Сведения о внутренней инфраструктуре открытых ключей NGate

Общие сведения и описание терминов, используемых при описании внутренней инфраструктуры открытых ключей PKI NGate

Для реализации криптографической защиты взаимодействия компонентов шлюза NGate (Узлов NGate, СУ и АРМ Администратора) между собой внутри шлюза должна быть развёрнута Инфраструктура открытых ключей (PKI).

Основой для развёртывания внутренней инфраструктуры PKI является Удостоверяющий центр (УЦ). Для создания инфраструктуры открытых ключей в системе NGate могут быть использованы как любой сторонний доверенный УЦ, так и Встроенный сервис NGate, выполняющий функции УЦ.

  1. Использование стороннего УЦ (External CA)– генерирование сертификатов производится сторонним УЦ. Главное требование к такому УЦ поддержка криптографического алгоритма по ГОСТ Р 34.10-2012.
  2. Использование встроенного сервиса NGate СУ (Internal MC service) – генерирование сертификатов производится специальным сервисом СУ. Встроенный сервис обладает функционалом, позволяющим выпускать сертификаты и ключи с поддержкой алгоритма шифрования по ГОСТ Р 34.10-2012.
    Прим.: При разворачивании инфраструктуры открытых ключей в целях удобства настройки рекомендуется использование Встроенного сервиса NGate СУ.

Описание основных элементов инфраструктуры открытых ключей (PKI):

  1. Корневой сертификат УЦ (CA Certificate или MC Root Certificate) – используются для проверки подлинности сертификатов, участвующих в создании инфраструктуры криптографических ключей и сертификатов. Корневой сертификат УЦ должен быть установлен на всех компонентах системы NGate.
    • Прим.: При использовании внешнего СУ так же возможно использование Промежуточного корневого сертификата УЦ (Intermediate CA certificate).
  2. Сертификат серверный СУ (MC Server Certificate) – серверный сертификат, удостоверение подлинности СУ и защита передаваемых данных между АРМ Администратора и СУ.
  3. Сертификат сервисный СУ (MC Service Certificate) – клиентский сертификат, удостоверение подлинности СУ при взаимодействии между СУ и Узлами NGate.
  4. Сертификат Узла NGate (Node Management Server Certificate) – серверный сертификат, удостоверение подлинности Узла NGate и защита передаваемых данных между СУ и Узлом NGate.
  5. Сертификат Администратора (Administrator certificate) – клиентский сертификат, удостоверение подлинности Администратора при взаимодействии между АРМ Администратора и СУ.
При создании инфраструктуры открытых ключей в системе NGate, организовывается два защищённых взаимодействия (см. рисунок Схема инфраструктуры открытых ключей):
  • между АРМ Администратора (клиент) и Системой управления (сервер);
  • между Системой управления (клиент) и каждым Узлом NGate (сервер).
Рис. 1. Схема инфраструктуры открытых ключей