje wszystkie funkcje bezpieczeństwa na styku aplikacji klienckiej QR-CERT Operator i części centralnej rozwiązania oraz QR-CERT API.

Najważniejsze cechy modułu to:

  • Moduł przeznaczony do instalacji w bezpiecznym środowisku na serwerze po stronie centralnej (serwerowej) urzędu CA,
  • Konfigurację modułu ustawia się za pomocą edytora tekstu,
  • Moduł działa na potrzeby łączących się do systemu użytkowników systemowych,
  • Pojedynczy moduł CAO-GATEWAY umożliwia za swoim pośrednictwem równoległą pracę wielu użytkowników łączących się aplikacją QR-CERT Operator zainstalowaną na różnych stacjach dostępowych.
  • Moduł odpowiedzialny jest za uwierzytelnienie użytkownika pracującego za pośrednictwem aplikacji QR-CERT Operator, autoryzacji dostępu do uprawnionych dla użytkownika funkcji i funkcjonalności według nadanych wcześniej uprawnień oraz rejestracji zachodzących podczas pracy zdarzeń w odpowiednich rejestrach systemu.
  • Moduł uczestniczy w procesie zestawienie bezpiecznego indywidualnego szyfrowanego kanału z aplikacją QR-CERT Operator oraz po zestawieniu realizuje ochronę poufności przesyłanych pomiędzy tymi elementami danych.
  • Moduł rejestruje zachodzące zdarzenia związane z audytem za pośrednictwem modułu LOG-SERVER.
  • Moduł może działać w trybie wysokiej dostępności (HA)

CA-PUBLISHER

Moduł CA‑PUBLISHER inicjuje połączenia do zdalnych repozytoriów  i publikuje do nich obiekty takie jak certyfikat cyfrowe i listy CRL.

Najważniejsze cechy modułu to:

  • Moduł przeznaczony do instalacji w bezpiecznym środowisku na serwerze po stronie centralnej (serwerowej) urzędu CA,
  • Konfigurację podstawowych parametrów modułu ustawia się za pomocą zewnętrznego edytora tekstu,
  • Konfigurację funkcjonalnych parametrów modułu ustawia się za pomocą aplikacji QR-CERT Operator,
  • Moduł odpowiedzialny jest za dystrybucję i publikację według zadanej konfiguracji do zadanych lokalizacji list CRL i certyfikatów subskrybentów. Dystrybucja odbywa się na bazie zleceń przekazywanych przez kolejkę zorganizowaną w ramach bazy danych.
  • Moduł rejestruje zachodzące zdarzenia związane z audytem za pośrednictwem modułu LOG-SERVER.
  • Moduł w zależności od przyjętej konfiguracji pozwala na publikację list CRL lub certyfikatów do następujących typów repozytoriów:
    • Lokalny system plików,
    • E-mail (wraz z wsparciem standardu S/MIME),
    • Zdalny serwer FTP (ftp i sftp),
    • Zdalny serwer usług katalogowych LDAP,
    • Zdalny skrypt CGI wywoływany za pośrednictwem protokołu HTTP (http i https)

OCSP-SERVER

Moduł OCSP-SERVER pozwalający na generowanie odpowiedzi o status certyfikatu w czasie rzeczywistym. Moduł udziela odpowiedzi OCSP typu BasicOCSPResponse zgodnie z RFC 2560, RFC 6960, RFC 5912.

Najważniejsze cechy modułu to:

  • Moduł przeznaczony do instalacji w strefie zdemilitaryzowanej (DMZ) w bezpiecznym środowisku na serwerze po stronie centralnej (serwerowej) urzędu CA,
  • Konfigurację parametrów pracy modułu ustawia się za pomocą zewnętrznego edytora tekstu,
  • Moduł współpracuje ze sprzętowymi modułami kryptograficznymi (HSM) przechowującymi klucze urzędów CA,
  • Moduł może udzielać odpowiedzi na podstawie dostępnej listy CRL albo bezpośrednio na podstawie zapisów w bazie danych,
  • Moduł może działać w trybie wysokiej dostępności (HA),
  • Moduł umożliwia udzielanie odpowiedzi o przyczynie unieważnienia certyfikatu.

TS-SERVER

Moduł TS-SERVER pozwalający na generowanie znaczników czasu. Generowane przez moduł znaczniki są zgodnie z RFC 3161.

Najważniejsze cechy modułu to:

  • Moduł przeznaczony do instalacji w strefie zdemilitaryzowanej (DMZ) w bezpiecznym środowisku na serwerze po stronie centralnej (serwerowej) urzędu CA,
  • Konfigurację parametrów pracy modułu ustawia się za pomocą zewnętrznego edytora tekstu,
  • Moduł współpracuje ze sprzętowymi modułami kryptograficznymi (HSM) przechowującymi klucze urzędów CA,
  • Moduł może działać w trybie wysokiej dostępności (HA)

LOG-SERVER

Moduł LOG-SERVER jest modułem, który pełni rolę centralnego podsystemu gromadzenia i zarządzania logami (rejestrami zdarzeń) na potrzeby audytu. Moduł jest odpowiedzialny za chronologiczne rejestrowanie zdarzeń generowanych przez wszystkie moduły oprogramowania QR-CERT.

Moduł przeznaczony do rejestracji zdarzeń audytu generowanych przez moduły CA-ENGINE, CAO-GATEWAY, CA-PUBLISHER.

  • Moduł przeznaczony do instalacji w bezpiecznym środowisku na serwerze po stronie centralnej (serwerowej) urzędu CA,
  • Konfigurację podstawowych parametrów modułu ustawia się za pomocą zewnętrznego edytora tekstu,
  • Moduł współpracuje ze sprzętowymi modułami kryptograficznymi przechowującymi klucze do podpisywania logów,
  • Moduł odpowiedzialny jest za rejestrowanie zdarzeń we właściwych dziennikach zdarzeń (log bezpieczeństwa, log aktywności).

Moduł odpowiedzialny jest za zabezpieczenie poufności oraz integralności rejestru bezpieczeństwa zawierającego informacje o wszystkich zdarzeniach związanych z bezpieczeństwem, które zostały zarejestrowane w systemie PKI. 

Na tej stronie

Szukaj w dokumentacji