Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

УСТАНОВКА И НАСТРОЙКА СЛУЖБ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА

Отчет по лабораторной работе №4

по дисциплине «Прикладная криптография»

Студент гр. ***-*:

_______

__.__.2024

Руководитель

преподаватель каф. КИБЭВС

_______ А.Ю. Якимук

__.__.2024

Томск 2024

Введение

Целью лабораторной работы является ознакомление с процессом установки и настройки служб необходимых для функционирования удостоверяющего центра на примере Active Directory Certificate Services (службы сертификации).

1 ХОД РАБОТЫ

Создадим клон виртуальной машины (рисунок 1.1). Среди параметров клонирования необходимо сгенерировать новые MAC-адреса всех сетевых адаптеров (рисунок 1.2).

Рисунок 1.1 – Клонирование ВМ

Рисунок 1.2 – Параметры клонирования ВМ

Выбираем тип клонирования «Полное клонирование» (рисунок 1.3).

Рисунок 1.3 – Пункт «Роли и компоненты»

Запускаем виртуальную машину, входим под учетной записью и диспетчере сервера выберем пункт «Добавить роли и компоненты» (рисунок 1.4).

Рисунок 1.4 – Диспетчер

В мастере добавления ролей выбираем пункт «Установка ролей или компонентов», затем пункт «Выберете сервер из пула 4 серверов».

Далее отметить галочкой пункты «DNS-сервер» и «Доменные службы Active Directory» (рисунок 1.5).

Рисунок 1.5 – Выбор ролей сервера для установки

Добавим необходимые для установки компоненты, нажимая на кнопку «Добавить компоненты» (рисунок 1.6).

Рисунок 1.6 – Добавления компонентов (ч.1)

Далее нужно дождаться окончания установки и нажать «Повысить роль этого сервера до уровня контроллера домена» (рисунок 1.7).

Рисунок 1.7 – Добавления компонентов (ч. 2)

В мастере выберем «Добавить новый лес», зададим имя корневого домена (рисунок 8).

Рисунок 1.8 – Имя корневого домена

Затем в следующем окне вводим пароль для режима восстановления служб каталогов (DSRM) (рисунок 1.9).

Рисунок 1.9 – Задание пароля

В диспетчере серверов снова выбираем пункт «Добавить роли и компоненты». Тип установки – «Установка ролей или компонентов», выбор сервера – «Выберете сервер из пула серверов». При выборе ролей сервера кликаем на пункт «Службы сертификатов Active Directory». При выборе служб кликаем на пункты «Центр сертификации» и «Служба регистрации в центре сертификации через Интернет». Добавим необходимые для установки компоненты (рисунок 1.10). Остальные настройки остаются по умолчанию, запускаем установку.

Рисунок 1.10 – Выбор служб ролей

Дожидаемся окончания установки и нажимаем «Настроить службы сертификатов Active Directory на конечном сервере» (рисунок 1.11).

Рисунок 1.11 – Пункт «Настроить службы сертификатов AD на конечном сервере»

В появившемся окне при выборе служб ролей выбираем пункты «Центр сертификации» и «Служба регистрации в центре сертификации через Интернет» (рисунок 1.12). Вариант установки – «ЦС предприятия» (рисунок 1.13).

Рисунок 1.12 – Выбор служб ролей при настройке службы сертификатов AD

Рисунок 1.13 – Выбор варианта установки ЦС

При задании типа ЦС выбираем «Корневой ЦС» (рисунок 1.14).

Рисунок 1.14 – Выбор типа центра сертификации

Следующее окно позволяет выбрать тип закрытого ключа для работы будущего ЦС: готовый или новый закрытый ключ. Выбираем новый ключ, пункт «Создать новый закрытый ключ» (рисунок 1.15).

Рисунок 1.15 – Выбор типа закрытого ключа

После шага с выбором установки закрытого ключа требуется выполнить настройки шифрования будущего ЦС.

Для начала установки нажимаем кнопку «Настроить».

Добавляем службу роли под названием «Веб-служба регистрации сертификатов». В диспетчере серверов перейдем на вкладку «Служба сертификации Active Directory». В рабочей зоне «Роли и компоненты», в выпадающем меню «ЗАДАЧИ», выбираем пункт «Добавить роли и компоненты» (рисунок 1.16).

Рисунок 1.16 – Выбор пункта «Добавить роли и компоненты»

Выбираем тип установки – «Установка ролей или компонентов», выбор сервера – «Выберете сервер из пула серверов».

Во вкладке «Роли сервера» раскроем пункт «Службы сертификатов Active Directory» и отметим галочкой пункт «Веб-служба регистрации сертификатов» (рисунок 1.17).

Рисунок 1.17 – Выбор службы

Остальные настройки остаются умолчанию, после завершения установки нажимаем на строку «Настроить службы сертификатов Active Directory на конечном сервере» (рисунок 1.18).

Рисунок 1.18 – Установка службы

В появившемся окне выбираем пункт «Веб-служба регистрации сертификатов». Далее выбираем ЦС, к которому будет прикреплена данная служба, «Имя ЦС (рисунок 1.19).

Рисунок 1.19 – Выбор ЦС для службы

В следующем окне выбираем пункт «Имя и пароль пользователя». Учетная запись службы CES – «Использовать встроенный идентификатор пула приложений», сертификат сервера – «Выбрать существующий сертификат для шифрования SSL (рекомендуется)» (рисунок 1.20).

Рисунок 1.20 – Выбор сертификата сервера

Запускаем командную строку, меню «Пуск» – «Выполнить», после чего введем команду «mmc». Нажимаем сочетание клавиш на клавиатуре Ctrl+M, выберем пункт «Добавить или удалить оснастку…», «Сертификаты», «Добавить». Выбираем пункт «учетной записи компьютера», потом – «локальным компьютером» (рисунки 1.21 - 1.22).

Рисунок 1.21 – Выбор управляющего оснасткой

Рисунок 1.22 – Выбор компьютера

Получим сертификат для веб-сервера с новым ключом. Для чего в контекстном меню данного сертификата, выберем «Все задачи» – «Запросить сертификат с новым ключом» (рисунок 1.23).

Рисунок 1.23 – Выбор пункта «Запросить сертификат с новым ключом»

В появившемся окне необходимо выбрать типы сертификатов. Нажимаем кнопку «Заявка» (рисунок 1.24).

Рисунок 1.24 – Запрос сертификата

Приступим к связыванию сертификата с веб-сервером. Нажимаем меню «Пуск» – «Выполнить». Наберите команду «InetMgr» (рисунок 1.25).

Рисунок 1.25 – Вызов программы управления информационными службами интернета

В левой части открывшегося окна необходимо нажать на название сервера, а затем «Сайт» – «Default Web Site»– «Изменить привязки» (рисунок 1.26).

Рисунок 1.26 – Выбор пункта «Изменить привязки»

Для протокола https с помощью кнопки «Изменить» настроим параметры. Вызовите команду ipconfig для того, чтобы определить корректный IP-адрес виртуальной машины (рисунок 1.27).

Рисунок 1.27 – Определение IP-адреса виртуальной машины

Далее выбираем IP-адрес виртуальной машины (в данном случае 10.0.2.15) и полученный недавно сертификат (рисунок 1.28).

Рисунок 1.28 – Изменение привязки сайта

После изменения привязки сайта, в диспетчере служб IIS слева в разделе «Управление веб-сайтом», нажимаем кнопку «Перезапустить» (рисунок 1.29).

Рисунок 1.29 – Кнопка «Перезапустить»

Запускаем браузер Internet Explorer. Нажимаем «Перейти на веб-страницу». Появляется окно с вводом имени пользователя и пароля. Вводим «администратор» и текущий пароль от учетной записи администратора (рисунок 1.30).

Рисунок 1.30 – Приветствие на веб-сайте диспетчера службы IIS

Заключение

В результате выполнения данной лабораторной работы ознакомились с процессом установки службы Active Directory Certificate Services (службы сертификации) и особенностями работы с сертификатами.

Отчет составлен согласно ОС ТУСУР 2021.