Сурков Л.В. - Развёртывание служб сертификации корпоративной сети, страница 5
Описание файла
PDF-файл из архива "Сурков Л.В. - Развёртывание служб сертификации корпоративной сети", который расположен в категории "". Всё это находится в предмете "языки интернет-программирования" из 5 семестр, которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "книги и методические указания", в предмете "языки интернет-программирования" в общих файлах.
Просмотр PDF-файла онлайн
Текст 5 страницы из PDF
Там же черезконтекстное меню можно опубликовать новый CRL.Рис. 12Отзыв цифрового сертификатаЗадание – Просмотрите список выданных ЦС сертификатов. Отзовите один извыданных сертификатов. Опубликуйте список отзыва сертификатов. Установитеновый CRL и убедитесь что он обновился в оснастке «Сертификаты».Экспорт сертификатаСертификаты можно экспортировать и хранить в виде отдельных файлов. Для этоговыберите нужный сертификат, (R-Click | Все задачи | Экспорт).
Запустится мастерэкспорта сертификатов.На первом этапе нужно выбрать, будет ли экспортироваться закрытый ключ. Затемуказывается формат, в котором будет экспортирован сертификат. Если экспортируетсязакрытый ключ, то потребуется ввести пароль для его шифрования. Далее указываетсясобственно имя файла, в котором будет сохранен сертификат.МГТУ им. БауманаКафедра ИУ619Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Импорт сертификатаПри импорте сертификата он переносится из файла в указанное хранилищесертификатов.
Для импорта сертификата выберите нужное хранилище сертификатов, (RClick | Все задачи | Импорт). Запустится мастер импорта сертификатов.На первом шаге потребуется указать имя файла, из которого будет импортироватьсясертификат. Затем, если файл содержит зашифрованный пароль, потребуется ввестисоответствующий пароль. В завершение указывается хранилище, в которое будетпомещен импортированный сертификат.Задание – Изучите возможности импорта и экспорта сертификатов.
Для этогоэкспортируйте полученный сертификат в файл, удалите сертификат из хранилища иимпортируйте его обратно.Аутентификацияпользователейустановлением SSL соединениянаWeb-серверахсТехнологическая схема работыТехнологическая схема аутентификации пользователей на Web-серверахпредставлена на Рис. 13.1. Клиент инициализирует соединение с сервером;2. Сервер отправляет клиенту служебное сообщение;3. Далее сервер отправляет свой сертификат открытого ключа и служебноесообщение, которое свидетельствует о завершение фазы приветствия сервера.4. Клиент, получив служебное сообщение, убеждается, что сервер предоставилдействительный сертификат открытого ключа и проводит проверку сертификатаоткрытого ключа сервера;5.
Далее клиент отправляет сообщение о изменение параметров шифрования и вследза этим сообщением отправляется служебное сообщение. Данное сообщениеподтверждает, что процесс обмена ключами и аутентификации завершилсяуспешно;6. В ответ на эти сообщения сервер также формирует два служебных сообщения.Рис. 13 Аутентификация пользователей на Web-серверахПорядок настройки продуктовIIS был установлен во время инсталляции сервера ЦС. После установки необходимопроверить свойства IIS.
Для этого запускаем из меню Пуск | Программы |Администрирование | IIS. В появившемся окне выбираем Веб-узел по умолчанию (Рис. 14)МГТУ им. БауманаКафедра ИУ620Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Рис. 14 Internet Information ServicesДалее щелчком левой кнопки мыши по «Веб-узел по умолчанию» и в появившемсясписке выбираем пункт Свойства. В открывшемся окне Рис. 15.Рис. 15 Свойства Web SiteМГТУ им. БауманаКафедра ИУ621Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev.
09Нажимаем кнопку Дополнительно и проверяем порты установленные по умолчанию.Для SSL необходимо добавить порт 443.Для того чтобы увидеть веб страничку на узле по умолчанию, необходимо в папку\Inetpub\wwwroot скопировать любой htm файл, и назвать его «default.htm». Тогда приоткрытии этого веб узла там будет отображаться ваша страничка.Следующим этапом является создания ключевой пары и сертификата для webсервера. Для этого необходимо с помощью http://<имя компьютера>/certsrv/ выпуститьсертификат для проверки подлинности web сервера, установив соответствующий типсертификата.
Так же необходимо установить параметр «Использовать локальноехранилище компьютера для сертификата».Рис. 16 Свойства безопасности каталога веб узлаНеобходимо нажать кнопку Сертификат. По нажатию этой кнопки запустится мастерустановки сертификата для Web-сервера. Выбираем «Назначение существующегосертификата» и следуя подсказкам мастера выбираем сертификат выпущенный для вебсервера.МГТУ им.
БауманаКафедра ИУ622Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Рис. 17 Установка сертификат Web-сервера.Второй способ создания ключевой пары и сертификата для web сервера: с помощьюэтого мастера можно также сначала сформировать запрос на сертификат в форматеPKCS#10. Результатом работы мастера будет являться создание и сохранение налокальном диске файла запроса на сертификат открытого ключа, который будетнеобходимо передать удостоверяющему центру для выдачи по этому запросу сертификатаоткрытого ключа Web-сервера.Выпустить сертификат открытого ключа используя данный запрос на ЦС (Рис. 18)либо используя web интерфейс службы сертификации (Рис.19). В последнем случаенеобходимо вставить содержимое текстового файла запроса в соответствующее окно webинтерфейса.МГТУ им.
БауманаКафедра ИУ623Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Рис. 18 Выпуск сертификата web сервера по запросу из файлаРис. 19 Web интерфейс службы сертификацииСледующим шагом является установка сертификата Web-сервера. Данная операцияпроизводится следующим образом:1. Запускаем Диспетчер служб IIS;2. В открывшемся окне выбираем «web узел по умолчанию»;3. Далее щелчком левой кнопки мыши выбираем пункт Свойства.
В открывшемсяокне и переходим на закладку «Безопасность каталога» и нажимаем кнопку«Сертификат»;4. После нажатия данной кнопки происходит запуск мастера установки сертификатаоткрытого ключа Web-сервера;5. Следуя указаниям мастера необходимо выбрать пункт «Обработать ожидающийзапрос и установить сертификат» Рис. 20 и произвести установку сертификатаоткрытого ключа;МГТУ им. БауманаКафедра ИУ624Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev.
09Рис. 20 Установка сертификата Web-сервераСледующим шагом является настройка параметров соединения. Для этогонеобходимо в окне «Свойства web узла по умолчанию» в закладке «Безопасностькаталога» нажать кнопку Изменить. В открывшемся окне Рис. 21 и произвести настройканеобходимых параметров.Рис. 21 Настройка параметров аутентификации на Web-сервереДля двусторонней аутентификации сервера и клиента необходимо созданиеключевой пары и сертификата открытого ключа для клиента.
Для этого необходимо припомощи web интерфейса службы сертификации выдать сертификатов открытых ключейWeb-клиентов, и установить его для текущего пользователя.Заключительным этапом тестирования является попытка произвести доступ кзащищенному Web-сайту. Необходимо в свойствах обозревателя web браузера разрешитьиспользовать SSL. В web-браузере на клиентском рабочем месте набрать следующуюМГТУ им. БауманаКафедра ИУ625Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev.
09строку https://<имя компьютера web сервера>. После этого на экране у пользователядолжно будет открыться окно Рис 22 и после нажатия Да, открыться ваша страничка попротоколу https.Рис. 22 Окно предупреждения о начале безопасного просмотра web узлаВ зависимости от настроек безопасного подключения (Рис. 21) пользователю будетпредложено выбрать сертификат аутентификации клиента для доступа к web-сайту(Рис.23) .
В результате пользователь получит доступ к защищенному Web-сайту сустановлением SSL соединения.Рис. 23 Окно проверки подлинности клиента web узлаЗадание – Настройте защищенное соединение с web сайтом по протоколу https cпроверкой подлинности клиента. Убедитесь что соединение устанавливается. Отзовитесертификат клиента. Опубликуйте новый список отзыва CRL и попробуйте зановоподключиться к web узлу с отозванным сертификатом клиента.МГТУ им. БауманаКафедра ИУ626Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Рекомендуемая литература1. Implementing, managing, and maintaining a Microsoft Windows Server 2003 networkinfrastructure. Training kit (exam 70-291) /J.
C. Mackin, Ian McLean, Microsoft Press 20042. Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure.Training Kit (Exam 70-293) / Craig Zacker. Microsoft Press, 20043. Справочная система ОС Microsoft "Windows Server 2008/2003 "МГТУ им. БауманаКафедра ИУ627.
