Сурков Л.В. - Удаленное управление и мониторинг сети
Описание файла
PDF-файл из архива "Сурков Л.В. - Удаленное управление и мониторинг сети", который расположен в категории "". Всё это находится в предмете "языки интернет-программирования" из 5 семестр, которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "книги и методические указания", в предмете "языки интернет-программирования" в общих файлах.
Просмотр PDF-файла онлайн
Текст из PDF
Министерство образования и науки Российской ФедерацииМосковский Государственный Технический Университетим. Н.Э. БауманаФакультет «Информатика и системы управления»Кафедра «Компьютерные системы и сети»Сурков Л.В.Методические указанияк лабораторной работе по дисциплинеКорпоративные сетиРазделУдаленное управление и мониторинг сетиПостроение защищенных SSL – каналовна базе цифровых сертификатов2011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev.
01Теоретическая частьВажно!Передвыполнениемпрактическойчастиработырекомендуетсявнимательно прочитать Раздел «Основные принципы и понятия» Лабораторной работы«Развертывание cлужб сертификации корпоративной сети».Существует два основных класса криптографических алгоритмов - симметричные иассиметричные. В симметричных для шифрования и дешифрования сообщения используетсяодин и тот же ключ. В ассиметричных разные. Тот которым расшифровывают сообщенияназывается закрытым ключем, ключ для шифрования называется открытым. С помощьюоткрытых и закрытых ключей можно подписывать документы.
Для этого рядом с ключемсохраняют данные о владельце ключа и полученный файл называется сертификатом. Всясистема взаимотношений между владельцами сертификатов построена на доверии копределенным пользователям. Их подписи общеизвестны, и они подписывают сертификатыдругих членов, подтверждая тем самым достоверность открытого ключа и хранящихсявместе с ним данных о владельце. Для того, что бы система не была скомпрометирована,пользователи принимают только сертификаты с подписями доверенных членов.
Приведемболее строгую терминологию:Инфраструктураоткрытогоключа(PKI)являетсясистемойцифровыхсертификатов, центров сертификации (ЦС), которая производит проверку и подтверждениеподлинности каждой из сторон, участвующих в электронной операции, с помощьюкриптографии открытых ключей.Сертификат открытого ключа, обычно называемый просто сертификатом - этодокумент с цифровой подписью, связывающий значение открытого ключа с удостоверениемпользователя, устройства или службы, которым принадлежит соответствующий закрытыйключ.Центр Сертификации (Certification Authority, CA) является пакетом программногообеспечения, принимающим и обрабатывающим запросы на выдачу сертификатов,издающим сертификаты и управляющим выданными сертификатами.Корневой сертификат - сертификат принадлежащий Центру Сертификации, спомощью которого проверяется достоверность других выданных центром сертификатов.2МГТУ им.
БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Списокотозванныхсертификатов-Rev. 01списокскомпрометированныхилинедействительных по какой-либо другой причине сертификатов.Отличительное имя (Distinguished Name, DN) - данные о владельце сертификата.Включают CN (Common Name), OU (Organization Unit), O (Organization), L (Locality), ST(State or province), C (Country name).Электронная цифровая подпись (ЭЦП)- реквизит электронного документа,предназначенный для удостоверения источника данных и защиты данного электронногодокумента от подделки.Схема электронной подписи обычно включает в себя:алгоритм генерации ключей пользователя;функцию вычисления подписи;функцию проверки подписи.Функция вычисления подписи на основе документа и секретного ключапользователя вычисляет собственно подпись.
Функция проверки подписи проверяет,соответствует ли данная подпись данному документу и открытому ключу пользователя.Открытый ключ пользователя доступен всем, так что любой может проверить подпись подданным документом.Для того что бы подписать документ нужно зашифровать с помощью закрытогоключа значение хеш-функции от содержимого документа.
Чтобы проверить подпись, нужнорасшифровать с помощью открытого ключа значение подписи и убедиться, что оно равнохешу подписанного документа. Таким образом цифровая подпись, это зашифрованный хешдокумента.Ключ - это набор параметров (чисел). Он может храниться в файле. В теорииклиенты должны сами генерировать свои закрытые и открытые ключи, создавать запрос наподпись открытого ключа и отправлять его в центр. На практике большинство клиентов неумеют генерировать ключи, поэтому в нашем случае Центр осуществляет данную работу.Центр может отзывать сертификат, выданный клиенту, помещая его в черный список,который регулярно передается пользователям центра.
С помощью корневого сертификата,который публично доступен, пользователи могут проверять сертификаты друг друга.3МГТУ им. БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 01Итого у центра сертификации имеется:закрытый ключкорневой сертификат (хранящий в себе открытый ключ);список отозванных (скомпрометированных) сертификатовУ клиентов:закрытый ключ;сертификат, подписанный корневым;корневой сертификат для проверки того, что сертификаты другихпользователей выданы его доверенным центром;список отозванных (скомпрометированных) сертификатов.Создание корневого сертификата включает:1.Генерацию закрытого ключа.2.Генерацию открытого ключа и его подпись с помощью закрытого.Создание обычного сертификата включает:1.Генерацию закрытого ключа.2.Создание запроса на подпись сертификата.3.Подпись запроса в центре сертификации о получение сертификата.Общепринятый формат информации, содержащейся в сертификате, называетсяХ509.
Сертификаты и ключи могут храниться в разных типах файлов.OpenSSL — криптографический пакет с открытым исходным кодом для работы сSSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их,формировать CSR и CRT. Также имеется возможность шифрования данных и тестированияSSL/TLS соединений.4МГТУ им. БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 01Практическая частьЦель работы:Изучение технологии цифровых сертификатов и получение навыковпостроения зашифрованной сети на базе этой технологии и ОС«Linux».РисунокПорядок выполнения работы:1.
Соберите топологию сети, представленную на рисунке.2. Запустите веб-сервис на сервере.3. Инициируйте соединение клиента с веб-сервером и с помощьюутилиты tcpdump убедитесь, что данные передаются без шифрования.4. Создайте центр управления сертификатами (ЦУС) средствамиopenssl.5. Создайте сертификат для веб-сервера. Настройте веб-сервер наработу с сертификатом.5МГТУ им. БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 016.
Инициируйте соединение клиента с веб-сервером по протоколуHTTPS. Средствами браузера изучите сертификат. С помощью tcpdumpизучитепередаваемыепакетыиубедитесь,чтопередаваемаяинформация шифруется.Литература, источники1. James Boney, Cisco IOS in a Nutshell, 2-nd Ed., O`Reilly, 20082. Wendell Odom, Interconnecting Networking Devices Cisco, Part 2,Cisco Press, 20083. НПП «Учтех-Профи», ОС Arch Linux, Лабораторный практикум,Челябинск, 20104.
OpenSSL - http://ru.wikipedia.org/wiki/OpenSSL5. http://www.opennet.ru/base/sec/openssl.txt.htmlКонтрольные вопросы1. Что подразумевается под понятием «сертификат»?2. Для чего требуются сертификаты?3. Чем отличаются закрытый и открытый ключи?4. Какие существуют недостатки при использовании сертификатов?6МГТУ им. БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 01ПримечанияКраткое описание файлов:bundleclient.shскрипт для упаковки необходимых для отправки клиентуфайловbundleserver.shскрипт для упаковки необходимых для отправки серверуфайловca.confфайл с параметрами корневого сертификатаca.crtкорневой сертификатca.db.certsКаталог, где хранятся выданные сертификатыca.keyзакрытый ключ сертификатаca.pfxкорневой сертификат в специальном форматеcarevoke.configфайл с параметрами отзыва сертификатовcreateca.shскрипт создания корневого сертификатаcreateclient.shскрипт создания клиентского сертфикатаcreatecrl.shскрипт создания списка отозваных сертификатовcreateserver.shскрипт создания серверного сертификатаcrl.pemсписок отозваных сертификатовrevoke.shскрипт отзыва сертификатаsign1.shСкрипт, подписывающий серверные сертификатыsignclient.shСкрипт, подписывающий клиентские сертификаты7МГТУ им.
БауманаКафедра ИУ-62011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Построение защищенных SSL – каналовна базе цифровых сертификатов»Rev. 01Пример создания сертификата:Создание ключа и запроса:#openssl req -new > new.cert.csrУдаление пароля из ключа:#openssl rsa -in privkey.pem -out new.cert.keyКонвертирование запроса в подписанный сертификат:#openssl x509 -in new.cert.csr -out new.cert.cert -req -signkey new.cert.key -days365Для клиентских сертификатов:#openssl x509 -req -in client.cert.csr -out client.cert.cert -signkey my.CA.key -CAmy.CA.cert -CAkey my.CA.key -CAcreateserial -days 365*****************************************************************Запуск веб-сервера осуществляется следующей командой:# /etc/rc.d/httpd startДля добавление поддержки протокола SSL в файле conf/httpd.confраскомментируйте строку:Include conf/extra/httpd-ssl.confТакже требуется проверить конфигурационный файл conf/extra/httpd-ssl.confдля сервера на наличие:SSLCertificateFile /path/to/certs/new.cert.certSSLCertificateKeyFile /path/to/certs/new.cert.keyИ для клиента:SSLCACertificateFile /path/to/certs/my.CA.certSSLVerifyClient 28МГТУ им.
БауманаКафедра ИУ-62011.
