Использование цифровых сертификатов

В ходе данной лабораторной работы мы познакомимся с некоторыми вопросами использования цифровых сертификатов.

Начнем с их использования протоколом SSL /TSL (на самом деле это два разных протокола, но т.к. TSL разработан на базе SSL, принцип использования сертификатов один и тот же). Этот протокол широко применяется в сети Интернет для защиты данных, передаваемых между web-серверами и браузером клиента. Для аутентификации сервера в нем иcпользуется сертификат X.509.

Для примера обратимся на сайт Ситибанка (http://www.citibank.ru), в раздел "Мой банк", предназначенный для ведения банковских операций через Интернет (рис. 6.1).

Рис. 6.1. Защищенное соединение

Префикс https в строке адреса и изображение закрытого замка справа от строки указывают, что установлено защищенное соединение. Если щелкнуть мышью по изображению замка, то увидим представленное на рис. 6.1 сообщение о том, что подлинность узла с помощью сертификата подтверждает центр сертификации VeriSign. Значит, мы на самом деле обратились на сайт Ситибанка (а не подделанный нарушителями сайт) и можем безопасно вводить логин и пароль.

Выбрав "Просмотр сертификата" можно узнать подробности о получателе и издателе, другие параметры сертификата (рис. 6.2).

Рис. 6.2. Параметры сертификата

Задание

Посмотрите параметры сертификата "электронной сберкассы" Сбербанка – https://esk.sbrf.ru. Опишите, кем на какой срок и для какого субъекта сертификат был выдан.

Теперь рассмотрим другой вариант – мы подключаемся по SSL к web-серверу, а браузер не может проверить его подлинность. Подобная ситуация произошла при подключении в раздел Интернет -обслуживания Санкт-Петербургского филиала оператора мобильной связи Tele2 -https://www.selfcare.tele2.ru/work.html (рис. 6.3).

Рис. 6.3. Браузер сообщает о проблеме с сертификатом

Если нажать ссылку "Продолжить открытие этого web-узла" можно будет просмотреть сертификат.

Задание

Разберитесь, в чем проблема с указанным сертификатом.

Примечание. На всякий случай в конце описания лабораторной работы приведен ответ.

Теперь рассмотрим, как хранятся сертификаты. Операционная система Windows обеспечивает защищенное хранилище ключей и сертификатов. Работать с хранилищем можно, используя настройку консоль управления MMC "Сертификаты".

Из меню Пуск —> Выполнить запустите консоль командой mmc. В меню Консоль выберите Добавить или удалить оснастку, а в списке оснасток выберите Сертификаты. Если будет предложен выбор (а это произойдет, если Вы работаете с правами администратора), выберите пункт "Моей учетной записи".

Таким образом, мы можем просматривать сертификаты текущего пользователя. Если ранее сертификаты не запрашивались, то в разделе"Личные сертификаты" элементов не будет.

В разделе "Доверенные корневые центры сертификации" представлен достаточно обширный список центров, чьи сертификаты поставляются вместе с операционной системой.

Найдите в нем сертификат VeriSign Class 3 Public Primary CA. Благодаря тому, что он уже был установлен, в рассмотренном в начале работы примере с подключением к системам Интернет -банкинга браузер мог подтвердить подлинность узла.

Рис. 6.4. Отозванные сертификаты

Теперь перейдем к разделу "Сертификаты, к которым нет доверия". Там находятся отозванные сертификаты. Как минимум, там будут находиться два сертификата, которые по ошибке или злому умыслу кто-то получил от имени корпорации Microsoft в центре сертификации VeriSing в 2001 году. Когда это выяснилось, сертификаты отозвали (рис. 6.4).

Теперь рассмотрим процесс запроса сертификата. На сайте центра сертификации Thawte http://www.thawte.com можно бесплатно получить сертификат для электронной почты. Для этого в меню сайта Products выберите Free Personal E-Mail Certificates. После этого надо заполнить небольшую анкету, указав имя, фамилию, страну, предпочитаемую кодировку, адрес электронной почты (должен быть обязательно действующим), дальше – пароль и контрольные вопросы для восстановления. Когда все заполнено, на указанный адрес почты будет отправлено письмо со ссылкой для выполнения дельнейших шагов генерации ключей и двумя проверочными значениями, которые нужно ввести, перейдя по ссылке. Таким образом, подлинность и принадлежность адреса будет подтверждена.

Далее система предложит ввести адрес почты (в качестве имя пользователя) и выбранный ранее пароль. После чего можно запросить сертификат X.509. Понадобится указать тип браузера и почтового клиента (например, Internet Explorer и Outlook). После этого потребуется ответить на запросы системы, касающиеся генерации ключей (разрешить выполнение ActiveX элемента, выбрать криптопровайдер, разрешить генерацию).

После завершения этого этапа на почтовый адрес будут выслано второе письмо, подтверждающее запрос сертификата. А спустя некоторое время – третье, со ссылкой для получения сертификата.

Пройдя по ссылке, надо будет снова ввести имя и пароль и на странице нажать кнопку "Install Your Cert" и согласиться с добавлением сертификата.

В результате в оснастке Сертификаты появится личный сертификат выпущенный издателем Thawte Personal Freemail Issuing CA для субъекта Thawte Freemail Member с указанным вами адресом почты (рис. 6.5).

Если использовать сертификат для защиты почты, дальнейшая настройка зависит от почтового клиента. Если это Microsoft Outlook, можно использовать встроенную в него поддержку протокола S/MIME. В Outlook 2003 для выбора сертификата надо войти в меню Сервис —> Параметры, там выбрать вкладку Безопасность и там в параметрах шифрованной электронной почты выбрать используемый сертификат и алгоритмы (рис. 6.6).

Рис. 6.5. Полученный сертификат

Рис. 6.6. Выбор сертификата для защиты почты с помощью S/MIME в Outlook

Задание

Запросите сертификат в Thawte и настройте почтовый клиент для использования S/MIME.

Ответ на задание про сертификат на сайте Tele2

Проблема была в том, что сертификат "самоподписанный": он был выдан центром сертификации http://www.selfcare.tele2.ru самому себе. Браузер сообщает о невозможности удостовериться в подлинности узла из-за того, что данный центр сертификации отсутствует в списке доверенных, а проверить его подлинность с помощью "вышестоящего" по иерархии центра не представляется возможным (т.к. вышестоящего центра нет).

Доверять или нет такому сертификату – каждый решает самостоятельно.

Лабораторная работа 7

Создание центра сертификации (удостоверяющего центра) в Windows Server 2008

Предыдущая лабораторная работа была посвящена вопросам использования цифровых сертификатов X.509 конечными пользователями. А сейчас мы рассмотрим возможности, которые предоставляет Windows Server 2008 по созданию собственно центра сертификации (Certification Authority – CA) на предприятии.

Соответствующие службы присутствовали в серверных операционных системах семейства Windows, начиная с Windows 2000 Server.

В Windows Server 2008 для того чтобы сервер смог работать как центр сертификации, требуется сначала добавить серверу роль ActiveDirectory Certificate Services. Делается это помощью оснастки Server Manager, которую можно запустить из раздела Administrative Tools в стартовом меню.

В Server Manager раскроем список ролей и выберем добавление роли (Add Roles) – рис. 7.1.

Рис. 7.1. Добавление роли

В нашем примере роль добавляется серверу, являющемуся членом домена Windows. Так как это первый CA в домене, он в нашей сети будет играть роль корневого (Root). Рассмотрим по шагам процедуру установки.

В списке доступных ролей выбираем требующуюся нам (Active Directory Certificate Services) и нажимаем Next (рис. 7.2). После этого запускается мастер, который сопровождает процесс установки.

В дополнение к обязательному компоненту "Certification Authority" могут быть установлены дополнительные средства, предоставляющие web-интерфейс для работы пользователей с CA (рис. 7.3). Это может понадобиться, например, для выдачи сертификатов удаленным или внешним, не зарегистрированным в домене, пользователям. Для выполнения данной лабораторной работы это не понадобится.

Рис. 7.2. Выбор добавляемой роли

Рис. 7.3. Выбор устанавливаемых компонент

Следующий шаг – определения типа центра сертификации. Он может быть корпоративным (Enterprise) или отдельностоящим (Standalone) – рис. 7.4. Разница заключается в том, что Enterprise CA может быть установлен только на сервер, являющийся членом домена, т.к. для его работы требуется служба каталога Active Directory. Standalone CA может работать вне домена, например, обрабатывая запросы пользователей, полученные через web-интерфейс. Для выполнения лабораторной работы нужно выбрать версию Enterprise.

Следующее окно мастера позволяет определить, создается корневой (Root) или подчиненный (Subordinate) CA – рис. 7.5. В нашем примере создаваемый CA является первым и единственным, поэтому выбираем вариант Root.

Рис. 7.4. Выбор типа центра сертификации

Рис. 7.5. Выбор типа центра сертификации (продолжение)

Создаваемый центр сертификации должен будет использовать при работе как минимум одну ключевую пару – открытый и секретный ключ (иначе он не сможет подписывать выпускаемые сертификаты). Поэтому для продолжения установки мастер запрашивает, нужно ли создать новый секретный ключ или будет использоваться уже существующий (тогда надо будет указать, какой ключ использовать). В нашем примере надо создать новый ключ. При этом потребуется выбрать "криптографический провайдер" (программный модуль, реализующий криптоалгоритмы) и алгоритм хеширования. Согласимся с настройками по умолчанию (рис. 7.6).

Рис. 7.6. Выбор криптографического провайдера и алгоритма хеширования

Далее потребуется указать имя CA, размещение базы сертификатов и лог-файлов, и подтвердить сделанные настройки. После этого роль будет установлена.

Задание

На учебном сервере или виртуальной машине установите роль Active Directory Certificate Services с настройками, аналогичными рассмотренным выше.

Управлять работой CA можно из оснастки Certification Authority, которая должна появиться в разделе Administrative Tools (рис. 7.7).

Рис. 7.7. Управление центром сертификации

Как видно на рисунке, только что установленный Enterprise CA уже выпустил некоторое количество сертификатов для служебных целей (в частности, сертификаты контроллеров домена). В свойствах данного сервера (пункт Properties контекстного меню) можно посмотреть сделанные настройки. В частности, если выбрать закладку Policy Module и там нажать кнопку Properties, можно увидеть текущую настройку, определяющую порядок выдачи сертификатов (рис. 7.8).

Рис. 7.8. Настройки, определяющие порядок выпуска сертификатов

В выбранном на рисунке случае, после запроса сертификат выдается в соответствии с настройками шаблона сертификата (или автоматически, если настроек нет). Возможен вариант, когда запрос помещается в очередь ожидающих, и сертификат выпускается только после утверждения администратором.

Задание

Ознакомьтесь с текущими настройками центра сертификации.

Опишите, какие шаблоны сертификатов (Certificate Templates) определены и для каких целей служит каждый тип сертификатов.

Посмотрите, какие сертификаты выпущены (Issued Certificates), есть ли отозванные сертификаты (Revoked Certificates).

Теперь рассмотрим процесс получения цифрового сертификата. Сделать это можно с помощью оснастки Certificates, с которой мы познакомились в лабораторной работе № 6. Если она не установлена, запустите консоль mmc и добавьте эту оснастку для текущей учетной записи.

Запустим оснастку, откроем раздел, посвященный сертификатам пользователя (Personal) и запросим сертификат (рис. 7.9). Из перечня предложенных шаблонов сертификатов выберем User. Данный тип сертификатов может использоваться для шифрования файлов с помощью EFS, защиты электронной почты и аутентификации пользователей.

Для пользователя будет сгенерирована ключевая пара, и на основе данных, взятых из базы службы Active Directory и шаблона, будет выпущен сертификат, удостоверяющий открытый ключ.

Этот сертификат будет виден и в оснастке Certification Authority, в списке выпущенных данным сервером.

Рис. 7.9. Запрос сертификата

Задание

1. Запросите сертификат для одного из пользователей.

2. После получения изучите состав сертификата, его назначение.

3. Выполните экспорт сертификата (в оснастке Certificates выделите сертификат и в контекстном меню выберите All Tasks —> Export). Обратите внимание, что можно экспортировать только сертификат или сертификат вместе с секретным ключом (private key). Второй вариант надо использовать аккуратно, чтобы кто-нибудь не узнал ваш секретный ключ шифрования. Такой тип экспорта нужен, если вы хотите сохранить резервную копию ключевой пары и сертификата.

 

Лабораторная работа 8