пк.лаб6

Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное

учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

Кросс-сертификация удостоверяющих центров

Отчет по лабораторной работе №6

по дисциплине «Прикладная криптография»

Выполнил

Студент гр. 739-1

_______Климанов М.Д.

23.05.2022

Принял

Доцент кафедры КИБЭВС

________ Якимук А.Ю.

__.__.2022

Томск 2022

Введение

Целью лабораторной работы является ознакомление с процедурой кросс-сертификации - установление доверия между двумя удостоверяющими центрами.

Ход работы

В качестве эксперимента скопируем сертификат пользователя полученный в предыдущей лабораторной работе, на УЦ ФБ. Система сообщит, что у нее недостаточно информации для проверки сертификата (рисунок 1).

Рисунок 1 – Скопированный на другую виртуальную машину сертификат

Во вкладке «Пути сертификации» свойств сертификата говорится, что невозможно обнаружить поставщика этого сертификата (рисунок 2).

Рисунок 2 – Путь сертификации для скопированного сертификата

Система на первой вкладке предлагает установить данный сертификат. Установим сертификат на локальном компьютере в раздел «Личное». Проверим наличие сертификата в данном хранилище (рисунок 3).

Рисунок 3 – Наличие сертификата в целевом разделе

Если зайти в свойства сертификата в хранилище, то можно заметить, что данные во вкладках остались прежними. Доверия к данному сертификату в данный момент нет. Для того, чтобы это исправить можно осуществить 2 варианта подтверждения доверия к издателю. Первым вариантом является копирование корневого сертификата УЦ, который выдал данный сертификат, и установка данного сертификата на данном компьютере в разделе «Доверенные издатели» (рисунок 4). Другим вариантом является процедура кросссертификации.

Рисунок 4 – Свойства корневого сертификата другого УЦ

Для выпуска кросс-сертификата необходимо наличие корневого сертификата от удостоверяющего центра, к которому будет предоставлено доверие на УЦ ФБ. Переключимся к виртуальной машине с нашим удостоверяющим центром. Запустим оснастку «Центр сертификации», перейдем в раздел «Выданные сертификаты» и выберем любой сертификат. Во вкладке «Путь сертификации» выберем верхний уровень и нажмем кнопку «Просмотр сертификата» (рисунок 5).

Рисунок 5 – Выбор корневого УЦ

На виртуальной машине УЦ ФБ уже выполнены все действия, которые необходимы для проведения кросс-сертификации удостоверяющих центров. Отметим, что кросс-сертификация — это весьма обширная тема. Для нашего сценария нет необходимости рассматривать подробности т.н. qualified subordination, поэтому ограничимся самым простым вариантом, без дополнительных ограничений

Для этого создадим текстовый файл с именем «Policy.inf» и следующим содержанием:

[Version]

Signature = $WindowsNT$

[RequestAttributes]

CertificateTemplate = CrossCA

Далее экспортируем созданный текстовый файл с именем «Policy.inf» на виртуальную машину УЦ ФБ.

Установим сертификат на виртуальной машине УЦ ФБ при помощи командной строки и следующей команды (рисунок 6):

Рисунок 6 – Результат выполнения команды

После ввода команды выберем в диалоговом окне сертификат и файл «Policy.inf». Затем откажемся от считывания смарт-карты (рисунок 7), выберем сертификат подписи (рисунок 8) и укажем путь для сохранения запроса.

Рисунок 7 – Отказ от считывания смарт-карты

Рисунок 8 – Выбор сертификата подписи

Далее система предложит сохранить сформированный запрос. Выполним его также через командную строку (рисунок 9).

Рисунок 9 – Результат выполнения команды

Система выдаст требуемый сертификат. Единственное отличие в результате будет заключаться в изменении срока действия сертификата (рисунок 10).

Рисунок 10 - Результат выполнения команды с уведомлением об изменении срока действия сертификата

Далее можно установить полученный сертификат. Для этого во вкладке свойств полученного сертификата нажмем на кнопку «Установить сертификат». Откроется мастер импорта сертификатов. В качестве расположения хранилища выберем «Локальный компьютер и автоматический выбор хранилища. Сертификат будет помещен в раздел «Промежуточные центры сертификаты» (рисунок 11).

Рисунок 11 – Установленный сертификат

Если зайти в свойства сертификата пользователя NNNN-FIO (рисунок 12), то можно увидеть, что в пути сертификации для него указано, что сертификат действителен и это подтверждено двумя удостоверяющими центрами.

Рисунок 12 – Результат выполнения команды

Чтобы разобраться с тем, какие настройки необходимо было осуществить для возможности осуществления кросс-сертификации осуществим обратное построение доверия.

Для того, чтобы сертификат был от другого пользователя, а не от администратора, создадим пользователя через оснастку «Active Directory – пользователи и компьютеры» с нашими инициалами (рисунок 13). Добавим созданного пользователя в группу администраторов домена.

Рисунок 13 – Создание пользователя на виртуальной машине УЦ ФБ

Зайдем на сайт веб-регистрации УЦ ФБ и запросим сертификат для созданного пользователя. В оснастке «Центр сертификации» выберем созданный сертификат (рисунок 14). Экспортируйте его. Для этого на вкладке «Состав» нажмем на кнопку «Копировать в файл». По аналогии экспортируйем корневой сертификат УЦ ФБ на вкладке «Путь сертификации».

Рисунок 14 – Путь сертификации для сертификата пользователя

Скопируем ранее созданный текстовый файл с именем «Policy.inf» и оба сертификата на виртуальную машину с нашим удостоверяющим центром.

Установим сертификат пользователя, полученный от УЦ ФБ. Удостоверимся, что к нему нет доверия (рисунок 15). Для этого запустим оснастку «Сертификаты» и просмотрим сертификат в разделе «Личное».

Рисунок 15 – Отсутствие доверия к сертификату пользователя УЦ ФБ

Для осуществления процедуры кросс-сертификации необходимо включить один из встроенных шаблонов сертификатов. Для этого в оснастке «Центр сертификации» и для раздела «Шаблоны сертификации» выберем в меню «Создать» пункт «Выдаваемый шаблон сертификата».

В предложенном списке выберем шаблон «Перекрестный центр сертификации» (рисунок 16) и нажмем «ОК».

Рисунок 16 - Включение шаблона «Перекрестный центр сертификации»

Поскольку удостоверяющий центр уже был настроен, далее можно перейти к запросу сертификата на основе включенного шаблона. Проделайте те же действия в консоли, которые проводились для УЦ ФБ.

На этапе выполнения подтверждения запроса для кросссертификата будет получена ошибка (рисунок 17).

Рисунок 17 – Результат выполнения команды

Выполним запрос на сертификат (рисунок 18). Система выдаст требуемый сертификат без каких-либо замечаний. Сохраним сертификат на локальном диске, а после установим его в хранилище сертификатов.

Рисунок 18 – Результат выполнения команды

Заключение

В процессе выполнения данной лабораторной работы, ознакомились с процедурой кросс-сертификации - установлением доверия между двумя удостоверяющими центрами.