УДОСТОВЕРЯЮЩИЙ ЦЕНТР

Удостоверяющий центр (УЦ, Certificate Authority, CA) — это доверенная структура, которая имеет право выпускать сертификаты открытого ключа и удостоверяет подлинность их владельца, а также отвечает за управление жизненным циклом цифрового сертификата. 

Удостоверяющий центр является основным компонентом PKI и обеспечивает безопасный обмен информацией с помощью цепочки доверительных отношений. В каждый выпущенный им сертификат УЦ включает свое имя и подписывает его при помощи собственного секретного ключа. Пользователи могут легко идентифицировать сертификаты по имени УЦ и убедиться в их подлинности, используя его открытый ключ.

Структура УЦ выстраивается в древовидную иерархию, где выделяют корневой и подчиненные УЦ.

Корневой УЦ – специальный тип УЦ, который имеет самоподписанный сертификат и является корнем дерева. Этот тип УЦ является стартовой точкой доверия ко всем сертификатам в данной иерархии, он выдает сертификаты УЦ первого уровня. Удостоверяющие центры первого уровня выдают сертификаты УЦ второго уровня, и так далее. Последние выдают сертификаты конечным пользователям, компьютерам и службам и их также называют выдающими УЦ. 

Самой простой является одноуровневая иерархия, где УЦ выполняет роль корневого и выдающего сертификаты конечным пользователям УЦ. Но более гибко настраиваемой и безопасной является как минимум двухуровневая иерархия. 

Удостоверяющий центр выполняет следующие основные функции:

• формирует собственную ключевую пару;
• если является корневым УЦ, то издает и подписывает себе самоподписанный сертификат;
• выпускает (то есть создает и подписывает) сертификаты открытых ключей подчиненных УЦ и конечных субъектов PKI; 
• поддерживает реестр сертификатов (базу всех изданных сертификатов);
• формирует списки отозванных сертификатов (Certificate Revocation List — CRL);
• публикует информацию о статусе сертификатов и списки отозванных сертификатов.

Взаимодействие пользователя с удостоверяющим центром происходит следующим образом:

• Пользователь создает ключевую пару (открытый и закрытый ключи).
• Пользователь отправляет в удостоверяющий центр запрос на сертификат, в который включает открытый ключ и всю необходимую информацию о себе и о ключах. Набор необходимых сведений определяется регламентом УЦ, но всегда необходимо указывать имя владельца, назначение ключей, дату создания.
• Удостоверяющий центр получает запрос и проверяет его подлинность и корректность. 
• Если результат проверки запроса положительный, УЦ создает сертификат на открытый ключ, подписывает его, заносит в свою базу данных и отправляет пользователю.
• Пользователь получает сертификат и устанавливает его у себя в системе.
• Каждый сертификат имеет ограниченный срок действия, по окончании которого УЦ отзывает сертификат и помещает в CRL.
• В случае компрометации или утраты закрытого ключа до окончания срока действия сертификата, пользователь отправляет в УЦ запрос на отзыв сертификата с указанием  его причины. Удостоверяющий центр отзывает сертификат и помещает в CRL, а пользователь подготавливает запрос на новый сертификат для дальнейшего использования.

Узнайте больше о российском программном комплексе – Indeed Certificate Manager (Indeed CM) для защиты логического доступа к ИТ-системам вашей компании на странице продукта или запишитесь на бесплатную демонстрацию работы решения: