Funkcjonalności
Oprogramowanie QR-CERT jest specjalistycznym pakietem aplikacji dedykowanym do budowy systemu infrastruktury klucza publicznego (Public Key Infrastructure) oraz systemu personalizacji i zarządzania kartami (Card Management System). Oprogramowanie zawiera szereg modułów funkcjonalnych, umożliwiających elastyczny dobór wymaganych do wdrożenia funkcjonalności. Oprogramowanie jest dedykowane dla dużych organizacji i środowisk korporacyjnych, w ramach których zastosowanie znajduje infrastruktura PKI i karty mikroprocesorowe. Oprogramowanie QR-CERT jest rozwiązaniem zarówno dla tych, którzy planują budowę własnej infrastruktury PKI, jak i podmiotów chcących świadczyć usługi w tym zakresie. Oprogramowanie pozwala na implementację zaawansowanych mechanizmów bezpieczeństwa w środowisku teleinformatycznym organizacji, takich jak: bezpieczna poczta elektroniczna (S/MIME), podpis elektroniczny (PKCS#7,XAdES), ochrona transmisji sieciowej (IPSEC, SSL/TLS), poufność transmisji i silne uwierzytelnienie użytkowników do portali usługowych (HTTPS) czy silne uwierzytelnienie do użytkowników do domeny Windows ActiveDirectory. QR-CERT posiada prosty i intuicyjny interfejs użytkownika oraz wiele funkcjonalności, które ułatwiają operatorom i administratorom codzienną pracę poprzez wsparcie dla automatyzacji najbardziej czasochłonnych zadań. Poza typową funkcjonalnością dla tego typu rozwiązań nasz produkt posiada moduły wspierające obsługę specjalistycznych urządzeń automatyzujących proces personalizacji i nadruku kart oraz niezbędną funkcjonalność do zarządzania cyklem życia tokenów (kart mikroprocesorowych). Oprogramowanie umożliwia skalowanie rozwiązania do dziesiątek milionów certyfikatów i kart wydawanych rocznie. Oprogramowanie posiada zestaw programowych API pozwalających na integrację systemu z innymi aplikacjami realizującymi procesy stowarzyszone lub zależne.
Zachęcamy do zapoznania się z dokumentacją, która szczegółowo opisuje proces instalacji, konfiguracji oraz wykorzystania poszczególnych modułów QR-CERT. Oprogramowanie jest udostępnione do pobrania na zakładce Pobierz.
Podstawowe usługi PKI realizowane przez QR-CERT
- Rejestrowanie i rozpatrywanie wniosków o wydanie certyfikatów,
- Sprawdzenie zgodności z polityką certyfikacji,
- Generowanie kluczy prywatnych oraz publicznych (także we współpracy z modułami zewnętrznymi HSM),
- Generowanie certyfikatów zgodnych ze standardem X.509 oraz CVC,
- Wydawanie oraz pełna obsługa certyfikatów,
- Weryfikacja statusu certyfikatów (OCSP, CRL),
- Obsługa protokołów SCEP, CMP oraz Webservice,
- Publikacja certyfikatów do katalogów LDAP, elektronicznych repozytoriów lub innych nośników informacji,
- Archiwizacja certyfikatów,
- Zarządzanie całą infrastrukturą PKI (subskrybentami, ich danymi oraz certyfikatami).
Usługi związane z kartami kryptograficznymi realizowane przez QR-CERT
- Ewidencjonowanie oraz śledzenie statusu kart kryptograficznych w systemie,
- Zarządzanie danymi osadzanymi na kartach,
- Obsługa procesu personalizacji graficznej oraz elektronicznej kart,
- Zarządzanie wydrukami oraz raportami,
- Obsługa kart na etapie ich eksploatacji,
- Integracja z własnym lub zewnętrznym systemem PKI.
Główne cechy oprogramowania QR-CERT
- Graficzny interfejs użytkownika w języku polskim,
- Dokumentacja użytkownika w formie elektronicznej (PDF) w języku polskim,
- Trójwarstwowa architektura systemu: silnik bazy danych, serwer aplikacji QR-CERT, klient aplikacji QR-CERT,
- Dostępne moduły funkcjonalne: PKI&CMS CORE, LOG, PUBLISHER, OCSP, TSP, SCEP, CMP, PORTAL, WebServices, API
- Wsparcie dla silników baz danych: PostgreSQL 9.x, ORACLE 11g, IBM DB2
- Wsparcie komponentów serwerowych QR-CERT dla systemów operacyjnych: Linux, AIX, HP-UX, oraz WINDOWS SERVER 2003/2008/2012,
- Wsparcie klienta aplikacji QR-CERT dla systemów operacyjnych z rodziny MICROSOFT WINDOWS XP/VISTA/7/8
- Współpraca z kartami różnych producentów w oparciu o interfejsy zgodne z PKCS#11 v2.01 i Microsoft CSP,
- Wspierane sprzętowe moduły kryptograficzne: PKCS#11 generic, THALES (nCipher) nShield EDGE/SOLO/CONNECT, UTIMACO CryptoServer CSxx PCI/LAN.
- Wsparcie dla urządzeń do automatycznej personalizacji kart: drukarki firmy EVOLIS, Drukarka HDP5000 firmy HID/FARGO
- Wsparcie dla czytników kart mikroprocesorowych w standardzie PC/SC
- Wsparcie dla kart kryptograficznych operatorów system z interfejsem PKCS#11.
Podstawowe funkcjonalności modułu CMS & PKI
- Wsparcie dla uwierzytelnienia użytkowników aplikacji z użyciem karty i certyfikatu X.509
- Prowadzenie i zarządzenie w systemie następującymi rejestrami konfiguracji obiektów:
- profilami X.509/CVC,
- urzędami CA,
- certyfikatami urzędów CA,
- politykami wydawania list CRL,
- politykami wydawania certyfikatów,
- profilami personalizacji tokenów,
- certyfikatami urzędu archiwizacji KA,
- punktami rejestracji,
- kontami,
- grupami,
- modelami tokenów,
- kanałami publikacji,
- autonumeratorami
- Wsparcie dla archiwizacji i odtwarzania kluczy przeznaczonych do realizacji funkcji poufności
- Wsparcie dla konfiguracji „Profilu personalizacji kart” umożliwiającego zdefiniowanie generowania wielu kluczy i certyfikatów na karcie wraz z nadrukami na karcie i wydrukami dokumentacji oraz generowaniem i nadaniem kodów w ramach jednego przebiegu personalizacji karty.
- Wsparcie dla konfiguracji wielu „modeli tokenów” różnych producentów kart wpierających interfejs aplikacyjny PKCS#11 lub CSP.
- Konfigurowanie szat graficznych nadrukowywanych na kartach
- Konfigurowanie szablonów dokumentacji drukowanej przy operacjach wydawania certyfikatów i personalizacji kart
- Konfigurowanie szablonów etykiet samoprzylepnych drukowanych przy operacjach wydawania certyfikatów i personalizacji kart
- Konfigurowanie szablonów kopert z sekretami i kodami PIN drukowanych przy operacjach wydawania certyfikatów i personalizacji kart
- Możliwość konfiguracji wielu równoczesnych modułów HSM obsługiwanych przez jedną instalację oprogramowania QR-CERT
- Wsparcie dla publikacji certyfikatów do zdalnych repozytoriów z zastosowaniem protokołów LDAP, HTTP i SMTP
- Prowadzenie i zarządzanie w systemie następującymi rejestrami:
- Magazyn kart,
- Klienci,
- Wnioski CA/RA,
- Wnioski o ID,
- Certyfikaty CA (X.509 i CVC),
- Listy CRL (X.509),
- Certyfikaty subskrybentów (X.509 i CVC),
- Tokeny,
- CHIP,
- MIFARE,
- Dokumenty,
- Komunikaty systemowe
- Obsługa procesów indywidualnych (w kontekście klienta):
- Rejestrowanie klientów, zarządzanie ich danymi oraz statusem
- Wydanie certyfikatu na podstawie klucza publicznego
- Wydanie certyfikatu na podstawie danych zawartych we wniosku PKCS#10
- Generacja kluczy i wydanie certyfikatu na podstawie otrzymanych danych (wydawane w formacie PEM, DER i PKCS#12)
- Lokalna personalizacja tokenu
- Obsługa procesów masowych/automatycznych (w kontekście klienta):
- Masowa generacja kluczy i wydanie certyfikatu na podstawie źródła danych w postaci pliku wsadu lub listy wsadu
- Masowa personalizacja tokenów na podstawie źródła danych w postaci „pliku wsadu” lub „listy wsadu”
- Masowa personalizacja tokenów na podstawie źródła danych w postaci „wniosków o ID”
- Obsługa procesów powydawniczych:
- Procedura uwierzytelniania klienta przez telefon
- Zarządzaniem statusem ważności certyfikatów
- Lokalne odblokowanie kodu PIN tokenu
- Zdalne udostępnienie kodów w celu odblokowania karty
- Wydruki duplikatów z kodami do karty
- Zarządzanie tokenami, CHIP i MIFARE oraz ich statusami
- Obsługa procesów ogólnych:
- Importowanie danych do magazynu kart i zarządzanie magazynem kart
- Generowanie listy CRL na żądanie operatora
- Akceptacja wniosku o certyfikat zarejestrowanego przez innego operatora
- Inicjowanie tokenu do ustawień fabrycznych
- Tworzenie listy wsadu
- Tworzenie raportów
Algorytmy wspierane przy wydawaniu certyfikatów
Certyfikaty X.509
- RSA
- padding: PKCS#1 1.5 i PSS
- length: 512, 1024, 2048, 4096, 8192
- digest: md5, sha1, sha224, sha256, sha384, sha512
- DSA:
- length: 512, 1024, 2048, 4096, 8192,
- digest: md5, sha1, sha224, sha256, sha384, sha512
- ECDSA
- curves: secp192r1, secp192r2, secp192r3, secp224r1, secp239r1, secp239r2, secp239r3, secp256r1, secp384r1, secp521r1, brainpoolP160r1, brainpoolP160t1, brainpoolP192r1, brainpoolP192t1, brainpoolP224r1, brainpoolP224t1, brainpoolP256r1, brainpoolP256t1, brainpoolP320r1, brainpoolP320t1, brainpoolP384r1, brainpoolP384t1, brainpoolP512r1, brainpoolP512t1,
- digest: md5, sha1, sha224, sha256, sha384, sha512.
Certyfikaty CVC
- RSA
- padding: PKCS#1 1.5,
- length: 1024, 1280, 1536, 2048, 3072
- digest: sha1, sha256, sha512
- ECDSA
- curves: secp192r1, secp192r2, secp192r3, secp224r1, secp239r1, secp239r2, secp239r3, secp256r1, secp384r1, secp521r1, brainpoolP160r1, brainpoolP160t1, brainpoolP192r1, brainpoolP192t1, brainpoolP224r1, brainpoolP224t1, brainpoolP256r1, brainpoolP256t1, brainpoolP320r1, brainpoolP320t1, brainpoolP384r1, brainpoolP384t1, brainpoolP512r1, brainpoolP512t1,
- digest: sha1, sha224, sha256, sha384, sha512