Лабораторная работа №3 Установка и настройка центра сертификации на базе служб сертификации Active Directory Windows 2008 Server.

Цель работы: Установить и настроить центр сертификации в Windows 2008 Server.

Технические и программные средства: Oracle VM Virtual Box, виртуальная машина под управлением Windows 2008 Server, имя сервера DC2, виртуальная машина под управлением Windows 7.

Краткие теоретические сведения.

Инфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет защищать трафик, передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.

Инфраструктура открытых ключей представляет собой комплексную систему, сервисы которой реализуются и предоставляются с использованием криптографических технологий открытых ключей.

Цель инфраструктуры открытых ключей (англ. Public Key Infrastructure  PKI) состоит в управлении ключами и сертификатами, посредством которого организация может поддерживать сетевую среду с высоким уровнем информационной безопасности.

PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей.

Основными компонентами эффективной PKI являются (Рис. 2):

• удостоверяющий центр;

• регистрационный центр;

• репозиторий сертификатов;

• архив сертификатов;

• конечные субъекты (пользователи).

Рисунок 2. Инфраструктура открытых ключей.

Удостоверяющий центр (УЦ) (англ. Certificate authority - СА) сертифицирует связывание пары ключей с идентичностью, заверяя цифровой подписью структуру данных, которая содержит некоторое представление идентичности и соответствующего открытого ключа.

УЦ является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. Центр сертификации сам формирует собственный секретный ключ, сертификат, содержащий открытый ключ данного центра и подписанный им самим.

В дальнейшем, после создания и подписи собственного сертификата, центр ведет базу данных выданных сертификатов и списков отозванных сертификатов. Для нормальной работы с УЦ его собственный сертификат должен быть добавлен в список доверенных на том компьютере, где его планируется использовать

Сертификат открытого ключа (Public Key Certificate) — структура данных, содержащая открытый ключ конечного участника и другую информацию, которая подписана закрытым ключом УЦ, выпустившим этот сертификат

Регистрационный центр (Registration Authority) — необязательный участник, ответственный за выполнение административных задач:

• подтверждение идентификации конечного пользователя;

• опубликование сертификатов;

• запросы отмены от конкретного участника (например, потеря ключей);

• один регистрационный центр может работать с несколькими удостоверяющими центрами (т.е. состоять в нескольких PKI);

• один удостоверяющий центр может работать с несколькими регистрационными центрами.

Репозиторий  хранилище выпущенных УЦ сертификатов. В Федеральном Законе РФ от 06.04.2011 N 63-ФЗ "Об электронной подписи" он называется реестр сертификатов.

Архив сертификатов  хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.

End-Entity  конечный участник, для которого выпущен сертификат, им может быть пользователь или приложение (например для безопасности сетевого протоколоа IP)

Политика применения сертификатов и регламентов УЦ (Certificate Practice Statement)  регламент сертификационной практики, в соответствии с которой сотрудники УЦ выпускают сертификаты открытого ключа.

В состав операционной системы (ОС) Windows 2008 Server входят службы сертификации Active Directory, с помощью которых можно развернуть инфраструктуру открытых ключей. В терминологии Microsoft удостоверяющий центр называется центром сертификации.

На базе Microsoft Windows Server возможно развертывание центра сертификации (ЦС) одного из двух типов: ЦС предприятия и изолированного (автономного) ЦС, рассмотрим их отличительные особенности.

ЦС предприятия:

• требует наличия Active Directory;

• автоматическое подтверждение сертификатов;

• возможность создания сертификата для входа с домен с использование смарт-карт;

• возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание.

Изолированный (автономный) ЦС:

• не требует наличия ActiveDirectory;

• ручное подтверждение сертификатов;

• отсутствие возможности автоматического развертывания;

• запрос сертификатов только через Web-интерфейс.

Цифровой сертификат, выпущенный центром сертификации, является своего рода паспортом в цифровом мире. В нём хранится следующая информация:

• номер версии;

• серийный номер;

• эмитент (ЦС, выпустивший сертификат);

• субъект;

• открытый ключ субъекта (алгоритм, ключ);

• период действия.

Дополнительные (необязательные) значения:

• алгоритм подписи сертификата;

• значение подписи сертификата.

Практические задания

Задание 1. Установка и настройка автономного центра сертификации на базе служб сертификации Active Directory Windows Server 2008 на сервере DC2.

1. Нажмите Пуск, щелкните правой кнопкой мыши на пункте Компьютер. Выберите в выпадающем меню Управление. Откроется консоль mmc Диспетчер сервера.

2. В Диспетчере сервера выберите Роли – Добавить роли – Роли сервера. Выберите роль Службы сертификации Active Directory, нажмите Далее, еще раз Далее.

3. В списке Службы ролей выберите Центр сертификации и Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить. Нажмите Далее.

4. В окне мастера Задание типа установки выберите Автономный ЦС, нажмите Далее, затем Корневой ЦС – Далее, Создать новый закрытый ключ - Далее.

5. В окне Настройка шифрования для ЦС выберите (Рис. 3):

   1. Поставщика служб шифрования – RSA#Microsoft Software Key Storage Provider;

   2. Длина ключа – 2048 знаков;

   3. Выберите алгоритм хэширования для подписывания сертификатов, выдаваемых этим ЦС – sha256.

6. В окне Задание имени ЦС не изменяйте имя, предложенное по умолчанию: fflab-DC2-CA. Нажмите Далее.

7. В окне Установить срок действия оставьте срок действия сертификата по умолчанию – 5 лет. Нажмите Далее.

8. Подтвердите расположение БД и журнала БД сертификатов по умолчанию, нажмите Далее.

9. В окне Подтвердите выбранные элементы нажмите кнопку Установить.

Перечислите все роли и компоненты, которые были добавлены в Microsoft Windows Server 2008 для установки автономного центра сертификации.

Перечислите параметры ЦС, которые Вы выбрали при установке центра сертификации.

Рисунок 3. Настройки автономного ЦС.

Задание 2. Запрос сертификата с другого компьютера в сети

1. Зайдите на клиентскую машину под управлением Windows 7.

2. Войдите в систему локальным пользователем EleninaEL.

3. Запустите Internet Explorer. Зайдите в пункт меню Сервис – Свойства обозревателя – Безопасность. Для зоны Местная интрасеть поставьте с помощью бегунка уровень безопасности Низкий (Рис.4)

4. В поле адреса наберите http://dc2/certsrv. В появившемся окне выберите действие – Запрос сертификата – Расширенный запрос сертификата – Создать и выдать запрос к этому ЦС.

5. Появится всплывающее окно с запросом на разрешение выполнения опасных элементов ActiveX, в нем нажмите Да и еще раз Да.

6. В открывшемся окне заполните

   1. идентифицирующие сведения пользователя Elena Elenina;

   2. тип требуемого сертификата – сертификат проверки подлинности клиента;

   3. параметры ключа – Создать новый набор ключей, Использование ключей – Оба, Автоматическое имя контейнера ключа и обязательно выберите галкой Пометить ключ как экспортируемый,

7. Дополнительные параметры оставьте без изменения

Рисунок 4. Настройки Internet Explorer для запроса сертификата.

8. Появится всплывающее окно с запросом на разрешение выполнения опасных элементов ActiveX, в нем нажмите Да и еще раз Да.

9. В открывшемся окне заполните

   1. идентифицирующие сведения пользователя Elena Elenina;

   2. Тип требуемого сертификата – сертификат проверки подлинности клиента;

   3. Параметры ключа – Создать новый набор ключей, Использование ключей – Оба, Автоматическое имя контейнера ключа и обязательно выберите галкой Пометить ключ как экспортируемый (Рис. 5)

   4. Дополнительные параметры оставьте без изменения

Рисунок 5. Параметры запроса сертификата.

10. В результате Вы получите сообщение о том, что Ваш запрос на сертификат был получен.

11. Зайдите на сервер DC2. В консоли mmc Диспетчер сервера щелкните Роли – Службы сертификации Active Directory – fflab-DC2-CA - Запросы в ожидании. В правом окне консоли щелкните по запросу правой кнопкой мыши – Все задачи – Выдать (Рис. 6).

Рисунок 6. Просмотр запросов на выдачу сертификата.

12. Зайдите на клиентскую машину под управлением Windows 7.

13. Запустите Internet Explorer. В поле адреса наберите http://dc2/certsrv. В появившемся окне выберите действие Просмотр состояния ожидаемого запроса сертификата. Выберите тип сертификата Сертификат проверки подлинности клиента – Установить этот сертификат (Рис. 7).

Рисунок 7. Окно выдачи сертификата.

Запишите в тетрадь сообщение, которое Вы получили и объясните, почему Вы не можете установить полученный сертификат.

Для продолжения работы необходимо установить сертификат центра сертификации, выдавшего данный сертификат. Для этого необходимо проделать следующие действия:

1. В окне выдачи сертификата щелкните по ссылке установите этот сертификат ЦС. В появившемся окне выберите Открыть. После этого дождитесь открытия окна Сертификат и нажмите кнопку Установить сертификат. Запустится мастер импорта сертификата.

2. Нажмите Далее и в окне выбора хранилища сертификатов выберите Поместить все сертификаты в следующее хранилище – Обзор. В окне выбора хранилища сертификата щелкните по пункту Доверенные корневые центры сертификации – ОК. Нажмите Далее – Готово.

3. Откроется окно предупреждения о безопасности. Поскольку клиентский компьютер не может проверить достоверность сертификата ЦС Вы должны сделать это сами, сравнив значение отпечатка хэш-функции. Отпечаток, рассчитанный клиентским компьютером и указанный в окне предупреждения, нужно сравнить с тем, который посчитан на самом ЦС.

4. Для того, чтобы найти отпечаток на ЦС, откройте на сервере DC2 Диспетчер сервера – Роли – Службы сертификации Active Directory. Щелкните правой кнопкой мыши по ЦС fflab-DC2-CA, зайдите во вкладку Общие и нажмите кнопку Просмотр сертификата. Зайдите во вкладку Состав и выберите поле Отпечаток. В нижнем окне Вы увидите значение отпечатка хэш-функции. Сравните его значение с тем, который посчитан на клиентском компьютере.

5. Если значения совпали, подтвердите установку сертификата, нажав кнопку Да, нажмите ОК два раза.

6. В окне Internet Explorer щелкните по ссылке Установить этот сертификат. Откроется окно Сертификат успешно установлен.

Задание 3. Просмотр установленных сертификатов.

Для просмотра сертификатов существует два способа: с помощью консоли mmc Сертификаты и с помощью программы Internet Explorer.

Для просмотра сертификатов с помощью консоли mmc нужно выполнить следующие действия:

1. Нажать кнопку Пуск, ввести mmc в поле поиска и нажать Enter.

2. В открывшемся окне консоли mmc выбрать пункт меню Пуск Добавить или удалить оснастку. В окне выбора оснасток выбрать Сертификаты и нажать кнопку Добавить. Нажать кнопку ОК.

3. Откроется список Хранилищ сертификатов. Убедитесь, что личный сертификат пользователя Еленина Елена Леонидовна присутствует во хранилище Личное и сертификат ЦС fflab-DC2-CA добавлен в Доверенные корневые центры сертификации и Промежуточные центры сертификации.

Для просмотра сертификатов с помощью программы Internet Explorer нужно выполнить следующие действия:

1. Запустить Internet Explorer, зайти в меню Сервис, в выпадающем меню выбрать Свойства обозревателя.

2. Другой способ – зайти в Панель управления и выбрать Свойства обозревателя – апплет, который находится в категории Сеть и Интернет.

3. В окне Свойства обозревателя перейти на вкладку Содержание и нажать кнопку Сертификаты.

4. Откроется окно Сертификаты с различными вкладками  Личные, Промежуточные центры сертификации, Доверенные центры сертификации.

5. Проверьте, что личный сертификат пользователя Еленина Елена Леонидовна присутствует во вкладке Личные и сертификат ЦС fflab-DC2-CA добавлен в Доверенные корневые центры сертификации и Промежуточные центры сертификации.

ПОКАЖИТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ

Перечислите основные параметры сертификата, которые можно посмотреть в свойствах сертификата.

Задание 4. Запрос сертификата на компьютере ЦС и перенос его на другой компьютер с помощью экспорта-импорта.

1. Зайдите на сервер DC2 и сгенерируйте сертификат для пользователя Иванов Иван Иванович аналогично тому, как описано в задании 2.

2. Затем зайдите в хранилище сертификатов Личные, как описано в задании 3 и щелкните по сертификату правой кнопкой мыши Все задачи – Экспорт.

3. В открывшемся окне Мастера экспорта сертификатов нажмите Далее - выберите пункт Да, экспортировать закрытый ключ и еще раз нажмите Далее.

4. Не изменяйте настройки в окне Формат экспортируемого файла, нажмите Далее.

5. Задайте пароль и его подтверждение и сохраните сертификат с закрытым ключом в файл с названием IvanovIIExportPrivatKey.pfx, нажмите Далее и Готово.

6. Просмотрите в Проводнике файл и скопируйте его на компьютер под управлением Windows 7 с помощью общей папки, созданной в лабораторной работе №1.

7. Зайдите на компьютер под управлением Windows 7 пользователем IvanovII. Запустите Проводник и щелкните правой кнопкой мыши по файлу IvanovIIExportPrivatKey.pfx. В выпадающем меню выберите Установить PFX.

8. В открывшемся окне мастера импорта сертификатов нажмите Далее, подтвердите местоположение файла, нажав Далее.

9. Введите пароль, установите галочку Пометить этот ключ как экспортируемый и нажмите Далее.

10. Поместите сертификат в Личное хранилище (можно оставить опцию Автоматически выбрать хранилище на основе типа сертификата), нажать Далее и Готово.

11. Удостоверьтесь, что сертификат находится в хранилище Личное.

ПРОДЕМОНСТРИРУЙТЕ РЕЗУЛЬТАТ ПРЕПОДАВАТЕЛЮ

Опишите в нескольких словах как можно перенести сертификат пользователя между разными компьютерами или между разными пользователями на одном компьютере.

Контрольные вопросы

1. Перечислите основные свойства сертификата. Какие из них определяются настройками центра сертификации, а какие задаются при формировании запроса на выпуск сертификата?

2. Какие основные функции выполняет ЦС? Перечислите основные настройки, которые необходимо задать при установке ЦС.

3. Какие действия необходимо выполнить для получения сертификата? Сертификат какого ЦС должен быть установлен на компьютере, с которого Вы запрашиваете сертификат?

4. Опишите два способа просмотра хранилищ сертификатов на локальном компьютере.

5. Опишите процесс переноса сертификата между двумя компьютерами.