Министерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего образования
«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
«Изучение функций удостоверяющего центра»
Отчет по лабораторной работе №5
по дисциплине «Прикладная криптография»
Студент гр. 739-1
_______Климанов М.Д.
__.__.2022
Руководитель
Доцент кафедры КИБЭВС
____Якимук А.Ю.
__.__.2022
Томск 2022
1 Введение
Целью лабораторной работы является ознакомление базовыми функциями удостоверяющего центра: особенностями работы с оснастками, выдачей сертификатов и шаблонов сертификатов.
2 Ход работы
Данная лабораторная работа заключается в изучении особенностей выдачи сертификатов с помощью готовой веб-оболочки Центра сертификации. Перед Вами главная веб-страница ЦС (рис. 1).
Рисунок 1 – Главное окно центра сертификации
Для того чтобы выдать сертификат данного ЦС необходимо нажать на «Запрос сертификата». На следующей странице можно выбрать уже готовый сертификат пользователя, либо воспользоваться расширенными настройками запроса сертификата. Выберем расширенный запрос сертификата. На следующей странице необходимо выбрать тип генерирования сертификата: либо полностью с первого шага создать сертификат, либо по имеющемуся запросу сертификата создать сертификат. Выберите «Создать и выдать запрос к этому ЦС» (рис. 2).
Рисунок 2 – Расширенный запрос сертификата
На следующей странице появится множество полей, которые необходимо заполнить. Тем самым пополняется информация о запрашиваемом сертификате: его назначение, кем он выдан и т.п (рис. 3).
Рисунок 3 – Окно запроса сертификата
Первый пункт – «Шаблон сертификата. При создании сертификата можно выбрать его готовый шаблон. В Active Directory доступно всего шесть шаблонов сертификатов. Выберите шаблон сертификата – «Пользователь». Переходим к следующему параметру – «Параметры ключа». Для начала необходимо выбрать: создать новый набор ключей или использовать существующие. Выберите «Создать новый набор ключей».
В пункте (CSP - Cryptography Service Provider - криптопровайдер) по умолчанию выбран «Microsoft RSA SChannel Cryptographic Provider». Поставщик службы шифрования (CSP) отвечает за создание, уничтожение и использование ключей в различных криптографических операциях.
Далее идет пункт, касающийся размера ключа. Для улучшения безопасности можно выбрать больший размер, но вместе с тем в геометрической прогрессии будет расти и время генерации ключа. Рекомендуется выбрать значение 2048.
Следующими идут 2 параметра: «Пометить ключ как экспортируемый» и «Включить усиленную защиту закрытого ключа». Если ключи помечены как экспортируемые, открытый и закрытый ключи можно сохранить в файле PKCS 12. Это может быть полезно при смене компьютера и перенесении пары ключей или при удалении пары ключей и сохранении ее в безопасном месте. Второй параметр означает следующее: если усиленная защита закрытого ключа включена, пароль будет запрашиваться при каждом использовании закрытого ключа.
Теперь переходим к параметру «Формат запроса». При работе с данным ЦС можно воспользоваться двумя типами форматов запросов: CMC и PKCS10. Запрос на новый сертификат создается в формате PKCS10.
Настройка параметра «Алгоритмы хэширования» влияет только на подписание запроса. Хороший алгоритм хэширования не позволяет создать два независимых набора входных данных, имеющих одинаковые хэш-коды. Примерами алгоритмов хеширования являются MD2, MD4, MD5 и SHA-1.
Конечные настройки представлены на рисунке 4.
Рисунок 4 – Настройки запроса сертификата
Если требуется отправить запрос позже, можно также выбрать пункт «Сохранить запрос». Данный запрос сохранится на вашем жестком диске в виде текстового файла. После создания запроса, нажмите кнопку «Выдать».
Появится окно выдачи сертификата (рис. 5). Нажмите «Установить этот сертификат». После скачивания сертификата появится уведомление об этом (рис. 6).
Рисунок 5 – Окно выдачи сертификата (1)
Рисунок 6 – Окно выдачи сертификата (2)