- •Кафедра «Телекоммуникационные системы»
- •Цели и задачи работы
- •Задание на выполнение:
- •Введение
- •Введение
- •Обзор существующих УЦ
- •Принципы работы УЦ и основные функции
- •Технические характеристики и требования к удостоверяющему центру
- •Выбор свободно распространяемого программного обеспечения для генерации и подписи цифровых сертификатов
- •Разворачивание УЦ на базе СРПО OpenSSL
- •Создание самоподписанного СА сертификата
- •Создание сертификата для веб-сервера
- •Создание CRL
- •Тестирование удостоверяющего центра
- •Тестирование удостоверяющего центра
- •Тестирование удостоверяющего центра
- •Оценка преимуществ и недостатков созданного УЦ
- •Оценка преимуществ и недостатков созданного УЦ
- •Выводы
- •Спасибо за внимание!
Создание самоподписанного СА сертификата
Создание самоподписанного СА сертификата выполняется в 2 этапа:
1. Генерация приватного ключа 2048-бит RSA:
openssl genrsa -out root_ca.key 2048
2. Создать X.509 сертификат и подпись его приватным ключом
openssl req -x509 -new -key root_ca.key -days 365 -out root_ca.crt
В итоге будет создан самоподписанный сертификат, его нужно разместить на всех клиентах, между которыми необходимо организовать защищенное соединение.
11
Создание сертификата для веб-сервера
Следующий шаг - генерация приватного ключа для HTTPS: openssl genrsa -out server.key 2048
Затем необходимо сгенерировать запрос на сертификат CSR. В этом запросе нужно передать конкретные значения в параметре "subj". Это должны быть один или несколько параметров CN.
Openssl req -new -key server.key -subj "/CN=xx.xx.xx.xx/CN=server/CN=server.example.com" -out server.csr
Затем выполняем генерацию сертификата и подписываем его приватным ключом CA
openssl x509 -req -in server.csr -CA root_ca.crt -CAkey root_ca.key - CAcreateserial -out server.crt -days 365 -extensions SAN -extfile openssl.cnf
12
Создание CRL
CRL - это список сертификатов, которые были отозваны. Клиентское приложение, к примеру, веб-браузер, может использовать CRL для проверки подлинности сервера. Серверные приложения, такие как Apache или OpenVPN, могут использовать CRL для запрета доступа клиентам, которые больше не являются доверенными.
Публикация CRL в публично доступном позволит получать CRL из этого места, чтобы проверить, нет ли в нем сертификатов, которые могут быть отозваны. Когда центр сертификации подписывает сертификат, он обычно зашифровывает расположение CRL в сертификат. Добавляется crlDistributionPoints в подходящие секции.
13
Тестирование удостоверяющего центра
Для тестирования удостоверяющего центра по выдаче сертификатов на базе СРПО OpenSSL разместим сертификат на сервере Apache. Инструкцию по созданию сервера Apache можно найти в свободном
доступе в сети Интернет. Веб-сервер Apache это программное обеспечение с открытым исходным кодом, выпущенное фондом Apache, один из самых используемых веб-серверов в мире.
14
Тестирование удостоверяющего центра
Для установления успешного HTTPS-соединения с сервером, на котором находится УЦ, необходимо загрузить доверенный сертификат УЦ, а также необходимо обеспечить доступ к точке CDP для CRL этого CA. Для этого нужно скопировать сертификат в определенный каталог на сервере и выполнить команду обновления хранилища сертификатов:
mkdir /usr/local/share/ca-certificates/extra
cp root_ca.pem /usr/local/share/ca-certificates/extra/root_ca.crt update-ca- certificates
15
Тестирование удостоверяющего центра
Затем проверяем доступность сервера с помощью утилиты curl. Если настройки были выполнены правильно, сервер будет доступен.
curl --cert ./client.crt --key client.key –cacert root_ca.crt https://server.example.com:9443
16
Оценка преимуществ и недостатков созданного УЦ
Преимущества данного УЦ:
Создание удостоверяющего центра на базе СРПО OpenSSL имеет свои преимущества и недостатки, которые необходимо учитывать при использовании данного УЦ:
Одним из главных преимуществ является то, что OpenSSL является свободно распространяемым ПО, что значительно снижает затраты на его приобретение и развертывание. Кроме того, что УЦ на базе OpenSSL имеет гибкую архитектуру и может быть настроен под конкретные требования организации. Возможность интеграции с другими системами также является одним из преимуществ данного УЦ.
17
Оценка преимуществ и недостатков созданного УЦ
Недостатки данного УЦ:
Однако, Удостоверяющий центр на базе СРПО OpenSSL также имеет некоторые недостатки. Например, в процессе работы с удостоверяющим центром могут возникнуть технические проблемы, которые требуют дополнительных знаний и умений для их решения. Кроме того, настройка УЦ на базе СРПО OpenSSL может потребовать большего количества времени и ресурсов, чем использование готовых решений коммерческих УЦ.
Также следует учитывать, что создание УЦ на базе СРПО OpenSSL требует наличия опытных специалистов, знакомых с основными принципами работы УЦ и с техническими аспектами его установки и настройки.
18
Выводы
Выводы по результатам проведенных работ:
Создание УЦ на базе СРПО OpenSSL позволяет эффективно обеспечивать безопасность сети и защищать данные от несанкционированного доступа.
Выбор свободно распространяемого ПО для генерации и подписи цифровых сертификатов является эффективным решением с точки зрения экономии финансовых средств.
Тестирование УЦ показало, что созданный УЦ работает корректно и может успешно выполнять поставленные задачи.
Оценка преимуществ и недостатков созданного УЦ позволяет пользователям оценить, насколько решение соответствует их потребностям
и требованиям.
19
Спасибо за внимание!
20