Upload
puerto
View
232
Download
0
Embed Size (px)
Citation preview
7/24/2019 Implementacija PKI u MS OS
1/24
VEBA 4C
Ime i prezime studenta: _________________________Broj indeksa: ________
ZAHTEVI VEBENaziv ve!e I"#$E"ENTACI%A #&I 'I'TE"A NA (IN)*(' #$AT+*,"ICi-j ve!e Razumeti arhitekturu PKI sistema i znaaj PKI za savremeno e-poslovanje.
Nauitiosnovne korake procesa instalacije PKI sistema i CA modula na bazi MicrosofrPKI tehnoloije i !indo"s #$
"etod rada $tudenti rade individualno u kompjuterskoj laboratoriji. %a izvo&enje ve'be koristitiinformacije uPrilogu Ave'be( pratiti instrukcijedemonstratora ve'be i izvr)avatizahtevane korake na raunaru.*e'ba je data u elektronskoj formi u worddokumentu+.do.,. neti identifikacione podatke( a odovore na zadatke ve'be dati u istomdokumentu na sledeoj strani.
#ro.es rada 1. korak/ Proitati i razumeti zahteve ve'be( vreme / minuta2. korak/ Prouiti i razumeti 0. zadatak ve'be +Prilog A,( vreme 40 minuta3. korak/ #dovoriti na 1. zadatak ve'be( vreme 4/ minuta
Zada.ive!e Zadatak 1/ Prouiti i razumetiproceduruimplementacije PKI infrastrukture.
Zadatak 2/ Pratiti implementacijuprocedureinstalacije $ertifikaciono telaEnterpriseRoot CAnaMicrosoft Windows Server-u 2003 Enterprise Editionplatformi.
Prilog A
13 V*) #&I 'I'TE"E
2azvojem elektronsko poslovanja nastala je potreba za bezbednim funkcionisanjem tih sistema i za)titomrazmenjivanih informacija. 2azvojem sistema sa javnim kljuevima 3 PKI +Public Key nfr!structure,omouena je pouzdana primena elektronskih komunikacija( bazirana na kombinovanoj primeni asimetrinihi simetrinih )ifarskih sistema. PKI sistem obezbe&uje 4 kljuna servisa za)tite informacija/ autentiikaciju!integritet! tajnost i neporecivost.
Interitet i neporecivost se mou potvrditi samo primenom asimetrinih )ifarskih sistema3 PKI sistemimase i autentifikacija utvr&uje primenom asimetrinih )ifarskih sistema. Iako PKI sistemi obezbe&uju tajnost
preno)enih informacija( u sistemima sa velikim protokom informacija za za)titu tajnosti podataka primenjujuse simetrini )ifarski sistemi.
PKI infrastruktura se zasniva na poverenju u 2oot $ertifikaciono telo 5Root "A6 koje svojim diitalnimpotpisom arantuje validnost i tanost izdatih di"it!lni# sertifi$!t!. svakom sertifikatu nalaze sejavniklju korisnika i digitalni potpis "A koji je faktor poverenja i predmet provere prilikom elektronskihkomunikacija. Korisnici PKI sistema da bi uestvovali u komunikaciji moraju propisno razmeniti svoje
diitalne sertifikate. Prilikom formiranja( 2oot CA prvo sebi potpisuje sertifikat( a potom svojim potpisomarantuje i drue sertifikate koje verifikuje. z sertifikat( koji je javni dokument( za bezbednu komunikacijusvaki korisnik ima i uva svoj tajni klju koji je matematiki par njeovo javno kljua.
'erti7ika.iono te-o 5CA63 je najva'niji modul i osnova poverenja dato PKI sistema( iji je zadatak daupravlja diitalnim sertifikatima u njihovom itavom 'ivotnom ciklusu. #snovni zadaci CA su da/
- eneri)e diitalne sertifikate tako )to povezuje identifikacione podatke odre&eno korisnika usistemu sa njeovim javnim kljuem asimetrino kriptorafsko sistema i sve to potvr&uje svojimdiitalnim potpisom svih podataka u sertifikatu(
- upravlja rokom va'nosti izdatih diitalnih sertifikata i- obezbe&uje funkciju povlaenja izdatih diitalnih sertifikata u sluajevima kada za to postoje uslovi(
i u tom smislu( publikuje liste povuenih sertifikata3 "R#+Certific!te Revoc!tion %ist,.
5
7/24/2019 Implementacija PKI u MS OS
2/24
23 *'N*VNI +N&CI*NA$NI ZAHTEVI #&I 'I'TE"A
#snovni funkcionalni zahtevi za PKI sistem su/
- podr)ka razliitim politikama rada PKI sistema(- bezbednost sistema(
- skalabilnost(- fleksibilnost i- jednostavno kori)enje.
svakom PKI sistemu najva'niji subjekti su/
0. Administrator bezbednosti PKI sistema koji uspostavlja i monitori)e rad itavo PKI sistema61. Administrator CA67. #perator 2A koji sakuplja reistracione informacije i koji mo'e da autorizuje proces sertifikacije i
povlaenja sertifikata64. Krajnji korisnik koji podnosi zahtev za izdavanjem sertifikata.
cilju eventualnih zahteva za interoperabilno)u( PKI sistem mora zadovoljavati osobinu da se bazira naotvorenim standardima( od kojih je najva'niji 8.95: standard za format diitalno sertifikata.
83 &*N+I9,ACI%A #&I NA "' (IN)*(' 'E,VE, 2008 ENTE,#,I'E E)ITI*N
ovoj ve'bi u cilju racionalizacije resursa PKI sistem je konfiurisan na raunaru sa virtuelnim loikimparticijama koji je ujedno $nterprise Root "A i $%mail server+;Mnterprise 2oot CA
43 IN'TA$ACI%A (IN)*(' 'E,VE, 2008 ENTE,#,I'E E)ITI*N
%a instalaciju operativno sistema !indo"s $erver 1557 >nterprise >dition potrebno je pored raunara na
koji se ovaj #$ instalira imati i raunar koji e biti povezan na ovaj server. @akon instalacije !indo"s$erver 1557 >nterprise >dition dodeljuje se statika IP adresa serveru na sledei nain/
0. St!rtmenu-iju( pritisnuti Contro- #ane-
7/24/2019 Implementacija PKI u MS OS
3/24
1. $oka- Area Conne.tion 'tatus( pritisnuti#roperties3
7. $oka- Area Conne.tion #roperties( ekirati i dvostruko pritisnutiInternet #roto.o- 5TC#>I#63
4. Internet #roto.o- 5TC#>I#6 #roperties aktivirati opcije se t?e 7o--o=in; I# address ise t?e7o--o=in; )N' server addresses: i upisati izabranu IP adresu i odovarajuu $ubnet mask kao )to
je i navedeno na slici ispod.
1
7/24/2019 Implementacija PKI u MS OS
4/24
9. @a kraju pritisnuti #K i zatvoriti otvorene prozore.
9. IN'TA$ACI%A A&TIVN*9 )I,E&T*,I%"A 5A)6 I +*,"I,AN%E )N' 5)*"AIN NA"E'@'TE"6
1. Logovati se na Windows 2003 Server kao administrator;2. Zatim pokrenuti startmenu, pritisnuti run i ukucati i aktivirati dcpromoda bi
otvoriliActive Directory Installation wizard. Selektovati opciju Domain controllerfor a new domain, atim pritisnuti Net.
3. #tvara se novi dijalo de treba selektovati tip domena. $elektovati &o'!in in ! new forest( azatim pritisnutiNet3
7
7/24/2019 Implementacija PKI u MS OS
5/24
!. #tvara se dijalo Ne= )omain Namei ovde se unosi puno ime domena( kao )to je prikazano naslici. @a primer abc.comili se mo'e koristiti ime domena po 'elji. Potom pritisnuti Net.
". novom dijalou se unosi @etFI#$ ime domena kao )to je prikazano na slici. Prihvatiti ponu&eno@etFI#$ ime ili uneti druo i pritisnuti Net3
#. $elektovati lokaciju za Active
7/24/2019 Implementacija PKI u MS OS
6/24
$. Kad se selektuju lokacije potrebno je pritisnuti Net kao na sledeoj slici.
%. Potvrditi opciju Insta-- and .on7i;ure t?e )N' server on t?is .omputer< and set t?is .omputerto use t?is )N' server as its pre7erred )N' server< kao )to je prikazano na sledeoj slici.%atim
pritisnuti Net3
&. $elektovati opciju za instalaciju kompatibilnosti A.tive )ire.tor. %atim pritisnuti Net3
9
7/24/2019 Implementacija PKI u MS OS
7/24
10. Izaberite Netkao )to je prikazano na sledeoj slici da bi ste instalirali A
7/24/2019 Implementacija PKI u MS OS
8/24
7. Ne= *!je.t F ser upisujemo pojedinano podatke za na)e klijente( posle Net dodeljujemo impass=ord sa izabranom opcijom kori)enjapass"ord-a( i na kraju pritisnemo +inis?< )to je sve
prikazano na narednim slikama3
E
7/24/2019 Implementacija PKI u MS OS
9/24
G3 Insta-a.ija Emai- 'ervera
%a instalaciju >-mail $ervera sam koristio ")eamon #,* 7or (indo=s3 cilju instalacije ovo serverapokrenuti su $MDP i P#P7 servisi. ")eamon server je instaliran kao mail server nezavisan od aktivnodirektorijuma. @akon definisanja potrebnih parametara i pristupnih adresa i portova za ovaj server(
predvi&enim klijentima je otvoren mai-a..ounti na ovom serveru im je dodeljena e-mail adresa. @akonovo je bilo potrebno da se vratimo aktivnom direktorijumu i ulanjenim klijentima u op)tim podacima urublici za Emai- dopi)emo i dodeljenu e-mail adresu +bez evidentirane dodeljene e-mail adrese klijentima sene bi moli dodeliti sertifikati na predvi&en nain,.
. IN'TA$ACI%A INTE,NET IN+*,"ATI*N 'E,VICE' 5II'6
Microsoftov server za informacije na Internetu predstavlja vezu izme&u klijenta i servera u InternetGIntranetaplikacijama koje se oslanjaju na itae !eba. ovoj vrsti okru'enja( klijent je ita !eba.
#ro.edura insta-a.ije II'/
13 &tartmeniju( pritisnuti Contro- #ane-,emove (indo=s Components383 'indo(s "omponents 'izard( selektovati App-i.ation 'erver i pritisnuti )etai-s kao )to je
prikazano na sledeoj slici.
43 Application &erver dialo boH-u( pritisnuti Internet In7ormation 'ervi.es +II$, check boH+Ena!-e net=ork C*" a..esscheck boH je automatski dozvoljen,( zatim pritisnuti )etai-s3
7/24/2019 Implementacija PKI u MS OS
10/24
/3 nternet nfor'!tion Services +II$, dialo boH-u( proveriti da li su sledee podkomponenteselektovane/
- Common +i-es- Internet In7ormation 'ervi.es "ana;er- '"T# 'ervi.e
- (or-d (ide (e! 'ervi.eAko nisu( selektovati ih kao )to je prikazano na sledeim slikama/
J3 %atim unternet nfor'!tion Services (S)dialo boH-u( selektovati (or-d (ide (e!'ervi.epapritisnuti )etai-s.
G3 World Wide Web Servicedialo boH-u( enable-ovati +ekirati, sledee podkomponente kao nasledeoj slici/
- A.tive 'erver #a;es
- ,emote Administration 5HT"$6- (or-d (ide (e! 'ervi.e
:
7/24/2019 Implementacija PKI u MS OS
11/24
K3 %atim u World Wide Web Servicedialo boH-u( pritisnuti *&L3 nternet nfor'!tion Services+II$, dialo boH-u( pritisnuti *&.103 Applic!tion Serverdialo boH( pritisnuti *&.113 Windows Co'ponents p!"e( pritisnuti Net. Instalacija je pokrenuta. Potrebno je ubaciti Cnterprise>dition( i kako podesiti >nterprise 2##D Certification Authorit. #vi koraci slede samo pod predpostavkomda je Active ,emove #ro;ramsaplikaciju u Contro- #ane--u.3+ $elektovati Add>,emove (indo=s Components.
,+ (indo=s Components (izard-u( selektovati Certific!te Services
05
7/24/2019 Implementacija PKI u MS OS
12/24
+ Izlazi dijalo kao na sledeoj slici( koji nas pita da li je instaliranActive &irectoryi upozorava da ebiti pridru'en CA informaciji. #vde treba( ukoliko je sve prethodno ura&eno potvrditi @eskao naslici.
.+ (indo=s Components (izard-u( nakon selektovanja Certific!te Services izabrati )etai-s. Certi7i.ate 'ervi.esekirati Certific!te Services CA i Certific!te Services Web Enroll'ent Supporti pritisnuti *&< a potom u (indo=s Components (izard-u pritisnuti Net.
/+ %atim se otvara novi dijalo kao na sledeoj slici. $elektovati $nterprise Root "A ekirati )secustom settings to generate t*e ke+ pair and "A certiicate( i pritisnuti Net.
1+ #tvara se dijalo koji defini)ePublic !nd Priv!te Key P!irkao )to je prikazano na narednoj slici. Public !nd Priv!te Key Pair pae( izabrati sledee opcije/
a. C'#/ Microsoft $tron Crptoraphic $ervice Providerb. Allow t#is CSP to inter!ct wit# t#e des$top/ @e ekirati.c. Has? a-;orit?m/ $A-0d. &e -en;t?/ 1(54
%atim kad je sve pode)eno uPublic !nd Priv!te Key P!irpae( pritisnuti Net.
00
7/24/2019 Implementacija PKI u MS OS
13/24
+ CA dentifyin" nfor'!tionpae uneti potrebne informacije( analono primeru na sledeoj slici/
- Common name for this CA/ ABCCA-
7/24/2019 Implementacija PKI u MS OS
14/24
koliko je sve ura&eno kako treba $ertifikat se nalazi na C root-u. Prvi sertifikat >nterprise 2oot CA jepotpisao i izdao sam sebi. #tvorimo sertifikat i ako pi)e u opciji Certi7i.ate status/ #is certific!te is4K+ sve je ura&eno kako treba( kao )to je i prikazano na slici.
103 #*)EAVAN%A$N,$RPRI&$ R--, "AZA ,A) 'A &$I%ENTI"A
#ro.edura podeOavanja:
13 'TA,T meniju pritisnemo ,unP i u dobijenom dijalo boH-u otkucamo mm. +MicrosoftManaement Console, i pritisnemo *&.
23 Conso-e1 otvorimo +i-e i izaberemo Add>,emove 'napinP i u tako dobijenom dialo boH-upritisnemo AddP
07
7/24/2019 Implementacija PKI u MS OS
15/24
83 #tvara se nov prozor Add 'tanda-one 'napin i tu selektujemo Internet In7ormation 'ervi.es5II'6 "ana;er i pritisnemo Addi zatvorimo ove 'napinprozore.
43 Conso-e1sada otvaramoII' "ana;er< -o.a- .omputer+na) server,( (e! 'ites i u)e7au-t (e!'ite desnim klikom mi)a od ponu&enih opcija izaberemo #roperties3
/3 )e7au-t (e! 'ite #roperties podesi se u )ire.tor 'e.urit kartici opcija 'e.ure.ommuni.ationspritiskom na dume Edit3
04
7/24/2019 Implementacija PKI u MS OS
16/24
J3 ekira se polje A..ept .-ient .erti7i.atesi potrebno je podesiti $$? protokol. Do se radi tako )to sena formi 'e.ure Communi.ationsekira opcija ,eQuire se.ure .?anne- 5''$6
7/24/2019 Implementacija PKI u MS OS
17/24
L3 @a njoj pritisnuti desni taster mi)a i u opciji #ropertiesekirati sledee opcije koje su prikazane nanarednoj slici.
103 Izdavanje serti7ikata k-ijentimau konkretnom prikazu funkcioni)e po principu autoenrolmenta.%a ovaj tip dodeljivanja sertifikata nije postojao standardizovani templejt( pa je obrazovan novitemplejt( dupliranjem korisniko templejta i prepode)avanjem u autoenrolment +samoizdavajuoj,opciji. #vo je realizovano na sledei nain/
a. Pritisnuti 'tart( ,uni otkucati mmc pa*&. Conso-e1 otvorimo +i-e i izaberemo Add>,emove'napinP i u tako dobijenom dialo boH-u pritisnemo AddP #tvara se nov prozor Add'tanda-one 'napin i tu duplim klikom selektujemo Certi7i.ate Temp-ates i zatvorimo otvorene
prozore +prvo pritiskom na C-ose< pa pritisnuti *&,. Conso-e1 sada otvaramo Certi7i.ateTemp-atesi izaberemo templejt ser3
0B
7/24/2019 Implementacija PKI u MS OS
18/24
b. @a kartici A.tion izaberemo)up-i.ate Temp-ate3 ponu&enom polju imena templejta upi)emoAutoenro--ed ser i ekiramo opcijuPublis# certific!te in Active &irectory+$ada izabiramo karticu'e.urit i u polju 9roup o7 user nameskliknemo na )omain sers3 polju #ermissions 7or)omain sers odobravamo +ekiramo u koloni Allow, opcije Enro-- i Autoenro-- i onda
pritisnemo na *&. @a ovaj nain smo izradili templejt za autoenrolment sertifikata lanovimadomena servera.
c. druoj fazi konstituisanja autoenrolment opcije trebalo je konfiurisati >nterprise 2oot CA zaizdavanje sertifikata i u autoenrolment opciji. #vo je realizovano na sledei nain/
- Pritisnuti 'tart( pa Administrative Too-s. Administrative Too-s pritisnutiCerti7i.ation Aut?orit3 stablu Certi7i.ation Aut?orit 5$o.a-6 kliknemo naCerti7i.ate Temp-ates3
d. Na karti.i A.tion idemo na opcijuNe=nterprise 2oot CA konfiurisan i za izdavanje sertifikata uautoenrolment opciji.
0E
7/24/2019 Implementacija PKI u MS OS
19/24
e. Drea faza odobrenja autoenrolment sertifikata je zahtevala da politika rada CA dopustiautoenrolment izdavanje sertifikata odobrenim uesnicima domena. #vo je realizovano na sledeinain/
- Pritisnuti 'tart( ,uni otkucati mmc pa*&. Conso-e1 otvorimo +i-e i izaberemo Add>,emove'napinP i u tako dobijenom dialo boH-u pritisnemo AddP #tvara se nov prozor Add'tanda-one 'napin i tu duplim klikom selektujemo A.tive )ire.tor sers and Computers izatvorimo otvorene prozore +prvo pritiskom na C-ose< pa pritisnuti *&,. Conso-e1 sadakliknemo na ime na)e domena 5u ovom primeru to je a!.3.om63@a kartici A.tion kliknemo na#roperties3 ;a!.3.om #ropertiesR izabiramo karticu 9roup #o-i. i kliknemo na Edit3 #tvarase prozor 9roup #o-i. *!je.t Editor i u levom delu ovo prozora otvaramo prvo serCon7i;urationpa (indo=s 'ettin;s
7/24/2019 Implementacija PKI u MS OS
20/24
0. ?A@ mre'ama korisnicima je dodeljena jedna rupa IP adresa. #vde je potrebno da i korisniciimaju fiksne IP adrese u okviru dodeljene rupe( dok se na) >nterprise 2oot CA javlja i kao -mail servera( na koju se korisnici trebaju podesiti i prilikom javljanja >-mailserveru. Princip dodele fiksne IP adrese korisnicima je identian navedenom dodeljivanju IP adreseza $erver( ali se mora paziti da se adrese na razliitim raunarima ne dupliraju. @a narednoj slici se
vidi pode)avanje potrebnih IP adresa na jednom od korisnikih raunara.
1. Prilikom prijavljivanja $erveru korisniki raunar treba obaviti sledeu proceduru/
- desnim klikom mi)a na " Computersod ponu&enih opcija se izabere #roperties- u otvorenom 'stem #roperties dialo boH-u se izabere kartica Computer Name i pritisne se
Net=ork I)- otvara se sledei dialo boH de treba pritisnuti Net
- selektuju se opcije kao na sledeim slikama i svuda treba pritisnuti Net
0:
7/24/2019 Implementacija PKI u MS OS
21/24
- ore navedeni podaci se dobijaju od administratora koji je unosio podatke prilikom ulanjenjaklijenata u domen a zatim se unose u sledei dialo boH( pa Net
- Ako su podaci tano uneti( dobija se sledea poruka de se pita da li 'elimo da koristimo navedenepodatke za prikljuenje domenu. Dreba pritisnuti @es6
15
7/24/2019 Implementacija PKI u MS OS
22/24
-
7/24/2019 Implementacija PKI u MS OS
23/24
- @akon restarta raunara i prijavljivanja na vezu sa >nterprise 2oot CA u veoma kratkom rokudobijamo poruku da nam je autoenrolmentom dodeljen sertifikat i mi a samo trebamo prihvatiti
prema dialozima na sledeim slikama6- Kliknemo na ikonicu Certi7i.ate Enro--mentprikazanoj na sledeoj slici i izabiramo uslove +nivo
za)tite, dodeljeno sertifikata( uz koji nam je na raunar stiao i tajni klju. Primer preuzimanjasertifikata dat je na sledeim slikama6
11
7/24/2019 Implementacija PKI u MS OS
24/24
Proveru primene dobijeno sertifikata ispitati kori)enjem za)tienih >-mail poruka preko *ut-ook Epressa( koje su se uspe)no de)ifrovale uz prethodnu razmenu i verifikaciju diitalnih potpisa. slov je da serealizuje uspe)na komunikacija prema >-Mail $erveru prema proceduri prilikom aktiviranja ovo prorama.