Cwiczenie 09 - Implementacja infrastruktury klucza publicznego.pdf

(176 KB) Pobierz
Microsoft Word - Cwiczenie 09.doc
Bezpieczeństwo systemów
Ćwiczenie 9 Implementacja infrastruktury klucza publicznego
W czasie realizacji ćwiczenia należy opracowywać sprawozdanie według załączonego wzoru, zawierające obrazy
odpowiednich okien, oraz wnioski i komentarze dotyczące realizowanych zadań.
Sprawozdanie w postaci elektronicznej należy oddać prowadzącemu zajęcia
przed opuszczeniem laboratorium.
P RZED PRZYSTĄPIENIEM DO ĆWICZENIA ZSYNCHRONIZOWAĆ ZEGARY OBU KOMPUTERÓW PARTNERSKICH .
W YKORZYSTAĆ POLECENIE NET TIME.
A. Tworzenie wydzielonego, korzeniowego CA ( Stand-Alone Root CA )
T O ĆWICZENIE NALEŻY WYKONAĆ NA JEDNYM KOMPUTERZE W PARZE . N ALEŻY WYBRAĆ KOMPUTER
O WYŻSZYM NUMERZE .
1. Zalogować się jako administrator.
2. Uruchomić program MMC i w utworzonej konsoli, umieścić przystawkę ( Snap in ) Certyfikaty
( Certificates ). W czasie pracy kreatora, w oknie Przystawka certyfikatów ( Certificates snap-
in ), zaznaczyć opcję Konto komputera ( Computer account ). Zapisać plik konsoli na pulpicie
pod nazwą C ERTYFIKATY _ KOMPUTERA . MSC .
3. W oknie konsoli C ERTYFIKATY _ KOMPUTERA rozwinąć kontener Osobisty ( Personal ). Czy są w
nim widoczne jakieś certyfikaty?
Punkty 4
÷
7 zrealizować tylko w przypadku jeżeli w systemie nie jest zainstalowany IIS.
4. Otworzyć panel sterowania, i uruchomić program Dodaj lub usuń programy ( Add/Remove
Programs ) , a w jego oknie przycisk Dodaj/Usuń składniki systemu Windows
( Add/Remove Windows Components ).
5. W oknie kreatora wybrać pozycję Serwer aplikacji ( Application Server ) i nacisnąć przycisk
Szczegóły (Details).
6. Zaznaczyć pozycję Internetowe usługi informacyjne (IIS) i nacisnąć przycisk Szczegóły
(Details).
7. Zaznaczyć opcję Usługa World Wide Web i kolejno zatwierdzać dokonane wybory.
8. Otworzyć panel sterowania, i uruchomić program Dodaj lub usuń programy ( Add/Remove
Programs ) , a w jego oknie przycisk Dodaj/Usuń składniki systemu Windows
( Add/Remove Windows Components ).
9. W oknie kreatora zaznaczyć opcję Usługi Certyfikatów ( Certificate Services ).
10. Na stronie Typ urzędu certyfikacji ( Certification Authority Type ), kreatora wybrać opcję
Autonomiczny główny urząd certyfikacji ( Stand-alone root CA ).
11. Na stronie Informacja identyfikacyjna CA ( CA Identifying Information ) kreatora, w polu
nazwy urzędu wpisać nazwę swojego komputera. Pozostałe pola zostawić bez zmian.
12. Pozostałe strony kreatora pozostawić bez zmian.
13. Po zakończeniu instalacji sprawdzić zawartość kontenera Osobisty ( Personal ) w konsoli
C ERTYFIKATY _ KOMPUTERA . Zapoznać się z zawartością wygenerowanego certyfikatu. Zwrócić
uwagę na identyfikator wystawcy i identyfikator właściciela (żądającego wystawienia)
certyfikatu.
14. Sprawdzić zawartość kontenera Zaufane glówne urzędy certyfikacji ( Trusted Root
Certification Authorities ) w konsoli C ERTYFIKATY _ KOMPUTERA . Odszukać wygenerowany przed
chwilą certyfikat. Zapoznać się z zawartością tego certyfikatu.
Opracował : Zbigniew SUSKI
str. 1
666023751.002.png
Bezpieczeństwo systemów
B. Rejestrowanie dodatkowego zaufanego CA
T O ĆWICZENIE NALEŻY WYKONAĆ NA JEDNYM KOMPUTERZE W PARZE . N ALEŻY WYBRAĆ KOMPUTER
O NIŻSZYM NUMERZE .
1. Zalogować się jako administrator.
2. Uruchomić program MMC i w utworzonej konsoli umieścić przystawkę ( Snap in ) Certificates
( Certificates ). W czasie pracy kreatora, w oknie Przystawka certyfikatów ( Certificates snap-
in ), zaznaczyć opcję Konto komputera ( Computer account ). Zapisać plik konsoli na pulpicie
pod nazwą C ERTYFIKATY _ KOMPUTERA . MSC .
3. W oknie konsoli rozwinąć kontener Osobisty ( Personal ). Czy są w nim widoczne jakieś
certyfikaty?
4. Wybrać przycisk Start a następnie Uruchom (Run) .
5. Wpisać: http:// serwer_partnera / certsrv (gdzie serwer_partnera jest nazwą komputera
partnera wykorzystanego w ćwiczeniu poprzednim).
6. Nastronie Zapraszamy (Welcome) wybrać opcję Pobierz certyfikat urzędu certyfikacji,
łańcuch certyfikatów lub listę CRL ( Retrieve the CA certificate or certificate revocation
list) .
7. Nastronie Pobierz certyfikat urzędu certyfikacji, łańcuch certyfikatów lub listę CRL
( Retrieve the CA certificate or certificate revocation list) , wybrać Zainstaluj jego łańcuch
certyfikatów ( Install this CA certification path) . Następnie zaakceptować proponowany
certyfikat.
8. Gdy rozwinie się strona Instalacja certyfikatu urzędu certyfikacji ( CA Certificate Installed ) ,
zamknąć okno Internet Explorera .
9. Pozakończeniu instalacji sprawdzić zawartość kontenera Zaufane główne urzędy
certyfikacji ( Trusted Root Certification Authorities ) w konsoli C ERTYFIKATY _ KOMPUTERA .
Odszukać certyfikat komputera partnera. Zapoznać się z zawartością tego certyfikatu.
Porównać tą zawartość z zawartością certyfikatu wygenerowanego podczas realizacji
zadania A. Jeżeli w tym kontenerze nie ma certyfikatu komputera partnera, to po upływie 30
minut należy ten punkt ćwiczenia powtórzyć i udokumentować.
C. Tworzenie wydzielonego, podrzędnego CA ( Stand-Alone Subordinate CA )
T O ĆWICZENIE NALEŻY WYKONAĆ NA JEDNYM KOMPUTERZE W PARZE . N ALEŻY WYBRAĆ KOMPUTER
O NIŻSZYM NUMERZE , WYKORZYSTANY W POPRZEDNIM ĆWICZENIU .
7 zadania A).
2. Otworzyć panel sterowania, następnie uruchomić program Dodaj lub usuń programy
( Add/Remove Programs ) , a w jego oknie przycisk Dodaj/Usuń składniki systemu
Windows ( Add/Remove Windows Components )..
3. W oknie kreatora zaznaczyć opcję Usługi Certyfikatów ( Certificate Services ).
4. Nastronie Typ urzędu certyfikacji ( Certification Authority Type ), kreatora wybrać opcję
Autonomiczny podrzędny urząd certyfikacji (Stand-alone subordinate CA) .
5. Nastronie Informacja identyfikacyjna CA ( CA Identifying Information ) kreatora, w polu
nazwy urzędu wpisać nazwę swojego komputera. Pozostałe pola wypełnić w identyczny
sposób jak na komputerze partnera.
6. Nastronie Żądanie certyfikatu od urzędu certyfikcji (CA Certificate Request ) , w polu nazy
komputera, wpisać nazwę komputera partnera i nacisnąć klawisz TAB.
7. Dokończyć instalację.
÷
Opracował : Zbigniew SUSKI
str. 2
1. Jeżeli nie jest zainstalowana usługa IIS, to zainstalować ją (patrz pkt 4
666023751.003.png
Bezpieczeństwo systemów
D. Emitowanie certyfikatu dla podrzędnego CA
1. Na komputerze pełniącym funkcję korzeniowego CA, otworzyć konsolę Urząd certyfikacji
( Certification Authority) , z grupy narzędzi administracyjnych.
2. Rozwinąć pozycję swojego komputera i wybrać pozycję Żądania oczekujące ( Pending
Requests) .
3. W panelu szczegółów, w menu podręcznym pozycji zgłoszonego żądania wybrać pozycję
Wszystkie zadania ( All Tasks) a potem Wystaw ( Issue).
4. W drzewie konsoli wybrać Wystawione certyfikaty ( Issued Certificates) i sprawdzić czy
certyfikat został wyemitowany. Zapoznać się z treścią wygenerowanego certyfikatu. Zwrócić
uwagę na pole identyfikacji zamawiającego certyfikat.
5. Zminimalizować konsolę Urząd certyfikacji ( Certification Authority) .
E. Instalowanie certyfikatu dla podrzędnego CA
1. Na komputerze pełniącym rolę podrzędnego CA, otworzyć konsolę Urząd certyfikacji
( Certification Authority) , z grupy narzędzi administracyjnych. W drzewie konsoli w menu
podręcznym pozycji swojego komputera wybrać pozycję Wszystkie zadania ( All Tasks),
a potem Zainstaluj certyfikat urzędu certyfikacji ( Install CA Certificate).
2. W oknie dialogowym Wybierz plik, aby ukończyć instalację urzędu certyfikacji (Select
file to complete CA installation) wybrać Anuluj ( Cancel).
3. W oknie dialogowym Żądanie certyfikatu od urzędu certyfikacji ( CA Certificate Request),
w polu nazwy komputera powinna pojawić się nazwa komputera partnera.
4. Wliście Nadrzędny urząd certyfikacji (Parent CA) wybrać pozycję komputera partnera i
zatwierdzić dokonane wybory (przycisk OK).
5. Odświeżyć obraz konsoli C ERTYFIKATY _ KOMPUTERA . Sprawdzić zawartość kontenera
Osobisty ( Personal) w konsoli C ERTYFIKATY _ KOMPUTERA . Zapoznać się z zawartością
wygenerowanego certyfikatu. Porównać zawartość z zawartością certyfikatu
wygenerowanego podczas realizacji zadania D. Zwrócić uwagę na identyfikator wystawcy i
identyfikator właściciela (żądającego wystawienia) certyfikatu.
6. Wkonsoli Urząd certyfikacji ( Certification Authority) , w menu podręcznym pozycji swojego
komputera wybrać pozycję Uruchom usługę ( Start service ).
7. Zminimalizować konsolę Urząd certyfikacji ( Certification Authority) .
Opracował : Zbigniew SUSKI
str. 3
666023751.004.png
Bezpieczeństwo systemów
K OLEJNE ĆWICZENIA NALEŻY WYKONAĆ NIEZALEŻNIE NA OBU KOMPUTERACH PARTNERSKICH
F. Żądanie certyfikatu IPSec dla komputera
1. Wybrać przycisk Start a następnie Uruchom ( Run ).
2. Wpisać: http:// serwer / certsrv (gdzie serwer jest nazwą własnego komputera).
3. Nastronie Zapraszamy ( Welcome ) wybrać link Żądanie certyfikatu ( Request a certificate ).
4. Nastronie Żądaj certyfikatu ( Choose Request Type ) wybrać Zaawansowanie żądanie
certyfikatu ( Advanced request ).
5. Nastronie Zaawansowanie żądanie certyfikatu ( Advanced Certificate Requests ) wybrać
link Utwórz i prześlij żądanie do tego urzędu certyfikacji ( Submit a certificate request to
this CA using a form ).
6. Na kolejnej stronie Zaawansowanie żądanie certyfikatu ( Advanced Certificate Requests ),
w sekcji Informacje identyfikujące ( Identifying Information ) wpisać swoje dane personalne.
7. Wsekcji Typ potrzebnego certyfikatu ( Intended Purpose ), wybrać Certyfikat
zabezpieczeń IP (IPSec) ( IPSec Certificate ). Zapoznać się z innymi dostępnymi pozycjami.
8. Wsekcji Opcje klucza ( Key Options ), wybrać Zachowaj certyfikat w magazynie
certyfikatów komputera lokalnego ( Use local machine store ).
9. Wsekcji Opcje dodatkowe , w polu Przyjazna nazwa wpisać IPSEC. Pozostałe pola
pozostawić bez zmian i nacisnąć przycisk Prześlij ( Submit ).
10. Po pojawieniu się strony Oczekiwanie na certyfikat ( Certificate Pending ) , zamknąć okno
programu Internet Explorer .
11. Sprawdzić zawartość kontenera Żądanie zarejestrowania certyfikatu w konsoli
C ERTYFIKATY _ KOMPUTERA . Zapoznać się z zawartością wygenerowanego żądania. Zwrócić
uwagę na pola identyfikatora wystawcy i podmiotu, wartości klucza publicznego, przyjaznej
nazwy.
G.
Emitowanie i instalowanie żądanego certyfikatu dla komputera
1. Przywrócić konsolę Urząd certyfikacji ( Certification Authority ).
2. W drzewie konsoli rozwinąć pozycję swojego serwera i wybrać pozycję Żądania oczekujące
( Pending Requests ).
3. Odświeżyć obraz wybierając w menu Akcja ( Action ) funkcję Odśwież ( Refresh ).
4. Korzystając z funkcji Dodaj/usuń kolumny w menu Widok ( View ), skonfigurować okno w ten
sposób aby dla każdego certyfikatu wyświetlały się jedynie kolumny: identyfikator żądania,
nazwa żądającego, kod stanu żądania, binarny klucz publiczny .
5. W panelu szczegółów, w menu podręcznym pozycji zgłoszonego żądania wybrać pozycję
Wszystkie zadania ( All Tasks ) a potem Wystaw ( Issue ).
6. W drzewie konsoli wybrać kontener Wystawione certyfikaty ( Issued Certificates ) i
sprawdzić czy certyfikat został wyemitowany. Zapoznać się z jego treścią. Zwrócić uwagę na
numer seryjny certyfikatu i klucz publiczny.
7. Zamknąć konsolę Urząd certyfikacji ( Certification Authority ).
8. Otworzyć okno programu Internet Explorer .
9. W polu adresu wpisać http:// serwer / certsrv (gdzie serwer jest nazwą własnego komputera).
10. Na stronie Zapraszamy ( Welcome ) wybrać link Pokaż stan oczekującego żądania
certyfikatu ( Check on a pending certificate ).
Opracował : Zbigniew SUSKI
str. 4
666023751.005.png
Bezpieczeństwo systemów
11. Na stronie Pokaż stan oczekującego żądania certyfikatu ( Check On A Pending Certificate
Request ) sprawdzić, czy wysłane żądanie zostało obsłużone, tzn. czy żądany certyfikat
został przygotowany.
12. Na stronie Certyfikat został wystawiony ( Certificate Issued ) wybrać Zainstaluj ten
certyfikat ( Install this certificate ).
13. Po zakończeniu instalacji zamknąć okno programu Internet Explorer .
14. Odświeżyć obraz konsoli C ERTYFIKATY _ KOMPUTERA . Sprawdzić zawartość kontenera
Osobisty ( Personal ) w konsoli C ERTYFIKATY _ KOMPUTERA . Zapoznać się z zawartością
nowego certyfikatu. Porównać z zawartością wygenerowanego uprzednio żądania oraz
certyfikatu wygenerowanego podczas realizacji zadania F.
H. Żądanie, emitowanie i instalowanie dodatkowych certyfikatów dla komputera
1. W sposób opisany w zadaniu F wygenerować żądania wystawienia niżej wymienionych
certyfikaty dla komputera:
- Certyfikat ochrony poczty e-mail ( E-mail Protection Certificate )
- Certyfikat uwierzytelniania klienta ( Client Authentication Certificate )
- Certyfikat uwierzytelniania serwera ( Server Authentication Certificate )
2. W sposób opisany w zadaniu G wyemitować certyfikaty, realizując żądania wygenerowane
w punkcie 1. Następnie zainstalować te certyfikaty.
I. Unieważnianie certyfikatów i publikowanie CRL
1. Wkonsoli Urząd certyfikacji ( Certification Authority ).otworzyć kontener Wystawione
certyfikaty ( Issued Certificates ).
2. Wybrać dowolny z certyfikatów wygenerowanych podczas realizacji zadania H.
3. W jego menu podręcznym wybrać pozycję Wszystkie zadania ( All Tasks ) a następnie
Odwołaj certyfikat ( Revoke Certificate ). Jako przyczynę odwołania podać Złamanie klucza
( Key Compromise ).
4. Podobnieunieważnić jeszcze jeden certyfikat spośród wygenerowanych w zadaniu H. Jako
przyczynę unieważnienia podać Zaprzestanie działania ( Change of Affiliation ).
5. Wkonsoli Urząd certyfikacji ( Certification Authority ) otworzyć kontener Odwołane
certyfikaty ( Revoked Certificates ) i sprawdzić czy zostały tam umieszczone unieważnione
certyfikaty.
6. Abyopublikować CRL, w menu podręcznym kontenera Odwołane certyfikaty ( Revoked
Certificates ) wybrać funkcję Wszystkie zadania ( All Tasks ) a następnie Opublikuj
( Publish ). Na ewentualne pytanie dotyczące „nadpisania” poprzednio opublikowanych
odpowiedzieć twierdząco, tzn., opublikować nową, pełną listę odwołanych certyfikatów.
J. Pobieranie opublikowanych CRL
1. Otworzyć okno programu Internet Explorer .
2. W polu adresu wpisać http:// serwer / certsrv (gdzie serwer jest nazwą własnego komputera).
3. Nastronie Zapraszamy ( Welcome ) wybrać opcję Pobierz certyfikat urzędu certyfikacji,
łańcuch certyfikatów lub listę CRL ( Retrieve the CA certificate or certificate revocation
list ).
Opracował : Zbigniew SUSKI
str. 5
666023751.001.png

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin