Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «МИЭТ»
Предмет:
Безопасность телекоммуникационных сетей
Файл:
Курсовая работа ИБдТКС.pptx
Скачиваний:
2
Добавлен:
21.02.2024
Размер:
206.3 Кб
Скачать
►Содержание►

Создание самоподписанного СА сертификата

Создание самоподписанного СА сертификата выполняется в 2 этапа:

1. Генерация приватного ключа 2048-бит RSA:

openssl genrsa -out root_ca.key 2048

2. Создать X.509 сертификат и подпись его приватным ключом

openssl req -x509 -new -key root_ca.key -days 365 -out root_ca.crt

В итоге будет создан самоподписанный сертификат, его нужно разместить на всех клиентах, между которыми необходимо организовать защищенное соединение.

11

Создание сертификата для веб-сервера

Следующий шаг - генерация приватного ключа для HTTPS: openssl genrsa -out server.key 2048

Затем необходимо сгенерировать запрос на сертификат CSR. В этом запросе нужно передать конкретные значения в параметре "subj". Это должны быть один или несколько параметров CN.

Openssl req -new -key server.key -subj "/CN=xx.xx.xx.xx/CN=server/CN=server.example.com" -out server.csr

Затем выполняем генерацию сертификата и подписываем его приватным ключом CA

openssl x509 -req -in server.csr -CA root_ca.crt -CAkey root_ca.key - CAcreateserial -out server.crt -days 365 -extensions SAN -extfile openssl.cnf

12

Создание CRL

CRL - это список сертификатов, которые были отозваны. Клиентское приложение, к примеру, веб-браузер, может использовать CRL для проверки подлинности сервера. Серверные приложения, такие как Apache или OpenVPN, могут использовать CRL для запрета доступа клиентам, которые больше не являются доверенными.

Публикация CRL в публично доступном позволит получать CRL из этого места, чтобы проверить, нет ли в нем сертификатов, которые могут быть отозваны. Когда центр сертификации подписывает сертификат, он обычно зашифровывает расположение CRL в сертификат. Добавляется crlDistributionPoints в подходящие секции.

13

Тестирование удостоверяющего центра

Для тестирования удостоверяющего центра по выдаче сертификатов на базе СРПО OpenSSL разместим сертификат на сервере Apache. Инструкцию по созданию сервера Apache можно найти в свободном

доступе в сети Интернет. Веб-сервер Apache это программное обеспечение с открытым исходным кодом, выпущенное фондом Apache, один из самых используемых веб-серверов в мире.

14

Тестирование удостоверяющего центра

Для установления успешного HTTPS-соединения с сервером, на котором находится УЦ, необходимо загрузить доверенный сертификат УЦ, а также необходимо обеспечить доступ к точке CDP для CRL этого CA. Для этого нужно скопировать сертификат в определенный каталог на сервере и выполнить команду обновления хранилища сертификатов:

mkdir /usr/local/share/ca-certificates/extra

cp root_ca.pem /usr/local/share/ca-certificates/extra/root_ca.crt update-ca- certificates

15

Тестирование удостоверяющего центра

Затем проверяем доступность сервера с помощью утилиты curl. Если настройки были выполнены правильно, сервер будет доступен.

curl --cert ./client.crt --key client.key –cacert root_ca.crt https://server.example.com:9443

16

Оценка преимуществ и недостатков созданного УЦ

Преимущества данного УЦ:

Создание удостоверяющего центра на базе СРПО OpenSSL имеет свои преимущества и недостатки, которые необходимо учитывать при использовании данного УЦ:

Одним из главных преимуществ является то, что OpenSSL является свободно распространяемым ПО, что значительно снижает затраты на его приобретение и развертывание. Кроме того, что УЦ на базе OpenSSL имеет гибкую архитектуру и может быть настроен под конкретные требования организации. Возможность интеграции с другими системами также является одним из преимуществ данного УЦ.

17

Оценка преимуществ и недостатков созданного УЦ

Недостатки данного УЦ:

Однако, Удостоверяющий центр на базе СРПО OpenSSL также имеет некоторые недостатки. Например, в процессе работы с удостоверяющим центром могут возникнуть технические проблемы, которые требуют дополнительных знаний и умений для их решения. Кроме того, настройка УЦ на базе СРПО OpenSSL может потребовать большего количества времени и ресурсов, чем использование готовых решений коммерческих УЦ.

Также следует учитывать, что создание УЦ на базе СРПО OpenSSL требует наличия опытных специалистов, знакомых с основными принципами работы УЦ и с техническими аспектами его установки и настройки.

18

Выводы

Выводы по результатам проведенных работ:

Создание УЦ на базе СРПО OpenSSL позволяет эффективно обеспечивать безопасность сети и защищать данные от несанкционированного доступа.

Выбор свободно распространяемого ПО для генерации и подписи цифровых сертификатов является эффективным решением с точки зрения экономии финансовых средств.

Тестирование УЦ показало, что созданный УЦ работает корректно и может успешно выполнять поставленные задачи.

Оценка преимуществ и недостатков созданного УЦ позволяет пользователям оценить, насколько решение соответствует их потребностям

и требованиям.

19

Спасибо за внимание!

20

Соседние файлы в предмете Безопасность телекоммуникационных сетей
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности