Nazwa przedmiotu:

Bezpieczeństwo Sieci laboratorium

Prowadzący:

mgr inż. Radosław Michalski (

rmichalski@wsiz.wroc.pl

)

mgr inż. Jerzy śemła (

jzemla@wsiz.wroc.pl

)

Temat laboratorium:

Usługi certyfikatów w Windows 2003

Czas trwania:

2h

Uwagi:

Wymagany Windows 2003 w funkcji kontrolera domeny

I Wprowadzenie do zajęć

Infrastruktura klucza publicznego (PKI, ang. public key infrastructure) to zestaw
rozwiązań technicznych i organizacyjnych mający za zadanie podnieść poziom poufności
i autentyczności informacji, a także odpowiedzialności ludzi przy podejmowaniu decyzji.
Rozwiązania PKI najczęściej mylnie identyfikowane są tylko z instytucją podpisu
elektronicznego, jednak systemy tego typu mają o wiele większe możliwości, o których
poniżej.

Każde

prawidłowo

zaprojektowane

rozwiązanie

PKI

gwarantuje

spełnienie

następujących wymogów:

•

uwierzytelnianie, czyli weryfikacja czy podmiot autor komunikatu rzeczywiście
jest tym, za kogo się podaje,

•

integralność, czyli zapewnienie spójności przekazywanych wiadomości (systemy
PKI dają odpowiedź na pytanie czy komunikat był modyfikowany po drodze od
nadawcy do adresata),

•

poufność, czyli zapewnienie tajności wymiany informacji (szyfrowanie),

•

niezaprzeczalność, czyli niemożność wyparcia się autorstwa komunikatu.

Najczęściej wykorzystywaną implementacją założeń PKI jest architektura X.509, która
wprowadza m.in. pojęcia: urzędu certyfikacyjnego (CA), urzędu rejestracyjnego (RA),
certyfikatu. Jest ona stosowana w większości urządzeń (komputery, serwery, routery a
nawet telefony komórkowe) i wygląda na to, że póki co ten stan się nie zmieni.

W trakcie tego laboratorium zapoznasz się z możliwościami Windows 2003 Server w
zakresie PKI – stworzysz urząd rejestracyjny oraz spróbujesz wygenerować certyfikaty
dla klientów.

II Realizowane scenariusze

1.

Pierwszym krokiem jest założenie własnego urzędu certyfikacji – Panel
sterowania -> Dodaj/usuń programy -> Komponenty systemu Windows.

Zaznacz tam:

•

Application Server (zainstalowany zostanie IIS potrzebny do wprowadzenia
obsługi żądań certyfikatów przez przeglądarkę),

•

Certificate Services (usługi certyfikacji wraz z dodatkami do IIS).

Następnie zainstaluj wybrane komponenty. W razie pytania o ścieżkę podaj
C:\i386.

2.

Aby móc w pełni skorzystać z możliwości obsługi PKI w środowisku MS, stwórz
CA przedsiębiorstwa:

3.

Wybierz nazwę dla urzędu certyfikacji i kontynuuj instalację:

4.

Po stworzeniu CA, zapoznaj się z mmc Certification Authority. Znajdujące się tam
gałęzie zawierają informacje o wystawionych i odwołanych certyfikatach oraz o
żądaniach wystawienia certyfikatów.

5.

Spróbuj znaleźć w mmc certyfikat własnego CA – jest to jedyny self-signed
certificate.

6.

Następnie

z

poziomu

przeglądarki

internetowej

otwórz

witrynę

http://localhost/certsrv

- jest to witryna pozwalająca na generowanie żądań

certyfikatów przez klientów. Spróbuj wygenerować żądanie certyfikatu i
następnie przetworzyć je w Twoim CA.

7.

Następnie spróbuj wygenerować certyfikat dla IIS do obsługi SSL. Robi się to
poprzez konsolę mmc służącą do zarządzania IIS.

IV Sprawozdanie

1.

Stwórz własne CA i wygeneruj przy jego pomocy certyfikat klienta na swoje imię i

nazwisko i wyślij mi go w załączniku do maila.

2.

Jakie znasz inne systemy PKI, które realizują wymienione postulaty a nie bazują na

X.509?

V Materiały pomocnicze

1.

Public Key Infrastructure for Windows Server 2003

http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx

2.

OpenSSL Project

http://www.openssl.org/

3.

Bruce Schneier - 10 Risks of PKI

www.schneier.com/paper-pki.pdf