Чем заменить Microsoft CA: российские удостоверяющие центры

Российский ИТ-рынок предлагает зрелые альтернативы Microsoft Certificate Services, которые не просто заменяют, а превосходят функциональность зарубежного аналога. Отечественные УЦ интегрируются с госсистемами и криптоалгоритмами, обеспечивая юридическую силу электронной подписи.

 

 

 

 

 

 

1. 1. Введение
2. 2. Для чего нужен Microsoft Certificate Authority?
3. 3. Чем отечественные продукты лучше, чем Microsoft CA?
4. 4. Блиц: на что обращать внимание при выборе альтернативы Microsoft CA?
5. 5. Реализация проектов импортозамещения Microsoft CA
   
   1. 5.1. Безопасность сервиса Certificate Authority
6. 6. Рекомендации заказчикам по замене Microsoft CA в 2026 году
7. 7. Выводы

Введение

В условиях масштабной трансформации ИТ-ландшафта и курса на технологический суверенитет перед российскими компаниями и государственными структурами остро встал вопрос замены критически важной инфраструктуры. Одним из самых сложных для импортозамещения компонентов всегда оставались удостоверяющие центры (УЦ) на базе Microsoft Certificate Services (Active Directory Certificate Services, AD CS).

Решение задач по управлению цифровыми сертификатами, безопасной аутентификацией в корпоративных сетях и шифрованием данных требует не просто аналогичного программного обеспечения, а полноценной замены, интегрируемой с российскими криптопровайдерами.

Эксперты отрасли обсудили, какие отечественные решения способны заменить классический Microsoft CA, оценили их функциональность для защищённой электронной почты, безопасных веб-соединений и беспроводного доступа по стандарту 802.1X, а также выделили основные подводные камни при миграции.

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Леонид Шапиро, руководитель центра компетенций, «Аладдин».
• Павел Мельниченко, технический директор, SafeTech Lab.
• Денис Солоничкин, директор центра компетенций, РЕД СОФТ.
• Анатолий Лысов, менеджер продукта ALD Pro, «Группа Астра».
• Алексей Глабец, владелец продукта Clearway CA, «Клируэй Текнолоджис».
• Евгений Галкин, директор по кибербезопасности, Avanpost.

Ведущий и модератор эфира — Андрей Арефьев, директор по инновациям и продуктовому развитию InfoWatch.

 

 

Для чего нужен Microsoft Certificate Authority?

Леонид Шапиро объяснил, что центр сертификации — это доверенная третья сторона. Чтобы пользователь мог доверять веб-серверу, например банка, последний должен получить цифровой сертификат, который выдаётся центром сертификации и подписывается им. Такой сертификат гарантирует, что веб-сервер безопасен и с ним можно взаимодействовать.

Технологии асимметричной криптографии используются для разных целей: двухфакторной аутентификации, выпуска сертификатов для компьютеров, пользователей и сервисов. Все субъекты безопасности, которые могут и должны применять методы асимметричной криптографии, так или иначе работают с цифровыми сертификатами.

 

Леонид Шапиро, руководитель центра компетенций, «Аладдин»

 

Анатолий Лысов делает акцент на том, что в контексте импортозамещения речь идёт именно о Microsoft Active Directory Certificate Services (AD CS). Он напоминает ключевые функции, которые решал этот компонент: сертификаты для шифрования защищённых протоколов, цифровые подписи и безопасная аутентификация. Именно эти функции Microsoft CA обеспечивал в инфраструктуре компаний, и именно их сегодня предстоит заменить.

Павел Мельниченко выделяет два основных сценария использования сертификатов. Первый, самый распространённый публичный пример — веб-сайты. Второй — электронная подпись по Федеральному закону №63. В обоих случаях взаимодействуют два субъекта, которые ничего не знают друг о друге, поэтому необходима третья доверенная сторона.

Внутренняя инфраструктура компании — это совсем другая история. Когда организация защищает свою зону ответственности, не выставляя сервисы наружу, процедуры проверки подлинности, устройства и требования становятся иными. Вопросы автоматизации, доступности и резервирования здесь также решаются по-своему. Поэтому принципы работы удостоверяющего центра (УЦ) внутри инфраструктуры должны быть другими и требуют специализированных решений.

Павел уверен, что УЦ — это важнейший аспект информационной безопасности ИТ-инфраструктуры, поскольку он отвечает за всё безопасное взаимодействие — как сетевое, так и на уровне субъектов.

 

Павел Мельниченко, технический директор, SafeTech Lab

 

Евгений Галкин лаконично резюмирует: сертификат — это цифровой паспорт субъекта в инфраструктуре. По его словам, удостоверение сервиса, компьютера или телефона и есть цифровой сертификат.

В первом опросе выяснилось, используют ли зрители Microsoft CA в своей инфраструктуре:

• Активно используют и многое на него завязано — 53 %.
• Используют, но частично — 23 %.
• Не используют / не уверены — 9 %.
• Планируют переход в ближайшее время — 8 %.
• Уже перешли или находятся в процессе миграции — 7 %.

 

Рисунок 2. Используете ли вы Microsoft CA в своей инфраструктуре?

 

Чем отечественные продукты лучше, чем Microsoft CA?

Леонид Шапиро подчёркивает, что его компания внедряет центры сертификации не ради самих центров, а для того, чтобы сервисы клиентов работали корректно. Он объясняет, что отечественное решение тесно интегрируется с операционными системами (ОС), которые используются сегодня.

Есть система управления жизненным циклом ключевых носителей, и она интегрирована как с этими ОС, так и с собственным центром сертификации. Кроме того, продукт обладает всей необходимой сертификацией, чтобы клиент мог успешно пройти аттестацию со стороны регулятора.

Павел Мельниченко называет два ключевых преимущества. Во-первых, с отечественным решением закрываются вопросы регуляторики. Во-вторых — и это самое сложное — возможность работать в гетерогенной среде. Такую среду нужно не просто поддерживать, а полноценно автоматизировать.

Евгений Галкин делает ставку на комплексность подхода, использование современных технологий при разработке и полноценное владение всем исходным кодом. Он поясняет, что его компания поставляет 3 ключевых компонента: службу каталогов, центр сертификации и систему управления инфраструктурой открытых ключей. Евгений уверен, что эта триада позволяет закрыть любые вопросы управления сертификатами в любой среде — будь то гетерогенная или однородная.

 

Евгений Галкин, директор по кибербезопасности, Avanpost

 

Алексей Глабец считает, что его центр сертификации более функционален, современен, быстр и удобен по сравнению с Microsoft CA. Он отмечает наличие глубокой экспертизы и поддержки на всех этапах, а также возможность дорабатывать элементы интерфейса под конкретные нужды клиента. Отдельным преимуществом Алексей называет экосистемность: кроме центра сертификации компания выпускает продукты для всех случаев жизни.

Блиц: на что обращать внимание при выборе альтернативы Microsoft CA?

Леонид Шапиро: «В первую очередь оцените интеграцию с теми операционными системами (ОС), на которые вы планируете переходить. Чётко понимайте, ради какой цели вы внедряете решение и какие сервисы вам могут понадобиться в будущем. И, конечно, учитывайте требования регулятора и необходимость прохождения аттестации».

Павел Мельниченко: «Смотрите на удобство, безопасность и эксплуатационную пригодность решения — насколько оно реально решает ваши конкретные задачи. Замена ради замены, только потому что этого требует регулятор, малоэффективна. Выбирайте то, что сделает вашу инфраструктуру проще, дешевле, удобнее и безопаснее».

Денис Солоничкин: «Подходите к замене комплексно. Не ограничивайтесь операционными системами или почтовыми клиентами — вместе с ними требуют замены Microsoft CA, Microsoft AD и другие сервисы. Обязательно проверяйте, как продукты интегрируются друг с другом».

 

Денис Солоничкин, директор центра компетенций, РЕД СОФТ

 

Анатолий Лысов: «Главное — это автоматизация и надёжность её работы. Пользовательские и машинные сертификаты должны выпускаться без сбоев и гарантированно доставляться до места использования. Не менее важна интеграция с различными приложениями».

Алексей Глабец: «Выбирайте не просто центр сертификации, а целую экосистему. Помимо выпуска и проверки сертификатов, вам потребуется инвентаризация: вы должны знать, где какие сертификаты установлены — не только свои, но и самоподписанные, чужие — любые. Управлять сертификатами в большом зоопарке из Windows, Linux, контейнеров и мобильных систем лучше всего из одного окна. Если производитель CA даёт вам ещё и все инструменты для работы с сертификатами — это лучший выбор».

Евгений Галкин: «Обращайте внимание на внедряемость, масштабируемость, поддерживаемость, безопасность и возможность интеграции в существующую инфраструктуру».

Во втором опросе зрители ответили, с чем связаны основные риски использования Microsoft CA в инфраструктуре (мультивыбор):

• Ограничения по импортозамещению и требованиям регуляторов — 62 %.
• Сильная зависимость от Windows и AD — 57 %.
• Сложно оценить последствия отказа — 27 %.
• Нет рисков, всё устраивает — 18 %.
• Непонятно, какие сервисы на него завязаны — 12 %.
• Другое — 7 %.

 

Рисунок 3. С чем связаны основные риски использования Microsoft CA в инфраструктуре?

 

Реализация проектов импортозамещения Microsoft CA

Леонид Шапиро уверен, что главный признак успеха — отсутствие перерыва в работе сервисов. Пользователи не должны замечать, что начали работать с другими сертификатами: никаких нюансов, никаких сбоев. Замена должна происходить бесшовно.

Анатолий Лысов обращает внимание: на практике инфраструктуру и Microsoft CA заменяют одновременно, а не поэтапно. Критерий успеха — количество сервисов, которые компания начинает предоставлять пользователям с использованием сертификатов. Это может выражаться и в количестве самих сертификатов, ведь под каждую задачу нужны разные. Главное — сколько сервисов удалось сделать безопасными.

 

Анатолий Лысов, менеджер продукта ALD Pro, «Группа Астра»

 

Павел Мельниченко добавил ещё один важный критерий — повышение уровня автоматизации. Он уверен, что мало сделать, как было, — нужно сделать лучше. Успешная замена — это не просто копирование старой функциональности на новом продукте, а шаг вперёд в удобстве и эффективности управления инфраструктурой.

Безопасность сервиса Certificate Authority

Леонид Шапиро подчёркивает, что центр сертификации — это серьёзный сервис. Компрометация ключа центра сертификации приведёт к компрометации всех сертификатов, которые были им выданы. Именно поэтому возникла практика хранения приватных ключей центров сертификации в HSM (Hardware Security Module) и построения иерархических моделей. Он уверен, что это крайне критично с точки зрения кибербезопасности.

Алексей Глабец считает, что защита — это всегда комплекс организационно-технических мероприятий. Ни один технический способ сам по себе не даёт гарантий. HSM может выйти из строя вместе с ключами, бэкапы на флешках теряются, а после обновления гипервизора могут не загрузиться виртуальные машины корневых центров сертификации.

Только регламенты, чётко прописанные обязанности и периодические учения дают реальную защиту. Всё это вместе с продуктом может дать только российский производитель CA, который делится экспертизой, пишет документацию и регламенты.

 

Алексей Глабец, владелец продукта Clearway CA, «Клируэй Текнолоджис»

 

Павел Мельниченко называет первый базовый принцип — закрытый ключ. Есть много способов его защитить, но важно защищать не только сам ключ, но и все механизмы доступа к выпуску сертификатов — ролевую модель, регламенты, средства файрвола, контроля доступа и так далее. Необходимо защитить закрытый ключ, все механизмы автоматизации и резервные копии. Если в этом что-то упустить, обязательно будут последствия.

Анатолий Лысов дополняет коллег и добавляет ещё одно важное измерение безопасности. Он считает, что, кроме всего перечисленного, необходима работа с сотрудниками, которые соприкасаются с этими ключами. Люди — такая же критическая часть системы защиты, как и технические средства.

В третьем опросе зрители поделились, что чаще ломается первым при неудачной миграции с Microsoft CA:

• Аутентификация пользователей и устройств (VPN, Wi-Fi, 802.1X) — 32 %.
• Цепочка доверия и проверка сертификатов — 23 %.
• Выпуск и продление сертификатов — 18 %.
• Не было опыта / не сталкивались — 12 %.
• Интеграции с AD, каталогами и инфраструктурой — 8 %.
• Доступ к сервисам и приложениям (RDP, веб-сервисы, API) — 7 %.

 

Рисунок 4. Что чаще ломается первым при неудачной миграции с Microsoft CA?

 

Рекомендации заказчикам по замене Microsoft CA в 2026 году

Евгений Галкин: «Начните с себя: чётко сформулируйте потребность в замене, рассчитайте совокупную стоимость владения и реально оцените риски, которые несёт с собой сохранение Microsoft CA в инфраструктуре».

Алексей Глабец: «Менять необходимо. Приходите к вендору, запускайте пилотный проект. Даже если регулятор вас пока не трогает, не забывайте про здравый смысл — Microsoft в любой день может просто перестать работать».

Анатолий Лысов: «Отечественные удостоверяющие центры уже сегодня полностью готовы замещать корпоративные Microsoft CA. Наша задача — сделать эти технологии по-настоящему доступными, перейти к массовому, тотальному использованию сертификатов на предприятиях. Мы будем продвигать внедрение инфраструктуры открытых ключей (Public Key Infrastructure, PKI) на базе российских операционных систем (ОС) — это наш главный приоритет на ближайший год».

Денис Солоничкин: «Ключевое условие — искреннее желание самого заказчика переходить на российские решения. Как только вы сами детально проработаете план и поймёте свои задачи, разбить инфраструктуру на этапы и провести миграцию станет гораздо проще. Обязательно тестируйте все продукты в комплексе, в связке друг с другом».

Павел Мельниченко: «Поверьте, это не больно и не сложно. Опыта уже накоплено много, и мы готовы делиться им безвозмездно. Советую сначала найти самую болезненную точку, затем провести комплексное обследование, сформулировать задачи, сделать пилот — и вы увидите, как это эффективно. А дальше останется только тиражировать решение на всю организацию».

Леонид Шапиро: «Не бойтесь перехода, смело используйте российские продукты. Помните, что они уже интегрированы с отечественными серверами, клиентскими устройствами и службами каталогов. Но перед стартом стоит подготовиться: изучите обучающие материалы вендоров».

Андрей Арефьев: «Для меня импортозамещение — это в первую очередь вопрос безопасности, а не политической независимости. Очень часто взломы происходят из-за того, что обновления вовремя не установили. Вы должны быть абсолютно уверены, что обновления гарантированно к вам приходят — а обеспечить это могут только российские вендоры».

 

Андрей Арефьев, директор по инновациям и продуктовому развитию, InfoWatch

 

Финальный опрос показал, планируют ли зрители замену Microsoft CA после эфира:

• Уже понимают, что нужно делать — 37 %.
• Возможно, но это не приоритет — 26 %.
• Текущая схема устраивает — 18 %.
• Пока не до конца понимают, с чего начать — 13 %.
• Ничего не поняли, о чём говорили эксперты — 6 %.

 

Рисунок 5. Планируете ли вы замену Microsoft CA после эфира?

 

Выводы

Замена Microsoft Certificate Authority в российских компаниях и государственных структурах сегодня — это не просто требование регуляторов, а объективная реальность, к которой рынок оказался готов. Отечественные решения не просто копируют функциональность AD CS, но во многих аспектах превосходят её: они работают в гетерогенных средах, интегрируются с российскими криптопровайдерами и HSM, а главное — позволяют выстраивать полностью контролируемую инфраструктуру открытых ключей.

Миграция не должна быть самоцелью. Успешная замена измеряется не фактом отказа от Microsoft CA, а бесшовностью перехода для конечных пользователей, ростом уровня автоматизации и количеством сервисов, которые начинают безопасно работать на новых сертификатах.

Российский рынок сегодня предлагает зрелые, сертифицированные и готовые к внедрению продукты, а вендоры обладают накопленной экспертизой и готовы делиться ею с заказчиками. Главные риски откладывания перехода связаны даже не с санкционными ограничениями, а с тем, что Microsoft в любой момент может изменить условия работы или прекратить поддержку.

Комплексный подход, пилотные проекты и чёткое понимание собственной инфраструктуры позволяют пройти миграцию безболезненно, а в итоге — получить более безопасную, современную и независимую систему управления цифровыми удостоверениями.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка информационной безопасности (ИБ) и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!