2025 ж. 13 ақп.·6 мин

Жабық контурда офлайн-жаңартулар: сертификаттар, уақыт, CRL

Жабық контурда офлайн-жаңартулар: root сертификаттарды, уақыт пен CRL-ды қолмен хаоссыз, регламентпен қалай жаңарту керектігі туралы практикалық нұсқаулық.

Жабық контурда офлайн-жаңартулар: сертификаттар, уақыт, CRL

Интернет жоқ кезде қандай мәселе пайда болады

Жабық контурда көп нәрсе бірінші «неліктен жұмыс істемейді» деген сұраққа дейін тұрақты көрінеді. Сыртқы сервис қолжетімсіз болғанда компьютерлер мен серверлер әдеттегі желідегі сияқты өз-өзінен жаңартатын нәрселерді ала алмайды: сертификаттарға сенім, отзыв статусының өзектілігі және дәл уақыт.

Көп жағдайда бұл кенеттен көрінеді. Бір жерде ішкі веб-сервис HTTPS арқылы ашылмай қалады, бір жерде қолтаңба тексерісі бұзылады, бір жерде смарт-карта арқылы кіру немесе домен аутентификациясы «сұрып кетеді». Кейде бәрі қолданба қатесі секілді көрінеді, бірақ түпкі себеп бір: желіде криптографияға арналған опор деректер ескірген.

Операцияны көбінесе қолмен жасау жағдайды нашарлатады. Жаңартулар флешкамен әкелініп, «қай жерге есіңізге түссе солға» көшірілгенде қадағалау тез жоғалады: әр бөлімше әртүрлі нұсқаларды алады, бір сервер қалдырылады, басқа жерде «кешегі» пакет жаңаға жазылады. Бірнеше айдан кейін қай жерде қандай root сертификаттардың тұрғанын және оны кім растағанын анықтау қиын болады.

Хаосқа жол бермеу үшін үш негізгі тіректі ұстаңыз: сенімге негіз болатын root және аралық сертификаттар (сенім тізбектері), дұрыс уақыт (қолтаңбалар мен сертификаттардың жарамдылық мерзіміне сай болу үшін) және отзыкті тексеру (CRL/OCSP), яғни отоздалған сертификаттар тексеруден өтпеуі тиіс.

Бұл әсіресе қауіпсіздік талаптары бойынша оқшауланған түрде жұмыс істейтін ұйымдарға қатысты: мемлекеттік органдар, банктер, медицина, білім және өндіріс. Компьютерлер мен серверлер саны көп болған сайын қолмен жаңарту тоқтау мен даулы инциденттердің себебіне тез айналады.

Нені нақты жаңарту керек: сертификаттар, отзыв, уақыт

Жабық контурда әдетте бір ғана жаңарту жетіспейді деп айтпайды — бірден үш нәрсе: сенім (сертификаттар), статус актуалдығы (отзыв) және дұрыс уақыт. Оларды жүйесіз ұстаған кезде қателер ең қолайсыз сәтте шығады: кіру кезінде, қолтаңбаны тексергенде немесе қорғалған канал орнатқанда.

Root және аралық сертификаттар

Root пен аралық сертификаттар — сенімнің негізі. Олар ОС пен қолданбалардың қоймаларында орналасып, «кімге сенуге болады» деген сұраққа жауап береді. Жаңарту бір файлды емес, сіздің ортаңызда нақты қолданылатын сенімді сертификаттар жиынтығын қамтуы керек: жұмыс станциялары, серверлер, шолғыштар, пошта клиенттері, құжат айналым жүйелері.

Жиі болатын сценарий: контурге жаңа сервер немесе ПК әкелінгенде оның root жиыны өзгеше болады. Нәтижесінде бір қызмет кейбір машиналарда жасыл, кейбірінде ескерту шығарады немесе мүлде ашылмайды.

CRL және OCSP: отзыкті тексеру

Сертификат мерзімі өтіп кетпегенімен, отоздалған болуы мүмкін (мысалы, кілт бұзылған жағдайда). Сондықтан отзыкті тексеру қажет.

CRL — периодты жарияланып, толық жүктелетін тізім. OCSP — нақты сертификат статусына «сұрау‑жауап» механизмі. Изоляцияланған желіде OCSP әдетте қолжетімсіз немесе ішкі деңгейде ұйымдастырылуы қажет, сондықтан көптеген орындар CRL-ға сүйенеді. CRL/OCSP-ты жаңартпасаңыз, жүйе жарамсыз сертификатты қабылдауы мүмкін немесе керісінше, «статус белгісіз» деп көп тексеруді бұғаттауы ықтимал.

Уақыт: үлкен ақаулардың байқалмайтын себебі

Тіпті 5 минут айырма көп нәрсені бұзады: Kerberos аутентификациясын, сертификат тізбегін тексеруді («әлі қолдануға болмайды» немесе «мерзімі өтті»), құжатқа қойылған қолтаңбалар мен оқиғалар журналын. Жабық контурда уақыт барлық түйіндерде минималды және бірдей ауытқуға тиіс.

Мақсат — қайталанатын процесс жасау. Бір рет «қолмен жөндеді» емес, сертификаттар, CRL және уақыт кестеге сай жаңартылып, әр цикл сайын бірдей тексерілуі қажет.

Хаоссыз базалық процесс схемасы

Оффлайн-жаңартуларды қолмен «миссия» деңгейіне айналдырмау үшін әр қадамда иесі мен іздері бар қарапайым схема енгізіңіз.

Процесті үш зонаға бөліңіз

Көбінесе қателік — пакетті дайындау мен оны қолдануды бір «күлгін» нүктеде араластыру. Ыңғайлысы — үш анық зона сақтау.

Сыртқы зонада интернетке шыға алатын арнайы компьютер болу керек; ол тек сертификаттар, CRL және қызметтік файлдарды жүктеу үшін қолданылады. Одан кейін тасымалдау зонасы: бөлек носитель немесе «карантиндік» ПК, онда файлдар тексеріліп, қолтаңба/хэштер тіркеледі. Ішкі зона — оқшауланған желі, онда жаңартулар тек қолданылады және тексеріледі.

Осылайша артық файлдар әкеліну қауіпін шектеп, ақау қай жерде пайда болғанын әрдайым түсінесіз.

Рөлдер мен бір регламент белгілеңіз

Адамдар аз болса да рөлдерді бөлу пайдалы. Бір қызметкер пакет дайындайды және контроль хэштейді, екіншісі носительдердің әкелінуі мен есептелуіне жауапты, үшіншісі жаңартуларды қолданады және нәтижені тіркейді. Егер бәрін бір адам жасаса да, рөлдер чек‑лист ретінде пайдалы: «дайындады — тексерді — қолданды».

Периодтылық үшін айына бір жоспарлы терезе (немесе өте тұрақты контурлер үшін тоқсан сайын) және инциденттер бойынша жоспардан тыс шығарылымдар: УЦ компрометациясы, жаппай отзыв немесе УЦ саясатының маңызды өзгерістері.

Кейін «неге қолтаңба қойылмай қалғанын» анықтамас үшін журнал жүргізіңіз. Күн мен пакет нөмірі, қайдан және қай нұсқалар (сертификаттар/CRL/уақыт), процестің қатысушылары (кім дайындады, кім әкелді, кім қолданды), пакет хэш/қолтаңбасы және тексеріс нәтижесі, қолданылған түйіндер тізімі және қысқа тексерістер жазылсын. Егер ақау болса, бөлек жолда себеп пен түзету жазасыз.

Оффлайн-пакеттерді қалай дайындау керек

Флешкадағы кездейсоқ файлдар жиынына айналдырмау үшін бір ереже ұстаңыз: пакеттер тек арнайы сенімді ашық аймақтағы компьютерде дайындалады. Бұл жеке жұмыс станциясы, күнделікті тапсырмалар жүргізілмейтін, барлық әрекеттер жазылатын орын болу керек.

Дереккөздерді алдын ала бекітілген тізімнен алыңыз: ресми сертификаттық орталықтар (root және аралық сертификаттар, CRL), бағдарламалық қамтамасыз ету жеткізушілері және сіздің ішкі УЦ-ңыз (егер бар болса). Осы тізімді меншік иесі, қайта қарау датасы және әрбір көзден не алынатыны көрсетілген құжат ретінде сақтау ыңғайлы.

Тасымалданар алдында тұтастықты тексеріңіз. Минимум — контрольдық соммаларды (хэштерді) салыстыру және цифрлық қолтаңбаларды тексеру. Егер жеткізуші файлмен бірге қолтаңба және бөлек жарияланған хэш берсе — екеуін де тексеріңіз. Тексеру нәтижесін «тексеру парағына» сақтаңыз: не жүктелді, қайдан, немен тексерілді, нәтиже қандай.

Носительді бір жаңарту үшін контейнер ретінде дайындаңыз: бір носитель — бір пакет — бір дата. Бұл тексеріс пен орауды жеңілдетеді.

Пакет құрылымы қарапайым болуы мүмкін: дата мен шығарылым нөмірі бар қалта, ішінде жаңарту файлдары, хэш файлы және сипаттама (не, қайдан, қай жүйелерге), бөлек — тексеріс нәтижелері мен әрекеттер журналы (кім дайындаған, кім тексерген, кім рұқсат берген). Носительде сол пакет нөмірі белгіленсін.

Жабық контурда жаңартуларды тарату

Оффлайн-жаңартулар ішкі желіде «кім қайда көшірді» деген сұраққа айналмас үшін бір анық маршрут қажет: эталондық пакет қайда орналасады, оны кім жариялайды және машиналар оны қалай алады.

Алдымен ішкі тарату нүктесін бөліңіз. Кішкене желілерде бұл тек оқуға арналған ортақ файл ресурсы болуы мүмкін. Үлкенірек жүйелерде — ішкі жаңарту сервері немесе репозиторий (әдетте маңызды сервистердің жанында ұстау ыңғайлы). Жазу құқықтары тек жауапты адамдарға ғана берілуі тиіс.

Бұдан әрі каталогтар бір форматта болғаны жақсы: күн, версия, тағайындау. Әкімшілер мен аудиттер үшін нақты күнде не орнатылғанын табу жеңіл болуы тиіс.

Пакеттерді мәні бойынша бөліңіз. Root пен аралық сертификаттарды CRL/OCSP деректерінен және уақыт баптауларынан бөлек ұстаңыз. Осылайша бәрін бірден бұзбай, тек қажет бөлікті қайтарып алуға болады.

Жаппай қолданар алдында қысқа тексеріс жасаңыз: 1–2 типтік конфигурациялы тест машина, кейін 5–10 жұмыс орнынан тұратын пилот, нәтижені тіркеу — және тек содан кейін қалған машиналарға таратуды бастаңыз.

Root сертификаттарды офлайн режимде қолмен өзгертпей жаңарту

ИТ үшін кешенді шешім
Жабық желілер үшін жабдықтан бастап жүйелік интеграцияға дейін кешенді шешімдер.
Кеңес сұрау

Жабық контурда root сертификаттарды автоматты түрде интернеттен тарта алмайсыз, бірақ әрбір ПК-ге қолмен қосу да дұрыс емес. Ол тез арада әртүрлі сенім жиындарын тудырып, қолтаңбаны тексерудің әр түрлі қателеріне және локальды ерекшеліктерге әкеледі.

Жұмыс схемасы — бір бекітілген сенім жиыны және оны жеткізудің бір әдісі. Домендік ортада бұл әдетте группалық саясат арқылы жүзеге асады: сіз root және аралық сертификаттарды қажетті қоймаларға жариялап, клиенттер оларды орталықтан алады.

«Зоопарктың» болмауы үшін ереже енгізіңіз: жұмыс станциялары мен серверлерге локальды root қосуға тыйым салынады. Кімде‑кімге «тез қажет» болса, бұл жеке машинаға өзгеріс енгізу емес, сенім жиынтығын ресми өзгерту ретінде рәсімделсін.

Практикалық реттілік: эталондық пакет жинап, оны пилот тобына (бірнеше ПК және бір маңызды емес сервер) тексеріп, типтік сценарийлерді (ішкі сервистерге TLS, құжаттарға қолтаңба, порталдарға қолжетімділік) тексергеннен кейін орталықтан тарату.

Жұмыс станцияларына арналған жаңарту терезелерін жұмсақ етіп белгілеңіз (түнгі уақытта немесе келесі қайта жүктеу кезінде), ал серверлерге — жоспарлы техникалық жұмыс ретінде, сервис қайта жүктеулерін бақылап, негізгі байланыстарды міндетті түрде тексеріңіз.

Қайтару жоспары әрдайым қажет. Алдыңғы жиынтықты бөлек пакет ретінде сақтаңыз және әрекет тәртібін қысқа түрде сақтаңыз: ағымдағы жиынтықты экспорттап алу, бұрынғы пакетке саясат арқылы қайтару және түйіндердегі саясаттарды мәжбүрлеп жаңарту, кейін 2–3 негізгі сервисті және бір типтік ПК-ны тексеру.

Изоляцияда CRL/OCSP жаңарту

Жабық желіде сертификаттың отзыктігіне тексеру жиі криптографиядан емес, «қайда қарау керек» және «мерзім шыққанда не істеу» сұрақтарынан шығады. Процесс жұмыс істеуі үшін бір жариялау орнын және айқын графикті алдын ала бекітіңіз.

CRL әдетте файл түрінде таратылса да, негізгі ереже— клиенттер сертификаттарда көрсетілген мекенжайлар арқылы CRL-ды табуы тиіс. Сондықтан мекенжайларды кейіннен өзгертпей, контур ішінде тұрақты жариялау ұйымдастырыңыз: тек оқуға арналған ортақ ресурс немесе ішкі веб-сервер, онда CRL файлдары сертификаттағы атаулармен сәйкес орналастырылады.

OCSP изоляцияда әрдайым қажет емес. Ол жылдам «сұрау‑жауап» керек болатын қосымшаларға пайдалы, бірақ ішкі жауап берушіні орналастыру және оның мекенжайын сертификаттарға енгізу қажет болғандықтан күрделірек. Егер нақты қажеттілік жоқ болса, көбіне CRL жеткілікті болып шығады.

Ең жиі болатын ақау — CRL мерзімінің өтіп кетуі. Next Update өткенде көптеген жүйелер статусты белгісіз немесе жарамсыз деп есептей бастайды және сертификаттармен жұмыс кенет тоқтайды. CRL-ды алдын ала жаңартып, апаттық жариялау рәсімін ұстаңыз.

Әр жаңа жариялаудан кейін қысқа тексерістер жасаңыз: УЦ жағында CRL дұрыс жасалған ба және This Update/Next Update даталары күтілгендей ме; жариялау орнында жаңа файл ескі файлды ауыстырды ма және файл құқықтары тек оқуға беравтелінген бе; клиенттер мен маңызды қолданбаларда отзыкті тексеру өтті ме және тесттік кіру/қолтаңба/TLS жұмыс істейді ме. Сондай-ақ CRL мерзімі бітуге бірнеше күн қалғанда ескерту орнату пайдалы.

Интернетсіз уақыт синхрондары: NTP схемасы

ҚҚ талаптарына сәйкестендіру
Мемлекеттік органдар, банктер, медицина және білім саласына арналған қауіпсіздік талаптарына сай шешімді құрамыз.
Өтініш қалдыру

Жабық контурда уақыт көбіне баяу «жылжып» отырады, содан кейін сертификат тексерісінде, оқиғалар журналында және аутентификацияда ақаулар пайда болады. Уақыт синхронизациясы — CRL және root сияқты процестің бөлігі.

Опор нүкте: бір уақыт көзі

Ең түсінікті модель — ішкі желідегі бір эталон уақыт және айқын иерархия. Эталонға сенімді машинадағы ішкі NTP-сервер тағайындалады.

Типтік схема: қорғалған аймақта бір эталондық уақыт сервері, 2–3 ішкі NTP-сервері үлгі жетіспеушілік үшін, қалғаны клиенттер. Маңызды жүйелер (PKI, домен, SIEM, дерекқорлар) тек ішкі NTP-дан уақыт алады.

Егер интернет болмаса, эталонның уақытын басқа жолдармен алуға болады. Ең таза нұсқа — спутниктен (GPS/ГЛОНАСС) уақыт алу. Қиын болса, эталонды сенімді көзбен (контролденген аймаққа шығарып) периодты калибрлеу әдісін қолдануға болады, және калибрлеу фактісі журналда тіркелсін.

Қарапайым ережелер

Алдын ала қарапайым ережелер белгілеңіз: барлық жүйеде бір сағат белдеуі (мысалы, UTC немесе регламент бойынша жергілікті бір уақыт), пайдаланушыларға уақытты қолмен өзгерту тыйым салынсын, клиенттерде бір ғана синхрондау әдісі болсын, дрейф мониторингі мен шектік хабарландырулар орнатылсын.

Типтік қателер мен тұзақтар

Жабық контурдегі ең үлкен мәселелер PKI-дің күрделілігінен емес, ұсақ ұйымдастырушылық қателіктерден туындайды. Олар жаңарту күнінде байқалмай, кейін тізбектей тоқтауларға әкеледі: құжаттар ашылмайды, VPN бұзылады, TLS өтпейді, пайдаланушылар «сертификат жарамсыз» дегенді көреді.

Носительдер мен пакеттерді шатастыру

Жиі болатын тұзақ: бір USB-та әртүрлі даталы және әртүрлі көздерден пакеттер жиналған. Нәтижесінде бір серверде «кешегі» root орнатылады, басқа серверде «кеше» CRL қалады, үшінші жерде қажетсіз файл импортталады.

Бір қарапайым қағида: бір носитель — бір шығарылым, ішкі құрылым нақты және анық (дата, дереккөз, тип: roots, intermediate, crl, time).

Қолтаңба мен хешті тексермеу

Оффлайн режимде «файл дұрыс» деп сену мүмкін емес. Қолтаңба мен хэштесіз сіз көшірме қатесін бүліну немесе подмена деп ажырата алмайсыз.

Минимум стандарт: қуана қоса хэш файлын сақтау және журналда тексеріс нәтижесін тіркеу (кім, қашан, қай түйінде тексерді).

Root-тарды жаңартты, бірақ CRL-ді ұмытты

Root пен аралық сертификаттарды жаңартқан соң, егер CRL ескі қалып қойса немесе қолжетімсіз болса, тексеріс сәтсіздікке ұшырайды. Логтарда бұл жиі «отзывты тексеру мүмкін болмады» немесе «CRL мерзімі өтті» деп көрінеді, сертификаттар өздері дұрыс болса да.

Жақсы тәжірибе — «root + CRL + уақыт» сияқты байланысты жиынтықты бір пакет ретінде жаңарту және тесттік құжат/қолтаңба арқылы тексеріп шығу.

Тесттік контур жоқ

Егер жаңарту бірден барлық түйінге таратылса, қателік моментально масштабталады. Кішкентай тесттік контур жасаңыз: 1–2 типтік ПК, бір қосымша сервері, бір домендік түйін. Пайдаланушы кіру, қолтаңбаны тексеру және ішкі сервиске TLS-ді сынап көріңіз.

Уақытпен байланысты қателіктер және домен бойынша каскад

Басты сервердегі (доментік контроллер немесе NTP-эталон) қате уақыт каскадтық ақауды тудырады: Kerberos сәтсіз болады, сертификаттар «әлі қолдануға болмайды» немесе «мерзімі өтті», CRL мерзімі өткендей көрінеді.

Ішкі контурда бір эталон уақыт болсын, NTP иерархиясын орнатыңыз және жаңартудан кейін бірнеше түйінде уақыт ауытқуын тексеріңіз. Тіпті 5–10 минут айырма қолтаңба тексерісін бұзуы мүмкін.

Әр жаңартудан кейінгі тез чек-лист

Оффлайн-жаңартудан кейін тез тексеріп, ештеңе сынбағанына көз жеткізу маңызды: уақыт сәйкес, сенім тізбегі бар, отзыв тексерілуде. Бұл бақылау 10–20 минут алады, ал келесі күні бірнеше сағаттық тергеуден үнемдейді.

1) Уақыт: эталон және таңдамалы тексеріс

Эталондық ішкі NTP серверіндегі уақытты тексеріңіз, сағат белдеуіне қате түспегеніне көз жеткізіңіз. Одан кейін әртүрлі сегменттерден 5–10 ПК таңдап, олардың уақытын эталонмен салыстырыңыз. Егер айырма сіздің ережелерден артық болса, себебін дереу іздеңіз.

2) Сертификаттар: сенім тізбегі және локальды ерекшеліктер жоқтығы

Root пен аралық сертификаттардың орталықтан жаңарғанын, ал жасырын локальды қосымшалардың жоқтығын тексеріңіз. Әсіресе сирек қосылатын және жиі қайта орнатылатын компьютерлерді тексеріңіз — оларда мәселелер бірінші болып көрінеді.

3) CRL/OCSP: өзектілік және қолжетімділік

CRL-дың жарияланған күні мен жарамдылық мерзімін, сондай-ақ жабық желіден осы файлдарға жол ашық екенін тексеріңіз. OCSP қолдансаңыз, клиенттердің сыртқа кетпей ішкі адреске сұрау жіберіп жатқанын тексеріңіз.

4) Жедел бизнес-тексерістер

Екі-үш маңызды жүйеде тірі тексерістер жасаңыз: пайдаланушының кіруі, қолтаңбаны тексеру және ішкі сервиске TLS‑қосылу.

5) Журнал және жауапкершілік

Жаңарту журналына жазып қойыңыз: кім және қашан жаңартуды орындады, қай пакет қолданылды, қай түйіндерге қолданылды және қандай тексерістер өткен. Егер сіз уақыт, сенім және отзыв жұмыс істейтінін тез дәлелдей алмасаңыз — жаңарту аяқталған жоқ деп есептеңіз.

Мысал: жабық ұйымдағы тұрақты жаңартулар

Жергілікті өндірушіні таңдау
GSE жабдығы Қазақстанда шығарылады және жергілікті контентке басымдық беретін жобаларға жарайды.
Байланысу

Аудандық аурухана немесе филиал банк мысалын елестетіңіз, онда жұмыс станциясы мен серверлер оқшауланған желіде. Интернет жоқ, бірақ өзекті root сертификаттар, отзыктер және дәл уақыт қажет. Әйтпесе «қызметтен шығатын» қателер пайда болады: ішкі порталдар ашылмайды, қолтаңбалар қойылмайды, TLS бұзылады, оқиғалар журналындағы уақыт таңбалары мәнсіз болады.

Апта сайын команда бірдей қысқа сценарий бойынша офлайн-жаңартуларды орындайды. Принцип қарапайым: бір пакет, бір бақылау нүктесі, нәтижені анық тіркеу.

Алдымен пакет жинайды (root және аралық сертификаттар, CRL және қажет болса OCSP жауаптары, сонымен қатар ішкі NTP мекенжайлары), содан кейін оны бекітілген тәртіппен тасымалдап, хеш пен версияны тіркейді. Одан кейін тест стендте орнатып, жүйелерге кіруді, қолтаңба және TLS тексереді. Содан кейін топтарға бөліп таратуды жүргізеді және қателерді бақылайды. Соңында: дата, пакет құрам, қолданылған жерлер, жасалған тексерістер және растайтын тұлғалар жазылады.

Егер критикалық отзыв пайда болса (мысалы, кілт компрометантталған кезде), жедел цикл іске қосылады: тек қажетті CRL/тізбекпен алдын ала дайындалған шұғыл пакет, тесттен тез өткізілгеннен кейін бірінші кезекте VPN, шлюздар және аутентификация серверлеріне таратылады. Сол мезетте ИБ/ИТ-ға қысқа хабарламамен: не отоздалды, қайда қолданылды және жаңарту мерзімі қандай — жіберіледі.

Процестің жұмыс істейтінін көрсету үшін қарапайым метрикалар пайдалы: жаңарту соңынан кейін қанша ақау болған, қалпына келтіруге қанша уақыт кеткен және журналдар қаншалықты толық (пакет нұсқасы, орнатудың табысты болуы, тексерістер мен табылған қателер). Егер метрикалар нашарласа, қай жерде қайтадан қолмен хаос пайда болғанын бақылап, регламентке түзету енгізіңіз.

Сіздің инфрақұрылым үшін практикалық келесі қадамдар

Кішіден бастаңыз: қысқа қайталанатын процесс керек, админдердің жарты жылда бір жасаған ерлігі емес.

Алғашқы қадам — 1–2 беттен тұратын регламент. Не жаңартылатынын (root сертификаттар, CRL/OCSP, уақыт), қаншалықты жиі, дереккөздер қайдан алынады, пакеттер қайда сақталады, кім бекітеді және кім орындайтынын жазыңыз. Негізгі және резерв жауаптыларды тағайындап, қарапайым өзгерістер журналын жүргізіңіз.

Сосын минималды опор инфрақұрылымын жасаңыз: ішкі NTP сервері (немесе бірнешеуі) анық иерархиямен, пакеттерді сақтау үшін ішкі репозиторий/хранилище — құқықтар мен өзгермейтіндік бақылауымен, тест тобы (бірнеше ПК және бір сервер) және CRL/OCSP жариялау орны ішкі желіде, сонда клиенттер «сыртқа» қарай бастамайды.

Негіз дайын болған соң әр ПК-ге қолмен өзгеріс енгізуді болдырмаңыз. Домендік ортада бұл әдетте саясат арқылы орталықтан тарату және кестеге сай скрипттер дегенді білдіреді: бекітілген пакет репозиторийге түседі, тесттен өтіп, тек содан кейін өндірісте қолданылады. Пакетті оқшауланған желіге тасымалдау — бөлек операция ретінде рәсімделіп, контрольдік суммамен және қолтаңбамен тексеріледі.

Егер модернизация немесе бірнеше нүкте жоспарланып жатқан болса, жаңарту мен қолдауды жобаға енгізу ақылға қонымды: рөлдер, жұмыс терезелері және қабылдау критерийлері бар. Біртұтас парк — қызмет көрсетуді және тестілеуді айтарлықтай жеңілдетеді. Мысалы, стандартталған жұмыс станциялары мен серверлер, біртекті қолдау контурлары бар кезде тұрақты бейнелер мен тест стендтерді ұстау жеңіл болады. Қазақстанда мұндай жобаларды көп жағдайда өндіруші мен интегратор бірге орындайды: GSE.kz (gse.kz) L200/M200/S200 сериялары және оқшауланған ортаға арналған жүйелік интеграция тәжірибесі бар.

FAQ

Неліктен жабық контурде кенеттен HTTPS немесе қолтаңба тексерісі жұмысынан шығады?

Жабық желіде әдетте үш нәрсе ескіріп қалады: сенімді root және аралық сертификаттар, отзыва тексеру деректері (CRL/OCSP) және дәл уақыт. Сондықтан HTTPS сертификатқа қатысты сақтандыру шылқиды, қолтаңба тексерісі сәтсіз болады, доменге немесе смарт-карта арқылы кіру тұрақсыз жұмыс істейді. Көп жағдайда бұл қолданба қатесі сияқты көрінеді, бірақ түпкі себеп — криптографиялық опорлық деректердің ескіргені.

Оффлайнда нені жаңарту қажет: тек root сертификаттар ма, әлде басқа да нәрсе ме?

Оффлайн-та жаңартқанда бірге жаңарту керек: сенім жиыны (root және аралық сертификаттар), өзекті CRL (және егер қолдансаңыз — OCSP) және уақыт синхрондау конфигурациясы. Тек «root-тарды» жаңартсаңыз, бірақ CRL мен уақытты ұмытсаңыз, қателер көп жағдайда сақталады, тек көрінісі өзгереді. Осы үш элементті бір цикл ретінде қарастырыңыз және әр шығарылымнан кейін тексеріңіз.

Жабық желіде офлайн-жаңартуды қаншалықты жиі жасау керек?

Практикалық базалық ритм — айына бір рет, қысқа жоспарлы тереземен және анық тексеру процедурасымен. Өте тұрақты контурлерде тоқсан сайын жеткілікті болуы мүмкін, бірақ CRL-дардың мерзімі жиі қысқа болады, сол себепті олардың мерзімі графикті айқындайды. Оқиға болғанда (құпия кілттің компрометациясы, жаппай отзыв, УЦ саясатының маңызды өзгерісі) жоспардан тыс шығарылым қажет.

Оффлайн-пакеттерді қай жерде жинау керек және файлдарды қайдан алу керек?

Пакетті тек ашық аймақта көрсетілген арнайы компьютерде жинаңыз, ол дәл жаңартуларды жүктеу және дайындау үшін ғана қолданылады. Дереккөздер алдын ала бекітілген тізімнен алынуы тиіс, ал пакеттің құрамы анық және тіркелген болуы керек. Бұл жаңартуларды «кездейсоқ файлдардың жиынына» айналдырмайды және тергеу жүргізуді жеңілдетеді.

Қалай офлайн-пакетті бүлінбегенін және алмастырылмағанын тексеруге болады?

Ең аз стандарт — контрольді сандарды (хэштер) және цифрлық қолтаңбаларды тексеру (әдетте жеткізуші берсе). Тексеру нәтижесін пакеттің қасында сақтау керек. Бұл болмаса, көшіріліп кеткен файлды бүлінгеннен немесе алмастырылғаннан ажырату мүмкін емес. Журналда — кім тексерді, қашан, қандай құралмен және нәтиже қандай — болуы жеткілікті.

Контурге тасымалдағанда носительдер мен пакет нұсқаларында қалай адаспауға болады?

Бір носитель — бір пакет — бір дата қағидасын ұстаныңыз және бір USB-та әртүрлі шығарылымдар болмауы керек. Пакет ішінде верссия нөмірі, құрам сипаттамасы және тұтастықты тексеру файлы болуы тиіс. Бұл тәртіп қате немесе ескі жинақты орнату тәуекелін азайтады.

Әр ПК-ге қолмен орнатпай қалай root сертификаттарды жаңартуға болады?

Домендік ортада ең басқарылатын жол — группалық саясат арқылы сертификаттарды қажетті қоймаларға (Trusted Root Certification Authorities және Intermediate Certification Authorities) орталықтан тарату. Бұл жұмыс станциялары мен серверлерде біртұтас сенім жиынтығын береді және жеке машиналарға локальды қосымшаларды жояды. Жергілікті root қосуларын ережемен тыйыңыз; кез келген өзгеріс — бекітілген жиынтықты жаңарту арқылы жүзеге асырылсын.

Изоляцияда CRL неге жиі істен шығады және бұл қалай алдын алуға болады?

Клиенттер CRL-ды сертификаттарда көрсетілген адрестерден табу керек, сондықтан контур ішінде тұрақты жариялау орнын ұйымдастыру маңызды: тек оқуға арналған ортақ ресурс немесе ішкі веб-сервер, файл атаулары сертификаттардағы жолдармен сәйкес келетіндей. Қате — CRL мерзімі өткенде: Next Update өткен болса, жүйелер статусын белгісіз немесе жарамсыз деп есептей бастайды. CRL-ды алдын ала жаңартыңыз және апаттық жариялау рәсімін ұстаңыз.

Интернетсіз дәл уақытты қалай ұйымдастыру керек, аутентификация мен қолтаңбалар бұзылмас үшін?

Ішкі желіде бір уақыт дереккөзі және иерархия — ең қарапайым модель. Эталон ретінде сенімді машинадағы ішкі NTP-сервер алынады. Қысқаша схема: қорғалған аймақта бір эталон, 2–3 ішкі NTP-сервері — қолжетімділік пен қайталану үшін, қалған барлық серверлер мен жұмыс орындары — клиенттер. Егер интернет болмаса, эталон уақытын спутниктік GPS/ГЛОНАСС-аппаратурадан алуға болады немесе бақылаулы аймаққа шығарып, сенімді көзбен сәйкестендіріп келуге болады. Қолданушыларға уақытты қолмен өзгерту тыйым салынсын, бір уақыт белдеуі таңдалсын (мысалы, UTC) және дрейф мониторингі орнатылсын.

Жаңартудан кейін проблемаларды тез табу үшін қандай тексерістер жүргізу керек?

Алдымен пакетті 1–2 тест машинада, кейін 5–10 пилот жүйеде іске қосып, тексерген соң ғана барлық инфрақұрылымға таратыңыз. Қолдану аяқталғаннан кейін қысқа бизнес-тексерістер жүргізіңіз: пайдаланушының кіруі, қолтаңбаны тексеру және ішкі сервиске TLS-қосылым. Соңында журналға жазба қалдырыңыз: қандай пакет қолданылды, қайда, кім орындады және қандай тексерістер өтті.