Лабораторная работа №3 Установка и настройка центра сертификации на базе служб сертификации Active Directory Windows Server 2008.

Цель работы: Установить и настроить центр сертификации в Windows Server 2008.

Краткие теоретические сведения.

Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик, передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.

Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:

ЦС предприятия

• Требует наличия ActiveDirectory

• Автоматическое подтверждение сертификатов

• Автоматическое развертывание сертификатов

• Возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание

Изолированный (автономный) ЦС

• Не требует наличия ActiveDirectory

• Ручное подтверждение сертификатов

• Отсутствие возможности автоматического развертывания

• Запрос сертификатов только через Web-интерфейс

Практические задания

Задание 1. Установка и настройка автономного центра сертификации на базе служб сертификации Active Directory Windows Server 2008 на сервере DC2.

1. Нажмите Пуск, щелкните правой кнопкой мыши на пункте Компьютер. Выберите в выпадающем меню Управление. Откроется консоль mmc Диспетчер сервера.

2. В Диспетчере сервера выберите Роли – Добавить роли – Роли сервера. Выберите роль Службы сертификации Active Directory, нажмите Далее, еще раз Далее.

3. В списке Службы ролей выберите Центр сертификации и Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить. Нажмите Далее.

4. В окне мастера Задание типа установки выберите Автономный ЦС, нажмите Далее, затем Корневой ЦС – Далее, Создать новый закрытый ключ - Далее.

5. В окне Настройка шифрования для ЦС выберите:

   1. Поставщика служб шифрования – RSA#Microsoft Software Key Storage Provider;

   2. Длина ключа – 2048 знаков;

   3. Выберите алгоритм хэширования для подписывания сертификатов, выдаваемых этим ЦС – sha256.

Рисунок 2. Настройки автономного ЦС.

6. В окне Задание имени ЦС не изменяйте имя, предложенное по умолчанию: fflab-DC2-CA. Нажмите Далее.

7. В окне Установить срок действия оставьте срок действия сертификата по умолчанию – 5 лет. Нажмите Далее.

8. Подтвердите расположение БД и журнала БД сертификатов по умолчанию, нажмите Далее.

9. В окне Подтвердите выбранные элементы нажмите кнопку Установить.

Перечислите все роли и компоненты, которые были добавлены в Microsoft Windows Server 2008 для установки автономного центра сертификации.

Перечислите параметры ЦС, которые Вы выбрали при установке центра сертификации.

Задание 2. Запрос сертификата с другого компьютера в сети

1. Зайдите на клиентскую машину под управлением Windows 7.

2. Войдите в систему локальным пользователем EleninaEL.

3. Запустите Internet Explorer. Зайдите в пункт меню Сервис – Свойства обозревателя – Безопасность. Для зоны Местная интрасеть поставьте с помощью бегунка уровень безопасности Низкий

Рисунок 3. Настройки Internet Explorer для запроса сертификата.

4. В поле адреса наберите http://dc2/certsrv. В появившемся окне выберите действие – Запрос сертификата – Расширенный запрос сертификата – Создать и выдать запрос к этому ЦС.

5. Появится всплывающее окно с запросом на разрешение выполнения опасных элементов ActiveX, в нем нажмите Да и еще раз Да.

6. В открывшемся окне заполните

   1. идентифицирующие сведения пользователя Elena Elenina;

   2. Тип требуемого сертификата – сертификат проверки подлинности клиента;

   3. Параметры ключа – Создать новый набор ключей, Использование ключей – Оба, Автоматическое имя контейнера ключа и обязательно выберите галкой Пометить ключ как экспортируемый,

   4. Дополнительные параметры оставьте без изменения

Рисунок 4. Параметры запроса сертификата.

7. В результате Вы получите сообщение о том, что Ваш запрос на сертификат был получен.

8. Зайдите на сервер DC2. В консоли mmc Диспетчер сервера щелкните Роли – Службы сертификации Active Directory – fflab-DC2-CA - Запросы в ожидании. В правом окне консоли щелкните по запросу правой кнопкой мыши – Все задачи – Выдать.

Рисунок 5. Просмотр запросов на выдачу сертификата.

9. Зайдите на клиентскую машину под управлением Windows 7.

10. Запустите Internet Explorer. В поле адреса наберите http://dc2/certsrv. В появившемся окне выберите действие Просмотр состояния ожидаемого запроса сертификата. Выберите сертификат Сертификат проверки подлинности клиента – Установить этот сертификат.

Рисунок 4.

Запишите в тетрадь сообщение, которое Вы получили и объясните, почему Вы не можете установить полученный сертификат.

Для продолжения работы необходимо установить сертификат центра сертификации, выдавшего данный сертификат. Для этого необходимо проделать следующие действия:

1. В окне выдачи сертификата щелкните по ссылке установите этот сертификат ЦС. В появившемся окне выберите Открыть. После этого дождитесь открытия окна Сертификат и нажмите кнопку Установить сертификат. Запустится мастер импорта сертификата.

2. Нажмите Далее и в окне выбора хранилища сертификатов выберите Поместить все сертификаты в следующее хранилище – Обзор. В окне выбора хранилища сертификата щелкните по пункту Доверенные корневые центры сертификации – ОК. Нажмите Далее – Готово.

3. Откроется окно предупреждения о безопасности. Поскольку клиентский компьютер не может проверить достоверность сертификата ЦС Вы должны сделать это сами, сравнив значение отпечатка хэш-функции. Отпечаток, рассчитанный клиентским компьютером и указанный в окне предупреждения, нужно сравнить с тем, который посчитан на самом ЦС.

4. Для того, чтобы найти отпечаток на ЦС, откройте на сервере DC2 Диспетчер сервера – Роли – Службы сертификации Active Directory. Щелкните правой кнопкой мыши по ЦС fflab-DC2-CA, зайдите во вкладку Общие и нажмите кнопку Просмотр сертификата. Зайдите во вкладку Состав и выберите поле Отпечаток. В нижнем окне Вы увидите значение отпечатка хэш-функции. Сравните его значение с тем, который посчитан на клиентском компьютере.

5. Если значения совпали, подтвердите установку сертификата, нажав кнопку Да, нажмите ОК два раза.

6. В окне Internet Explorer щелкните по ссылке Установить этот сертификат. Откроется окно Сертификат успешно установлен.

Задание 3. Просмотр установленных сертификатов.

Для просмотра сертификатов существует два способа: с помощью консоли mmc Сертификаты и с помощью программы Internet Explorer.

Для просмотра сертификатов с помощью консоли mmc нужно выполнить следующие действия:

1. Нажать кнопку Пуск, ввести mmc в поле поиска и нажать Enter.

2. В открывшемся окне консоли mmc выбрать пункт меню Пуск- Добавить или удалить оснастку. В окне выбора оснасток выбрать Сертификаты и нажать кнопку Добавить. Нажать кнопку ОК.

3. Откроется список Хранилищ сертификатов. Убедитесь, что личный сертификат пользователя Еленина Елена Леонидовна присутствует во хранилище Личное и сертификат ЦС fflab-DC2-CA добавлен в Доверенные корневые центры сертификации и Промежуточные центры сертификации.

Для просмотра сертификатов с помощью программы Internet Explorer нужно выполнить следующие действия:

1. Запустить Internet Explorer, зайти в меню Сервис, в выпадающем меню выбрать Свойства обозревателя.

2. Другой способ – зайти в Панель управления и выбрать Свойства обозревателя – апплет, который находится в категории Сеть и Интернет.

3. В окне Свойства обозревателя перейти на вкладку Содержание и нажать кнопку Сертификаты.

4. Откроется окно Сертификаты с различными вкладками - Личные, Промежуточные центры сертификации, Доверенные центры сертификации.

5. Проверьте, что личный сертификат пользователя Еленина Елена Леонидовна присутствует во вкладке Личные и сертификат ЦС fflab-DC2-CA добавлен в Доверенные корневые центры сертификации и Промежуточные центры сертификации.

ПОКАЖИТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ

Перечислите основные параметры сертификата, которые можно посмотреть в свойствах сертификата.

Задание 4. Запрос сертификата на компьютере ЦС и перенос его на другой компьютер с помощью экспорта-импорта.

1. Зайдите на сервер DC2 и сгенерируйте сертификат для пользователя Иванов Иван Иванович аналогично тому, как описано в задании 2.

2. Затем зайдите в хранилище сертификатов Личные, как описано в задании3 и щелкните по сертификату правой кнопкой мыши Все задачи – Экспорт.

3. В открывшемся окне Мастера экспорта сертификатов нажмите Далее - выберите пункт Да, экспортировать закрытый ключ и еще раз нажмите Далее.

4. Не изменяйте настройки в окне Формат экспортируемого файла, нажмите Далее.

5. Задайте пароль и его подтверждение и сохраните сертификат с закрытым ключом в файл с названием IvanovIIExportPrivatKey.pfx, нажмите Далее и Готово.

6. Просмотрите в Проводнике файл и скопируйте его на компьютер под управлением Windows 7 с помощью общей папки, созданной в лабораторной работе №1.

7. Зайдите на компьютер под управлением Windows 7 пользователем IvanovII. Запустите Проводник и щелкните правой кнопкой мыши по файлу IvanovIIExportPrivatKey.pfx. В Выпадающем меню выберите Установить PFX.

8. В открывшемся окне мастера импорта сертификатов нажмите Далее, подтвердите местоположение файла, нажав Далее.

9. Введите пароль, установите галочку Пометить этот ключ как экспортируемый и нажмите Далее.

10. Поместите сертификат в Личное хранилище (можно оставить опцию Автоматически выбрать хранилище на основе типа сертификата), нажать Далее и Готово.

11. Удостоверьтесь, что сертификат находится в хранилище Личное.

ПРОДЕМОНСТРИРУЙТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ

Опишите в нескольких словах как можно перенести сертификат пользователя между разными компьютерами или между разными пользователями на одном компьютере.

Контрольные вопросы

1. Перечислите основные свойства сертификата. Какие из них определяются настройками центра сертификации, а какие задаются при формировании запроса на выпуск сертификата?

2. Какие основные функции выполняет ЦС? Перечислите основные настройки, которые необходимо задать при установке ЦС.

3. Какие действия необходимо выполнить для получения сертификата? Сертификат какого ЦС должен быть установлен на компьютере, с которого Вы запрашиваете сертификат?

4. Опишите два способа просмотра хранилищ сертификатов на локальном компьютере.

5. Опишите процесс переноса сертификата между двумя компьютерами.