
Лаба 6
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего образования
«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
КРОСС-СЕРТИФИКАЦИЯ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ
Отчет по лабораторной работе №6
по дисциплине «Прикладная криптография»
Студент гр. ***-*:
_______
__.__.2024
Руководитель
преподаватель каф. КИБЭВС
_______ А.Ю. Якимук
__.__.2024
Томск 2024
Введение
Целью лабораторной работы является ознакомление с процедурой кросс-сертификации - установление доверия между двумя удостоверяющими центрами.
1 ХОД РАБОТЫ
В качестве эксперимента скопируем сертификат пользователя, полученный в предыдущей лабораторной работе, на УЦ ФБ. Система сообщит, что у нее недостаточно информации для проверки сертификата (рисунок 1.1).
Рисунок 1.1 – Скопированный на другую виртуальную машину сертификат
Во вкладке «Пути сертификации» свойств сертификата говорится, что невозможно обнаружить поставщика этого сертификата (рисунок 1.2).
Рисунок 1.2 – Путь сертификации для скопированного сертификата
Система на первой вкладке предлагает установить данный сертификат. Установим сертификат на локальном компьютере в раздел «Личное». Проверим наличие сертификата в данном хранилище (рисунок 1.3).
Рисунок 1.3 – Наличие сертификата в целевом разделе
Если зайти в свойства сертификата в хранилище, то можно заметить, что данные во вкладках остались прежними. Доверия к данному сертификату в данный момент нет. Для того, чтобы это исправить можно осуществить 2 варианта подтверждения доверия к издателю. Первым вариантом является копирование корневого сертификата УЦ, который выдал данный сертификат, и установка данного сертификата на данном компьютере в разделе «Доверенные издатели» (рисунок 1.4). Другим вариантом является процедура кросссертификации.
Рисунок 1.4 – Свойства корневого сертификата другого УЦ
Для выпуска кросс-сертификата необходимо наличие корневого сертификата от удостоверяющего центра, к которому будет предоставлено доверие на УЦ ФБ. Переключимся к виртуальной машине с нашим удостоверяющим центром. Запустим оснастку «Центр сертификации», перейдем в раздел «Выданные сертификаты» и выберем любой сертификат. Во вкладке «Путь сертификации» выберем верхний уровень и нажмем кнопку «Просмотр сертификата» (рисунок 1.5).
rjvf
Рисунок 1.5 – Выбор корневого УЦ
На виртуальной машине УЦ ФБ уже выполнены все действия, которые необходимы для проведения кросс-сертификации удостоверяющих центров. Отметим, что кросс-сертификация — это весьма обширная тема. Для нашего сценария нет необходимости рассматривать подробности т.н. qualified subordination, поэтому ограничимся самым простым вариантом, без дополнительных ограничений
Для этого создадим текстовый файл с именем «Policy.inf» и следующим содержанием:
[Version]
Signature = $WindowsNT$
[RequestAttributes]
CertificateTemplate = CrossCA
Далее экспортируем созданный текстовый файл с именем «Policy.inf» на виртуальную машину УЦ ФБ.
Установим сертификат на виртуальной машине УЦ ФБ при помощи командной строки и следующей команды (рисунок 1.6):
Рисунок 1.6 – Результат выполнения команды
После ввода команды выберем в диалоговом окне сертификат и файл «Policy.inf». Затем выберем сертификат подписи (рисунок 1.7) и укажем путь для сохранения запроса.
Рисунок 1.7 – Выбор сертификата подписи
Далее система предложит сохранить сформированный запрос. Выполним его также через командную строку (рисунок 1.8).
Рисунок 1.8 – Результат выполнения команды
Система
выдаст требуемый сертификат. Единственное
отличие в результате будет заключаться
в изменении срока действия сертификата
(рисунок 1.9).
Рисунок 1.9 - Результат выполнения команды с уведомлением об изменении срока действия сертификата
Далее можно установить полученный сертификат. Для этого во вкладке свойств полученного сертификата нажмем на кнопку «Установить сертификат». Откроется мастер импорта сертификатов. В качестве расположения хранилища выберем «Локальный компьютер и автоматический выбор хранилища. Сертификат будет помещен в раздел «Промежуточные центры сертификаты» (рисунок 1.10).
Рисунок 1.10 – Установленный сертификат
Если зайти в свойства сертификата пользователя NNNN-FIO (рисунок 1.11), то можно увидеть, что в пути сертификации для него указано, что сертификат действителен и это подтверждено удостоверяющим центром.
Рисунок 1.11 – Результат выполнения команды
Чтобы разобраться с тем, какие настройки необходимо было осуществить для возможности осуществления кросс-сертификации осуществим обратное построение доверия.
Для того, чтобы сертификат был от другого пользователя, а не от администратора, создадим пользователя через оснастку «Active Directory – пользователи и компьютеры» с нашими инициалами (рисунок 1.12). Добавим созданного пользователя в группу администраторов домена.
Рисунок 1.12 – Создание пользователя на виртуальной машине УЦ ФБ
Зайдем на сайт веб-регистрации УЦ ФБ и запросим сертификат для созданного пользователя. В оснастке «Центр сертификации» выберем созданный сертификат (рисунок 1.13). Экспортируйте его. Для этого на вкладке «Состав» нажмем на кнопку «Копировать в файл». По аналогии экспортируйем корневой сертификат УЦ ФБ на вкладке «Путь сертификации».
Рисунок 1.13 – Путь сертификации для сертификата пользователя
Скопируем ранее созданный текстовый файл с именем «Policy.inf» и оба сертификата на виртуальную машину с нашим удостоверяющим центром.
Установим сертификат пользователя, полученный от УЦ ФБ. Удостоверимся, что к нему нет доверия (рисунок 1.14). Для этого запустим оснастку «Сертификаты» и просмотрим сертификат в разделе «Личное».
Рисунок 1.14 – Отсутствие доверия к сертификату пользователя УЦ ФБ
Для осуществления процедуры кросс-сертификации необходимо включить один из встроенных шаблонов сертификатов. Для этого в оснастке «Центр сертификации» и для раздела «Шаблоны сертификации» выберем в меню «Создать» пункт «Выдаваемый шаблон сертификата».
В предложенном списке выберем шаблон «Перекрестный центр сертификации» (рисунок 15) и нажмем «ОК».
Рисунок 1.15 - Включение шаблона «Перекрестный центр сертификации»
Поскольку удостоверяющий центр уже был настроен, далее можно перейти к запросу сертификата на основе включенного шаблона. Проделаем те же действия в консоли, которые проводились для УЦ ФБ.
На этапе выполнения подтверждения запроса для кросссертификата будет получена ошибка (рисунок 16).
Рисунок 1.16 – Результат выполнения команды
Выполним запрос на сертификат (рисунок 1.17). Система выдаст требуемый сертификат без каких-либо замечаний. Сохраним сертификат на локальном диске, а после установим его в хранилище сертификатов (рисунок 1.18).
Рисунок 1.17 – Результат выполнения команды
Рисунок 1.18 – Сертификат
Заключение
В процессе выполнения данной лабораторной работы, ознакомились с процедурой кросс-сертификации - установлением доверия между двумя удостоверяющими центрами.
Отчет составлен согласно ОС ТУСУР 2021.