Цифровые сертификаты — основа доверия в корпоративной инфраструктуре: они подтверждают подлинность систем и пользователей, защищают каналы связи. Без управляемого жизненного цикла сертификатов нельзя ни выстроить безопасный доступ к ресурсам, ни обеспечить непрерывную работу сервисов.
Сертификаты нужны на серверах, рабочих станциях, в контейнерах и сервисах: для TLS, аутентификации, подписи, почты. При этом у каждой платформы — Windows, Linux, macOS, Kubernetes — свой способ запросить, получить и установить сертификат.
Если ИОК строится по частям, появляются разрозненные процедуры, разные ЦС и ручной контроль сроков. Ошибка при выпуске или просроченный сертификат оборачивается простоем сервисов и рисками для доступа к системам.
ЕСАУС объединяет выпуск, обновление и доставку сертификатов в гетерогенной среде, проверяя каждый запрос по политикам с учётом контекста окружения. Это опора для модели Zero Trust: доверие к сертификату опирается на правила и проверку, а не ограничивается проверкой прав на шаблон в ЦС.
ЕСАУС работает в Linux, Windows, macOS, кластерах Kubernetes и Istio Service Mesh. По возможностям превосходит Microsoft Enterprise PKI для Windows:
- Cпециализированные агенты передают не только запрос на сертификат (CSR), но и сведения об окружении, в котором он был сформирован.
- Принцип защиты закрытых ключей: закрытые ключи создаются на стороне клиента, который их использует, и не передаются по сети;
- Балансировка выпуска сертификатов между несколькими экземплярами Удостоверяющих Центров с поддержкой георезервирования и приоритезацией сетевых вызовов;
- Поддержка широкого спектра ЦС (Clearway CA, Microsoft CA, КриптоПро PKI-кластер, SafeTech CA, Aladdin eCA). Поддержка Validata, VipNet, Notary-Pro, DigiCert, Globalsign запланированы в дорожной карте (2026−2027 годы);
- Постоянная проверка доступности компонентов друг другом; автоматический возврат к восстановившемуся компоненту после его отказа; механизмы коммуникации между компонентами для управления пропускной способностью системы;
- Актуализация и распространение списков доверенных корневых и промежуточных ЦС в рамках всей организации;
- Отслеживание срока жизни, доставка сертификата и настройка конечного приложения (потребителя сертификата) для его использования с учетом расписания технологических окон;
- Поддержка современных протоколов ACMEv2, EST, SCEP, CMP и MS-WSTEP обеспечивает интеграцию с широким спектром устройств и разнородными IT-инфраструктурами. Для обратной совместимости с устаревшими системами Windows дополнительно реализована поддержка интерфейсов DCOM;
- Изоляция ЦС от прямого доступа по сети клиентов и потребителей сертификатов;
- Построение цепочки мостов в сложно сегментированных сетях, что позволяет подключать удаленные или изолированные сегменты к корпоративному ЦС.
Пример использования:
- Постановка задания Агенту на обновление сертификатов, используемых на серверах Samba DC (контроллер домена) с указанием технологических окон в формате cron;
- При достижении 80% срока жизни сертификата Агенты выполняют обновление сертификатов по расписанию в разрешенные часы (технологические окна);
- Администратору приходит оповещение об успехе или возникших ошибках.