Cwiczenie 09 - Implementacja infrastruktury klucza publicznego.pdf
(
176 KB
)
Pobierz
Microsoft Word - Cwiczenie 09.doc
Bezpieczeństwo systemów
Ćwiczenie 9
Implementacja infrastruktury klucza publicznego
W czasie realizacji ćwiczenia należy opracowywać sprawozdanie według załączonego wzoru, zawierające obrazy
odpowiednich okien, oraz wnioski i komentarze dotyczące realizowanych zadań.
Sprawozdanie w postaci elektronicznej należy oddać prowadzącemu zajęcia
przed opuszczeniem laboratorium.
P
RZED PRZYSTĄPIENIEM DO ĆWICZENIA ZSYNCHRONIZOWAĆ ZEGARY OBU KOMPUTERÓW PARTNERSKICH
.
W
YKORZYSTAĆ POLECENIE
NET TIME.
A. Tworzenie wydzielonego, korzeniowego CA (
Stand-Alone Root CA
)
T
O ĆWICZENIE NALEŻY WYKONAĆ NA JEDNYM KOMPUTERZE W PARZE
. N
ALEŻY WYBRAĆ KOMPUTER
O
WYŻSZYM
NUMERZE
.
1. Zalogować się jako administrator.
2. Uruchomić program MMC i w utworzonej konsoli, umieścić przystawkę (
Snap in
)
Certyfikaty
(
Certificates
). W czasie pracy kreatora, w oknie
Przystawka certyfikatów
(
Certificates snap-
in
), zaznaczyć opcję
Konto komputera
(
Computer account
). Zapisać plik konsoli na pulpicie
pod nazwą C
ERTYFIKATY
_
KOMPUTERA
.
MSC
.
3. W oknie konsoli C
ERTYFIKATY
_
KOMPUTERA
rozwinąć kontener
Osobisty
(
Personal
). Czy są w
nim widoczne jakieś certyfikaty?
Punkty 4
÷
7 zrealizować tylko w przypadku jeżeli w systemie nie jest zainstalowany IIS.
4. Otworzyć panel sterowania, i uruchomić program
Dodaj lub usuń programy
(
Add/Remove
Programs
) , a w jego oknie przycisk
Dodaj/Usuń składniki systemu Windows
(
Add/Remove Windows Components
).
5. W oknie kreatora wybrać pozycję
Serwer aplikacji
(
Application Server
)
i nacisnąć przycisk
Szczegóły
(Details).
6. Zaznaczyć pozycję
Internetowe usługi informacyjne
(IIS) i nacisnąć przycisk
Szczegóły
(Details).
7. Zaznaczyć opcję
Usługa World Wide Web
i kolejno zatwierdzać dokonane wybory.
8. Otworzyć panel sterowania, i uruchomić program
Dodaj lub usuń programy
(
Add/Remove
Programs
) , a w jego oknie przycisk
Dodaj/Usuń składniki systemu Windows
(
Add/Remove Windows Components
).
9. W oknie kreatora zaznaczyć opcję
Usługi Certyfikatów
(
Certificate
Services
).
10. Na stronie
Typ urzędu certyfikacji
(
Certification Authority Type
),
kreatora wybrać opcję
Autonomiczny główny urząd certyfikacji
(
Stand-alone root CA
).
11. Na stronie
Informacja identyfikacyjna CA
(
CA Identifying Information
)
kreatora, w polu
nazwy urzędu wpisać nazwę swojego komputera. Pozostałe pola zostawić bez zmian.
12. Pozostałe strony kreatora pozostawić bez zmian.
13. Po zakończeniu instalacji sprawdzić zawartość kontenera
Osobisty
(
Personal
) w konsoli
C
ERTYFIKATY
_
KOMPUTERA
. Zapoznać się z zawartością wygenerowanego certyfikatu. Zwrócić
uwagę na identyfikator wystawcy i identyfikator właściciela (żądającego wystawienia)
certyfikatu.
14. Sprawdzić zawartość kontenera
Zaufane glówne urzędy certyfikacji
(
Trusted Root
Certification Authorities
) w konsoli C
ERTYFIKATY
_
KOMPUTERA
. Odszukać wygenerowany przed
chwilą certyfikat. Zapoznać się z zawartością tego certyfikatu.
Opracował
: Zbigniew SUSKI
str.
1
Bezpieczeństwo systemów
B. Rejestrowanie dodatkowego zaufanego CA
T
O ĆWICZENIE NALEŻY WYKONAĆ NA JEDNYM KOMPUTERZE W PARZE
. N
ALEŻY WYBRAĆ KOMPUTER
O
NIŻSZYM
NUMERZE
.
1. Zalogować się jako administrator.
2. Uruchomić program MMC i w utworzonej konsoli umieścić przystawkę (
Snap in
)
Certificates
(
Certificates
). W czasie pracy kreatora, w oknie
Przystawka certyfikatów
(
Certificates snap-
in
), zaznaczyć opcję
Konto komputera
(
Computer account
). Zapisać plik konsoli na pulpicie
pod nazwą C
ERTYFIKATY
_
KOMPUTERA
.
MSC
.
3. W oknie konsoli rozwinąć kontener
Osobisty
(
Personal
). Czy są w nim widoczne jakieś
certyfikaty?
4. Wybrać przycisk
Start
a następnie
Uruchom
(Run)
.
5. Wpisać:
http://
serwer_partnera
/
certsrv
(gdzie
serwer_partnera
jest nazwą komputera
partnera wykorzystanego w ćwiczeniu poprzednim).
6. Nastronie
Zapraszamy
(Welcome)
wybrać opcję
Pobierz certyfikat urzędu certyfikacji,
łańcuch certyfikatów lub listę CRL
(
Retrieve the CA certificate or certificate revocation
list)
.
7. Nastronie
Pobierz certyfikat urzędu certyfikacji, łańcuch certyfikatów lub listę CRL
(
Retrieve the CA certificate or certificate revocation list)
,
wybrać
Zainstaluj jego łańcuch
certyfikatów
(
Install this CA certification path)
. Następnie zaakceptować proponowany
certyfikat.
8. Gdy rozwinie się strona
Instalacja certyfikatu urzędu certyfikacji
(
CA Certificate Installed
)
,
zamknąć okno
Internet Explorera
.
9. Pozakończeniu instalacji sprawdzić zawartość kontenera
Zaufane główne urzędy
certyfikacji
(
Trusted Root Certification Authorities
) w konsoli C
ERTYFIKATY
_
KOMPUTERA
.
Odszukać certyfikat komputera partnera. Zapoznać się z zawartością tego certyfikatu.
Porównać tą zawartość z zawartością certyfikatu wygenerowanego podczas realizacji
zadania A. Jeżeli w tym kontenerze nie ma certyfikatu komputera partnera, to po upływie 30
minut należy ten punkt ćwiczenia powtórzyć i udokumentować.
C. Tworzenie wydzielonego, podrzędnego CA (
Stand-Alone Subordinate CA
)
T
O ĆWICZENIE NALEŻY WYKONAĆ NA JEDNYM KOMPUTERZE W PARZE
. N
ALEŻY WYBRAĆ KOMPUTER
O
NIŻSZYM
NUMERZE
,
WYKORZYSTANY W POPRZEDNIM ĆWICZENIU
.
7 zadania A).
2. Otworzyć panel sterowania, następnie uruchomić program
Dodaj lub usuń programy
(
Add/Remove Programs
) , a w jego oknie przycisk
Dodaj/Usuń składniki systemu
Windows
(
Add/Remove Windows Components
)..
3. W oknie kreatora zaznaczyć opcję
Usługi Certyfikatów
(
Certificate
Services
).
4. Nastronie
Typ urzędu certyfikacji
(
Certification Authority Type
),
kreatora wybrać opcję
Autonomiczny podrzędny urząd certyfikacji
(Stand-alone subordinate CA)
.
5. Nastronie
Informacja identyfikacyjna CA
(
CA Identifying Information
)
kreatora, w polu
nazwy urzędu wpisać nazwę swojego komputera. Pozostałe pola wypełnić w identyczny
sposób jak na komputerze partnera.
6. Nastronie
Żądanie certyfikatu od urzędu certyfikcji
(CA Certificate Request
)
, w polu nazy
komputera, wpisać nazwę komputera partnera i nacisnąć klawisz TAB.
7. Dokończyć instalację.
÷
Opracował
: Zbigniew SUSKI
str.
2
1. Jeżeli nie jest zainstalowana usługa IIS, to zainstalować ją (patrz pkt 4
Bezpieczeństwo systemów
D. Emitowanie certyfikatu dla podrzędnego CA
1. Na komputerze pełniącym funkcję korzeniowego CA, otworzyć konsolę
Urząd certyfikacji
(
Certification Authority)
, z grupy narzędzi administracyjnych.
2. Rozwinąć pozycję swojego komputera i wybrać pozycję
Żądania oczekujące
(
Pending
Requests)
.
3. W panelu szczegółów, w menu podręcznym pozycji zgłoszonego żądania wybrać pozycję
Wszystkie zadania
(
All
Tasks)
a potem
Wystaw
(
Issue).
4. W drzewie konsoli wybrać
Wystawione certyfikaty
(
Issued Certificates)
i sprawdzić czy
certyfikat został wyemitowany. Zapoznać się z treścią wygenerowanego certyfikatu. Zwrócić
uwagę na pole identyfikacji zamawiającego certyfikat.
5. Zminimalizować konsolę
Urząd certyfikacji
(
Certification Authority)
.
E. Instalowanie certyfikatu dla podrzędnego CA
1. Na komputerze pełniącym rolę podrzędnego CA, otworzyć konsolę
Urząd certyfikacji
(
Certification Authority)
, z grupy narzędzi administracyjnych. W drzewie konsoli w menu
podręcznym pozycji swojego komputera wybrać pozycję
Wszystkie zadania
(
All Tasks),
a potem
Zainstaluj certyfikat urzędu certyfikacji
(
Install CA Certificate).
2. W oknie dialogowym
Wybierz plik, aby ukończyć instalację urzędu certyfikacji
(Select
file to complete CA installation)
wybrać
Anuluj
(
Cancel).
3. W oknie dialogowym
Żądanie certyfikatu od urzędu certyfikacji
(
CA Certificate Request),
w polu nazwy komputera powinna pojawić się nazwa komputera partnera.
4. Wliście
Nadrzędny urząd certyfikacji
(Parent CA)
wybrać pozycję komputera partnera i
zatwierdzić dokonane wybory (przycisk OK).
5. Odświeżyć obraz konsoli C
ERTYFIKATY
_
KOMPUTERA
. Sprawdzić zawartość kontenera
Osobisty
(
Personal)
w konsoli C
ERTYFIKATY
_
KOMPUTERA
. Zapoznać się z zawartością
wygenerowanego certyfikatu. Porównać zawartość z zawartością certyfikatu
wygenerowanego podczas realizacji zadania D. Zwrócić uwagę na identyfikator wystawcy i
identyfikator właściciela (żądającego wystawienia) certyfikatu.
6. Wkonsoli
Urząd certyfikacji
(
Certification Authority)
, w menu podręcznym pozycji swojego
komputera wybrać pozycję
Uruchom usługę
(
Start service
).
7. Zminimalizować konsolę
Urząd certyfikacji
(
Certification Authority)
.
Opracował
: Zbigniew SUSKI
str.
3
Bezpieczeństwo systemów
K
OLEJNE ĆWICZENIA NALEŻY WYKONAĆ NIEZALEŻNIE NA OBU KOMPUTERACH PARTNERSKICH
F. Żądanie certyfikatu IPSec dla komputera
1. Wybrać przycisk
Start
a następnie
Uruchom
(
Run
).
2. Wpisać:
http://
serwer
/
certsrv
(gdzie
serwer
jest nazwą własnego komputera).
3. Nastronie
Zapraszamy
(
Welcome
) wybrać link
Żądanie certyfikatu
(
Request a certificate
).
4. Nastronie
Żądaj certyfikatu
(
Choose Request Type
)
wybrać
Zaawansowanie żądanie
certyfikatu
(
Advanced request
).
5. Nastronie
Zaawansowanie żądanie certyfikatu
(
Advanced Certificate Requests
) wybrać
link
Utwórz i prześlij żądanie do tego urzędu certyfikacji
(
Submit a certificate request to
this CA using a form
).
6. Na kolejnej stronie
Zaawansowanie żądanie certyfikatu
(
Advanced Certificate Requests
),
w sekcji
Informacje identyfikujące
(
Identifying Information
) wpisać swoje dane personalne.
7. Wsekcji
Typ potrzebnego certyfikatu
(
Intended Purpose
), wybrać
Certyfikat
zabezpieczeń IP (IPSec)
(
IPSec Certificate
). Zapoznać się z innymi dostępnymi pozycjami.
8. Wsekcji
Opcje klucza
(
Key Options
), wybrać
Zachowaj certyfikat w magazynie
certyfikatów komputera lokalnego
(
Use local machine store
).
9. Wsekcji
Opcje dodatkowe
, w polu
Przyjazna nazwa
wpisać IPSEC. Pozostałe pola
pozostawić bez zmian
i nacisnąć przycisk
Prześlij
(
Submit
).
10. Po pojawieniu się strony
Oczekiwanie na certyfikat
(
Certificate Pending
)
,
zamknąć okno
programu
Internet Explorer
.
11. Sprawdzić zawartość kontenera
Żądanie zarejestrowania certyfikatu
w konsoli
C
ERTYFIKATY
_
KOMPUTERA
. Zapoznać się z zawartością wygenerowanego żądania. Zwrócić
uwagę na pola identyfikatora wystawcy i podmiotu, wartości klucza publicznego, przyjaznej
nazwy.
G.
Emitowanie i instalowanie żądanego certyfikatu dla komputera
1. Przywrócić konsolę
Urząd certyfikacji
(
Certification Authority
).
2. W drzewie konsoli rozwinąć pozycję swojego serwera i wybrać pozycję
Żądania oczekujące
(
Pending Requests
).
3. Odświeżyć obraz wybierając w menu
Akcja
(
Action
) funkcję
Odśwież
(
Refresh
).
4. Korzystając z funkcji Dodaj/usuń kolumny w menu
Widok
(
View
), skonfigurować okno w ten
sposób aby dla każdego certyfikatu wyświetlały się jedynie kolumny:
identyfikator żądania,
nazwa żądającego, kod stanu żądania, binarny klucz publiczny
.
5. W panelu szczegółów, w menu podręcznym pozycji zgłoszonego żądania wybrać pozycję
Wszystkie zadania
(
All
Tasks
) a potem
Wystaw
(
Issue
).
6. W drzewie konsoli wybrać kontener
Wystawione certyfikaty
(
Issued Certificates
) i
sprawdzić czy certyfikat został wyemitowany. Zapoznać się z jego treścią. Zwrócić uwagę na
numer seryjny certyfikatu i klucz publiczny.
7. Zamknąć konsolę
Urząd certyfikacji
(
Certification Authority
).
8. Otworzyć okno programu
Internet Explorer
.
9. W polu adresu wpisać
http://
serwer
/
certsrv
(gdzie
serwer
jest nazwą własnego komputera).
10. Na stronie
Zapraszamy
(
Welcome
) wybrać link
Pokaż stan oczekującego żądania
certyfikatu
(
Check on a pending certificate
).
Opracował
: Zbigniew SUSKI
str.
4
Bezpieczeństwo systemów
11. Na stronie
Pokaż stan oczekującego żądania certyfikatu
(
Check On A Pending Certificate
Request
) sprawdzić, czy wysłane żądanie zostało obsłużone, tzn. czy żądany certyfikat
został przygotowany.
12. Na stronie
Certyfikat został wystawiony
(
Certificate Issued
) wybrać
Zainstaluj ten
certyfikat
(
Install this certificate
).
13. Po zakończeniu instalacji zamknąć okno programu
Internet Explorer
.
14. Odświeżyć obraz konsoli C
ERTYFIKATY
_
KOMPUTERA
. Sprawdzić zawartość kontenera
Osobisty
(
Personal
) w konsoli C
ERTYFIKATY
_
KOMPUTERA
. Zapoznać się z zawartością
nowego certyfikatu. Porównać z zawartością wygenerowanego uprzednio żądania oraz
certyfikatu wygenerowanego podczas realizacji zadania F.
H. Żądanie, emitowanie i instalowanie dodatkowych certyfikatów dla komputera
1. W sposób opisany w zadaniu F wygenerować żądania wystawienia niżej wymienionych
certyfikaty dla komputera:
- Certyfikat ochrony poczty e-mail
(
E-mail Protection Certificate
)
- Certyfikat uwierzytelniania klienta
(
Client Authentication Certificate
)
- Certyfikat uwierzytelniania serwera
(
Server Authentication Certificate
)
2. W sposób opisany w zadaniu G wyemitować certyfikaty, realizując żądania wygenerowane
w punkcie 1. Następnie zainstalować te certyfikaty.
I. Unieważnianie certyfikatów i publikowanie CRL
1. Wkonsoli
Urząd certyfikacji
(
Certification Authority
).otworzyć kontener
Wystawione
certyfikaty
(
Issued Certificates
).
2. Wybrać dowolny z certyfikatów wygenerowanych podczas realizacji zadania H.
3. W jego menu podręcznym wybrać pozycję
Wszystkie zadania
(
All Tasks
) a następnie
Odwołaj certyfikat
(
Revoke Certificate
). Jako przyczynę odwołania podać
Złamanie klucza
(
Key Compromise
).
4. Podobnieunieważnić jeszcze jeden certyfikat spośród wygenerowanych w zadaniu H. Jako
przyczynę unieważnienia podać
Zaprzestanie działania
(
Change of Affiliation
).
5. Wkonsoli
Urząd certyfikacji
(
Certification Authority
) otworzyć kontener
Odwołane
certyfikaty
(
Revoked Certificates
) i sprawdzić czy zostały tam umieszczone unieważnione
certyfikaty.
6. Abyopublikować CRL, w menu podręcznym kontenera
Odwołane certyfikaty
(
Revoked
Certificates
) wybrać funkcję
Wszystkie zadania
(
All Tasks
) a następnie
Opublikuj
(
Publish
). Na ewentualne pytanie dotyczące „nadpisania” poprzednio opublikowanych
odpowiedzieć twierdząco, tzn., opublikować nową, pełną listę odwołanych certyfikatów.
J. Pobieranie opublikowanych CRL
1. Otworzyć okno programu
Internet Explorer
.
2. W polu adresu wpisać
http://
serwer
/
certsrv
(gdzie
serwer
jest nazwą własnego komputera).
3. Nastronie
Zapraszamy
(
Welcome
) wybrać opcję
Pobierz certyfikat urzędu certyfikacji,
łańcuch certyfikatów lub listę CRL
(
Retrieve the CA certificate or certificate revocation
list
).
Opracował
: Zbigniew SUSKI
str.
5
Plik z chomika:
Metaloman
Inne pliki z tego folderu:
Cwiczenie 07 - Testy penetracyjne - ataki DoS.pdf
(150 KB)
Cwiczenie 06 - Testy penetracyjne - enumeracja systemu Windows.pdf
(120 KB)
Cwiczenie 05 - Testy penetracyjne - techniki skanowania.pdf
(120 KB)
Cwiczenie 04 - Testy penetracyjne - rekonesans.pdf
(101 KB)
Cwiczenie 03 - Skanery stanu zabezpieczen systemu.pdf
(114 KB)
Inne foldery tego chomika:
Administrowanie Sieciami Komputerowymi - mgr inż Paweł Pławiak
Algorytmy i złożoność - wykłady
Architektura systemów komputerowych
ASK - wykłady
Bazy danych
Zgłoś jeśli
naruszono regulamin