Контакты
Подписка 2025

Aladdin eCA – доверенная альтернатива Microsoft CA

Денис Полушин, 02/04/25

Многие годы корпоративные сети при построении полноценной инфраструктуры открытых ключей (PKI), полагались на Microsoft CA или вовсе обходились без нее. Однако изменения технологического ландшафта и усиливающиеся требования регуляторов заставляют компании искать отечественные альтернативы. Компания Аладдин готова предложить не только надежное средство защиты – Aladdin Enterprise CA, но и собственную экспертизу в реализации проектов по импортозамещению корпоративной PKI-инфраструктуры.

Авторы:
Денис Полушин, руководитель направления PKI компании Аладдин
Павел Данилов, ведущий аналитик компании Аладдин

Строгая аутентификация

Современные технологии аутентификации можно условно разделить на три уровня. Первый, самый простой и распространенный, – классическая пара "логин-пароль". Этот метод давно признан ненадежным и уязвимым для атак. Второй уровень – усиленная аутентификация. Данный способ предполагает использование одноразовых паролей (OTP) и подтверждение входа через дополнительные устройства, что значительно снижает риски несанкционированного доступа. И, наконец, наивысший уровень – строгая аутентификация, основанная на криптографических механизмах и взаимном подтверждении подлинности. Единственным надежным способом ее реализации является инфраструктура открытых ключей (PKI), обеспечивающая максимальную защиту информации и исключающая возможность компрометации данных.

Аутентификация в современной информационной системе охватывает не только проверку личности пользователя, но и подтверждение подлинности устройств, с которыми он взаимодействует: аутентификацию рабочих станций, серверов и других элементов инфраструктуры. Это позволяет формировать единую доверенную среду, где каждый компонент проходит строгую проверку перед получением доступа.

До недавнего времени в нормативной базе не существовало четкого деления методов аутентификации, однако вектор развития информационной безопасности очевиден: для систем с повышенными требованиями к защите строгая аутентификация становится не просто рекомендацией, а необходимостью. Термин "строгая аутентификация" давно закреплен в российских ГОСТ и теперь нашел отражение в проекте приказа ФСТЭК России, опубликованном для общественного обсуждения и ожидающем вступления в силу в 2025 г.

Microsoft CA – де-факто стандарт для корпоративной PKI

Несмотря на то, что обязательность использования Центра сертификации закрепляется в нормативных актах только сейчас, многие компании осознают преимущества сертификатной аутентификации – как для пользователей, так и для технических устройств. Это серьезно повышает систему безопасности предприятия и уровень доверия между элементами информационной системы.

В основе построения такой системы долгие годы лежала корпоративная инфраструктура открытых ключей, где основную роль играл Microsoft Certificate Services (он же Microsoft CA). За более чем два десятилетия этот встроенный в Windows Server сервис фактически стал отраслевым стандартом, не имея достойных альтернатив. Глубокая интеграция с Active Directory и широкие возможности автоматизации сделали Microsoft CA удобным, а в некоторых случаях и незаменимым инструментом в корпоративной сети. Настолько, что умение работы с Microsoft CA давно стало базовым требованием для системных администраторов.

Однако после приостановки деятельности Microsoft в России использование ее сервисов оказалось под вопросом. К тому же регуляторы все активнее ориентируют рынок на отказ от зарубежных решений, особенно в таких критически важных аспектах, как строгая аутентификация.

Бесценный опыт и экспертиза команды Aladdin eCA

Разработка Aladdin eCA началась с масштабного проекта по импортозамещению системы аутентификации в одной из крупнейших госкорпораций. Успешная реализация этого проекта не только укрепила доверие заказчика, но и стала отправной точкой для разработки нашего собственного продукта.

ris1_w-Apr-02-2025-11-18-11-0650-AM
Рис. 1. Архитектура Aladdin Enterprise CA

В 2022 г. мы запустили два параллельных процесса.

Первый процесс – это активное пилотирование и тесное взаимодействие с заказчиками. На тот момент еще немногие осознавали острую необходимость в миграции PKI-инфраструктуры на отечественные решения, да и в целом компании, не понимали значимость построения системы строгой аутентификации. Приходилось вести диалог как со скептиками, так и с первыми энтузиастами – теми, кто способен предъявлять вполне конкретные и масштабные требования к Центру сертификации и PKI-инфраструтуре. Именно эти запросы и легли в основу дорожной карты Aladdin eCA. Пилотные внедрения в средах заказчиков позволили вскрыть большой объем нюансов при интеграции и совместной работе с решениями других вендоров. Хочется отметить, что даже сейчас, когда параллельно реализуются десятки пилотов и уже завершено немало внедрений, интеграция в конкретной инфраструктуре может преподнести сюрпризы. Мы оперативно реагируем на возникающие задачи и, что особенно важно, обеспечиваем технологическую совместимость с каждым смежным решением.

Параллельно был запущен второй процесс – адаптация продукта под требования ФСТЭК России для сертификации по УД4, а затем и сам процесс сертификации. Этот опыт вскрыл ряд противоречий. Одним из них стало понимание, что Центр сертификации – это не Средство УЦ (термин использующийся в No 63ФЗ). К последнему предъявляются достаточно строгие требования по изоляции и эксплуатации, осложняющие возможности интеграции средства во всю инфраструктуру. Центр сертификации же не должен выпускать сертификаты, обеспечивающие юридическую значимость. Его задача – выпуск сертификатов исключительно для целей аутентификации. Теперь, благодаря этим процессам, понятие "Центр сертификации" внесено в проект приказа ФСТЭК России, превратившись из разговорного обозначения в нормативно закрепленный термин. Кроме того, на текущий момент мы находимся на финальной стадии получения заключения ФСБ России на корректность встраивания СКЗИ КриптоПро.

Запрос на экспертизу

Сегодня существует острая потребность делиться накопленной экспертизой.

Число одновременно реализуемых проектов постоянно растет, увеличивается и количество партнеров, получивших практический опыт внедрения продукта у заказчиков. В этой связи один из наших партнеров ведет разработку обучающего курса, который будет доступен в ближайшее время.

Курс охватит как базовые принципы работы PKI, так и практические навыки использования решения Aladdin Enterprise CA.

Непрерывное качество и безопасность как основа для долговременного сотрудничества

С самого начала разработки продукта во главу угла была поставлена задача обеспечения качества с каждой ежемесячно передаваемой разным заказчикам сборкой. Таким образом, это позволяет максимально быстро обеспечивать необходимый и запрошенный функционал в варианте максимально приближенном к ожидаемому. Кроме того, это позволяет всегда быть в высокой степени готовности к поставке и внедрению релизной версии.

Отдельно стоит отметить, что выстроенный процесс безопасной разработки, включая регулярные проверки на наличие уязвимостей и недекларированных возможностей (НДВ), позволяет выявлять проблемы безопасности на ранних этапах.

В целом механизм взаимодействия с заказчиком выстроен следующим образом: сначала проводится быстрый пилот по базовым функциям, по итогам которого выявляются возможные интеграционные сложности в конкретной инфраструктуре и на стыке с другими решениями. По его итогам заказчик может сформулировать запрос на доработки, которые мы совместно фиксируем в план-график, сопряженный с планами внедрения заказчика.

С начала 2025 г. в Aladdin eCA доступны новые возможности:

  • Автоматическое распространение сертификатов в доменной инфраструктуре
  • Возможность получения сертификата через штатные компоненты ОС Windows
  • Протокол SCEP для автоматического распространения сертификатов на устройства
  • Портал самообслуживания пользователей, работа с ключевыми носителями
  • Механизм подтверждения заявок уполномоченными операторами
  • Возможность импорта ключа с Microsoft CA в Aladdin eCA
  • Возможность развертывания на одном инстансе несколько центров сертификации
  • Обеспечение корректности встраивания КриптоПро CSP

Заключение

Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.

Одним из ключевых преимуществ Aladdin eCA является его глубокая интеграция в доменную инфраструктуру, что делает переход с Microsoft CA максимально бесшовным. Решение включает поддержку набора протоколов, отечественных устройств класса HSM и полный набор PKI-функций, таких как автоматизированный выпуск сертификатов, гибкое управление жизненным циклом ключей и возможность распределения полномочий на определенные задачи.

Миграция на Aladdin eCA проходит безболезненно за счет возможности параллельной работы с существующим Microsoft CA. Организации могут использовать уже имеющиеся шаблоны сертификатов и могут сохранить поддержку Microsoft Active Directory, минимизируя операционные риски при переходе. Также возможен переход за счет полного переноса данных из Microsoft CA.

Соответствие требованиям регулятора подтверждает надежность и перспективность решения. Aladdin eCA включен в реестр отечественного ПО и сертифицирован ФСТЭК России по УД4.


  1. https://www.aladdin-rd.ru/catalog/aladdin-eca/ 

АО «Аладдин Р.Д.». ИНН 7719165935. Erid: 2SDnjdvWJKv

Темы:PKIВебмониторэксЖурнал "Информационная безопасность" №1, 2025Certificate Authority

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Импортоулучшение корпоративного центра сертификации Microsoft CA в Т-Банке
    Артем Мульдияров, архитектор отдела криптографической защиты информации Т-Банка
    Сертификаты – это далеко не только КЭП и НЭП, они являются основой для более широкого спектра инфраструктур на базе открытых ключей. Корпоративный CA (Certificate Authority) выдает, приостанавливает и отзывает сертификаты, используемые внутри компании для различных технологических нужд, и в первую очередь – для целей аутентификации пользователей и оборудования в корпоративной среде. Без этих функций доверенная корпоративная инфраструктура просто не может существовать.
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Пять критических уязвимостей Microsoft Certificate Authority, о которых вы не знали
    Александр Санин, генеральный директор SafeTech Lab (SafeTech Group)
    Уход Microsoft три года назад стал поворотным моментом для обеспечения информационной безопасности в большинстве отраслей экономики. Отсутствие поддержки и обновлений программного обеспечения от вендора создало серьезные проблемы для устойчивости коммерческих и государственных ИТ-инфраструктур.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...