Обзор SafeTech CA 3.3, корпоративного центра сертификации

1. 1. Введение
2. 2. Функциональные возможности SafeTech CA
   1. 2.1. Основные функции
   2. 2.2. Ключевые преимущества продукта
   3. 2.3. Поддерживаемые SafeTech CA протоколы
   4. 2.4. Технологическая совместимость продукта
   5. 2.5. Новые возможности версии 3.3
3. 3. Архитектура SafeTech CA
4. 4. Лицензирование решения
5. 5. Системные требования SafeTech CA
6. 6. Работа с центром сертификации SafeTech CA
   1. 6.1. Интерфейс администратора
   2. 6.2. Настройка процесса сертификации
      1. 6.2.1. Управление сертификатами
      2. 6.2.2. Работа с запросами
      3. 6.2.3. Аудит событий в системе и выгрузка отчётности
      4. 6.2.4. Создание шаблона на выпуск сертификата
   3. 6.3. Пользовательский портал
   4. 6.4. Автовыпуск сертификатов
      1. 6.4.1. Autoenrollment в среде Windows
      2. 6.4.2. Autoenrollment в среде Linux
7. 7. Выводы

Введение

Цифровое доверие — фундамент современной корпоративной безопасности, а центр сертификации (Certificate Authority, CA) — база для его построения. Именно центр сертификации выполняет ключевую функцию — выпускает и управляет сертификатами инфраструктуры открытых ключей (Public Key Infrastructure, PKI), которые служат цифровыми удостоверениями для пользователей, систем, оборудования, сервисов и других компонентов сети. Это гарантирует их подлинность и защищённое взаимодействие.

Долгие годы стандартом де-факто для функционирования корпоративных центров сертификации оставался Microsoft CA. В современных реалиях такая жёсткая привязка к продукту корпорации Microsoft создаёт серьёзные риски не только для безопасности, но и для отказоустойчивости инфраструктуры: продление лицензий для российских пользователей стало проблематичным, поддержка решения — существенно ограничена.

Учитывая, что в Microsoft CA систематически обнаруживаются ранее неизвестные уязвимости, отсутствие обновлений создаёт реальную угрозу для корпоративных инфраструктур.

Использование зарубежного центра сертификации сегодня не только небезопасно, но и противоречит требованиям по импортозамещению. ИТ-инфраструктуры большинства компаний сегодня представляют собой сложный гибрид разнородных систем и устройств, а Microsoft CA не справляется со своими задачами в гетерогенных средах. При переходе на Linux или смешанную архитектуру для управления цифровыми сертификатами необходим универсальный кроссплатформенный сервис.

Осознавая эти вызовы, российская компания SafeTech Lab, входящая в состав SafeTech Group, разработала корпоративный центр сертификации SafeTech CA. Этот продукт является полнофункциональной заменой Microsoft CA для окружения Windows и удобным, надёжным решением для управления технологическими сертификатами в Linux-средах.

Также он подходит для управления жизненным циклом сертификатов в гетерогенных инфраструктурах для разнородных систем и устройств (от разных производителей и на различных платформах), что позволяет предприятиям любого масштаба снизить зависимость от западных решений, усилить контроль над инфраструктурой открытых ключей и автоматизировать все рутинные операции, существенно сократив затраты на обслуживание инфраструктуры.

Функциональные возможности SafeTech CA

Основное назначение центра сертификации SafeTech CA — замещение зарубежных решений, в первую очередь Microsoft CA в инфраструктурах на базе Windows, а также управление сертификатами для Linux-систем, мобильных устройств под управлением iOS и Android, сетевого оборудования стандарта IEEE 802.1X и других компонентов современного ИТ-ландшафта.

Основные функции

Основные функции SafeTech CA и решаемые им задачи:

1. Выпуск и управление жизненным циклом технологических сертификатов. Система позволяет выпускать, обновлять и отзывать сертификаты, а также контролировать их статус/срок действия на всех этапах жизненного цикла.
2. Построение иерархии PKI. Возможность добавлять корневые, промежуточные и выпускающие центры сертификации (CA) обеспечивает гибкость при создании инфраструктуры открытых ключей.
3. Администрирование через веб-интерфейс. Для настройки системы, управления пользователями и сертификатами администратору предоставляется удобный веб-интерфейс с наглядными дашбордами.
4. Самообслуживание пользователей через личный кабинет. Пользователи могут самостоятельно формировать запросы на выпуск сертификатов, отслеживать статус их согласования, выгружать выпущенные сертификаты и ключи и записывать их на токены.
5. Поддержка различных сценариев работы. В системе поддерживается выпуск сертификатов с согласованием или в автоматическом режиме, в т. ч. через интеграцию со службами каталогов в Linux-системах.
6. Мониторинг состояния системы и журналирование. Через веб-интерфейс можно отслеживать состояние инстанса системы и его компонентов в режиме реального времени. Система ведёт запись событий по безопасности и поддерживает трансляцию данных во внешние системы обеспечения ИБ (например, SIEM, IPS/IDS).
7. Формирование отчётности и настройка уведомлений. Система позволяет создавать настраиваемые отчёты о выпущенных сертификатах и других операциях, а также настроить рассылку уведомлений об изменении статуса сертификатов.

SafeTech CA может применяться для безопасной аутентификации устройств в доменной инфраструктуре, при удалённом подключении через VPN, для двухфакторной аутентификации пользователей в корпоративных системах, шифрования данных при передаче и хранении, защиты электронной почты (сертификаты S/MIME), установления доверенных соединений при обмене данными между устройствами (IoT, сетевым и промышленным оборудованием), двусторонней (mutual) аутентификации в процессе установки TLS-соединения.

Ключевые преимущества продукта

SafeTech CA внесён в реестр отечественного программного обеспечения (запись № 26307 от 12.02.2025) и сертифицирован ФСТЭК России по четвёртому уровню доверия (сертификат соответствия № 5032 от 28.01.2026).

Широкие возможности применения SafeTech CA реализуются за счёт заложенных в нём инструментов:

• Бесшовная миграция с Microsoft CA. Встроенные инструменты позволяют импортировать шаблоны и сертификаты из Microsoft CA и заменить зарубежный сервис без остановки бизнес-процессов.
• Полноценный Autoenrollment сертификатов в Linux. Полностью автоматизированы процессы выпуска, обновления и отслеживания статуса сертификатов пользователей и компонентов Linux-инфраструктуры.
• Поддержка различных криптоалгоритмов. В системе реализована работа с зарубежными алгоритмами (RSA, ECDSA, EdDSA) и отечественными ГОСТ-алгоритмами на базе «КриптоПро CSP». Это позволяет унифицировать управление сертификатами для разных процессов без использования нескольких центров сертификации.
• Поддержка ролевой модели доступа (RBAC). В системе предусмотрено разграничение доступа по ролям (например, «Администратор», «Оператор», «Аудитор», «Пользователь», «Внешний» — для внешних пользователей), что повышает безопасность управления.
• Наличие REST API. API можно использовать для автоматизации процессов управления сертификатами и интеграции с другими системами.
• Поддержка интеграции с AD/LDAP. Реализован выпуск сертификатов для доменных пользователей Microsoft Active Directory, ALD Pro, РЕД АДМ, Samba DC, FreeIPA и других LDAPv3-каталогов. Выпущенные сертификаты можно использовать при авторизации пользователя в любых сервисах, настроенных на доверие к этому CA.
• Хранение ключей CA в HSM. Для повышения уровня защиты поддерживается размещение ключей центра сертификации во внешних аппаратных модулях безопасности (HSM).
• Сеть точек публикации CRL/AIA и онлайн-OCSP. Система поддерживает публикацию списков отозванных сертификатов (CRL), авторитетных информационных точек (AIA) и онлайн-протокол проверки состояния сертификатов (OCSP).
• Поддержка современных фреймворков и технологий для интеграции с внешними системами. Продукт поддерживает протоколы OAuth 2.0 и OpenID Connect (OIDC) для организации технологии сквозного входа (SSO), фреймворк Spring Security для встраивания в корпоративные Java-приложения и микросервисы, стандарт WS-Trust (Web Services Trust Language) для управления доверием и выдачи токенов безопасности в SOA- и федеративных средах.

Микросервисная архитектура позволяет создавать отказоустойчивые конфигурации и решать задачи кластеризации в крупных территориально распределённых ИТ-инфраструктурах. Кроме того, такая архитектура позволяет легко расширять систему под растущие потребности организации: заказчикам доступны как горизонтальное масштабирование (добавление новых узлов), так и вертикальное (увеличение производительности системы за счёт добавления ресурсов существующему узлу).

Поддерживаемые SafeTech CA протоколы

Протоколы, по которым может работать центр сертификации SafeTech CA:

MS-WSTEP (Microsoft WS-Trust X.509v3 Token Enrollment Extensions). Протокол для безопасной выдачи и управления цифровыми сертификатами в среде Windows.

SCEP (Simple Certificate Enrollment Protocol, RFC 8894). Протокол, разработанный компанией Cisco для автоматической выдачи цифровых сертификатов X.509 устройствам и системам. Используется для работы с платформами macOS, iOS, Android, Linux и оборудованием Cisco.

SSH (Secure Shell, RFC 4251–4254). Протокол защищённого удалённого доступа, который позволяет использовать сертификаты вместо паролей или ключей для безопасного дистанционного подключения.

ACME (Automatic Certificate Management Environment, RFC 8555). Протокол автоматизации управления TLS-сертификатами для веб-порталов, Kubernetes (автоматизация сертификатов для Ingress) и OpenShift.

В ближайшем мажорном релизе продукта будет реализован модуль CDM (Certificate Delivery Manager) с агентской подсистемой, который полностью автоматизирует доставку, перевыпуск и установку сертификатов на конечных устройствах. Эта функциональность позволит решить одну из самых актуальных проблем в управлении сертификатами при переходе на Linux, связанную с отсутствием в LDAP-каталогах для Linux привычных встроенных механизмов распространения и доставки сертификатов на устройства, аналогичных сервисам Active Directory Certificate Services (AD CS) в Windows-среде.

Технологическая совместимость продукта

SafeTech CA совместим с операционными системами: Windows, Linux, macOS, Astra Linux, ALT Linux, РЕД ОС, ОСнова, РОСА и Platform V SberLinux OS Server. 

Решение совместимо с отечественными службами каталогов и продуктами для управления доменной инфраструктурой, включая РЕД АДМ, ALD Pro и «Альт Домен», MS AD (Microsoft Active Directory), Samba, FreeIPA и любые LDAPv3-каталоги.

Кроме того, продукт глубоко интегрирован с российскими решениями для обеспечения многофакторной аутентификации, управления доступом и контроля жизненного цикла сертификатов и ключевых носителей (Indeed AM, Indeed CM, «Рутокен Логон», «Рутокен KeyBox»). Это позволяет построить надёжную и безопасную инфраструктуру корпоративного доверия на полностью российском стеке технологий.

Новые возможности версии 3.3

В ноябре 2025 года компания SafeTech Lab выпустила масштабное обновление продукта. Одним из главных новшеств стала реализация Linux Autoenrollment. Теперь функциональность решения для Linux-сред полностью аналогична возможностям, которые ранее предоставлял только сервис Microsoft Active Directory Certificate Services (MS AD CS) для Windows-инфраструктуры. Это позволяет автоматизировать выпуск и продление сертификатов для устройств и сервисов под управлением Linux, снизить нагрузку на администраторов и минимизировать риски, связанные с ручным управлением сертификатами.

Ранее была реализована интеграция с программным продуктом «Рутокен Логон» для Linux: администраторы могут записывать сертификаты на токены напрямую из интерфейса SafeTech CA без использования дополнительных инструментов. Это упрощает развёртывание PKI-инфраструктуры, позволяет снизить риск ошибок и ускорить внедрение двухфакторной аутентификации в масштабах всей организации.

Вендор активно развивает и постоянно совершенствует своё флагманское решение, и уже в июне 2026 года вышел релиз SafeTech CA 3.3, в котором реализованы дополнительные возможности и улучшена функциональность. В новом релизе основной акцент сделан на повышении удобства работы администраторов: улучшены инструменты управления сертификатами, контроля и аудита, а также расширены механизмы защиты для обеспечения ИБ. Важные нововведения: для пользователей добавлена поддержка токенов JaCarta, появился механизм автоматического обновления сертификатов сервисов SafeTech CA, реализованы парольные политики для контейнеров сертификатов, а также усилен контроль жизненного цикла сертификатов. 

Архитектура SafeTech CA

SafeTech CA — программный продукт полностью отечественной разработки, в котором не используются какие-либо open source-решения, способные создавать потенциальные бреши в безопасности.

Рисунок 1. Архитектура системы SafeTech CA

Основные компоненты SafeTech CA:

• Интерфейс пользователя. Этот веб-интерфейс обеспечивает самообслуживание пользователей (формирование запросов на сертификаты, отслеживание статуса их согласования и т. д.).
• Интерфейс администратора УЦ / оператора УЦ. Данный веб-интерфейс обеспечивает настройку системы, управление жизненным циклом сертификатов, получение статистики центра сертификации и информации о текущем состоянии микросервисов.
• OCSP-сервис. Предоставляет возможность выполнить проверку статуса сертификата в онлайн-режиме.
• Сервис клиентского доступа. Отвечает за подключение всех типов клиентов, обеспечивает маршрутизацию запросов между сервисами системы.
• Сервис управления доступом. Выполняет аутентификацию и авторизацию пользователей, а также управление пользователями и их ролями.
• Сервис мониторинга. Агрегирует информацию о подключённых микросервисах, реализует механизмы балансировки нагрузки между несколькими экземплярами одного и того же сервиса.
• Enrollment-сервисы. Обеспечивают выпуск и автоматический перевыпуск сертификатов для пользователей MS Active Directory (Microsoft Active Directory) и других LDAPv3-каталогов, компьютеров Windows/Linux, сетевых устройств, macOS/iOS и прочих *nix-систем.
• Центр сертификации. Ядро системы, обеспечивающее выпуск сертификатов, работу с криптографией и взаимодействие с базой данных.
• Сервис уведомлений (Notification). Отвечает за генерацию и доставку уведомлений о происходящих в системе событиях.

Для работы SafeTech CA достаточно установить и настроить базовые компоненты: CA Core, CA Gateway, UI Gateway, Eureka и Keycloak.

Лицензирование решения

Лицензирование продукта основывается на количестве инстансов центра сертификации (корневых и подчинённых) и дополнительных модулей, которые приобретаются отдельно и расширяют возможности системы.

Инстанс SafeTech CA включает в себя основные сервисы (CA Core, Gateway, Discovery Service, CRL/AIA Services, OCSP, Notification Service) и стандартный интеграционный REST API.

Дополнительные модули SafeTech CA:

• Модуль MS-WSTEP. Обеспечивает управление сертификатами для пользователей Microsoft Active Directory и компьютеров Microsoft Windows.
• Модуль ГОСТ. Обеспечивает выпуск сертификатов с использованием криптографического ядра «КриптоПро» (ГОСТ, RSA, ECDSA).
• Модуль SSH. Позволяет выпускать SSH-ключи для безопасного удалённого доступа.
• Модуль SCEP. Предназначен для управления сертификатами сетевых устройств и программного обеспечения (Cisco, Microsoft Intune, Linux, macOS, Android, iOS и т. д.).
• Модуль ACME. Поддерживает открытый интернет-стандарт ACME (Kubernetes, OpenShift, Let’s Encrypt).
• Модуль CDM (ожидается). Обеспечивает доставку и управление технологическими сертификатами (агентская подсистема).

Конфигурация сервиса формируется исходя из бизнес-потребностей без переплаты за невостребованную функциональность. При этом количество пользователей и выпускаемых сертификатов внутри инстанса SafeTech CA не ограничивается, что позволяет существенно экономить на владении продуктом в средних и крупных инфраструктурах.

Рисунок 2. Пример построения иерархической структуры PKI на базе SafeTech CA

Системные требования SafeTech CA

Продукт поддерживает развёртывание на операционных системах семейств Windows и Linux, включая отечественные дистрибутивы Astra Linux, ALT Linux, РЕД ОС, ОСнова, РОСА и Platform V SberLinux OS Server.

Для установки необходимы СУБД PostgreSQL 14+ и программная платформа Java 21+ (например, OpenJDK, Oracle Java или Axiom JDK). В PostgreSQL необходимо создать базу данных для соответствующего компонента, при этом должно быть доступно подключение по TCP/IP через JDBC-драйвер.

Минимальные аппаратные и программные требования для развёртывания SafeTech CA на виртуальной машине приведены в таблице 2. При этом требования к мощности процессора и объёму оперативной памяти указаны без учёта наличия в операционной системе графической оболочки и других ресурсоёмких сервисов. Также следует учитывать, что все сервисы SafeTech CA занимают примерно 4 ГБ оперативной памяти.

Таблица 1. Минимальные аппаратные и программные требования для запуска всех компонентов на одной виртуальной машине

Ниже в таблице приведены результаты нагрузочного тестирования, позволяющие оценить производительность продукта.

Таблица 2. Результаты нагрузочного тестирования

К вариантам развёртывания относятся классическая виртуализация («РЕД Виртуализация», «Скала^р», VMware, KVM, Hyper-V и т. д.) и контейнеризация («Штурвал», Docker, OpenShift/Kubernetes и др.).

Работа с центром сертификации SafeTech CA

Основное назначение SafeTech CA — выпуск и управление технологическими сертификатами. Рассмотрим возможности продукта для администратора, а также со стороны пользователей.

Интерфейс администратора

После авторизации администратор получает доступ к веб-интерфейсу SafeTech CA. Интерактивная панель позволяет сразу получить общую информацию о текущем состоянии системы. На дашбордах представлены:

• Столбчатая диаграмма нагрузки на центр сертификации. Можно отсортировать истекающие сертификаты по дням, неделям, месяцам и кварталам.
• Круговая диаграмма отображает распределение сертификатов или запросов на выпуск сертификатов по группам (переключение между ними осуществляется через выбор соответствующего объекта). Можно посмотреть, какому количеству сертификатов присвоены статусы «Активные», «Приостановленные», «Отозванные» и «Истёкшие», или сколько запросов на выпуск сертификата находятся в статусах «В ожидании», «Подтверждённые», «Автовыпущенные» и «Отклонённые».
• Интерактивная микросервисная структура УЦ. На карте отображаются все подключённые модули центра сертификации, включая ещё не установленные, но предусмотренные лицензией.

В правой части экрана располагается информационная панель, содержащая сведения по УЦ, лицензии, список отозванных сертификатов (CRL, Certificate Revocation List) и дифференциальный список отозванных сертификатов, который содержит информацию только об изменениях в перечнях аннулированных сертификатов, произошедших с момента последней публикации базового CRL (Delta CRL). Для просмотра информации по интересующему разделу нужно выбрать соответствующую вкладку. Также администратору доступны следующие действия:

• скачать сертификат УЦ (корневого или промежуточного в зависимости от выбранного УЦ);
• опубликовать или скачать CRL либо Delta CRL;
• просматривать историю ранее выпущенных CRL.

В нижней части отображается информация по микросервисам (по умолчанию — основного сервиса CA Core). Для просмотра сведений по нужному модулю необходимо выбрать его на карте структуры УЦ.

Рисунок 3. Стартовая страница веб-интерфейса администратора

Администратор или пользователь может менять тему оформления веб-интерфейса (дневная/ночная): она настраивается в левом нижнем углу экрана. Также можно настроить автоматическую смену темы в зависимости от времени суток.

Рисунок 4. Настройки отображения панели администратора

Если в организации развёрнуто несколько удостоверяющих центров, переключаться между ними можно с помощью выпадающего меню в верхней части экрана, выбрав название нужного УЦ.

Настройка процесса сертификации

Переход между разделами меню веб-интерфейса администратора осуществляется с помощью боковой панели. В ней расположены разделы «Сертификаты», «Запросы», «Аудит» и «Настройки».

Рисунок 5. Выбор раздела «Сертификаты» в боковой панели интерфейса

Управление сертификатами

В SafeTech CA можно выпускать как обычные сертификаты (сертификаты CA), так и сертификаты для подключения к SSH-серверу (SSH-сертификаты).

Добавить сертификаты можно вручную с помощью запроса в формате PKCS #10 или загрузив файл (например, архив запросов).

Рисунок 6. Добавление сертификатов из файла

Также администратор может сформировать запрос для конкретного пользователя через кнопку «Создать». При выборе пользователя из списка его атрибуты Subject и SAN (Subject Alternative Name) заполняются автоматически, однако при необходимости их можно откорректировать или удалить.

Рисунок 7. Создание запроса по готовому шаблону

Одна из особенностей продукта — возможность загружать сертификаты из Microsoft CA. Данная опция доступна по кнопке «Импортировать».

Рисунок 8. Импорт сертификатов из Microsoft CA

Работа с запросами

В разделе «Запросы» отображаются все запросы от пользователей. У администратора есть возможность одобрить или отклонить запросы на выпуск сертификата, просмотреть информацию по каждому запросу или скачать его. Также можно добавить запрос вручную через кнопку «Создать запрос».

Рисунок 9. Одобрение запроса на выпуск сертификата

Аудит событий в системе и выгрузка отчётности

Раздел «Аудит» предназначен для мониторинга событий в системе. Здесь отображаются все действия, выполненные при обращении к центру сертификации. Для сертификатов CA и SSH журналы событий ведутся отдельно.

Рисунок 10. Аудит событий в SafeTech CA

События в системе можно отсортировать по типу, дате, пользователю и прочим критериям.

Создание шаблона на выпуск сертификата

Перейдя в раздел «Настройки», администратор получает доступ к вкладкам «Шаблоны», «Справочники» и «Email-рассылки» в выпадающем списке.

Рисунок 11. Выпадающий список в разделе «Настройки»

Во вкладке «Шаблоны» представлен список доступных в системе шаблонов (предустановленных). Чтобы исключить случайные действия, которые могут нарушить работу центра сертификации, в них можно изменять только роли пользователей.

Рисунок 12. Добавление шаблона из числа предустановленных в системе

Если требуется создать шаблон с параметрами, отличающимися от стандартных, для этого предусмотрена кнопка «Добавить шаблон».

Рисунок 13. Добавление нового шаблона

При добавлении нового шаблона администратор может задать нужный алгоритм шифрования, а при необходимости — выбрать дополнительные настройки. Например, ограничить доступные пользователю криптоалгоритмы и длину ключа для RSA, а также выбрать доступные эллиптические кривые для ECDSA.

Рисунок 14. Настройка криптографии в новом шаблоне

При формировании шаблона в подразделе «Использование ключа» (раздел Key Usage в сертификате) можно задать обязательные критерии для создания запроса пользователем.

При выпуске технических сертификатов можно установить флажок «Использовать значения из шаблона». В этом случае поля запроса будут заполнены фиксированными значениями из шаблона. Если в шаблоне определено меньше параметров, чем содержит запрос, перечень полей в запросе сократится до набора, заданного в шаблоне. Эта опция удобна для обработки запросов на сертификацию от сетевого оборудования.

Также администратор может импортировать шаблоны из Microsoft CA.

Рисунок 15. Импорт шаблонов из Microsoft CA

Для возможности добавлять готовые атрибуты (для автозаполнения полей запроса) предназначен раздел «Справочники».

Администратору доступны:

• Справочник атрибутов сертификата.
• Справочник расширений использования ключей (EKU, Extended Key Usage).
• Справочник имён субъекта.
• Справочник адресов электронной почты.
• Справочник подразделений (OU, Organizational Unit).

Информацию в каждом справочнике можно добавлять и корректировать.

Рисунок 16. Справочник атрибутов сертификата

Вкладка «Email-рассылки» используется для создания рассылок, инициированных определённым событием. Например, можно создать рассылку для контроля истекающих сертификатов, задав количество дней до события, за которое будет отправлено письмо.

Рисунок 17. Создание новой Email-рассылки

Пользовательский портал

Сервис самообслуживания делает выпуск сертификатов более гибким процессом, предоставляя конечным пользователям возможность самостоятельно формировать запросы на сертификаты, отслеживать статус их согласования, выгружать выпущенные сертификаты и записывать их на токены непосредственно из интерфейса SafeTech CA.

Рисунок 18. Раздел «Сертификаты» пользовательского интерфейса

В личном кабинете пользователя отображается список ранее выпущенных сертификатов, принадлежащих пользователю (при наличии). Здесь же доступны кнопка «Добавить» для импорта сертификатов из внешних источников и кнопка «Создать» для формирования нового запроса в центр сертификации.

Рисунок 19. Создание запроса на выпуск сертификата (выбор шаблона)

Если для выпуска сертификата по выбранному шаблону требуется подтверждение администратора или оператора, пользователь увидит соответствующее уведомление.

Рисунок 20. Информационное сообщение по итогам запроса на выпуск сертификата

После выпуска сертификата у пользователя появляется возможность скачать его на свой компьютер, включая закрытый ключ. Такая возможность предоставляется только один раз, поскольку закрытый ключ не хранится на сервере SafeTech CA.

Рисунок 21. Скачивание сертификата из раздела «Сертификаты»

Рисунок 22. Скачивание закрытой части сертификата из раздела «Запросы»

Рисунок 23. Скачанный сертификат в файловой системе пользователя

Автовыпуск сертификатов

В SafeTech CA реализован Autoenrollment — процесс автоматического запроса, получения и обновления цифровых сертификатов без ручного вмешательства пользователя или администратора. Эта функция упрощает управление сертификатами, снижает влияние человеческого фактора и сокращает временные затраты на рутинные операции.

Autoenrollment в среде Windows

Функция Autoenrollment в SafeTech CA организована для участников домена Microsoft Active Directory (AD) с помощью групповых политик. Один из примеров: как только новый компьютер подключается к домену, для него автоматически выпускаются сертификаты согласно заданному сценарию.

При этом для пользователей ОС Windows сохранена возможность вручную запрашивать выпуск сертификата, что позволяет использовать решение для различных сценариев работы. Сделать это в оснастке Windows можно, выбрав центр сертификации SafeTech CA и один из настроенных на нём шаблонов.

Рисунок 24. Стандартный запрос на выпуск нового сертификата в Microsoft AD

Рисунок 25. Запрос на выпуск сертификата (выбор центра сертификации)

Рисунок 26. Запрос на выпуск сертификата (выбор шаблона, доступного на CA)

Рисунок 27. Запрос на выпуск сертификата (автозаполнение)

Рисунок 28. Результаты успешного применения сценария

Рисунок 29. Сведения по выпущенному сертификату

Возможности автоматизации могут быть реализованы разными способами — например, с помощью протоколов SCEP или ACME либо с использованием Certmonger — службы для Linux, которая автоматизирует получение и обновление сертификатов через центры сертификации (этот способ описан ниже).

Autoenrollment в среде Linux

Автоматический выпуск сертификатов в среде Linux можно продемонстрировать на примере интеграции с РЕД АДМ при развёртывании центра сертификации на РЕД ОС 8. Выпуск сертификатов для доменных пользователей можно организовать, настроив соответствующий сценарий (плейбук) с использованием Certmonger.

Рисунок 30. Пример домена РЕД АДМ

На контроллере домена создаётся плейбук, в соответствии с которым запрашивается сертификат для клиентской машины.

Рисунок 31. Запуск плейбука на контроллере домена

После того как плейбук отработал, выпущенный сертификат отобразится в интерфейсе администратора. Кликнув по нужной строке, можно увидеть свойства сертификата, в частности DNS-имя, указанное в поле «Дополнительное имя субъекта».

Рисунок 32. Сведения о выпущенном сертификате

Сам сертификат при этом находится в файловой системе компьютера. Далее Certmonger будет отслеживать статус сертификата и при необходимости выполнять его перевыпуск.

Рисунок 33. Сведения о сертификате в файловой системе

Более подробные сведения о настройке взаимодействия с контроллером домена РЕД АДМ, а также о других интеграциях приводятся в справочной документации вендора (раздел «Интеграции»).

Выводы

SafeTech CA представляет собой полноценную отечественную альтернативу импортным решениям и универсальный сервис для управления технологическими сертификатами в любых средах. Продукт обеспечивает выполнение требований российских регуляторов в области информационной безопасности и импортозамещения, а также предоставляет удобные инструменты для контроля жизненного цикла сертификатов — как для пользователей, так и для объектов корпоративной инфраструктуры.

SafeTech CA полностью автоматизирует рутинные процессы на протяжении жизненного цикла технологических сертификатов, тем самым сокращая операционные издержки и снижая риски безопасности, связанные с человеческим фактором.

В дорожной карте продукта обозначен новый компонент — CDM (Certificate Delivery Manager), модуль центра сертификации SafeTech CA, предназначенный для доставки, перевыпуска и установки сертификатов на конечных устройствах. Такой функциональности в аналогичных решениях пока нет. Функции CDM будут доступны в релизе 4.0 к концу 2026 года.

Для более детального знакомства с продуктом можно ознакомиться с демо продукта и его распаковкой.

Достоинства:

• Продукт включён в реестр российского ПО (реестровая запись № 26307 от 12.02.2025) и сертифицирован ФСТЭК России по 4-му уровню доверия (сертификат соответствия ФСТЭК № 5032 выдан 28.01.2026 года).
• Возможность бесшовной миграции с Microsoft CA с интеграцией в существующую инфраструктуру без простоев.
• Построение полной иерархии PKI с корневыми, промежуточными и выпускающими центрами сертификации.
• Совместимость с российскими ОС (Astra Linux, ALT Linux, РЕД ОС, ОСнова, РОСА, Platform V SberLinux OS Server) и службами каталогов (ALD Pro, РЕД АДМ, «Альт Домен»).
• Поддержка стандартных enrollment-протоколов: MS-WSTEP (Active Directory), SCEP (Linux, macOS, iOS, Android, Cisco), ACME (TLS для веб-порталов, Kubernetes, OpenShift), SSH (сертификаты для безопасного удалённого доступа).
• Полноценный Autoenrollment технологических сертификатов для Linux-систем.
• Возможность работы в виртуальных (VMware, KVM, Hyper-V и др.) и контейнерных средах (Docker, OpenShift/Kubernetes и др.).
• Совмещение зарубежных алгоритмов (RSA, ECDSA, EdDSA) с поддержкой ГОСТ-криптографии, протоколов SCEP и OCSP.
• Хранение ключей удостоверяющего центра во внешних аппаратных модулях безопасности (HSM).
• Высокий уровень безопасности за счёт использования ролевой модели доступа, аудита, журналирования событий и интеграции с внешними ИБ-системами (SIEM, IPS/IDS).
• Прозрачная и гибкая лицензионная политика, позволяющая не переплачивать за ненужную функциональность и существенно экономить в средних и крупных инфраструктурах без ограничений по количеству пользователей и выпускаемых сертификатов.
• Надёжность и функциональные возможности решения подтверждены публичными референсами крупнейших российских компаний.

Недостатки:

• Отсутствие собственного криптопровайдера для выпуска сертификатов по ГОСТ. С этой целью используется «КриптоПро CSP».
• Корректность встраивания криптопровайдера «КриптоПро CSP» не подтверждена. Процедура в процессе прохождения.
• Сертификат ФСТЭК не распространяется на компоненты, которые находятся за рамками системы SafeTech CA, но необходимы для её работы: ОС, базу данных и сервис управления доступом.