Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

КРОСС-СЕРТИФИКАЦИЯ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ

Отчет по лабораторной работе №6

по дисциплине «Прикладная криптография»

Студент гр. ***-*:

_______

__.__.2024

Руководитель

преподаватель каф. КИБЭВС

_______ А.Ю. Якимук

__.__.2024

Томск 2024

Введение

Целью лабораторной работы является ознакомление с процедурой кросс-сертификации - установление доверия между двумя удостоверяющими центрами.

1 ХОД РАБОТЫ

В качестве эксперимента скопируем сертификат пользователя, полученный в предыдущей лабораторной работе, на УЦ ФБ. Система сообщит, что у нее недостаточно информации для проверки сертификата (рисунок 1.1).

Рисунок 1.1 – Скопированный на другую виртуальную машину сертификат

Во вкладке «Пути сертификации» свойств сертификата говорится, что невозможно обнаружить поставщика этого сертификата (рисунок 1.2).

Рисунок 1.2 – Путь сертификации для скопированного сертификата

Система на первой вкладке предлагает установить данный сертификат. Установим сертификат на локальном компьютере в раздел «Личное». Проверим наличие сертификата в данном хранилище (рисунок 1.3).

Рисунок 1.3 – Наличие сертификата в целевом разделе

Если зайти в свойства сертификата в хранилище, то можно заметить, что данные во вкладках остались прежними. Доверия к данному сертификату в данный момент нет. Для того, чтобы это исправить можно осуществить 2 варианта подтверждения доверия к издателю. Первым вариантом является копирование корневого сертификата УЦ, который выдал данный сертификат, и установка данного сертификата на данном компьютере в разделе «Доверенные издатели» (рисунок 1.4). Другим вариантом является процедура кросссертификации.

Рисунок 1.4 – Свойства корневого сертификата другого УЦ

Для выпуска кросс-сертификата необходимо наличие корневого сертификата от удостоверяющего центра, к которому будет предоставлено доверие на УЦ ФБ. Переключимся к виртуальной машине с нашим удостоверяющим центром. Запустим оснастку «Центр сертификации», перейдем в раздел «Выданные сертификаты» и выберем любой сертификат. Во вкладке «Путь сертификации» выберем верхний уровень и нажмем кнопку «Просмотр сертификата» (рисунок 1.5).

rjvf

Рисунок 1.5 – Выбор корневого УЦ

На виртуальной машине УЦ ФБ уже выполнены все действия, которые необходимы для проведения кросс-сертификации удостоверяющих центров. Отметим, что кросс-сертификация — это весьма обширная тема. Для нашего сценария нет необходимости рассматривать подробности т.н. qualified subordination, поэтому ограничимся самым простым вариантом, без дополнительных ограничений

Для этого создадим текстовый файл с именем «Policy.inf» и следующим содержанием:

[Version]

Signature = $WindowsNT$

[RequestAttributes]

CertificateTemplate = CrossCA

Далее экспортируем созданный текстовый файл с именем «Policy.inf» на виртуальную машину УЦ ФБ.

Установим сертификат на виртуальной машине УЦ ФБ при помощи командной строки и следующей команды (рисунок 1.6):

Рисунок 1.6 – Результат выполнения команды

После ввода команды выберем в диалоговом окне сертификат и файл «Policy.inf». Затем выберем сертификат подписи (рисунок 1.7) и укажем путь для сохранения запроса.

Рисунок 1.7 – Выбор сертификата подписи

Далее система предложит сохранить сформированный запрос. Выполним его также через командную строку (рисунок 1.8).

Рисунок 1.8 – Результат выполнения команды

Система выдаст требуемый сертификат. Единственное отличие в результате будет заключаться в изменении срока действия сертификата (рисунок 1.9).

Рисунок 1.9 - Результат выполнения команды с уведомлением об изменении срока действия сертификата

Далее можно установить полученный сертификат. Для этого во вкладке свойств полученного сертификата нажмем на кнопку «Установить сертификат». Откроется мастер импорта сертификатов. В качестве расположения хранилища выберем «Локальный компьютер и автоматический выбор хранилища. Сертификат будет помещен в раздел «Промежуточные центры сертификаты» (рисунок 1.10).

Рисунок 1.10 – Установленный сертификат

Если зайти в свойства сертификата пользователя NNNN-FIO (рисунок 1.11), то можно увидеть, что в пути сертификации для него указано, что сертификат действителен и это подтверждено удостоверяющим центром.

Рисунок 1.11 – Результат выполнения команды

Чтобы разобраться с тем, какие настройки необходимо было осуществить для возможности осуществления кросс-сертификации осуществим обратное построение доверия.

Для того, чтобы сертификат был от другого пользователя, а не от администратора, создадим пользователя через оснастку «Active Directory – пользователи и компьютеры» с нашими инициалами (рисунок 1.12). Добавим созданного пользователя в группу администраторов домена.

Рисунок 1.12 – Создание пользователя на виртуальной машине УЦ ФБ

Зайдем на сайт веб-регистрации УЦ ФБ и запросим сертификат для созданного пользователя. В оснастке «Центр сертификации» выберем созданный сертификат (рисунок 1.13). Экспортируйте его. Для этого на вкладке «Состав» нажмем на кнопку «Копировать в файл». По аналогии экспортируйем корневой сертификат УЦ ФБ на вкладке «Путь сертификации».

Рисунок 1.13 – Путь сертификации для сертификата пользователя

Скопируем ранее созданный текстовый файл с именем «Policy.inf» и оба сертификата на виртуальную машину с нашим удостоверяющим центром.

Установим сертификат пользователя, полученный от УЦ ФБ. Удостоверимся, что к нему нет доверия (рисунок 1.14). Для этого запустим оснастку «Сертификаты» и просмотрим сертификат в разделе «Личное».

Рисунок 1.14 – Отсутствие доверия к сертификату пользователя УЦ ФБ

Для осуществления процедуры кросс-сертификации необходимо включить один из встроенных шаблонов сертификатов. Для этого в оснастке «Центр сертификации» и для раздела «Шаблоны сертификации» выберем в меню «Создать» пункт «Выдаваемый шаблон сертификата».

В предложенном списке выберем шаблон «Перекрестный центр сертификации» (рисунок 15) и нажмем «ОК».

Рисунок 1.15 - Включение шаблона «Перекрестный центр сертификации»

Поскольку удостоверяющий центр уже был настроен, далее можно перейти к запросу сертификата на основе включенного шаблона. Проделаем те же действия в консоли, которые проводились для УЦ ФБ.

На этапе выполнения подтверждения запроса для кросссертификата будет получена ошибка (рисунок 16).

Рисунок 1.16 – Результат выполнения команды

Выполним запрос на сертификат (рисунок 1.17). Система выдаст требуемый сертификат без каких-либо замечаний. Сохраним сертификат на локальном диске, а после установим его в хранилище сертификатов (рисунок 1.18).

Рисунок 1.17 – Результат выполнения команды

Рисунок 1.18 – Сертификат

Заключение

В процессе выполнения данной лабораторной работы, ознакомились с процедурой кросс-сертификации - установлением доверия между двумя удостоверяющими центрами.

Отчет составлен согласно ОС ТУСУР 2021.