Опубликован: 03.08.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Санкт-Петербургский государственный политехнический университет
Лекция 5:

Идентификация и аутентификация. Протокол Kerberos

Лабораторная работа 6. Использование цифровых сертификатов

В ходе данной лабораторной работы мы познакомимся с некоторыми вопросами использования цифровых сертификатов.

Начнем с их использования протоколом SSL/TSL (на самом деле это два разных протокола, но т.к. TSL разработан на базе SSL, принцип использования сертификатов один и тот же). Этот протокол широко применяется в сети Интернет для защиты данных передаваемых между web-серверами и браузером клиента. Для аутентификации сервера в нем иcпользуется сертификат X.509.

Для примера обратимся на сайт Ситибанка (http://www.citibank.ru), в раздел "Мой банк", предназначенный для ведения банковских операций через Интернет ( рис. 6.1).

Защищенное соединение

увеличить изображение
Рис. 6.1. Защищенное соединение

Префикс https в строке адреса и изображение закрытого замка справа от строки указывают, что установлено защищенное соединение. Если щелкнуть мышью по изображению замка, то увидим представленное на рис. 6.1 сообщение о том, что подлинность узла с помощью сертификата подтверждает центр сертификации VeriSign. Значит, мы на самом деле обратились на сайт Ситибанка (а не подделанный нарушителями сайт) и можем безопасно вводить логин и пароль.

Выбрав "Просмотр сертификата" можно узнать подробности о получателе и издателе, другие параметры сертификата ( рис. 6.2).

Параметры сертификата

Рис. 6.2. Параметры сертификата

Задание

Посмотрите параметры сертификата "электронной сберкассы" Сбербанка - https://esk.sbrf.ru Опишите, кем на какой срок и для какого субъекта сертификат был выдан.

Теперь рассмотрим другой вариант - мы подключаемся по SSL к web-серверу, а браузер не может проверить его подлинность. Подобная ситуация произошла при подключении в раздел Интернет-обслуживания Санкт-Петербургского филиала оператора мобильной связи Tele2 - https://www.selfcare.tele2.ru/work.html (на рис. 6.3).

Браузер сообщает о проблеме с сертификатом

увеличить изображение
Рис. 6.3. Браузер сообщает о проблеме с сертификатом

Если нажать ссылку "Продолжить открытие этого web-узла" можно будет просмотреть сертификат.

Задание

Разберитесь, в чем проблема с указанным сертификатом.

Прим. На всякий случай в конце описания лабораторной приведен ответ.

Теперь рассмотрим, как хранятся сертификаты. Операционная система Windows обеспечивает защищенное хранилище ключей и сертификатов. Работать с хранилищем можно используя настройку консоль управления MMC "Сертификаты".

Из меню Пуск —> Выполнить запустите консоль командой mmc. В меню Консоль выберите Добавить или удалить оснастку, а в списке оснасток выберите Сертификаты. Если будет предложен выбор (а это произойдет, если Вы работаете с правами администратора), выберите пункт "Моей учетной записи".

Таким образом, мы можем просматривать сертификаты текущего пользователя. Если ранее сертификаты не запрашивались, то в разделе "Личные сертификаты" элементов не будет.

В разделе "Доверенные корневые центры сертификации" представлен достаточно обширный список центров, чьи сертификаты поставляются вместе с операционной системой.

Найдите в нем сертификат VeriSign Class 3 Public Primary CA. Благодаря тому, что он уже был установлен, в рассмотренном в начале работы примере с подключением к системам Интернет-банкинга браузер мог подтвердить подлинность узла.

Теперь перейдем к разделу "Сертификаты, к которым нет доверия". Там находятся отозванные сертификаты. Как минимум, там будут находиться два сертификата, которые по ошибке или злому умыслу кто-то получил от имени корпорации Microsoft в центре сертификации VeriSing в 2001 году. Когда это выяснилось, сертификаты отозвали ( рис. 6.4).

Отозванные сертификаты

увеличить изображение
Рис. 6.4. Отозванные сертификаты

Теперь рассмотрим процесс запроса сертификата. На сайте центра сертификации Thawte http://www.thawte.com можно бесплатно получить сертификат для электронной почты. Для этого в меню сайта Products выберите Free Personal E-Mail Certificates. После этого надо заполнить небольшую анкету, указав имя, фамилию, страну, предпочитаемую кодировку, адрес электронной почты (должен быть обязательно действующим), дальше - пароль и контрольные вопросы для восстановления. Когда все заполнено, на указанный адрес почты будет отправлено письмо со ссылкой для выполнения дельнейших шагов генерации ключей и двумя проверочными значениями, которые нужно ввести, перейдя по ссылке. Таким образом, подлинность и принадлежность адреса будет подтверждена.

Далее система предложит ввести адрес почты (в качестве имя пользователя) и выбранный ранее пароль. После чего можно запросить сертификат X.509. Понадобится указать тип браузера и почтового клиента (например, Internet Explorer и Outlook). После этого потребуется ответить на запросы системы, касающиеся генерации ключей (разрешить выполнение ActiveX элемента, выбрать криптопровайдер, разрешить генерацию).

После завершения этого этапа на почтовый адрес будут выслано второе письмо, подтверждающее запрос сертификата. А спустя некоторое время - третье, со ссылкой для получения сертификата.

Пройдя по ссылке, надо будет снова ввести имя и пароль и на странице нажать кнопку "Install Your Cert" и согласиться с добавлением сертификата.

В результате в оснастке Сертификаты появится личный сертификат выпущенный издателем Thawte Personal Freemail Issuing CA для субъекта Thawte Freemail Member с указанным вами адресом почты ( рис. 6.5).

Если использовать сертификат для защиты почты, дальнейшая настройка зависит от почтового клиента. Если это Microsoft Outlook, можно использовать встроенную в него поддержку протокола S/MIME. В Outlook 2003 для выбора сертификата надо войти в меню Сервис —> Параметры, там выбрать вкладку Безопасность и там в параметрах шифрованной электронной почты выбрать используемый сертификат и алгоритмы ( рис. 6.6).

Полученный сертификат

увеличить изображение
Рис. 6.5. Полученный сертификат
Выбор сертификата для защиты почты с помощью S/MIME в Outlook

Рис. 6.6. Выбор сертификата для защиты почты с помощью S/MIME в Outlook

Задание

Запросите сертификат в Thawte и настройте почтовый клиент для использования S/MIME.

Ответ на задание про сертификат на сайте Tele2

Проблема была в том, что сертификат "самоподписанный": он был выдан центром сертификации http://www.selfcare.tele2.ru самому себе. Браузер сообщает о невозможности удостовериться в подлинности узла из-за того, что данный центр сертификации отсутствует в списке доверенных, а проверить его подлинность с помощью "вышестоящего" по иерархии центра не представляется возможным (т.к. вышестоящего центра нет).

Доверять или нет такому сертификату - каждый решает самостоятельно.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Татьяна Гусельникова
Татьяна Гусельникова