Сурков Л.В. - Удаленное управление и мониторинг сети (1075636)
Текст из файла
Министерство образования и науки Российской ФедерацииМосковский Государственный Технический Университетим. Н.Э. БауманаФакультет «Информатика и системы управления»Кафедра «Компьютерные системы и сети»Сурков Л.В.Методические указанияк лабораторной работе по дисциплинеКорпоративные сетиРазделУдаленное управление и мониторинг сетиПостроение защищенных SSL – каналовна базе цифровых сертификатов2011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev.
01Теоретическая частьВажно!Передвыполнениемпрактическойчастиработырекомендуетсявнимательно прочитать Раздел «Основные принципы и понятия» Лабораторной работы«Развертывание cлужб сертификации корпоративной сети».Существует два основных класса криптографических алгоритмов - симметричные иассиметричные. В симметричных для шифрования и дешифрования сообщения используетсяодин и тот же ключ. В ассиметричных разные. Тот которым расшифровывают сообщенияназывается закрытым ключем, ключ для шифрования называется открытым. С помощьюоткрытых и закрытых ключей можно подписывать документы.
Для этого рядом с ключемсохраняют данные о владельце ключа и полученный файл называется сертификатом. Всясистема взаимотношений между владельцами сертификатов построена на доверии копределенным пользователям. Их подписи общеизвестны, и они подписывают сертификатыдругих членов, подтверждая тем самым достоверность открытого ключа и хранящихсявместе с ним данных о владельце. Для того, что бы система не была скомпрометирована,пользователи принимают только сертификаты с подписями доверенных членов.
Приведемболее строгую терминологию:Инфраструктураоткрытогоключа(PKI)являетсясистемойцифровыхсертификатов, центров сертификации (ЦС), которая производит проверку и подтверждениеподлинности каждой из сторон, участвующих в электронной операции, с помощьюкриптографии открытых ключей.Сертификат открытого ключа, обычно называемый просто сертификатом - этодокумент с цифровой подписью, связывающий значение открытого ключа с удостоверениемпользователя, устройства или службы, которым принадлежит соответствующий закрытыйключ.Центр Сертификации (Certification Authority, CA) является пакетом программногообеспечения, принимающим и обрабатывающим запросы на выдачу сертификатов,издающим сертификаты и управляющим выданными сертификатами.Корневой сертификат - сертификат принадлежащий Центру Сертификации, спомощью которого проверяется достоверность других выданных центром сертификатов.2МГТУ им.
БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Списокотозванныхсертификатов-Rev. 01списокскомпрометированныхилинедействительных по какой-либо другой причине сертификатов.Отличительное имя (Distinguished Name, DN) - данные о владельце сертификата.Включают CN (Common Name), OU (Organization Unit), O (Organization), L (Locality), ST(State or province), C (Country name).Электронная цифровая подпись (ЭЦП)- реквизит электронного документа,предназначенный для удостоверения источника данных и защиты данного электронногодокумента от подделки.Схема электронной подписи обычно включает в себя:алгоритм генерации ключей пользователя;функцию вычисления подписи;функцию проверки подписи.Функция вычисления подписи на основе документа и секретного ключапользователя вычисляет собственно подпись.
Функция проверки подписи проверяет,соответствует ли данная подпись данному документу и открытому ключу пользователя.Открытый ключ пользователя доступен всем, так что любой может проверить подпись подданным документом.Для того что бы подписать документ нужно зашифровать с помощью закрытогоключа значение хеш-функции от содержимого документа.
Чтобы проверить подпись, нужнорасшифровать с помощью открытого ключа значение подписи и убедиться, что оно равнохешу подписанного документа. Таким образом цифровая подпись, это зашифрованный хешдокумента.Ключ - это набор параметров (чисел). Он может храниться в файле. В теорииклиенты должны сами генерировать свои закрытые и открытые ключи, создавать запрос наподпись открытого ключа и отправлять его в центр. На практике большинство клиентов неумеют генерировать ключи, поэтому в нашем случае Центр осуществляет данную работу.Центр может отзывать сертификат, выданный клиенту, помещая его в черный список,который регулярно передается пользователям центра.
С помощью корневого сертификата,который публично доступен, пользователи могут проверять сертификаты друг друга.3МГТУ им. БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 01Итого у центра сертификации имеется:закрытый ключкорневой сертификат (хранящий в себе открытый ключ);список отозванных (скомпрометированных) сертификатовУ клиентов:закрытый ключ;сертификат, подписанный корневым;корневой сертификат для проверки того, что сертификаты другихпользователей выданы его доверенным центром;список отозванных (скомпрометированных) сертификатов.Создание корневого сертификата включает:1.Генерацию закрытого ключа.2.Генерацию открытого ключа и его подпись с помощью закрытого.Создание обычного сертификата включает:1.Генерацию закрытого ключа.2.Создание запроса на подпись сертификата.3.Подпись запроса в центре сертификации о получение сертификата.Общепринятый формат информации, содержащейся в сертификате, называетсяХ509.
Сертификаты и ключи могут храниться в разных типах файлов.OpenSSL — криптографический пакет с открытым исходным кодом для работы сSSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их,формировать CSR и CRT. Также имеется возможность шифрования данных и тестированияSSL/TLS соединений.4МГТУ им. БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 01Практическая частьЦель работы:Изучение технологии цифровых сертификатов и получение навыковпостроения зашифрованной сети на базе этой технологии и ОС«Linux».РисунокПорядок выполнения работы:1.
Соберите топологию сети, представленную на рисунке.2. Запустите веб-сервис на сервере.3. Инициируйте соединение клиента с веб-сервером и с помощьюутилиты tcpdump убедитесь, что данные передаются без шифрования.4. Создайте центр управления сертификатами (ЦУС) средствамиopenssl.5. Создайте сертификат для веб-сервера. Настройте веб-сервер наработу с сертификатом.5МГТУ им. БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 016.
Инициируйте соединение клиента с веб-сервером по протоколуHTTPS. Средствами браузера изучите сертификат. С помощью tcpdumpизучитепередаваемыепакетыиубедитесь,чтопередаваемаяинформация шифруется.Литература, источники1. James Boney, Cisco IOS in a Nutshell, 2-nd Ed., O`Reilly, 20082. Wendell Odom, Interconnecting Networking Devices Cisco, Part 2,Cisco Press, 20083. НПП «Учтех-Профи», ОС Arch Linux, Лабораторный практикум,Челябинск, 20104.
OpenSSL - http://ru.wikipedia.org/wiki/OpenSSL5. http://www.opennet.ru/base/sec/openssl.txt.htmlКонтрольные вопросы1. Что подразумевается под понятием «сертификат»?2. Для чего требуются сертификаты?3. Чем отличаются закрытый и открытый ключи?4. Какие существуют недостатки при использовании сертификатов?6МГТУ им. БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 01ПримечанияКраткое описание файлов:bundleclient.shскрипт для упаковки необходимых для отправки клиентуфайловbundleserver.shскрипт для упаковки необходимых для отправки серверуфайловca.confфайл с параметрами корневого сертификатаca.crtкорневой сертификатca.db.certsКаталог, где хранятся выданные сертификатыca.keyзакрытый ключ сертификатаca.pfxкорневой сертификат в специальном форматеcarevoke.configфайл с параметрами отзыва сертификатовcreateca.shскрипт создания корневого сертификатаcreateclient.shскрипт создания клиентского сертфикатаcreatecrl.shскрипт создания списка отозваных сертификатовcreateserver.shскрипт создания серверного сертификатаcrl.pemсписок отозваных сертификатовrevoke.shскрипт отзыва сертификатаsign1.shСкрипт, подписывающий серверные сертификатыsignclient.shСкрипт, подписывающий клиентские сертификаты7МГТУ им.
БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 01Пример создания сертификата:Создание ключа и запроса:#openssl req -new > new.cert.csrУдаление пароля из ключа:#openssl rsa -in privkey.pem -out new.cert.keyКонвертирование запроса в подписанный сертификат:#openssl x509 -in new.cert.csr -out new.cert.cert -req -signkey new.cert.key -days365Для клиентских сертификатов:#openssl x509 -req -in client.cert.csr -out client.cert.cert -signkey my.CA.key -CAmy.CA.cert -CAkey my.CA.key -CAcreateserial -days 365*****************************************************************Запуск веб-сервера осуществляется следующей командой:# /etc/rc.d/httpd startДля добавление поддержки протокола SSL в файле conf/httpd.confраскомментируйте строку:Include conf/extra/httpd-ssl.confТакже требуется проверить конфигурационный файл conf/extra/httpd-ssl.confдля сервера на наличие:SSLCertificateFile /path/to/certs/new.cert.certSSLCertificateKeyFile /path/to/certs/new.cert.keyИ для клиента:SSLCACertificateFile /path/to/certs/my.CA.certSSLVerifyClient 28МГТУ им.
БауманаКафедра ИУ-62011.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
