Российские корпоративные центры сертификации и системы управления PKI

В условиях растущей потребности в цифровой трансформации и информационной безопасности российские организации всё чаще отказываются от Microsoft AD CS в пользу отечественных решений для построения инфраструктуры открытых ключей (PKI). Современные российские системы позволяют выпускать, обновлять и отзывать сертификаты для IPsec, SSL/TLS, пользовательской аутентификации и ЭП, а также управлять жизненным циклом ключевых носителей (Rutoken, JaCarta, eToken и др.). На рынке представлены как полнофункциональные УЦ, так и платформы централизованного управления PKI, интегрирующиеся с различными центрами сертификации.

1. Rutoken KeyBox (АО «Актив»)

Тип решения: Платформа управления жизненным циклом ключевых носителей и сертификатов. Не является УЦ, работает с внешними центрами сертификации.

Ключевые возможности

• Выпуск, обновление, отзыв, приостановка сертификатов (поддержка «три ключа на одном носителе»).
• Самообслуживание пользователей: смена и разблокировка PIN-кода, обновление сертификатов, временная блокировка токена — из любого места через веб-портал.
• Поддержка Rutoken S, Rutoken 3LIT, Rutoken Lite, KAZTOKEN, ePass, eToken, Avest. Возможность оперативного добавления поддержки новых токенов.
• Интеграция с Microsoft CA и КриптоПро УЦ.
• Резервное копирование ключевой информации токена (включая возможность экспорта в PFX).
• Аудит всех операций с токенами и сертификатами.
• Хранение данных в Active Directory без расширения схемы (в отдельном контейнере).
• Поддержка ГОСТ и международных алгоритмов через совместимые СКЗИ.
• Credential Provider для разблокировки токена даже при заблокированной учётной записи Windows (online/offline).

Архитектура

• Сервер: веб-приложение на IIS.
• Клиент: Run-time Environment и Credential Provider.
• Модули: Management Console (админка), Self-Service (личный кабинет), Remote Self-Service (удалённое управление), Event Log, Connectors к УЦ.

Целевая аудитория

Организации, использующие токены Rutoken и стремящиеся к автоматизации жизненного цикла ключевых носителей и сертификатов с минимальным участием IT-персонала.

2. Avanpost PKI (АО «Аванпост»)

Тип решения: Полнофункциональная система централизованного управления всей PKI-инфраструктурой.

Ключевые возможности

• Автоматизация выпуска до 500 сертификатов в день (~30 сек на сертификат).
• Поддержка УЦ: Microsoft CA, КриптоПро УЦ 1.5/2.0, Notary-PRO, ViPNet, Keon, CheckPoint и др.
• Поддержка носителей: eToken, JaCarta, Rutoken, ESMART, KAZTOKEN.
• Интеграция с LDAP, HR-системами (1С, SAP, Диасофт), CRM, Банк-Клиент (BSS, StepUp).
• Юридически значимый документооборот: создание заявок с ЭП, выпуск сертификатов с ЭП.
• Ведение журнала СКЗИ по приказу ФАПСИ №152.
• Автоматические уведомления (email, push через агент) о событиях: приём на работу, окончание срока действия и др.
• Поддержка работы с УЦ в offline-режиме.
• Возможность создания сложных бизнес-процессов (BPMN) для согласования заявок.

Архитектура

• Avanpost PKI Server — ядро бизнес-логики.
• Web-интерфейс для администраторов и пользователей.
• Avanpost PKI Agent — клиентский агент для контроля подключения токенов к ПК.
• Хранение данных в собственной СУБД.

Сертификация и соответствие

• Сертификат ФСБ (уровень 4), ФСТЭК, ОАЦ Республики Беларусь.
• Включён в Единый реестр российского ПО (№1287).

Целевая аудитория

Крупные корпорации, банки, госучреждения с высокими требованиями к учёту СКЗИ, автоматизации и юридической значимости операций.

3. Indeed Certificate Manager (ООО «Индид»)

Тип решения: Централизованная система управления PKI и ключевыми носителями.

Ключевые возможности

• Политики использования PKI: автоматический выбор набора сертификатов в зависимости от роли пользователя.
• Indeed AirKey Enterprise — виртуальный токен: ЭЦП, двухфакторная аутентификация, SSO без физического устройства. Закрытые ключи хранятся только на сервере.
• Клиентский агент: контроль подключения носителей к ПК, привязка к пользователю/рабочей станции, удалённая блокировка.
• Интеграция с Microsoft CA, КриптоПро УЦ, КриптоПро DSS.
• Поддержка Rutoken, eToken, JaCarta, ESMART, AvestKey, Gemalto ID Prime, Feitian ePass.
• Журнал учёта СКЗИ, соответствующий приказу ФАПСИ №152.
• Поддержка принтера смарт-карт для массовой персонализации.
• Интеграция с Indeed AM (Access Manager) для реализации Enterprise SSO.

Архитектура

• Сервер: ASP.NET приложение на IIS.
• Данные: хранение в SQL СУБД или Active Directory (без расширения схемы).
• Модули: Indeed CM Server, Консоль администратора, Инструменты самообслуживания, Card Monitor, Middleware, API.

Целевая аудитория

Организации, нуждающиеся в гибком управлении PKI, возможностях виртуальных токенов и глубоком контроле за использованием носителей на рабочих станциях.

4. КриптоПро PKI-Кластер (АО «КРИПТО-ПРО»)

Тип решения: Масштабируемая и отказоустойчивая платформа с встроенным УЦ.

Ключевые особенности

• Кластерная архитектура для обеспечения высокой доступности и распределённой обработки запросов.
• Полная поддержка ГОСТ и RSA, совместимость с Microsoft AD CS и LDAP.
• Поддержка ролевой модели (RA, CA, валидаторы) и многоуровневой иерархии УЦ.
• Автоматизация всех этапов жизненного цикла сертификатов.
• Глубокая интеграция и миграция с Microsoft CA без простоя.
• Управление политиками безопасности и журналирование всех операций.
• Сертификация ФСБ и соответствие требованиям регуляторов.

Целевая аудитория

Крупные госкорпорации, банки и критически важные инфраструктуры, которым требуется собственный, отказоустойчивый и сертифицированный УЦ.

5. JaCarta Management System (JMS) (АО «Аладдин Р.Д.»)

Тип решения: Корпоративная система централизованного управления жизненным циклом средств аутентификации и ЭП.

Ключевые особенности

• Учёт и управление аппаратными и программными средствами: JaCarta, Rutoken, ESMART, «облачные» токены (КриптоПро DSS), а также OTP/U2F-токенами и мобильными приложениями (Google Authenticator и др.).
• Интеграция с УЦ: Microsoft CA, КриптоПро УЦ 1.5/2.0, ViPNet 4.6, Notary-Pro.
• Источники данных: Microsoft AD, КриптоПро УЦ или собственная служба каталогов — JaCarta Directory Service (JDS).
• Гибкие политики безопасности: автоматический выпуск/отзыв сертификатов при включении/исключении пользователя из OU.
• Портал самообслуживания для пользователей (веб и «толстый» клиент).
• В состав входит JaCarta Authentication Server (JAS) — высокопроизводительный сервер двухфакторной аутентификации (2FA).
• Высокая масштабируемость: поддержка до 100 000 пользователей без потери производительности, кластеризация, балансировка нагрузки.
• Сертификация: ФСТЭК России (уровень доверия 4).
• Включён в Единый реестр российского ПО (№311).

Целевая аудитория

Компании, использующие токены JaCarta и стремящиеся к централизованному управлению всеми типами средств аутентификации (включая OTP и программные токены), а также к построению отказоустойчивой 2FA-инфраструктуры.

Сравнительная таблица

Заключение и рекомендации

• Если нужен собственный, отказоустойчивый и сертифицированный УЦ → КриптоПро PKI-Кластер.
• Если требуется полная автоматизация учёта СКЗИ и интеграция с HR/CRM в крупной госструктуре или банке → Avanpost PKI.
• Если важны виртуальные токены, контроль за использованием на ПК и гибкое управление политиками → Indeed Certificate Manager.
• Если в организации уже используются токены Rutoken и нужна простая, интегрированная с AD система управления → Rutoken KeyBox.
• Если используется экосистема JaCarta или нужна комплексная 2FA-платформа с поддержкой OTP/U2F и облачных токенов → JaCarta Management System (JMS).

Все представленные решения полностью соответствуют требованиям российского законодательства, поддерживают ГОСТ и позволяют выстраивать современную, безопасную и суверенную PKI-инфраструктуру.