Болтушкин Л.С., группа 712-2, лабораторная 6
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОННИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
КРОСС-СЕРТИФИКАЦИЯ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ
Отчет по лабораторной работе №6
по дисциплине «Прикладная криптография»
Студент гр. 712-2 ___________ Л.С. Болтушкин __________
Руководитель Преподаватель кафедры КИБЭВС
_______ __________ А.Ю. Якимук
__________
Томск 2025
Введение
Целью данной лабораторной работы является ознакомление с процедурой кросс-сертификации – установление доверия между двумя удостоверяющими центрами.
1 ХОД РАБОТЫ
1.1 Подготовка к процедуре кросс-сертификации
В качестве эксперимента был скопирован сертификат пользователя 7122-BLS, полученный в предыдущей лабораторной работе, на виртуальную машину УЦ ФБ. Система уведомила о том, что у нее недостаточно информации для проверки сертификата (рисунок 1.1.1).
Рисунок 1.1.1 – Скопированный сертификат на другую ВМ
Во вкладке «Пути сертификации» свойств сертификата было замечено, что невозможно обнаружить поставщика данного сертификата (рисунок 1.1.2).
Рисунок 1.1.2 – Путь сертификации для скопированного сертификата
Система на первой вкладке предлагает установить данный сертификат, что и было сделано, проверка его наличия после установки представлена на рисунке 1.1.3.
Рисунок 1.1.3 – Наличие сертификата в целевом разделе
Если снова зайти в свойства сертификата в хранилище, то можно заметить, что данные во вкладках остались прежними. Доверия к данному сертификату в данный момент нет.
1.2 Односторонняя кросс-сертификация
Для выпуска кросс-сертификата необходимо наличие корневого сертификата от удостоверяющего центра, к которому будет предоставлено доверие на УЦ ФБ, для этого снова был совершен вход в первую виртуальную машину и открыт «Путь сертификации» любого сертификата в разделе «Выданные сертификаты» (рисунок 1.2.1).
Рисунок 1.2.1 – Выбор коревого сертификата УЦ
Нажата кнопка «Просмотр сертификата» и в открывшемся окне сертификата выбрана вкладка «Состав» и далее кнопка «Копировать в файл» (рисунок 1.2.2).
Рисунок 1.2.2 – Состав сертификата
С помощью мастера экспорта сертификатов был экспортирован корневой сертификат в файл и перемещен на ВМ УЦ ФБ.
Далее был создан текстовый файл с именем «Policy.inf» и содержание, представленное на рисунке 1.2.3.
Рисунок 1.2.3 – Создание файла «Policy.inf»
Следующим шагом был установлен сертификат на ВМ УЦ ФБ при помощи командой строки (рисунок 1.2.4).
Рисунок 1.2.4 – Результат выполнения команды
После ввода команды был выбран сертификат и файл «Policy.inf» в диалоговом окне, затем отказ от считывания смарт карты (рисунок 1.2.5) и выбран сертификат подписи (рисунок 1.2.6).
Рисунок 1.2.5 – Отказ от смарт-карты
Рисунок 1.2.6 – Результат выполнения команды
Далее был сохранен сформированный запрос также через командную строку (рисунок 1.2.7).
Рисунок 1.2.7 – Сохранение сформированного запроса.
Система выдала требуемый сертификат, единственное отличие в результате заключается в изменении срока действия сертификата (рисунок 1.2.8).
Рисунок 1.2.8 – Результат выполнения команды с уведомлением об изменении срока действия сертификата
Далее был установлен полученный сертификат в раздел «Промежуточные центры сертификаты» (рисунок 1.2.9).
Рисунок 1.2.9 – Установленный сертификат
Если зайти в свойства сертификата пользователя 7122_BLS, то можно было увидеть, что в пути сертификации для него указано, что он действителен и это подтверждено двумя УЦ (рисунок 1.2.10).
Рисунок 1.2.10 – Путь сертификации сертификата «7122_BLS»
1.3 Двусторонняя кросс-сертификация
Для того, чтобы сертификат был от другого пользователя, а не от Администратора, необходимо создать пользователя через оснастку «Active Directory» (рисунок 1.3.1), далее добавлен в группу администраторов домена.
Рисунок 1.3.1 – Создание пользователя на ВМ УЦ ФБ
После совершен вход на сайт веб-регистрации УФ ФБ и запрошен сертификат созданного пользователя. В оснастке «Центр сертификации» был выбран созданный сертификат и по аналогии экспортирован корневой сертификат УЦ ФБ (рисунок 1.3.2).
Рисунок 1.3.2 – Отсутствие доверия к сертификату пользователя УЦ ФБ
Для осуществления процедуры кросс-сертификации необходимо включить один из встроенных шаблонов сертификатов (рисунок 1.3.3).
Рисунок 1.3.3 – Включение шаблона «Перекрестный ЦС»
Поскольку удостоверяющий центр уже был настроен, далее был совершен переход к запросу сертификата на основе включающего шаблона, где были проделаны те же действия в консоли, которые проводились и для УЦ ФБ, но на этапе выполнения подтверждения запроса для кросс-сертификата была получена ошибка (рисунок 1.3.4).
Рисунок 1.3.4 – Ошибка запроса, связанная с недоступностью сервера отзыва
Для решения данной проблемы в оснастке «Центр сертификации» был опубликован новый список отзыва сертификатов (рисунок 1.3.5).
Рисунок 1.3.5 – Публикация нового списка отозванных сертификатов
Система предложила один из вариантов публикации нового списка, где можно заметить, что старый список все еще является актуальным, об этом свидетельствует о сбое в работе УЦ, вызванным недоступностью точки распространения списка (рисунок 1.3.6).
Рисунок 1.3.6 – Выбор варианта публикации списка отозванных сертификатов
В результате был получен новый файл списка отозванных сертификатов (рисунок 1.3.7).
Рисунок 1.3.7 – Полученный файл списка отозванных сертификатов
Заключение
В ходе выполнения данной лабораторной работы было выполнено ознакомление с процедурой кросс-сертификации – установление доверия между двумя удостоверяющими центрами.