Автоматическое обновление сертификатов в DIRECTUM или как упростить жизнь администратору

Опубликовано:
30 ноября 2011 в 15:34

9 21

Совсем недавно перед нами встала задача автоматизации процесса обновления сертификатов для пользователей DIRECTUM. Само по себе обновление сертификата процесс не сложный, если есть четкая инструкция и немного опыта в данной области. Но этот процесс состоит из нескольких этапов рассчитанных на выполнение разными пользователями, на разных компьютерах сети, с необходимостью установки в систему DIRECTUM, в локальное хранилище или на личное средство аутентификации. При таком многообразии важных моментов данного процесса возникает множество вопросов связанных с разграничением прав, контролем выдачи сертификатов, установкой сертификата в систему DIRECTUM и пр. Кроме того, создание запроса в центр сертификации и последующая установка сертификата в локальное хранилище должна выполняться пользователем, а это требует специальных знаний. В противном случае выполнять данные действия приходится администратору, непосредственно с компьютера пользователя.

Для упрощения этого процесса и автоматизации основных моментов было разработано техническое решение «Автоматическое обновление сертификатов в DIRECTUM». В результате использования технического решения процесс получения сертификата для работы в системе DIRECTUM значительно упрощается и становится более понятным. Схема процесса приведена на рисунке.

Техническое решение предоставляет следующие возможности:

отслеживание сертификатов, срок действия которых подходит к концу и автоматический запуск типового маршрута для их обновления;
автоматическое составление запроса в центр сертификации на основе данных пользователя, хранящихся в системе;
ручной запуск типового маршрута для получения нового сертификата;
автоматическая установка сертификата на персональное средство аутентификации eToken или в локальное хранилище пользователя;
автоматическая установка сертификата в систему DIRECTUM для указанного пользователя.

Само по себе техническое решение является конечным и готовым к использованию решением, но возможность изменяться определенной части разработки под нужды конкретной организации так же остается. Так, например процесс согласования выдачи сертификата может быть сокращен или наоборот, могут быть добавлены необходимые инстанции характерные для определенной организации.

В целом, данное техническое решение должно значительно облегчить жизнь администратору ответственному за обновление сертификатов в DIRECTUM и свести к минимуму все вопросы и возможные проблемы, связанные с получением и установкой сертификата пользователя, не обладающего специальными знаниями в данной области.

Более подробное описание технического решения можно посмотреть на соответствующей странице сайта DIRECTUM.ru Автоматическое обновление сертификатов в DIRECTUM.

Алексей Язынин

30 ноября 2011 в 16:20

Можно узнать подробнее как происходит автоматическая установка сертификата на персональное средство аутентификации eToken или в локальное хранилище пользователя? Как обеспечивается безопасность этого процесса (чтобы "налево" не ушел сертификат)?

Денис Богатырев

30 ноября 2011 в 16:38

Установка сертификата в локальное хранилище происходит посреством встроенной утилиты Certreq. Установка на личное средство аутентификации осуществляется драйверами соответствующего устройства, в нашем случае eToken, при установке в локальное хранилище пользователя.

Т.е. специальных средств для переноса сертификата нет. Техническое решение предусматривает, лишь установку сертификата в локальное хранилище пользователя используя стандартные средства Windows, а перенос закрытого ключа осуществляется драйверами соответствующего устройства.

Антон Волков

1 декабря 2011 в 17:40

Данное решение может быть доработано для работы на версии системы 4.6.1?

В требованиях указана работоспособность только на платформе 4.7.

Дмитрий Тарасов

1 декабря 2011 в 21:47

Решение очень интересное, но хотелось бы видеть данный функционал в стандартной поставке. Лишний аргумент в разговоре с админами клиента, чтобы выбор пал именно на эту систему.

Денис Баранов

2 декабря 2011 в 09:17

Дима, оно же бесплатное. Чем тебе не аргумент? Я думаю, что по возможности не надо загромождать пустую базу тем, что может быть востребовано, а может быть и нет. Если надо - всегда можно запросить и поставить. Так же как с "Управлением персональными данными".

Денис Богатырев

2 декабря 2011 в 09:20

Данное решение может быть доработано для работы на версии системы 4.6.1? В требованиях указана работоспособность только на платформе 4.7.

Данное решение разрабатывалось и тестировалось на версии 4.7, по этому в требованиях указана именно эта версия. Тестирование решения на DIRECTUM 4.6.1 не проводилось. Возможно, при работе на 4.6.1, могут возникнуть какие то сложности, например с получением записей справочников, но в целом в ТР нет ничего сверхъестественного, по этому доработка решения до поддержки 4.6.1 вполне возможна.

Денис Богатырев

2 декабря 2011 в 10:13

Как правильно подметил Денис, решение не входит в стандартную поставку с той целью, что бы, не загромождать пустую базу, ведь данный функционал может потребоваться далеко не всем. А на счет лишнего аргумента в пользу выбора системы, думаю ничего принципиально не меняется, если решение поставляется отдельным пакетом, ведь для установки ТР, необходимо всего лишь немного усилий и никаких дополнительных финансовых затрат.

Дмитрий Тарасов

2 декабря 2011 в 11:24

Спасибо за разъяснения. Чтобы получить решение для тестирования надо обращаться в техподдержку?

Денис Богатырев

2 декабря 2011 в 12:22

Да, что бы получить ТР необходимо отправить письмо в техподдержку на support@directum.ru.

Дмитрий Тарасов

2 декабря 2011 в 12:46

А почему бы сразу его в свободный доступ не выложить? Зачем нужна вся эта канитель с лишними запросами в техподдержку?

Денис Баранов

2 декабря 2011 в 12:52

Прежде всего для учета тех, у кого установлено. Полезно при запросе обновления. Но подумаем над этим, возможно техническими средствами сейчас можно это сделать (проверять по логину кто скачал с сайта поддержки).

Дмитрий Тарасов

2 декабря 2011 в 12:55

(проверять по логину кто скачал с сайта поддержки).

Отличная мысль! И еще счетчик скачиваний поставить, чтобы сразу было видно самые популярные технические решения :)

Дмитрий Третьяков

5 декабря 2011 в 12:01

Коллеги, про 4.6.1 спросили, а кто-нибудь уже протестировал? :)

Денис Богатырев

5 декабря 2011 в 15:09

Дмитрий, пока никто не тестировал на совместимость с DIRECTUM 4.6.1. Вы можете сами запросить, через службу поддержки, данное техническое решение и опробовать его на тестовой системе. Благо оно бесплатное.

Еще раз повторюсь, но скажу... Вполне возможно, что решение будет работать корректно на DIRECTUM 4.6.1 и не потребует дополнительной доработки.

Дмитрий Третьяков

6 декабря 2011 в 11:49

Денис, спасибо, сделал запрос на получение решения, выделим время на его тестирование, напишу по результатам.

Сергей Жолобов

26 октября 2012 в 10:23

Большое спасибо за решение. Особенно ценно для многопользовательских систем. Но при тестировании получил ошибку.

Если в ЦС в настройках агента восстановления установлена опция архивирования ключей, то при запросе сертификата получает ошибку: "В запросе отсутствует требуемый закрытый ключ для архивации сервером. 0х80094804"

Ну и для развития решения предлагаю рассмотреть возможность распространения закрытого ключа в локальные хранилища пользователя на несколько рабочих мест (например при подключениях с работы и из дома). Кроме того могу предположить, что если для пользователя зарегистрировать 2 однотипных сертификата, то с автоматическим обновлением тоже возникнуть проблемы.