Page tree
Skip to end of metadata
Go to start of metadata

Ogólne zestawienie funkcjonalności

Pakiet oprogramowania QR-CERT w ramach standardu X.509 umożliwia:

  • Wydawanie certyfikatów cyfrowych zgodnie ze standardem X.509 v3
  • Wydawanie list certyfikatów unieważnionych (CRL) zgodnych ze standardem X.509 v2.


Pakiet oprogramowania QR-CERT w ramach standardu CVC umożliwia:

  • Wydawanie certyfikatów cyfrowych zgodnie z normą CWA 14890
  • Wydawanie certyfikatów cyfrowych zgodnie z normą TR 03110


Ponadto:

  • Pozwala na automatyczną publikacje list CRL do wskazanych w konfiguracji repozytoriów
  • Pozwala na automatyczną publikacje wskazanych w konfiguracji certyfikatów subskrybentów do wskazanych w konfiguracji repozytoriów certyfikatów
  • Umożliwia jednoczesną, równoległą pracę wielu autoryzowanych użytkowników systemu takich (jak operatorzy, administratorzy czy inspektorzy bezpieczeństwa) z centralną częścią


QR-CERT umożliwia tworzenie i zarządzanie następującymi obiektami w systemie:

  • Konta użytkowników systemowych
  • Grupy użytkowników systemowych
  • Profile X.509 (na potrzeby określenia struktury certyfikatów i list CRL) oraz CVC
  • Urzędy CA (na potrzeby powołania hierarchii PKI)
  • Polityki wydawania list CRL (na potrzeby określenia charakterystyki wydawania list CRL)
  • Polityki wydawania certyfikatów (na potrzeby zdefiniowania metod wydawania certyfikatów i powiązania ich z Urzędami CA oraz Politykami wydawania list CRL)
  • Polityki wydawania tokenów (na potrzeby zdefiniowania profili tokenów kryptograficznych oraz powiązania ich politykami wydawania certyfikatów i urzędami CA, które wystawiły te certyfikaty)
  • Certyfikaty (wygenerowane w ramach pakietu oprogramowania QR-CERT)
  • Listy CRL
  • Tokeny kryptograficzne
  • Tokeny MIFARE
  • Karty plastikowe umożliwiające nadruk szaty graficznej
  • Certyfikaty obce (certyfikaty przeznaczone do osadzania na tokenach kryptograficznych podczas personalizacji


Pakiet oprogramowania umożliwi rozróżnienie co najmniej następujących ról:

  • Administrator
  • Audytor
  • Operator
  • Inspektor Bezpieczeństwa


Każdy utworzony urząd CA charakteryzuje się m.in. następującymi parametrami/cechami:

  • Informacją o typie urzędu (np. CA infrastruktury, Root CA, Sub CA)
  • Nazwa urzędu CA
  • Opis urzędu CA
  • Status urzędu CA (Edycja, Zaimportowany, Aktywny, Zablokowany)
  • Data i czas utworzenia (lub importu)
  • Data i czas zaakceptowania konfiguracji urzędu CA (pierwszej zmiany statusu na wartość „Aktywny")
  • Data i czas ostatniej zmiany statusu urzędu CA
  • Informacji o profilu w oparciu o który został wydany certyfikat urzędu CA (lub certyfikaty)
  • Informacją czy wolno publikować w ramach urzędu listy CRL
  • Informacją o maksymalnym okresie czasu co jaki trzeba wydawać listę CRL (o ile wolno je wydawać)
  • Informacją o numerze ostatnio wydanego certyfikatu przez urząd CA
  • Informacja na jaki maksymalny okres czasu można wydać certyfikat urzędu CA
  • Informacja przez jaki maksymalny czas urząd CA może wykorzystywać swój klucz prywatny do podpisywania wydawanych certyfikatów


Każdy utworzony obiekt typu urząd CA może posiadać wiele podległych obiektów polityk takich jak:

  • Polityki wydawania certyfikatów
  • Polityki wydawania list CRL (o ile urząd nie zabrania takiej czynności)
  • Polityki personalizacji tokenów kryptograficznych

Szczegółowy opis funkcjonalności

Podstawowe usługi PKI realizowane przez QR-CERT

  • Rejestrowanie i rozpatrywanie wniosków o wydanie certyfikatów,
  • Sprawdzenie zgodności z polityką certyfikacji,
  • Generowanie kluczy prywatnych oraz publicznych (także we współpracy z modułami zewnętrznymi HSM),
  • Generowanie certyfikatów zgodnych ze standardem X.509 oraz CVC,
  • Wydawanie oraz pełna obsługa certyfikatów,
  • Weryfikacja statusu certyfikatów (OCSP, CRL),
  • Obsługa protokołów SCEP, CMP oraz Webservice,
  • Publikacja certyfikatów do katalogów LDAP, elektronicznych repozytoriów lub innych nośników informacji,
  • Archiwizacja certyfikatów,
  • Zarządzanie całą infrastrukturą PKI (subskrybentami, ich danymi oraz certyfikatami).

Usługi związane z kartami kryptograficznymi realizowane przez QR-CERT

  • Ewidencjonowanie oraz śledzenie statusu kart kryptograficznych w systemie,
  • Zarządzanie danymi osadzanymi na kartach,
  • Obsługa procesu personalizacji graficznej oraz elektronicznej kart,
  • Zarządzanie wydrukami oraz raportami,
  • Obsługa kart na etapie ich eksploatacji,
  • Integracja z własnym lub zewnętrznym systemem PKI.

Główne cechy oprogramowania QR-CERT

  • Graficzny interfejs użytkownika w języku polskim oraz angielskim (inne wersje językowe realizowane na zamówienie),
  • Dokumentacja użytkownika w formie elektronicznej w języku polskim i angielskim,
  • Trójwarstwowa architektura systemu: silnik bazy danych, serwer aplikacji QR-CERT, klient aplikacji QR-CERT,
  • Dostępne moduły funkcjonalne: PKI&CMS CORE, LOG, PUBLISHER, OCSP, TSP, SCEP, CMP, PORTAL, WebServices, API
  • Wsparcie dla silników baz danych: PostgreSQL 9.x, ORACLE 11g, IBM DB2
  • Wsparcie komponentów serwerowych QR-CERT dla systemów operacyjnych: Linux, AIX, HP-UX, oraz WINDOWS SERVER 2003/2008/2012,
  • Wsparcie klienta aplikacji QR-CERT dla systemów operacyjnych z rodziny MICROSOFT WINDOWS XP/VISTA/7/8
  • Współpraca z kartami różnych producentów w oparciu o interfejsy zgodne z PKCS#11 v2.01 i Microsoft CSP,
  • Wspierane sprzętowe moduły kryptograficzne: PKCS#11 generic, THALES (nCipher) nShield EDGE/SOLO/CONNECT, UTIMACO CryptoServer CSxx PCI/LAN.
  • Wsparcie dla urządzeń do automatycznej personalizacji kart: drukarki firmy EVOLIS, Drukarka HDP5000 firmy HID/FARGO
  • Wsparcie dla czytników kart mikroprocesorowych w standardzie PC/SC
  • Wsparcie dla kart kryptograficznych operatorów system z interfejsem PKCS#11.

Podstawowe funkcjonalności modułu PKI & CMS

  • Wsparcie dla uwierzytelnienia użytkowników aplikacji z użyciem karty i certyfikatu X.509
  • Prowadzenie i zarządzenie w systemie następującymi rejestrami konfiguracji obiektów:
  • profilami X.509/CVC,
  • urzędami CA,
  • certyfikatami urzędów CA,
  • politykami wydawania list CRL,
  • politykami wydawania certyfikatów,
  • profilami personalizacji tokenów,
  • certyfikatami urzędu archiwizacji KA,
  • kontami,
  • grupami,
  • modelami tokenów,
  • kanałami publikacji,
  • autonumeratorami
  • Wsparcie dla obsługi głównych urzędów CA (RootCA) i urzędów pośrednich (SubCA).
  • Wsparcie dla certyfikacji wzajemnej urzędów CA.
  • Wsparcie dla archiwizacji i odtwarzania kluczy przeznaczonych do realizacji funkcji poufności.
  • Wsparcie dla konfiguracji „Profilu personalizacji kart” umożliwiającego zdefiniowanie generowania wielu kluczy i certyfikatów na karcie wraz z nadrukami na karcie i wydrukami dokumentacji oraz generowaniem i nadaniem kodów w ramach jednego przebiegu personalizacji karty.
  • Wsparcie dla konfiguracji wielu „modeli tokenów” różnych producentów kart wpierających interfejs aplikacyjny PKCS#11 lub CSP.
  • Konfigurowanie szat graficznych nadrukowywanych na kartach
  • Konfigurowanie szablonów dokumentacji drukowanej przy operacjach wydawania certyfikatów i personalizacji kart
  • Konfigurowanie szablonów etykiet samoprzylepnych drukowanych przy operacjach wydawania certyfikatów i personalizacji kart
  • Konfigurowanie szablonów kopert z sekretami i kodami PIN drukowanych przy operacjach wydawania certyfikatów i personalizacji kart
  • Możliwość konfiguracji wielu równoczesnych modułów HSM obsługiwanych przez jedną instalację oprogramowania QR-CERT
  • Wsparcie dla publikacji certyfikatów do zdalnych repozytoriów z zastosowaniem protokołów LDAP, HTTP i SMTP
  • Prowadzenie i zarządzanie w systemie następującymi rejestrami:
  • Magazyn kart,
  • Klienci,
  • Wnioski CA/RA,
  • Wnioski o ID,
  • Certyfikaty CA (X.509 i CVC),
  • Listy CRL (X.509),
  • Certyfikaty subskrybentów (X.509 i CVC),
  • Tokeny,
  • CHIP,
  • MIFARE,
  • Dokumenty,
  • Komunikaty systemowe
  • Obsługa procesów indywidualnych (w kontekście klienta):
  • Rejestrowanie subskrybentów, zarządzanie ich danymi oraz statusem
  • Wydanie certyfikatu na podstawie klucza publicznego
  • Wydanie certyfikatu na podstawie danych zawartych we wniosku PKCS#10
  • Generacja kluczy i wydanie certyfikatu na podstawie otrzymanych danych (wydawane w formacie PEM, DER i PKCS#12)
  • Lokalna personalizacja tokenu
  • Obsługa procesów masowych/automatycznych (w kontekście klienta):
  • Masowa generacja kluczy i wydanie certyfikatu na podstawie źródła danych w postaci pliku wsadu
  • Masowa personalizacja tokenów na podstawie źródła danych w postaci tzw. pliku wsadu
  • Masowa personalizacja tokenów na podstawie wniosków o wydanie tokenu
  • Obsługa procesów powydawniczych:
  • Procedura uwierzytelniania klienta przez telefon
  • Zarządzaniem statusem ważności certyfikatów
  • Lokalne odblokowanie kodu PIN tokenu
  • Zdalne udostępnienie kodów w celu odblokowania karty
  • Wydruki duplikatów z kodami do karty
  • Zarządzanie tokenami, CHIP i MIFARE oraz ich statusami
  • Obsługa procesów ogólnych:
  • Importowanie danych do magazynu kart i zarządzanie magazynem kart
  • Generowanie listy CRL na żądanie operatora
  • Akceptacja wniosku o certyfikat zarejestrowanego przez innego operatora
  • Inicjowanie tokenu do ustawień fabrycznych
  • Tworzenie listy wsadu
  • Tworzenie raportów

Algorytmy wspierane przy wydawaniu certyfikatów

Certyfikaty X.509

  • RSA
  • padding: PKCS#1 1.5 i PSS,
  • length: 512, 1024, 2048, 4096, 8192,
  • digest: md5, sha1, sha2 (sha224, sha256, sha384, sha512).
  • DSA:
  • length: 512, 1024, 2048, 4096, 8192,
  • digest: md5, sha1, sha2 (sha224, sha256, sha384, sha512).
  • ECDSA
  • curves: secp192r1, secp192r2, secp192r3, secp224r1, secp239r1, secp239r2, secp239r3, secp256r1, secp384r1, secp521r1, brainpoolP160r1, brainpoolP160t1, brainpoolP192r1, brainpoolP192t1, brainpoolP224r1, brainpoolP224t1, brainpoolP256r1, brainpoolP256t1, brainpoolP320r1, brainpoolP320t1, brainpoolP384r1, brainpoolP384t1, brainpoolP512r1, brainpoolP512t1,
  • digest: md5, sha1, sha2 (czyli sha224, sha256, sha384, sha512).

Certyfikaty CVC

  • RSA
  • padding: PKCS#1 1.5,
  • length: 1024, 1280, 1536, 2048, 3072,
  • digest: sha1, sha2 (sha256, sha512).
  • ECDSA
  • curves: secp192r1, secp192r2, secp192r3, secp224r1, secp239r1, secp239r2, secp239r3, secp256r1, secp384r1, secp521r1, brainpoolP160r1, brainpoolP160t1, brainpoolP192r1, brainpoolP192t1, brainpoolP224r1, brainpoolP224t1, brainpoolP256r1, brainpoolP256t1, brainpoolP320r1, brainpoolP320t1, brainpoolP384r1, brainpoolP384t1, brainpoolP512r1, brainpoolP512t1,
  • digest: sha1, sha2 (sha224, sha256, sha384, sha512).
Na tej stronie

Szukaj w dokumentacji