 |
||
| ||||||
|
Присутствие двух Служб Реестра (Служба публичного Реестра и Служба технологического Реестра) обусловлено различными требованиями и режимами их настройки, предъявляемыми к компоненте, расположенной в сети общего пользования и в самом УЦ, соответственно. Регламент работы Служб не предусматривает текущее управление, все процессы происходят автоматически, а также не требуется каких либо специальных мер по администрированию, все администрирование сводится к контролю над функционированием LDAP сервера, механизмами репликации базы из СтР в СпР и контролем за работоспособностью компонента. Служба технологического Реестра (СтР).СтР обеспечивает поддержку публикации, организацию свободного доступа компонент автоматизированной системы УЦ и сопровождение актуального хранилища электронных сертификатов (ЭС) и списков отозванных сертификатов (СОС и их обновлений) созданных в рамках данного УЦ. Доступ к хранилищу обеспечен по протоколу LDAP (RFC 2251), а для СОС дополнительно по протоколу HTTP с MIME типом application/pkix-crl. Структура реестра представлена в Приложении №3. Инициатором изменений информации в сетевом справочнике (технологическом хранилище) выступает событие над ЭС (создание нового или изменение статуса уже выпущенного сертификата ключа подписи) в ЦС. Непосредственной записью в хранилище СтР занимаются Специальные процедуры по поддержанию актуальности базы СтР из состава ЦС. 
Структурная схема Службы технологического Реестра. LDAP сервер сконфигурирован в режиме разрешения производить запись в хранилище. Процедура создания репликации базы справочника обеспечивает автоматический контроль за модификацией файла – базы, копирование базы в транспортный файл, его заверение с целью обеспечения авторства и целостности при доставке на СпР. СтР обеспечивает:
Публикация в Реестре дополнительной информации Пользователя.Техническая реализация Реестра (СтР) позволяет Администратору ввести дополнительную информацию о пользователе, включая графическое изображение (ВНИМАНИЕ: введенные данные через СтР становятся доступны всем пользователям с СпР через механизм репликации баз). Данный сервис реализован как гипертекстовый ресурс и расположен на защищенном сервере Службы технологического Реестра. Доступ к ресурсу осуществляется с предоставлением действительного персонального сертификата Администратора и указанием сертификата пользователя (загружаемый файл в DER кодировке) и именно из него извлекается имя объекта и введенная дополнительная информация размещается в Реестре для сертификата именно этого объекта. Используя данный интерфейс, Администратор не имеет средств изменить или уничтожить информацию о самом сертификате пользователя. Служба(ы) публичного Реестра (СпР).СпР обеспечивает поддержку публикации (свободного доступа пользователей ИОК из публичных сетей) и сопровождение актуального хранилища сертификатов и списка отозванных сертификатов (СОС) созданных в рамках данного УЦ, взаимодействие с СтР для поддержания актуальности базы сертификатов и СОС. Сетевой справочник Реестра из состава Службы сконфигурирован ТОЛЬКО в режиме чтения базы. Обновление базы Реестра осуществляется: автоматическим контролем наличия доставленного файла – обновленной базы, проверкой целостности и адресности, временной остановкой LDAP сервера и полной заменой базы с последующим запуском LDAP сервера. На практике время недоступности LDAP сервера является очень малым, ввиду незначительности накладных расходов по прямому копированию файлов и запуску сервера. Транспорт доставки обновления базы может быть любым из доверенных и зависит от требований безопасности и технической реализации УЦ. В остальном, структура СпР аналогична СтР. 
Структурная схема Службы публичного Реестра.
|
|
|||||||||||||||||||
поиск
