Nazwa przedmiotu: 

Bezpieczeństwo Sieci laboratorium 

Prowadzący: 

mgr inŜ. Radosław Michalski (

rmichalski@wsiz.wroc.pl

) 

mgr inŜ. Jerzy śemła (

jzemla@wsiz.wroc.pl

) 

Temat laboratorium: 

Usługi certyfikatów w Windows 2003

 

Czas trwania: 

2h 

Uwagi: 

Wymagany Windows 2003 w funkcji kontrolera domeny 

 
I Wprowadzenie do zajęć 
 

Infrastruktura  klucza  publicznego  (PKI,  ang.  public  key  infrastructure)  to  zestaw 
rozwiązań technicznych i organizacyjnych mający za zadanie podnieść poziom poufności 
i autentyczności informacji, a takŜe odpowiedzialności ludzi przy podejmowaniu decyzji. 
Rozwiązania  PKI  najczęściej  mylnie  identyfikowane  są  tylko  z  instytucją  podpisu 
elektronicznego, jednak systemy tego typu mają o wiele większe moŜliwości, o których 
poniŜej. 
 
KaŜde 

prawidłowo 

zaprojektowane 

rozwiązanie 

PKI 

gwarantuje 

spełnienie 

następujących wymogów:  

•

 

uwierzytelnianie,  czyli  weryfikacja  czy  podmiot  autor  komunikatu  rzeczywiście 
jest tym, za kogo się podaje, 

•

 

integralność,  czyli  zapewnienie  spójności  przekazywanych  wiadomości  (systemy 
PKI  dają  odpowiedź  na pytanie  czy  komunikat  był  modyfikowany  po  drodze  od 
nadawcy do adresata), 

•

 

poufność, czyli zapewnienie tajności wymiany informacji (szyfrowanie), 

•

 

niezaprzeczalność, czyli niemoŜność wyparcia się autorstwa komunikatu. 

 
Najczęściej  wykorzystywaną  implementacją  załoŜeń  PKI  jest  architektura  X.509,  która 
wprowadza  m.in.  pojęcia:  urzędu  certyfikacyjnego  (CA),  urzędu  rejestracyjnego  (RA), 
certyfikatu. Jest ona stosowana w większości urządzeń (komputery, serwery, routery a 
nawet telefony komórkowe) i wygląda na to, Ŝe póki co ten stan się nie zmieni. 
 
W  trakcie  tego  laboratorium  zapoznasz  się  z  moŜliwościami  Windows  2003  Server  w 
zakresie  PKI  –  stworzysz  urząd  rejestracyjny  oraz  spróbujesz  wygenerować  certyfikaty 
dla klientów. 
 

II Realizowane scenariusze 

 

1.

 

Pierwszym  krokiem  jest  załoŜenie  własnego  urzędu  certyfikacji  –  Panel 
sterowania -> Dodaj/usuń programy -> Komponenty systemu Windows. 
 
Zaznacz tam: 

•

 

Application Server (zainstalowany zostanie IIS potrzebny do wprowadzenia 
obsługi Ŝądań certyfikatów przez przeglądarkę), 

•

 

Certificate Services (usługi certyfikacji wraz z dodatkami do IIS). 

 

Następnie  zainstaluj  wybrane  komponenty.  W  razie  pytania  o  ścieŜkę  podaj 
C:\i386. 

 

 

2.

 

Aby móc w pełni skorzystać z moŜliwości obsługi PKI w środowisku MS, stwórz 
CA przedsiębiorstwa: 

 

 

 

 

3.

 

Wybierz nazwę dla urzędu certyfikacji i kontynuuj instalację: 

 

 
4.

 

Po stworzeniu CA, zapoznaj się z mmc Certification Authority. Znajdujące się tam 
gałęzie  zawierają  informacje  o  wystawionych  i  odwołanych  certyfikatach oraz  o  
Ŝądaniach wystawienia certyfikatów. 
 

5.

 

Spróbuj  znaleźć  w  mmc  certyfikat  własnego  CA  –  jest  to  jedyny  self-signed 
certificate. 

 

6.

 

Następnie 

z 

poziomu 

przeglądarki 

internetowej 

otwórz 

witrynę 

http://localhost/certsrv

  -  jest  to  witryna  pozwalająca  na  generowanie  Ŝądań 

certyfikatów  przez  klientów.  Spróbuj  wygenerować  Ŝądanie  certyfikatu  i 
następnie przetworzyć je w Twoim CA. 

 
7.

 

Następnie  spróbuj  wygenerować  certyfikat  dla  IIS  do  obsługi  SSL.  Robi  się  to 
poprzez konsolę mmc słuŜącą do zarządzania IIS. 

 
 
 
IV Sprawozdanie 
 

1.

 

Stwórz  własne  CA  i  wygeneruj  przy  jego  pomocy  certyfikat  klienta  na  swoje  imię  i 

nazwisko i wyślij mi go w załączniku do maila.  

2.

 

Jakie  znasz  inne  systemy  PKI,  które  realizują  wymienione  postulaty  a  nie  bazują  na 

X.509? 

 
 

 
 

V Materiały pomocnicze 
 

1.

 

Public Key Infrastructure for Windows Server 2003 

http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx

 

 

2.

 

OpenSSL Project 

http://www.openssl.org/

 

 

3.

 

Bruce Schneier - 10 Risks of PKI 

www.schneier.com/paper-pki.pdf