ADSS OCSP Server

SocButtons v1.5

O autoritate de validare avansata OSCP
ADSS OCSP Server este o autoritate recunoscuta de validare avansata a certificatelor digitale de tip x.509. OCSP Server se conformeaza complet standardului IETF RFC 2560. Serverul a fost certificat si FIPS 201 (APL #583) si a fost aprobat pentru utilizarea lui de catre agentiile federale pentru implementari HSPD-12.

ADSS OCSP Server a fost creat sa functioneze ca o solutie hub de validare. Serverul este capabil sa ofere serivicii OCSP de validare a certificatelor digitale pentru autoritati multiple de certificare(Certified Authorities - CAs) in mod concurent. Sunt suportate regulile simple sau complexe de validare pentru fiecare autoritate de certificare. ADSS OCSP Server ofera o inregistrare cu istoricul detaliat pentru fiecare tranzactie. Serverul ofera si un viewer usor de utilizat pentru solicitarile si raspunsuril OCSP. acest aspect este esential pentru facturarea si/sau erorile aparute in sistemele enterprise sau infrastructurile serviciului.

Acest produs are toate caracteristicile necesare de la un OCSP Server pentru utilizarea infrastructurii de dimensiuni mari sau enterprise cu chei publice. ADSS OCSP Server este un pachet de produse care contine server-ul testat si acreditat ADSS cu modulele active OCSP si CRL Monitor.

 

De ce sa utilizati un server OCSP?
Certificatele digitale pot oferi indivizilor si companiilor identitati sigure pentru utilizare in cadrul lumii electronice. Cu toate acestea, certificatele digitale pot expira, pot fi revocate sau pot fi furate. Utilizatorii trebuie sa aiba siguranta ca identitatile electronice (electronic identities - eIDs) ale partilor terte sunt inca valide si de incredere pentru tranzactiile efectuate. Astfel tranzactiile semnate digital pot deveni o parte a vietii de business actuale. CRL-urile sunt greu de administrat cand sunt distribuite unei game largi de utilizatori si de servere. Serverele OCSP reduc latimea de banda a informatiilor solicitate si faciliteaza verificarea statutului de incredere al certificatelor de catre aplicatii. Retineti ca ADSS Server de la Ascertia ofera de asemenea servicii de verificare SCVP, XKMS si OASIS DSS care furnizeaza forme alternative de validare a certificatelor.

De ce sa utilizati ADSS OCSP Server?
ADSS OCSP Server este un produs server OCSP bazat pe software Java J2EE care ofera rezistenta si scalabilitate recunoscute. Aspectul sau permite performanta inalta pentru una sau mai multe autoritati de certificare ce folosesc servere active/active cu sarcina distribuita.

Serverul este lansat din ce in ce mai mult ca o aplicatie virtuala pe platforma aleasa de companie inclusiv Windows, Solaris si Linux. Serverul ofera servicii de credibilizare la costuri reduse care se potrivesc cerintelor firmei. Printre utilizatorii actuali se numara institutii guvernamentale, institutii financiare, companii de telecomunicatii, operatori de telefonie mobila, autoritati publice de certificare si furnizori de servicii gestionate. Crearea unui OCSP Server de baza este usoara, oricine o poate face. Totusi motivul cheie pentru care toate aceste organizatii se bazeaza pe ADSS OCSP Server este ca:

Ofera rezistenta, sclabilitate si transfer asigurat
Acestea sunt calitati esentiale pentru un server de securitate e-trust centralizat precum un OCSP Server. ADSS OCSP Server poate fi configurat pentru a asigura ca nu exista niciun punct de esec si ca indeplineste chiar si cele mai inalte cerinte de performanta plasate de furnizorii de servicii gestionate care deservesc organizatii multiple de clienti cu autoritati de certificare multiple.

Este usor de instalat, configurat si administrat
ADSS OCSP Server a fost dezvoltat cu grija pentru a fi usor de instalat si operat. Se ofera un utilitar de instalare, un ghid rapid si unul detaliat pentru administrator. Configurarea este usoara pentru operatorii autorizati care utilizeaza o interfata sigura bazata pe web. Un serviciu OCSP Server pentru o noua autoritate de certificfare poate fi stabilit in aproximativ cincisprezece minute. Nu sunt necesare servicii profesionale pentru a obtine acest lucru.
Controalele de acces autentificat pot fi executate folosind filtrarea adreselor IP si/sau certificatelor client SSL si/sau semnaturile de solicitare OCSP. Sunt suportate toate HSM-urile cunoscute. Este recomandata utilizarea HSM-urilor pentru un volum mare de solicitari. Optional, informatia in timp real despre statutul certificatului poate fi folosita de asemenea ca o alternativa la informatia bazata pe CRL din autoritatea de certificare.


Se oferia un viewer usor de utilizat pentru solicitarile si raspunsuri OCSP ca parte din managementul si logarea complexa a datelor. Viewerul faciliteaza manevrarea de catre specialistii tehnici a oricarei probleme de interoperabilitate in timp real care poate aparea intre un client OCSP si server OCSP. Acest lucru este cunoscut pentru economisirea mai multor ore de analiza de expertiza si permite ca sarcinile sa fie delegate personalului de administrare si suport. Este recomandat sa le fie permisa vizualizarea inregistrarilor de logare.
Securitatea HMAC este utilizata pentru toate datele de configurare si inregistrarile tranzactiei. Optional, se poate activa functia de controlul dual. Sarcinile automatizate ca auto-arhivarea jurnalelor tranzactiei si manevrarea alertelor in timp real asigura ca interventia operatorilor este redusa la minim. Un modul de raportare detaliata a gestiunii este furnizat ca standard care ofera un rezumat la nivel de tablou de bord. Acest modul permite generarea altor rapoarte detaliate de servicii pentru o anumita data/perioada de timp.

Asigura extensibilitate si cost scazut
Datorita arhitecturii modulare ADSS OCSP Server este licentiat bazat doar pe modulele necesare. OCSP Server poate raspunde in numele mai multor autoritati de certificare reducand astfel cheiltuielile cu hardware si software. Serverul OCSP dezvoltat de Ascertia poate fi extins pentru a oferi si servicii de validare XKMS si/sau SCVP prin simpla actualizare a fisierului de licente a lui ADSS Server. Aceasta protectie a investitiei ulterioare este o capacitate standard a lui ADSS Server si este extrem de valoroasa.

Notificare Importanta
In trecut denumirea comerciala a acestui produs a fost TrustFinder OCSP Server. Aceasta denumire a fost schimbata cu ADSS OCSP Server pentru a accentua faptul ca OCSP este doar un alt modul al produsului ADSS Server.

Caracteristici

O autoritate de validare oferita de Ascertia

ADSS OCSP Server este o autoritate complexa de validare in timp real, complet conforma cu IETF RFC 2560. Serverul a fost implementat complet in Java EE pentru a oferi disponibilitate, performanta inalta si suport pentru platforme multiple. ADSS OCSP Server este denumirea comerciala a lui ADSS Server atunci cand se achizitioneaza numai serviciul OCSP.

Caracteristicile serverului OCSP includ:

Arhitectura

Hub de validare OCSP pentru autoritati de certificare (CA) multiple
La baza lui ADSS OCSP Server se afla un sistem solid de politici. O singura instanta a serverului autoritate de validare poate raspunde pentru un numar nelimitat de CA-uri (numartul este limitat numai de capacitatea serverului si a licentei achizitionate). Beneficiile utilizarii unei singure solutii hub pentru mai multe CA pot fi masurate in termeni de reducere a costurilor operationale, de hardware si software. Ofera o singura interfata coerenta pentru controlarea detaliilor regulii de validare, rezolvarea problemelelor de suport si furnizarea raportarii de management. Pentru exterior se prezinta ca un server de validare dedicat pentru fiecare CA.

Functionalitate divizata
Serviciile de baza din cadrul autoritatii de validare pot fi impartite pentru a permite serverelor separate "back-end" sa proceseze CRL-uri multiple ale autoritatii de certificare. Astfel se  permite serverelor "front-end" sa se concentreze pe gestiunea sarcinilor mari ale tranzactiei OCSP. Aceasta abordare optimizeaza performanta serverelor de infrastructura "high-end".

Fluxuri multiple de intrare
ADSS OCSP Server poate regasi informatii despre statutul certificatelor de la CA-uri folosind abordari multiple. De exemplu CRL-urile se pot regasi folosind protocoale HTTP/S si LDAP/S sau prin acces direct in timp real la baza de date a statutului certificatelor sau prin intermediul serverelor autoritatii de validare. Fiecare CA inregistratpoate fi configurat cu propria metoda. Pot fi configurate o metoda primara si una de continuare pentru a asigura ca nu exista niciun punct de esec.

Suport CRL avansat
ADSS OCSP Server manevreaza atat CRL-uri indirecte, cat si CRL-uri Delta. Modulul CRL Monitor suporta reguli multiple de validare si infrastructuri de incredere complexe.

Usor de folosit

Instalare si configurare bazata pe utilitare
O aplicatie simpla de instalare bazata pe un utilitar permite operatorilor sa configureze rapid serverul autoritatii de validare, baza de date, conturile initiale ale operatorului, ancorele de incredere si alte detalii ale serviciului. Un sistem initial de test poate fi configurat si folosit in 15 minute, fara pregatire speciala.

Management centralizat
Serverele mutiple ale autoritatii de validare care ruleaza pe masini diferite pot fi configurate si monitorizate dintr-o consola centrala.

Arhivarea automata a inregistrarilor in bazele de date
ADSS OCSP Server inregistreaza toate tranzactiile OCSP si informatiile de recuperate a CRL. Dimensiunea bazei de date poate creste in timp. Pentru a evita acest lucru se ofera o optiune de arhivare automata a inregistrarilor pentru a mentine marimea bazei de date usor de gestionat. Inregistrarile sunt securizate HMAC in serverul autoritatii de validare si sunt semnate automat la arhivare.

Performanta si disponibilitate inalta

Autoritatea de validare - Grupare
ADSS OCSP Server a fost creat pentru a fi foarte scalabil si rezilient pentru a indeplini cele mai solicitante nevoi de infrastructura. Servere multiple pot lucra concomitent folosind echilibratori standard de incarcare a retelei si pot fi stabilite site-uri secundare reziliente. HMS-urile variate de retea, platformele de sisteme si sistemele de gestiune a bazelor de date pot fi folosite la cerere pentru a indeplini strategiile IT actuale. Sunt utilizate tehnici standard ale bazelor de date pentru copierea datelor dintr-un "site de procesare" in altul.


Proces CRL Watchdog 
Cand se opereaza cu instante multiple ale serverului de autoritate de validare nu este necesara recuperarea informatiei CRL pentru fiecare instanta, de vreme ce fiecare server va folosi aceeasi informatie. Cu toate acestea este necesar un mecanism pentru a asigura o instanta "slave" care va continua procesul de recuperare CRL, in cazul in care serverul "master" nu functioneaza. Acest lucru este esential pentru a asigura ca nu exista niciun punct de esec pentru acest proces!

Gruparea cheilor de semnare
ADSS OCSP Server poate grupa chei criptografice de semnare in grupuri logice cu disponibilitate inalta. Prin urmare, daca o anumita cheie nu este disponibila (ex. nu este disponibila HMS-ul local), atunci se va folosi urmatoarea cheie din grup. Acest lucru asigura ca disponibilitatea cheii criptografice nu cauzeaza o cadere a sistemului.

Streaming CRL
ADSS OCSP Server include un serviciu "streaming" CRL de inalta performanta care importa si proceseaza rapid CRL-uri mari asigurandu-se ca este disponibila intotdeauna cea mai recenta informatie de revocare.

Republicare CRL
Optional serverul autoritate de validare poate republica un CRL recuperat intr-o destinatie selectata, de ex. pe internet pentru utilizatorii locali ca o solutie de rezerva. Autoarhivarea CRL-urilor vechi este de asemenea posibila.

Conformitate standard si interoperabilitate

Conformitate
ADSS OCSP Server este conform cu cele mai actuale cerinte de verificare RFC 6960 si CAB Forum. Serverul poate verifica daca certificatul digital a fost emis cu adevarat de autoritatea de certificare specificata (suporta definirea extinsa a revocarii conform cu RFC 6960). Acesta este o contra masura la atacurile recente asupra unor autoritati de certificare. Rezultatul atacurilor recente a fost emiterea unor certificate false.

OCSP a fost certificat de US Defense Information Systems Agency, Joint Interoperability Test Command (JITC) (sub fostul nume de piata TrustFinder OSCP). Indeplineste si cerintele extinse ale schemelor financiare de incredere ca IdenTrust si cerinte de proiect UE ca CWA 14167-1. In plus serverul de autoritate de validare de la Ascertia indeplineste urmatoarele standarde PKI: SSL/TLS, PKCS#7, PKCS#10, PKCS#11, PKCS#12, RFC5280.

Interoperabilitate
ADSS OCSP Server a fost testat cu Microsoft Certificate Server, CybertTrust UniCERT, Entrusted Authority, RSA KEON si alte CA-uri (chiar si unele particulare). In general orice CA standard poate fi folosit cu ADSS OCSP Server si CRL-uri recuperate din locatiile HTTP/S sau LDAP/S.

Suport algoritm hash
Legile din mai multe tari solicita acum utilizarea algoritmilor hash care sunt mai avansati decat SHA-1. Serverul autoritatii de validare de la Ascertia permite raspunsurilor OCSP sa fie hash-uite si semnate folosind cel mai recent set de algoritmi SHA-2, inclusiv SHA-512.

Controlul accesului

Autoritatea de validare - clienti
Modulul de control al accesului permite operatorilor sa restrictioneze accesul clientilor bazat pe urmatoarele optiuni:
1)Acces deschis pentru toti solicitantii
2)Folosirea certificatelor client SSL pentru autentificarea clientilor
3) Folosirea semnarii solicitarii OCSP pentru autentificarea clientilor
4) Folosirea verificarii adresei IP pentru autentificarea clientilor

Autoritatea de validare - operatori
Operatorii de server al autoritatii de validare sunt identificati si autentificati folosind certificate client SSL/TLS inainte de a li se permite accesul la consola GUI. Crearea completa a caii certificatelor, validarea si verificarea revocarii este realizata pe certificatul operatorului inainte de permiterea accesului.

Management flexibil al cheilor

Chei de dimensiuni mari
Sunt suportate chei asimetrice de pana la 4096 biti.

Seturi multiple de chei
Perechile multiple de chei ale autoritatii de validare pot fi generate si utilizate pentru CA-uri diferite de la aceeasi instanta server a autoritatii de validare. Cheile pot fi certificate folosind un CA intern sau printr-un server CA extern.

Reinnoire automata a certificatelor
Este posibil sa reinnoiti automat certificatele folosind modulul ADSS intern al CA. Aceasta este o caracteristica importanta care permite certificatului serverului autoritatii de validare sa aiba un timp de viata scurt (de ex. reinnoit zilnic) si astfel sa nu fie nevoie de verificarea revocarii de catre clienti.

Administrare si securitate


Autoritate de validare - identificare si autentificare (I&A)
O I&A puternica pentru aplicatiile business ale operatorilor si clientilor ADSS Server asigura ca numai entitatilor sigure le este permis accesul.

Controlul accesului
Control detaliat bazat pe roluri (RBAC) asigura ca operatorii pot accesa si vedea numai functionalitatea autorizata.

Inregistrari securizate
Activitatea detaliata a operatorului, evenimentele din sistem si inregistrarile tranzactiei sunt inregistrate in sistem. Inregistrarile sunt protejate folosind functii hash sigure. Se ofera facilitate avansata de cautare si filtrare.

Control dual
Optional puteti porni caracteristica de controlul dual pentru a va asigura ca doi sau mai multi operatori sunt necesari pentru a efectua orice schimbari ale configuratiei ADSS Server.

Verificare automata a integritatii sistemului
Verificarea si raportarea automata a tuturor configuratiilor de sistem si a inregistrarilor in baza de date sunt bazate pe un interval configurabil de actiune.

Arhivare automata
Arhiveaza automat inregistrarile bazate pe o politica configurabila pentru a mentine baza de date manevrabila. Fisierele inregistrarilor sunt semnate automat la arhivare.

Alerte in timp real
Alertele configurabile prin e-mail si/ sau SMS si/ sau SNMP pot fi trimise pentru evenimente specifice catre operatorii specifici ai serverului autoritatii de validare.

HSM-uri
ADSS Server poate functiona cu toate PKCS#11 HMS cunoscute, de ex. de la SafeNet si Thales/nCipher. ADSS Server suporta dispozitive multiple PKCS#11 in acelasi timp, inclusiv folosirea smartcard si USB Tokens. Cheile criptografice pot fi grupate pentru motive de disponibilitate ridicata.

Certificari
ADSS OCSP Server este certificat FIPS 201 si se afla pe lista #583 de produse aprobate GSA. ADSS Server este certificat confom cu cerintele CWA 14167-1 pentru credibilizarea sistemelor. Serverul poate fi utilizat de furnizorii de servicii de oferire a certificatelor calificate. Sunt suportate HSM-uri diferite care raspund cerintelor Common Criteria EAL4 si FIPS 140-2 levels 2, 3 si 4.

Raportare

Vizualizarea tranzactiilor
O caracteristica vitala pentru operatori este posibilitatea serverului autoritatii de validare de a inregistra toate cererile si raspunsurile si de a permite operatorilor sa revizuiasca tranzactiile in limba engleza astfel ca problemele sa poata fi rezolvate in cateva minute. Aceasta caracteristica este obligatorie pentru orice echipa de operatori de gestiune.

Raportarea serviciilor
Serviciul ADSS OCSP vine cu propriul modul de gestiune al rapoartelor. Acest lucru ofera capacitatea de a crea rapoarte grafice si tabelare despre toate solicitarile de servicii dintr-o perioada specificata. Rapoartele de gestiune arata numarul de tranzactii procesate, rezultatele lor, care sunt clientii principali OSCP, care certificate ale entitatii finale (tinta) au fost verificate cel mai mult etc. Rapoartele pot fi exportate in format PDF si CSV.

Cost total de proprietate scazut

Costuri reduse
Datorita arhitecturii hub-ului OCSP un singur server al autoritatii de validare poate raspunde in numele mai multor CA, reducand costurile operationale, hardware si software.

Dovezi viitoare
Este inevitabil ca cerintele de business sa nu se schimbe in timp, dar serverul dumneavoastra de securitate este in stare sa faca fata cerintelor viitoare in servicii de validare a certificatelor? ADSS Server suporta cea mai mare gama de protocoale de validare a semnaturii si de verificare a certificatului, inclusiv OASIS DSS, XKMS si SCVP. Puteti fi sigur ca sunt deja acoperite toate optiunile actuale si viitoare. Oricand aveti nevoie de un nou modul de licentiere, tot ce trebuie sa faceti este sa actualizati si sa aplicati fisierul nou de licenta - este atat de simplu!

Independenta platformei

Independenta sistemului de operare
ADSS OCSP Server este o aplicatie standard J2EE si este suportata pe o gama larga de platforme inclusiv Windows si Unix - vezi cerintele de sistem >>

Independenta bazei de date
Toate configuratiile si inregistrarile tranzactiei din ADSS OCSP Server sunt stocate intr-o baza de date. Un numar de baze de date este suportat datorita utilizarii tehnologiei Hibernate®.

Independenta HMS/ Smartcard
Toate dispozitivele criptografice PKCS#11 cunoscute (HSM-uri, smartcard-uri sau USB token) pot functiona cu serverul autoritatii de validare Validation Authority pentru a genera chei criptografice, pentru a le stoca si utiliza in dispozitivul securizat.

Independenta PKI
ADSS OCSP Server suporta standarde cu PKI deschis astfel incat sa poata lucra cu orice CA, emitent de CRL, server de autoritate de validare si depozit LDAP. Ascertia a lucrat intens pentru a elimina toate complicatiile de interoperabilitate!

Cerinte de sistem

Sisteme de operare 
ADSS Server utilizeaza arhitectura Java EE pentru scalabilitate, flexibilitate si independenta fata de platforma. Sistemele de operare suportate sunt:

  • Windows Server 2012, 2008, 2008 R2 (32 & 64 Bit)
  • Solaris 11 (numai x86, 32 si 64 bit)
  • Linux: Centos, Red Hat & SuSe (32 & 64 Bit)

Sunt suportate sistemele fizice si virtualizate. La cerere, ADSS Server poate fi suportat si pe alte sisteme de operare.

Baze de date
ADSS Server suporta urmatoarele baze de date care utilizeaza tehnologia Hibernate pentru a asigura o abordare generix a integrarii bazei DBMS:

  • Microsoft SQL Server 2012, 2005, 2008 (Express, Web Edition si Enterprise)
  • Oracle 11g, 10g
  • Postgre SQL v9.x, v8.x
  • MySQL v5.x

La cerere pot fi suportate si alte baze de date.

Sisteme proxy DMZ (optional) 
In sistemele care utilizeaza proxy DMZ pot fi utilizate urmatoarele sisteme de operare:

  • Windows 2003/2008 Server + SP1 cu IIS 6.0/7.0 sau Apache Web Server sau IBM HTTP Server
  • Linux cu Apache Web Server sau IBM HTTP Server

Sisteme client (sisteme care trimit solicitari catre ADSS Server)

  • orice sistem rational care utilizeaza servicii web sau
  • ADSS Client SDK Java API care utilizeaza JRE v1.5 sau mai recent sau
  • ADSS Client SDK .NET API care utilizeaza Microsoft .NET Framework 3.0 sau mai recent.

HSM-uri (optional)
Sunt suportate urmatoarele module hardware de securitate PKCS#11:

  • SafeNet Luna SA, LunaPCI, Luna G5
  • SafeNet ProtectServer (PCI sau Extern)
  • Thales nShield Solo sau NetHSM
  • Utimaco HSMs

ADSS Server poate utiliza si alte smartcarduri si USB Tokene sigure conforme cu PKCS#11. La cerere, pot fi utilizate si alte HSM-uri conforme cu PKCS#11 v2.x.

Browsere pentru operatori
Sunt suportate urmatoarele browsere de internet pentru accesarea consolei web ADSS Admin:

  • Internet Explorer 8.x sau mai recent
  • Firefox 20.x sau mai recent
  • Google Chrome 26.x sau mai recent

Cerinte minime de hardware
Este recomandat un CPU multi-core modern ca de exemplu unul din gama Xeon E55xx sau E56xx cu minim 4GB RAM (este recomandat 8GB) si spatiu pe disk de 2GB. 
La cerere poate fi utilizat un server separat pentru baza de date pentru o performanta mai mare si pentru managementul centralizat al bazei de date. Daca este aleasa aceasta varianta, atunci configurarea recomandata pentru acest server ar fi: un CPU multi-core modern, de exemplu unul din gama Xeon E55xx sau E56xx, cu 4GB RAM. In mod tipic, spatiul pe disc solicitat este de 5-10GB, in functie de cerintele de stocare si utilizare a datelor.

Detaliile afisate mai sus sunt cerinte minime de hardware. Aceasta trebuie revizuite pentru a indeplini cerintele specifice de utilizare.

Incarcare cu distributie echilibrata
Este suportat orice sistem comercial de incarcare cu distributie echilibrata (load balancer) de retea.

Despre noi

Suntem prezenti pe piata in domeniul securitatii informatice din anul 1994.

Distribuim in Romania solutii de securitate dezvoltate in domeniu de catre lideri de piata.

Oferim servicii de asistenta in domeniu.

Cele mai cautate

Articole recente

Contact

Ro Interactive Technologies S.R.L.
Str. Aurel Suciu nr. 63 ap. 1
400440 Cluj-Napoca
Tel: 0040-264-418929; 0040-744-799248
Fax: 0040-264-418929
Email:  This email address is being protected from spambots. You need JavaScript enabled to view it.

Mighty Free Joomla Templates by MightyJoomla