Описание решения
Задача
В эксплуатации инфраструктуры открытых ключей (Public Key Infrastructure – PKI) участвуют не только администраторы и операторы, но и рядовые пользователи – владельцы ключей электронной подписи.
Инфраструктура PKI разворачивается в том числе для повышения удобства и эффективности работы пользователей. Соответственно, от качества и уровня предоставляемого сервиса зависит эффективность всей PKI.
Увы, даже с учетом высокой скорости развития информационных технологий и появления принципиально новых продуктов, работа с цифровыми сертификатами и ключевыми носителями мало изменилась за последние 10 лет. Более того, в последнее время стремительными темпами растет популярность удаленной работы, из-за чего становится еще сложнее обеспечить корректную эксплуатацию цифровых сертификатов. В первую очередь это связано с необходимостью ручных манипуляций с аппаратными носителями ключевой информации. Но как раз в случае удаленной работы подобные локальные операции необходимо исключить.
Часто возникает ситуация, когда необходимо выполнить определенное действие (изменить PIN-коды, перевыпустить сертификаты и т. п.) сразу с несколькими пользователями, то есть выполнить массовую задачу. Как правило, всем пользователям необходимо подойти к рабочему месту оператора, либо – чаще – оператору необходимо индивидуально посетить каждого пользователя. Выполнение массовой задачи существенно усложняется как для пользователей, так и для операторов, если сотрудники работают удаленно, находятся на выезде, в командировке или на больничном. В таком случае выполнение массовой задачи может сильно затянуться по времени.
Ряд сложностей может возникнуть, если сертификат используется за пределами корпоративного периметра, например при блокировке, поломке или компрометации носителя. Причем наиболее сложной является ситуация поломки носителя, когда пользователь находится в труднодоступной местности. Рабочие задачи никуда не исчезают, однако получить новый носитель за разумное время не представляется возможным.
Проблемы и задачи, возникающие у пользователя PKI в процессе эксплуатации ключевых носителей и цифровых сертификатов, в случае их несвоевременной отработки, могут привести к снижению производительности труда и, как следствие, к финансовым потерям. Оптимальным решением будет использование специализированных пользовательских сервисов самообслуживания и мониторинга, которые входят в качестве модулей в продукты класса PKI Management.
Применение подобных программных комплексов позволит существенно снизить непродуктивные затраты времени на решение задач, связанных с эксплуатацией ключевых носителей и цифровых сертификатов.
Решение
Для повышения производительности труда и оперативного решения рабочих задач, возникающих при эксплуатации ключевых носителей и цифровых сертификатов, предлагается использовать комплексное решение Indeed Certificate Manager, имеющее в своем составе соответствующие модули.
В первую очередь в Indeed Certificate Manager имеется портал самообслуживания пользователей, в котором пользователям предоставляются следующие функции:
- просмотр назначенных носителей и выданных пользователю сертификатов;
- выпуск дополнительных ключевых носителей;
- разблокировка ключевых носителей;
- отзыв, приостановка и возобновление действия сертификатов;
- изменение PIN-кодов;
- перевыпуск сертификатов.
В случае отсутствия доступа у пользователя к корпоративным ресурсам можно воспользоваться порталом дистанционного обслуживания, доступным из внешних сетей. С помощью данного сервиса можно решить следующие проблемы:
- разблокировать устройство;
- сообщить о поломке или компрометации устройства;
- приостановить действие ключевого носителя и выпущенных сертификатов.
Дополнительно в Indeed CM есть специализированный модуль для локального контроля устройств, подключаемых к рабочей станции, и удаленного выполнения задач (смена PIN-кода администратора, перевыпуск сертификатов и т.п.) – Агент Indeed CM. Агент позволяет массово назначать задачи и следить за их выполнением.
Теперь пользователям и операторам больше не нужно подстраиваться под время друг друга, отодвигать выполнение задачи, приезжать в офис и т. д. Назначенная оператором задача будет выполнена, как только пользователь подключит ключевой носитель к своему корпоративному рабочему месту.
Indeed Certificate Manager также предоставляет следующие функциональные возможности, позволяющие повысить эффективность эксплуатации ключевых носителей:
- система уведомлений позволит пользователям не забыть, когда настало время обновить сертификаты или изменить PIN-коды;
- поддержка виртуальных и сетевых смарт-карт может быть полезна при выходе из строя аппаратного носителя ключевой информации удаленного сотрудника – подобные технологии позволяют работать с закрытым ключом без съемной аппаратной смарт-карты.
Indeed Certificate Manager позволяет задавать полномочия на портале самообслуживания для каждого пользователя индивидуально или для групп пользователей.
Технические характеристики
Доступные для пользователей операции с сертификатами:
- Выпуск и перевыпуск
- Приостановка действия и отзыв
- Просмотр выпущенных и отслеживаемых сертификатов
- Проверка статуса
Доступные для пользователей операции с носителями ключевой информации:
- Назначение и выпуск
- Отзыв
- Разблокировка
- Обновление содержимого
- Сброс и изменение PIN-кода
Пользовательские инструменты:
- Портал самообслуживания
- Портал дистанционного обслуживания
- Клиентский Агент
Поддержка типов носителей ключевой информации:
- Съемные аппаратные носители
- Реестр ОС семейства Microsoft Windows
- Trusted Platform Module (TPM)
- Microsoft Windows Hello for Business
- Indeed AirCard Enterprise
Поддержка моделей съемных аппаратных носителей ключевой информации:
- ACOS от ACS
- HID Crescendo от HID
- ID-One Cosmo от Bit4id
- SCinterface от cryptovision GmbH
- TicTok V2, V3 от CRYPTAS IT-Security GmbH
- Рутокен от Актив
- eToken и ID Prime от Thales Group (ex SafeNet и Gemalto)
- ESMART от ISBC
- JaCarta от Аладдин Р.Д.
- Yubikey от Yubico
- ePass от Feitian
