Embed Size (px)
Citation preview
вторичный
Опыт реализации PKI инфраструктуры в
масштабах федеральной компании.
Мобильная электронная подпись.
Поздняков Игорь, Руководитель УЦ ПАО «МегаФон», 27 сентября, 2018 год
вторичный
Удостоверяющий центр ПАО «МегаФон» ПАК УЦ 1.5
28.09.2018MegaFon | Удостоверяющий центр2
Структурная схема – с чего начинали
вторичный
Удостоверяющий центр ПАО «МегаФон» ПАК УЦ 2.0, ПАК DSS 2.0
28.09.2018MegaFon | Удостоверяющий центр3
Структурная схема – что получилось
Построена уникальная, замкнутая,
самодостаточная экосистема,
которая реализует полное
резервирование всех компонент и
систем УЦ. Следующий шаг –
георезервирование.
В построении схемы использовался
весь накопленный опыт
эксплуатации УЦ и сервисов ЭП.
Позволяет реализовать
балансирование нагрузки, что дает
реализовать высокие SLA.
Решение на реализацию
представленной схемы основано на
повышающихся требованиях
бизнеса и особенности работы через
сервис КриптоПро DSS.
Интенсивная интеграция облачной
ЭП в корпоративные ИС.
Сегмент УЦ-DSS
ЛВС ЦОДЦУС
Континент
ИВЧ-1
Сервер SQL-2
MS SQL Server 2014
Сервер SQL-1
MS SQL Server 2014
MS AlwaysOn Availability Groups
Сервер ЦР-2
УЦ 2.0. Центр Регистрации – Н/К и КвС
Сервер ЦР-1
УЦ 2.0. Центр Регистрации – Н/К и КвС
HA-Cluster
ПАК «КриптоПро HSM»2
ПАК «КриптоПро HSM»1
Сервер ЦС-2
УЦ 2.0. Центр Сертификации – Н/К
УЦ 2.0. Центр Сертификации - КвС
HA-Cluster
Сервер ЦС-1
УЦ 2.0. Центр Сертификации – Н/К
УЦ 2.0. Центр Сертификации - КвС
HA-Cluster
Сервер DSS-2
Экземпляр ПАК «КриптоПро DSS» - Н/К
Экземпляр ПАК «КриптоПро DSS» - КвССервер DSS-1
Экземпляр ПАК «КриптоПроDSS» - Н/К
Экземпляр ПАК «КриптоПро DSS» - КвС
HA-Cluster
Сервер TSP/OCSP-2
Экземпляр КриптоПро «TSP Server» Н/К
Экземпляр КриптоПро «TSP Server» КвССервер TSP/OCSP-1
Экземпляр КриптоПро «TSP Server» Н/К
Экземпляр КриптоПро «TSP Server» КвС
AD
ADFS
HA-Cluster
Балансировщик-2
Балансировщик-1
HA-Proxy
АРМ Адм.
УЦ-HSMАРМ
Оператора-4АРМ
Оператора-3АРМ
Оператора-2
АРМ Оператора-1
Оптический канал
Медный канал
Региональная сеть предприятия
Технологический сервер
AD Witness Модуль Мониторинга
DSS
NTP Secret Net Система резервного
копирования
Дублирующие сетевые контуры
(АПКШ Континент)
вторичный
Мобильная Электронная Подпись (МЭП)
28.09.2018MegaFon | Удостоверяющий центр4
МЭП – апплет на SIM карте, который позволяет подтвердить
подписание квалифицированной электронной подписью
документов и контролировать действия пользователя в
системах ЭДО, ДБО и т.д.
В основе мобильной электронной подписи реализована
технология, которая обеспечивает криптографическую
аутентификацию пользователей, безопасное online-
взаимодействие и подтверждение операций с ЭП на сервере
КриптоПро DSS.
Позволяет сервису электронной подписи
выполнить требования, предъявляемые
регулятором к средствам электронной подписи.
Разработка компании КриптоПро на базе сертифицированного
средства криптографической защиты КриптоПро HSM, КриптоПро
DSS.
вторичный
Мобильная Электронная Подпись (МЭП)
28.09.2018MegaFon | Удостоверяющий центр5
Безопасность
При работе с МЭП визуализация информации выполняется в браузере пользователя ЭДО. Формирование подтверждения на его подписание в КриптоПро DSS производится по защищенному каналу с помощью апплета на SIM карте.
Криптографическая аутентификация и защита канала между апплетом и сервером КриптоПро DSS гарантируют, что только легальный пользователь сможет воспользоваться ключами подписи.
Ключи электронной подписи пользователей хранятся в сертифицированном HSM в неизвлекаемом виде.
Юридическая значимость подписи
Документ и другие действия пользователя заверяются квалифицированной электронной подписью, что обеспечивает неотказуемость действий. Пользователь не только подтверждает содержание документа, но и в дальнейшем не имеет возможности отказаться от совершенного действия.
вторичный
Мобильная Электронная Подпись (МЭП)
28.09.2018MegaFon | Удостоверяющий центр6
Организация предоставления сервиса
Провайдер системы электронного
документооборота
Службы Удостоверяющего центра
Сервис электронной подписи
Рабочее место
подписанта
Интерфейс
системы ЭДО
вторичный
Решение для самообслуживания сотрудника
28.09.2018MegaFon | Удостоверяющий центр7
Схема взаимодействия корпоративных системИсточники данных о сотрудниках
для пред заполнения полей сертификата ЭП
Сервер SAP HR
Сервер AD
Сервер КриптоПро DSS МЭП Рабочие места сотрудников
вторичный
Решение для самообслуживания сотрудника
28.09.2018MegaFon | Удостоверяющий центр8
Интерфейс личного кабинета управления сертификатами ЭП
вторичный
Решение для самообслуживания сотрудника
28.09.2018MegaFon | Удостоверяющий центр9
Получение сертификата ЭП
вторичный
Решение для самообслуживания сотрудника
28.09.2018MegaFon | Удостоверяющий центр10
Получение сертификата ЭП
вторичный
Решение для самообслуживания сотрудника
28.09.2018MegaFon | Удостоверяющий центр11
Получение сертификата ЭП
вторичный
Решение для самообслуживания сотрудника
28.09.2018MegaFon | Удостоверяющий центр12
Получение сертификата ЭП
![Fraunhofer Competence Center PKI - contacts.pki.fraunhofer.decontacts.pki.fraunhofer.de/general/PKI-Contacts_CertPolicy_EN.pdf · Folgenden als PKI-Contacts bezeichnet, [PKI-Contacts])](https://img.pdfslide.tips/doc/110x75/6063124d64defb5787251686/fraunhofer-competence-center-pki-folgenden-als-pki-contacts-bezeichnet-pki-contacts.jpg)
