Болтушкин Л.С., группа 712-2, лабораторная 7
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОННИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
ИЕРАРХИЧЕСКАЯ МОДЕЛЬ ДОВЕРИЯ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ
Отчет по лабораторной работе №7
по дисциплине «Прикладная криптография»
Студент гр. 712-2 ___________ Л.С. Болтушкин __________
Руководитель Преподаватель кафедры КИБЭВС
_______ __________ А.Ю. Якимук
__________
Томск 2025
Введение
Целью данной лабораторной работы является ознакомление с одной из базовых моделей доверия, применяемой при построении архитектуры инфраструктуры открытых ключей. В данной работе будет изучена работа удостоверяющих центров при иерархической модели доверия, рассмотрены особенности работы на каждом из уровней, работа операторов на каждом уровне сертификации.
1 ХОД РАБОТЫ
1.1 Реализация иерархии удостоверяющих центров
В рамках данной лабораторной работы потребуется добавить в подчинение к УЦ ФБ, с которым организовывали взаимодействие, промежуточный удостоверяющий центр – кафедральный.
Для этого была запущена ВМ «PKI lab», для того чтобы ввести новый (кафедральный) удостоверяющий центр в подчинение к факультетскому удостоверяющему центру необходимо ввести виртуальную машину в домен факультета.
Данная операция потребует предварительной подготовки, иначе при добавлении компьютера в домен может быть получена ошибка, чтобы ее предотвратить воспользуемся следующей командой, запуск которой осуществляется из директории (рисунок 1.1.1).
Рисунок 1.1.1 – Вызов утилиты в командной строке с параметрами
В результате у второй виртуальной машины изменился SID и ВМ была выключена, после ее запуска потребовалось заново выбрать настройки, представленные на рисунке 1.1.2.
Рисунок 1.1.2 – Настройка региона
Следующим шагом были изменены параметры сетевых адаптеров обоих виртуальных машин. В свойствах у IP версии 4 указаны для удостоверяющих центров факультета и кафедры IP-адреса 192.168.0.1 и 192.168.0.2 соответственно (рисунок 1.1.3).
Рисунок 1.1.3 – Настройка IP-адресов адаптеров виртуальных машин
Далее на ВМ УЦ ФБ была создана учетная запись для управления подчиненным УЦ через меню «Средства» и оснастку «Пользователи и компьютеры Active Directory» (рисунок 1.1.4).
Рисунок 1.1.4 – Создание нового пользователя
Следующим шагом стало присоединение второй виртуальной машины к домену (рисунок 1.1.5).
Рисунок 1.1.5 – Подключение виртуальной машины к домену
После нажатия на кнопку «ОК» потребовалось указать логин и пароль пользователя, были указаны данные недавно созданного пользователя (рисунок 1.1.6).
Рисунок 1.1.6 – Ввод учетных данных для подключения к домену
В результате система выдала сообщение об успешном подключении к домену данной виртуальной машины (рисунок 1.1.7).
Рисунок 1.1.7 – Уведомление об успешном включении в домен
Далее были выданы права подчиненному серверу на изготовление сертификатов через свойства созданного пользователя в оснастке «Пользователи и компьютеры Active Directory» (рисунок 1.1.8).
Рисунок 1.1.8 – Добавление пользователя в группу «Издатели сертификатов»
Были установлены доменные службы Active Directory, по окончанию установки компонента была нажата ссылка «Повысить роль этого сервера до уровня контроллера домена» (рисунок 1.1.9).
Рисунок 1.1.9 – Успешная установка
В открывшемся окне мастера выбрана опция «Добавить контроллер домена в существующий лес» (рисунок 1.1.10).
Рисунок 1.1.10 – Добавление контроллера домена в существующий лес
После окончания установки компонентов были настроены службы сертификатов Active Directory (рисунки 1.1.11 – 1.1.13).
Рисунок 1.1.11 – Выбор типа ЦС
Рисунок 1.1.12 – Запрос сертификата из родительского ЦС
Рисунок 1.1.13 – Выбор родительского центра сертификации
Следующие параметры были оставлены по умолчанию. После окончания настройки был запущен Internet Explorer и в адресной строке указан путь к ЦС (рисунок 1.1.14).
Рисунок 1.1.14 – Подчиненный центр сертификации
Далее была проверена возможность подключения подчиненного центра сертификации к корневому (рисунок 1.1.15).
Рисунок 1.1.15 – Корневой центр сертификации
Далее был совершен переход к виртуальной машине с корневым центром сертификации (УЦ ФБ) и на данном этапе проверено, что подчиненному сертификату был выдан соответствующий сертификат через оснастку «Центр сертификации» в разделе «Выданные сертификаты».
Рисунок 1.1.16 – Список выданных сертификатов
Далее была запущена третья виртуальная машина и установлено «КриптоAPM» в режиме настраиваемой установки (рисунки 1.1.17 и 1.1.18).
Рисунок 1.1.17 – Запуск установки КриптоAPM
Рисунок 1.1.18 – Выбор установки всех доступных модулей
Для полного соответствия получаемой иерархии схеме третья виртуальная машина тоже была включена в домен «tusur.ru», для этого были изменены параметры сетевого адаптера у третьей ВМ (рисунок 1.1.19).
Рисунок 1.1.19 – Изменение параметров сетевого адаптера третьего уровня иерархии
Далее добавлен компьютер в домен tusur.ru (рисунок 1.1.20).
Рисунок 1.1.20 – Добавление компьютера в домен tusur.ru
После перезагрузки виртуальной машины был совершен вход под доменной учетной записью и запущен Internet Explorer, в адресной строке указан путь к подчиненному ЦС (рисунок 1.1.21).
Рисунок 1.1.21 – Подчиненный центр сертификации
Далее был запрошен сертификат пользователя от подчиненного центра сертификации (рисунок 1.1.22).
Рисунок 1.1.22 – Выдача сертификата
В результате проделанных действий получен сертификат (рисунок 1.1.23).
Рисунок 1.1.23 – Выданный сертификат
После установки сертификата были просмотрены его свойства, где можно заметить, что выдан данный сертификат подчиненным центром сертификации – KIBEVS (рисунок 1.1.24).
Рисунок 1.1.24 – Общие свойства сертификата
При нажатии «Путь сертификации» можно увидеть полное дерево иерархии от корневого центра сертификации до текущего уровня (рисунок 1.1.25).
Рисунок 1.1.25 – Путь сертификации
1.2 Практическое изучение иерархической модели доверия
Был создан документ с текстовым содержанием и запущен мастер создания электронной подписи (рисунок 1.2.1).
Рисунок 1.2.1 – Мастер создания ЭП
В результате проделанных действий произведена электронная подпись выбранного документа, об этом уведомляет окно, представленное на рисунке 1.2.2.
Рисунок 1.2.2 – Уведомление об успешном создании подписи
Рядом с текстовым файлом, который был подписан, появился файл ЭП (рисунок 1.2.3).
Рисунок 1.2.3 – Файл ЭП с подписанным документом
Данный файл можно просмотреть с помощью КриптоAPM, нажав на кнопку «Просмотр» (рисунок 1.2.4).
Рисунок 1.2.4 – Открытие файла ЭП
В результате выполнения данного действия откроется меню управления подписанными данными (рисунок 1.2.5).
Рисунок 1.2.5 – Информация о подписи и сертификате
Далее была рассмотрена ситуация, как будет выглядеть работа уровней иерархической архитектуры при отказе работы ее компонентов.
В качестве примера была рассмотрен отзыв сертификата, выданного подчиненному УЦ, для этого была открыта оснастка «Центр сертификации», выбран раздел «Выданные сертификаты» и в контекстном меню выбрана задача «Отзыв сертификата» (рисунок 1.2.6).
Рисунок 1.2.6 – Отзыв сертификата
Далее было открыто окно, в котором указана причина, дата и время отзыва сертификата (рисунок 1.2.7).
Рисунок 1.2.7 – Параметры отзыва сертификата
Во вкладке «Отозванные сертификаты» присутствует только что отозванный сертификат, но информация об этом не опубликована, для этого выбрана задача «Публикация» (рисунок 1.2.8).
Рисунок 1.2.8 – Публикация отозванного сертификата
Было открыто окно выбора типа публикуемого списка отозванных сертификатов и выбран «Новый базовый CRL» (рисунок 1.2.9).
Рисунок 1.2.9 – Вызов процедуры публикации списка отозванных сертификатов
После этого была произведена операция отмена отзыва сертификата (рисунок 1.2.10).
Рисунок 1.2.10 – Отмена отзыва сертификата
Заключение
В ходе выполнения данной лабораторной работы была изучена одна из базовых моделей доверия, применяемой при построении архитектуры инфраструктуры открытых ключей. Также изучена работа удостоверяющих центров при иерархической модели доверия, рассмотрены особенности работы на каждом из уровней, работа операторов на каждом уровне сертификации.