Особенности сооружения опор в сложных условиях: Сооружение ВЛ в районах с суровыми климатическими и тяжелыми геологическими условиями...
История создания датчика движения: Первый прибор для обнаружения движения был изобретен немецким физиком Генрихом Герцем...
Топ:
Определение места расположения распределительного центра: Фирма реализует продукцию на рынках сбыта и имеет постоянных поставщиков в разных регионах. Увеличение объема продаж...
Оценка эффективности инструментов коммуникационной политики: Внешние коммуникации - обмен информацией между организацией и её внешней средой...
Установка замедленного коксования: Чем выше температура и ниже давление, тем место разрыва углеродной цепи всё больше смещается к её концу и значительно возрастает...
Интересное:
Наиболее распространенные виды рака: Раковая опухоль — это самостоятельное новообразование, которое может возникнуть и от повышенного давления...
Аура как энергетическое поле: многослойную ауру человека можно представить себе подобным...
Распространение рака на другие отдаленные от желудка органы: Характерных симптомов рака желудка не существует. Выраженные симптомы появляются, когда опухоль...
Дисциплины:
2017-11-16 | 616 |
5.00
из
|
Заказать работу |
|
|
Одним их ключевых элементов в защищенных коммуникациях является собственно SSL-сертификат. Это своего рода "электронный паспорт" для адреса электронной почты или Web-сайта, подтверждающий, что ресурс, с которым ведется взаимодействие, действительно тот клиент электронной почты или Web-сайт, за который они выдают себя. SSL-сертификат хранит различные данные: наименование организации и подразделения, страну, регион, город и имя сервера (сайта или клиента), для которого данный сертификат был создан. Как и паспорт, он должен быть подписан организацией, которой доверяют все, и, если на документе стоит подпись такой организации, считается, что документ содержит правильную информацию.
Эта система похожа на DNS: точно также существует набор некоторых "удостоверяющих" центров (называемых центрами сертификации - CA), и, если сертификат подписан ключом одного из этих центров, информация в нем считается верной. Эта услуга является платной, так годовая лицензия VeriSign (одного из наиболее авторитетных CA) стоит $1200. Если сертификат сайта подписан каким-либо известным CA, то достоверность адреса подтверждается авторитетом СА, подписавшего сертификат. Однако при развертывании защищенной корпоративной сети, для которой потребуется выдать несколько десятков сертификатов, использование стороннего CA потребует дополнительных расходов, и более выгодно будет создать собственный СА.
После создания собственного CA внутри компании появится единый центр, подпись которого на сертификате будет иметь ту же силу, что и подпись VeriSign, но в масштабах компании. Для этого достаточно распространить на все компьютеры и мобильные устройства собственный сертификат «родного» CA, объявив его корневым, и все ключи, которые были или будут в будущем подписаны им, автоматически станут «безопасными», поскольку их принадлежность может быть проверена. Это также даст возможность создавать списки отозванных сертификатов, которые будут автоматически проверяться при установлении защищенного соединения.
|
ЦС - это собственно говоря, сервер сертификатов. Его назначение - генерить все ключи и хранить закрытый ключ корневого сертифката предприятия. Еще он ведет журнал и имеет помимо стандартного Web-узла сервера сертификатов еще Web-службы на узле CA, туда обращается ЦР - центр регистрации.
ЦР - это некая пользовательская надстройка над ЦС, которая имеет пользовательский интерфейс, описанный тут и АРМ администратора, в котором производятся одобрения (или неодобрение) действий, запрашиваемых пользователем. Он также имеет Web-службы на узле RA, через который к системе сертификации могут обращаться пользователи. ЦР обращается к ЦС по SSL. Есть возможность проверить коннект между ЦР и ЦС.
Собственно, все описанное выше - это и есть правильно развернутая инфраструктура сертификатов. То, что должно получится в результате правильной инсталляции КриптоПро. А в даннной инструкции мы посмотрим, КАК ВОСПОЛЬЗОВАТЬСЯ этой развернутой инфраструктурой сертификатов.
Воспользоваться этой инфраструктурой мы попробуем (в моем окружении) на узле crypto.test.gisis.ru. Именно на этом узле будет мною развернут защищенный Web-узел, вход на который я потребую исключительно по действительным индивидуальным сертификатам пользователей. Причем в узле crypto.test.gisis.ru у меня нет даже логина - сертифкат исполняет роль логина - мой сайт автоматически увидит действительный сертификат, выпущенный этой инфраструктурой и вид страничек сразу изменится так, как они должны выглядеть для залогиненного пользователя. именно для этого необходимо установить выпустить и правильно установить на мой узел сертификат этой инфраструктуры.
|
Процедура установки ГОСТ-сертификата в инфраструктуре Крипто-Про существенно сложнее обычной установки сертификата стандартного алгоритма:
· Прежде всего необходимо установить на Web-узел сам криптопровайдер. Это компонент, который является расширением алгоритма schannel и позволяет обращаться к закрытым ключам, установленным на различных носителях или в реестре.
· Следующим шагом следует на этот Web-Сервер уcтановить утилиты центра регистрации (не путайте их с утилитами центра сертификации).
· После этого необходимо вызвать утилиту запроса на сертификат ЦР.
· Указанный запрос переносится на сервер сертификатов (ЦС) и обрабатывается там утилитой выпуска сертификата WEB-сервера центра регистрации.
· Теперь возвращаемся на Web-сервер, переносим туда полученный сертификат и попытаемся его скормить Web-серверу. Для начала его можно импортировать стандартным мастером - это внесет корневой сертификат в юзера (это делается просто на всякий случай).
· Далее надо скормить нашему Web-узлу корневой сертификат.
· Далее следует импортировать сертификат с закрытым ключом утилитой установки сертификата web-Сервера.
· После того, как сертификат импортирован и его закрытый ключ появился в крипто-провайдере машины с Web-узлом - можно установить этот сертификат непосредственно в наш WEb-узел.
Итак, сертификат установлен на наш Web-узел. Теперь необходимо потребовать, чтобы не сервер идентифицировал себя на клиенте (что в принципе неплохо), но гораздо важнее, чтобы клиент идентифицировал себя на сервере. Здесь вопрос не только в двухсторонней аутентифкации, но сайт устроен так, что клиентский сертификат фактически заменяет логин. Он должен быть индивидуальным и для этого в АРМе администратора выпускаются для каждого клиента уникальные сертификаты, которые и передаются клиентам (вместе с закрытым ключом).
И последняя тема, которую мы рассмотрим тут - это проверка корректности использования нашим сайтом инфраструктуры Крипто-Про. Для этого возьмем вот такой найпростейший сайт в (сгрузить) и попытаемся зайти в него с браузера клинетской машины, на которой установлен клиентский сертификат. Мы должны этим тестовым сайтом увидеть номер клиентского сертификата и его содержимое. Это и означает, что нам удалось успешно установить инфраструктуру ГОСТ-овских сертификатов на свой Web-узел.
|
|
Семя – орган полового размножения и расселения растений: наружи у семян имеется плотный покров – кожура...
Биохимия спиртового брожения: Основу технологии получения пива составляет спиртовое брожение, - при котором сахар превращается...
Индивидуальные и групповые автопоилки: для животных. Схемы и конструкции...
История развития хранилищ для нефти: Первые склады нефти появились в XVII веке. Они представляли собой землянные ямы-амбара глубиной 4…5 м...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!