Nazwa przedmiotu:
Bezpieczeństwo Sieci laboratorium
Prowadzący:
mgr inż. Radosław Michalski (
rmichalski@wsiz.wroc.pl
)
mgr inż. Jerzy śemła (
jzemla@wsiz.wroc.pl
)
Temat laboratorium:
Usługi certyfikatów w Windows 2003
Czas trwania:
2h
Uwagi:
Wymagany Windows 2003 w funkcji kontrolera domeny
I Wprowadzenie do zajęć
Infrastruktura klucza publicznego (PKI, ang. public key infrastructure) to zestaw
rozwiązań technicznych i organizacyjnych mający za zadanie podnieść poziom poufności
i autentyczności informacji, a także odpowiedzialności ludzi przy podejmowaniu decyzji.
Rozwiązania PKI najczęściej mylnie identyfikowane są tylko z instytucją podpisu
elektronicznego, jednak systemy tego typu mają o wiele większe możliwości, o których
poniżej.
Każde
prawidłowo
zaprojektowane
rozwiązanie
PKI
gwarantuje
spełnienie
następujących wymogów:
•
uwierzytelnianie, czyli weryfikacja czy podmiot autor komunikatu rzeczywiście
jest tym, za kogo się podaje,
•
integralność, czyli zapewnienie spójności przekazywanych wiadomości (systemy
PKI dają odpowiedź na pytanie czy komunikat był modyfikowany po drodze od
nadawcy do adresata),
•
poufność, czyli zapewnienie tajności wymiany informacji (szyfrowanie),
•
niezaprzeczalność, czyli niemożność wyparcia się autorstwa komunikatu.
Najczęściej wykorzystywaną implementacją założeń PKI jest architektura X.509, która
wprowadza m.in. pojęcia: urzędu certyfikacyjnego (CA), urzędu rejestracyjnego (RA),
certyfikatu. Jest ona stosowana w większości urządzeń (komputery, serwery, routery a
nawet telefony komórkowe) i wygląda na to, że póki co ten stan się nie zmieni.
W trakcie tego laboratorium zapoznasz się z możliwościami Windows 2003 Server w
zakresie PKI – stworzysz urząd rejestracyjny oraz spróbujesz wygenerować certyfikaty
dla klientów.
II Realizowane scenariusze
1.
Pierwszym krokiem jest założenie własnego urzędu certyfikacji – Panel
sterowania -> Dodaj/usuń programy -> Komponenty systemu Windows.
Zaznacz tam:
•
Application Server (zainstalowany zostanie IIS potrzebny do wprowadzenia
obsługi żądań certyfikatów przez przeglądarkę),
•
Certificate Services (usługi certyfikacji wraz z dodatkami do IIS).
Następnie zainstaluj wybrane komponenty. W razie pytania o ścieżkę podaj
C:\i386.
2.
Aby móc w pełni skorzystać z możliwości obsługi PKI w środowisku MS, stwórz
CA przedsiębiorstwa:
3.
Wybierz nazwę dla urzędu certyfikacji i kontynuuj instalację:
4.
Po stworzeniu CA, zapoznaj się z mmc Certification Authority. Znajdujące się tam
gałęzie zawierają informacje o wystawionych i odwołanych certyfikatach oraz o
żądaniach wystawienia certyfikatów.
5.
Spróbuj znaleźć w mmc certyfikat własnego CA – jest to jedyny self-signed
certificate.
6.
Następnie
z
poziomu
przeglądarki
internetowej
otwórz
witrynę
http://localhost/certsrv
- jest to witryna pozwalająca na generowanie żądań
certyfikatów przez klientów. Spróbuj wygenerować żądanie certyfikatu i
następnie przetworzyć je w Twoim CA.
7.
Następnie spróbuj wygenerować certyfikat dla IIS do obsługi SSL. Robi się to
poprzez konsolę mmc służącą do zarządzania IIS.
IV Sprawozdanie
1.
Stwórz własne CA i wygeneruj przy jego pomocy certyfikat klienta na swoje imię i
nazwisko i wyślij mi go w załączniku do maila.
2.
Jakie znasz inne systemy PKI, które realizują wymienione postulaty a nie bazują na
X.509?
V Materiały pomocnicze
1.
Public Key Infrastructure for Windows Server 2003
http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx
2.
OpenSSL Project
http://www.openssl.org/
3.
Bruce Schneier - 10 Risks of PKI
www.schneier.com/paper-pki.pdf