Nazwa przedmiotu: Bezpieczeństwo Sieci laboratorium
Prowadzący: mgr in\
. Radosław Michalski (rmichalski@wsiz.wroc.pl)
mgr in\
. Jerzy śemła (jzemla@wsiz.wroc.pl)
Temat laboratorium: Usługi certyfikatów w Windows 2003
Czas trwania: 2h
Uwagi: Wymagany Windows 2003 w funkcji kontrolera domeny
I Wprowadzenie do zajęć
Infrastruktura klucza publicznego (PKI, ang. public key infrastructure) to zestaw
rozwiązań technicznych i organizacyjnych mający za zadanie podnieść poziom poufności
i autentyczności informacji, a tak\
e odpowiedzialności ludzi przy podejmowaniu decyzji.
Rozwiązania PKI najczęściej mylnie identyfikowane są tylko z instytucją podpisu
elektronicznego, jednak systemy tego typu mają o wiele większe mo\
liwości, o których
poni\
ej.
Ka\
de prawidłowo zaprojektowane rozwiązanie PKI gwarantuje spełnienie
następujących wymogów:
" uwierzytelnianie, czyli weryfikacja czy podmiot autor komunikatu rzeczywiście
jest tym, za kogo się podaje,
" integralność, czyli zapewnienie spójności przekazywanych wiadomości (systemy
PKI dają odpowiedz
na pytanie czy komunikat był modyfikowany po drodze od
nadawcy do adresata),
" poufność, czyli zapewnienie tajności wymiany informacji (szyfrowanie),
" niezaprzeczalność, czyli niemo\
ność wyparcia się autorstwa komunikatu.
Najczęściej wykorzystywaną implementacją zało\
eń PKI jest architektura X.509, która
wprowadza m.in. pojęcia: urzędu certyfikacyjnego (CA), urzędu rejestracyjnego (RA),
certyfikatu. Jest ona stosowana w większości urządzeń (komputery, serwery, routery a
nawet telefony komórkowe) i wygląda na to, \
e póki co ten stan się nie zmieni.
W trakcie tego laboratorium zapoznasz się z mo\
liwościami Windows 2003 Server w
zakresie PKI  stworzysz urząd rejestracyjny oraz spróbujesz wygenerować certyfikaty
dla klientów.
II Realizowane scenariusze
1. Pierwszym krokiem jest zało\
enie własnego urzędu certyfikacji  Panel
sterowania -> Dodaj/usuń programy -> Komponenty systemu Windows.
Zaznacz tam:
" Application Server (zainstalowany zostanie IIS potrzebny do wprowadzenia
obsługi \
ądań certyfikatów przez przeglądarkę),
" Certificate Services (usługi certyfikacji wraz z dodatkami do IIS).
Następnie zainstaluj wybrane komponenty. W razie pytania o ście\
kę podaj
C:\i386.
2. Aby móc w pełni skorzystać z mo\
liwości obsługi PKI w środowisku MS, stwórz
CA przedsiębiorstwa:
3. Wybierz nazwę dla urzędu certyfikacji i kontynuuj instalację:
4. Po stworzeniu CA, zapoznaj się z mmc Certification Authority. Znajdujące się tam
gałęzie zawierają informacje o wystawionych i odwołanych certyfikatach oraz o
\
ądaniach wystawienia certyfikatów.
5. Spróbuj znalez
ć w mmc certyfikat własnego CA  jest to jedyny self-signed
certificate.
6. Następnie z poziomu przeglądarki internetowej otwórz witrynę
http://localhost/certsrv - jest to witryna pozwalająca na generowanie \
ądań
certyfikatów przez klientów. Spróbuj wygenerować \
ądanie certyfikatu i
następnie przetworzyć je w Twoim CA.
7. Następnie spróbuj wygenerować certyfikat dla IIS do obsługi SSL. Robi się to
poprzez konsolę mmc słu\
ącą do zarządzania IIS.
IV Sprawozdanie
1. Stwórz własne CA i wygeneruj przy jego pomocy certyfikat klienta na swoje imię i
nazwisko i wyślij mi go w załączniku do maila.
2. Jakie znasz inne systemy PKI, które realizują wymienione postulaty a nie bazują na
X.509?
V Materiały pomocnicze
1. Public Key Infrastructure for Windows Server 2003
http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx
2. OpenSSL Project
http://www.openssl.org/
3. Bruce Schneier - 10 Risks of PKI
www.schneier.com/paper-pki.pdf