- •Лабораторная работа № 3 Использование цифровых сертификатов
- •1 Цель работы
- •2 Теоретическая часть
- •2.1 Структура сертификата стандарта х.509 и его назначение.
- •2.2 Использование сертификатов
- •2.3 Хранилище сертификатов
- •2.4 Использование цифровых сертификатов для цифрового подписывания файлов и макросов.
- •3 Порядок выполнения работы
- •3.1. Просмотр сертификатов в хранилище операционной системы Windows
- •3.2. Просмотр сертификатов сайтов.
- •3.3 Создание собственного цифрового сертификата
- •4.Содержание отчета
- •5. Контрольные вопросы
2.3 Хранилище сертификатов
Windows хранит сертификат локально на компьютере или устройстве, которые запросили его, или, в случае пользователя, на компьютере или устройстве, которые пользователь использовал для запроса сертификата. Это место на запоминающем устройстве называется хранилищем сертификатов. Хранилище сертификатов часто содержит многочисленные сертификаты, возможно, полученные от различных центров сертификации.
С помощью оснастки «Сертификаты» можно отобразить хранилище сертификатов для пользователя, компьютера или службы в соответствии с целью, для которой сертификаты были выданы, или по категориям логических хранилищ. Когда сертификаты отображаются в соответствии с их категориями хранилища, можно также выбрать отображение физических хранилищ, показывая иерархию хранилищ сертификатов. (Это рекомендуется делать только опытным пользователям.)
Если пользователь имеет соответствующие права, он может импортировать или экспортировать сертификаты из любой папки хранилища сертификатов. Кроме того, если закрытый ключ, связанный с сертификатом, помечен как доступный для экспорта, можно экспортировать и сертификат и ключ в файл PKCS #12.
Операционная система Windows может также публиковать сертификаты в Active Directory. Опубликование сертификата в Active Directory позволяет всем пользователям и компьютерам, имеющим соответствующие разрешения, извлекать сертификат по мере необходимости.
Сертификаты могут быть отображены по назначению и по логическим хранилищам, как показано на приведенной ниже таблице. Отображение сертификатов по логическим хранилищам является установкой оснастки «Сертификаты» по умолчанию. (Обратите внимание, что список хранилищ назначений не включает все возможные хранилища назначений.)
Режим отображения |
Имя папки |
Содержание |
Логическое хранилище |
Личные |
Сертификаты, связанные с закрытыми ключами, к которым имеется доступ. Сертификаты, которые были выданы вам либо компьютеру или службе, для которых вы выполняете управление сертификатами. Примечание для администраторов: компьютеры в домене Windows 2000 Active Directory могут иметь сертификаты, автоматически располагающиеся в этом хранилище при использовании групповой политики автоматического назначения сертификатов. |
|
Доверенные корневые центры сертификации |
Косвенно доверенные центры сертификации. Все сертификаты в хранилище корневых центров сертификации независимых поставщиков плюс корневые сертификаты от вашей организации и корпорации Майкрософт. Системный администратор может добавить сертификаты стороннего центра сертификации к этому хранилищу для всех компьютеров в домене Windows 2000 Active Directory, используя групповую политику для распространения доверенных сертификатов в организации.. |
|
Доверительные отношения в предприятии |
Контейнер для списков доверия сертификатов. Список доверия сертификатов обеспечивает механизм установления доверия сертификатам от других организаций, подписанным ими самими, и ограничения назначений этих сертификатов. Дополнительная информация о доверительный отношениях на предприятии в разделе |
|
Промежуточные центры сертификации |
Сертификаты, выданные подчиненным центрам сертификации. |
|
Доверенные пользователи |
Сертификаты, выданные пользователям или конечным субъектам, которым явно выражено доверие. Чаще всего такими сертификатами являются сертификаты с собственной подписью или сертификаты, которым явно выражено доверие в приложении, таком как Micrsoft Outlook. |
|
Другие пользователи |
Сертификаты, выданные пользователям или конечным субъектам, которым неявно выражено доверие. Эти сертификаты должны быть частью иерархии доверенных сертификатов. Чаще всего такими сертификатами являются кэшированные сертификаты для служб, например для шифрованной файловой системы, в которых сертификаты используются для создания авторизации файла дешифрования и шифрования. |
|
Доверенные издатели |
Сертификаты центров сертификации, которые являются доверенными политик ограничения программ. |
|
Запрещенные сертификаты |
Сертификаты, которым явно выражено недоверие либо с помощью политики ограничений для программных компонентов, либо с помощью параметра «Не доверять этому сертификату», когда выбор делается в почтовой программе или в веб-обозревателе. |
|
Корневой центр сертификации независимого поставщика |
Доверенные корневые сертификаты от центров сертификации, отличных от корпорации Майкрософт и вашей организации. |
|
Запрос на сертификат |
Отложенные или отвергнутые запросы сертификата. |
|
Объект пользователя Active Directory |
Сертификаты, связанные с объектом пользователя и опубликованные в Active Directory. |
Назначение |
Проверка подлинности сервера |
Сертификаты, которые программы на сервере используют для доказательства клиентам своей подлинности. |
|
Проверка подлинности клиента |
Сертификаты, которые клиентские программы используют для доказательства серверу своей подлинности. |
|
Подписывание кода |
Сертификаты, связанные с парой ключей, используемой для подписи активного содержимого. |
|
Защищенная электронная почта |
Сертификаты, связанные с парой ключей, используемой для подписи сообщений электронной почты. |
|
Шифрованная файловая система |
Сертификаты, связанные с парой ключей, которая шифрует и дешифрует симметричный ключ, используемый для шифрования и расшифровывания данных шифрованной файловой системой. |
|
Восстановление файлов |
Сертификаты, связанные с парой ключей, которая шифрует и дешифрует симметричный ключ, используемый для восстановления зашифрованных данных шифрованной файловой системой. |
При просмотре содержимого хранилища сертификатов в режиме «Логическое хранилище» в некоторых случаях отображаются две копии одного сертификата из хранилища. Это происходит потому, что один и тот же сертификат хранится в разных физических хранилищах внутри одного логического, например в физических хранилищах «Реестр» и «Предприятие» в логическом хранилище «Доверенные корневые центры сертификации». При объединении содержимого физических хранилищ сертификатов в одно представление логического хранилища отображаются все экземпляры одного и того же сертификата.
Чтобы убедиться, что приведенная причина верна, настройте параметр просмотра для отображения физических хранилищ сертификатов; после этого видно, что в отдельных физических хранилищах сертификатов в одном логическом хранилище хранится один и тот же сертификат. Чтобы убедиться, что это один и тот же сертификат, сравните серийные номера.