Implementacija PKI u MS OS

7/24/2019 Implementacija PKI u MS OS

1/24

VEBA 4C

Ime i prezime studenta: _________________________Broj indeksa: ________

ZAHTEVI VEBENaziv ve!e I"#$E"ENTACI%A #&I 'I'TE"A NA (IN)*(' #$AT+*,"ICi-j ve!e Razumeti arhitekturu PKI sistema i znaaj PKI za savremeno e-poslovanje.

Nauitiosnovne korake procesa instalacije PKI sistema i CA modula na bazi MicrosofrPKI tehnoloije i !indo"s #$

"etod rada $tudenti rade individualno u kompjuterskoj laboratoriji. %a izvo&enje ve'be koristitiinformacije uPrilogu Ave'be( pratiti instrukcijedemonstratora ve'be i izvr)avatizahtevane korake na raunaru.*e'ba je data u elektronskoj formi u worddokumentu+.do.,. neti identifikacione podatke( a odovore na zadatke ve'be dati u istomdokumentu na sledeoj strani.

#ro.es rada 1. korak/ Proitati i razumeti zahteve ve'be( vreme / minuta2. korak/ Prouiti i razumeti 0. zadatak ve'be +Prilog A,( vreme 40 minuta3. korak/ #dovoriti na 1. zadatak ve'be( vreme 4/ minuta

Zada.ive!e Zadatak 1/ Prouiti i razumetiproceduruimplementacije PKI infrastrukture.

Zadatak 2/ Pratiti implementacijuprocedureinstalacije $ertifikaciono telaEnterpriseRoot CAnaMicrosoft Windows Server-u 2003 Enterprise Editionplatformi.

Prilog A

13 V*) #&I 'I'TE"E

2azvojem elektronsko poslovanja nastala je potreba za bezbednim funkcionisanjem tih sistema i za)titomrazmenjivanih informacija. 2azvojem sistema sa javnim kljuevima 3 PKI +Public Key nfr!structure,omouena je pouzdana primena elektronskih komunikacija( bazirana na kombinovanoj primeni asimetrinihi simetrinih )ifarskih sistema. PKI sistem obezbe&uje 4 kljuna servisa za)tite informacija/ autentiikaciju!integritet! tajnost i neporecivost.

Interitet i neporecivost se mou potvrditi samo primenom asimetrinih )ifarskih sistema3 PKI sistemimase i autentifikacija utvr&uje primenom asimetrinih )ifarskih sistema. Iako PKI sistemi obezbe&uju tajnost

preno)enih informacija( u sistemima sa velikim protokom informacija za za)titu tajnosti podataka primenjujuse simetrini )ifarski sistemi.

PKI infrastruktura se zasniva na poverenju u 2oot $ertifikaciono telo 5Root "A6 koje svojim diitalnimpotpisom arantuje validnost i tanost izdatih di"it!lni# sertifi$!t!. svakom sertifikatu nalaze sejavniklju korisnika i digitalni potpis "A koji je faktor poverenja i predmet provere prilikom elektronskihkomunikacija. Korisnici PKI sistema da bi uestvovali u komunikaciji moraju propisno razmeniti svoje

diitalne sertifikate. Prilikom formiranja( 2oot CA prvo sebi potpisuje sertifikat( a potom svojim potpisomarantuje i drue sertifikate koje verifikuje. z sertifikat( koji je javni dokument( za bezbednu komunikacijusvaki korisnik ima i uva svoj tajni klju koji je matematiki par njeovo javno kljua.

'erti7ika.iono te-o 5CA63 je najva'niji modul i osnova poverenja dato PKI sistema( iji je zadatak daupravlja diitalnim sertifikatima u njihovom itavom 'ivotnom ciklusu. #snovni zadaci CA su da/

- eneri)e diitalne sertifikate tako )to povezuje identifikacione podatke odre&eno korisnika usistemu sa njeovim javnim kljuem asimetrino kriptorafsko sistema i sve to potvr&uje svojimdiitalnim potpisom svih podataka u sertifikatu(

- upravlja rokom va'nosti izdatih diitalnih sertifikata i- obezbe&uje funkciju povlaenja izdatih diitalnih sertifikata u sluajevima kada za to postoje uslovi(

i u tom smislu( publikuje liste povuenih sertifikata3 "R#+Certific!te Revoc!tion %ist,.

5


2/24

23 *'N*VNI +N&CI*NA$NI ZAHTEVI #&I 'I'TE"A

#snovni funkcionalni zahtevi za PKI sistem su/

- podr)ka razliitim politikama rada PKI sistema(- bezbednost sistema(

- skalabilnost(- fleksibilnost i- jednostavno kori)enje.

svakom PKI sistemu najva'niji subjekti su/

0. Administrator bezbednosti PKI sistema koji uspostavlja i monitori)e rad itavo PKI sistema61. Administrator CA67. #perator 2A koji sakuplja reistracione informacije i koji mo'e da autorizuje proces sertifikacije i

povlaenja sertifikata64. Krajnji korisnik koji podnosi zahtev za izdavanjem sertifikata.

cilju eventualnih zahteva za interoperabilno)u( PKI sistem mora zadovoljavati osobinu da se bazira naotvorenim standardima( od kojih je najva'niji 8.95: standard za format diitalno sertifikata.

83 &*N+I9,ACI%A #&I NA "' (IN)*(' 'E,VE, 2008 ENTE,#,I'E E)ITI*N

ovoj ve'bi u cilju racionalizacije resursa PKI sistem je konfiurisan na raunaru sa virtuelnim loikimparticijama koji je ujedno $nterprise Root "A i $%mail server+;Mnterprise 2oot CA

43 IN'TA$ACI%A (IN)*(' 'E,VE, 2008 ENTE,#,I'E E)ITI*N

%a instalaciju operativno sistema !indo"s $erver 1557 >nterprise >dition potrebno je pored raunara na

koji se ovaj #$ instalira imati i raunar koji e biti povezan na ovaj server. @akon instalacije !indo"s$erver 1557 >nterprise >dition dodeljuje se statika IP adresa serveru na sledei nain/

0. St!rtmenu-iju( pritisnuti Contro- #ane-


3/24

1. $oka- Area Conne.tion 'tatus( pritisnuti#roperties3

7. $oka- Area Conne.tion #roperties( ekirati i dvostruko pritisnutiInternet #roto.o- 5TC#>I#63

4. Internet #roto.o- 5TC#>I#6 #roperties aktivirati opcije se t?e 7o--o=in; I# address ise t?e7o--o=in; )N' server addresses: i upisati izabranu IP adresu i odovarajuu $ubnet mask kao )to

je i navedeno na slici ispod.

1


4/24

9. @a kraju pritisnuti #K i zatvoriti otvorene prozore.

9. IN'TA$ACI%A A&TIVN*9 )I,E&T*,I%"A 5A)6 I +*,"I,AN%E )N' 5)*"AIN NA"E'@'TE"6

1. Logovati se na Windows 2003 Server kao administrator;2. Zatim pokrenuti startmenu, pritisnuti run i ukucati i aktivirati dcpromoda bi

otvoriliActive Directory Installation wizard. Selektovati opciju Domain controllerfor a new domain, atim pritisnuti Net.

3. #tvara se novi dijalo de treba selektovati tip domena. $elektovati &o'!in in ! new forest( azatim pritisnutiNet3

7


5/24

!. #tvara se dijalo Ne= )omain Namei ovde se unosi puno ime domena( kao )to je prikazano naslici. @a primer abc.comili se mo'e koristiti ime domena po 'elji. Potom pritisnuti Net.

". novom dijalou se unosi @etFI#$ ime domena kao )to je prikazano na slici. Prihvatiti ponu&eno@etFI#$ ime ili uneti druo i pritisnuti Net3

#. $elektovati lokaciju za Active


6/24

$. Kad se selektuju lokacije potrebno je pritisnuti Net kao na sledeoj slici.

%. Potvrditi opciju Insta-- and .on7i;ure t?e )N' server on t?is .omputer< and set t?is .omputerto use t?is )N' server as its pre7erred )N' server< kao )to je prikazano na sledeoj slici.%atim

pritisnuti Net3

&. $elektovati opciju za instalaciju kompatibilnosti A.tive )ire.tor. %atim pritisnuti Net3

9


7/24

10. Izaberite Netkao )to je prikazano na sledeoj slici da bi ste instalirali A


8/24

7. Ne= *!je.t F ser upisujemo pojedinano podatke za na)e klijente( posle Net dodeljujemo impass=ord sa izabranom opcijom kori)enjapass"ord-a( i na kraju pritisnemo +inis?< )to je sve

prikazano na narednim slikama3

E


9/24

G3 Insta-a.ija Emai- 'ervera

%a instalaciju >-mail $ervera sam koristio ")eamon #,* 7or (indo=s3 cilju instalacije ovo serverapokrenuti su $MDP i P#P7 servisi. ")eamon server je instaliran kao mail server nezavisan od aktivnodirektorijuma. @akon definisanja potrebnih parametara i pristupnih adresa i portova za ovaj server(

predvi&enim klijentima je otvoren mai-a..ounti na ovom serveru im je dodeljena e-mail adresa. @akonovo je bilo potrebno da se vratimo aktivnom direktorijumu i ulanjenim klijentima u op)tim podacima urublici za Emai- dopi)emo i dodeljenu e-mail adresu +bez evidentirane dodeljene e-mail adrese klijentima sene bi moli dodeliti sertifikati na predvi&en nain,.

. IN'TA$ACI%A INTE,NET IN+*,"ATI*N 'E,VICE' 5II'6

Microsoftov server za informacije na Internetu predstavlja vezu izme&u klijenta i servera u InternetGIntranetaplikacijama koje se oslanjaju na itae !eba. ovoj vrsti okru'enja( klijent je ita !eba.

#ro.edura insta-a.ije II'/

13 &tartmeniju( pritisnuti Contro- #ane-,emove (indo=s Components383 'indo(s "omponents 'izard( selektovati App-i.ation 'erver i pritisnuti )etai-s kao )to je

prikazano na sledeoj slici.

43 Application &erver dialo boH-u( pritisnuti Internet In7ormation 'ervi.es +II$, check boH+Ena!-e net=ork C*" a..esscheck boH je automatski dozvoljen,( zatim pritisnuti )etai-s3


10/24

/3 nternet nfor'!tion Services +II$, dialo boH-u( proveriti da li su sledee podkomponenteselektovane/

- Common +i-es- Internet In7ormation 'ervi.es "ana;er- '"T# 'ervi.e

- (or-d (ide (e! 'ervi.eAko nisu( selektovati ih kao )to je prikazano na sledeim slikama/

J3 %atim unternet nfor'!tion Services (S)dialo boH-u( selektovati (or-d (ide (e!'ervi.epapritisnuti )etai-s.

G3 World Wide Web Servicedialo boH-u( enable-ovati +ekirati, sledee podkomponente kao nasledeoj slici/

- A.tive 'erver #a;es

- ,emote Administration 5HT"$6- (or-d (ide (e! 'ervi.e

:


11/24

K3 %atim u World Wide Web Servicedialo boH-u( pritisnuti *&L3 nternet nfor'!tion Services+II$, dialo boH-u( pritisnuti *&.103 Applic!tion Serverdialo boH( pritisnuti *&.113 Windows Co'ponents p!"e( pritisnuti Net. Instalacija je pokrenuta. Potrebno je ubaciti Cnterprise>dition( i kako podesiti >nterprise 2##D Certification Authorit. #vi koraci slede samo pod predpostavkomda je Active ,emove #ro;ramsaplikaciju u Contro- #ane--u.3+ $elektovati Add>,emove (indo=s Components.

,+ (indo=s Components (izard-u( selektovati Certific!te Services

05


12/24

+ Izlazi dijalo kao na sledeoj slici( koji nas pita da li je instaliranActive &irectoryi upozorava da ebiti pridru'en CA informaciji. #vde treba( ukoliko je sve prethodno ura&eno potvrditi @eskao naslici.

.+ (indo=s Components (izard-u( nakon selektovanja Certific!te Services izabrati )etai-s. Certi7i.ate 'ervi.esekirati Certific!te Services CA i Certific!te Services Web Enroll'ent Supporti pritisnuti *&< a potom u (indo=s Components (izard-u pritisnuti Net.

/+ %atim se otvara novi dijalo kao na sledeoj slici. $elektovati $nterprise Root "A ekirati )secustom settings to generate t*e ke+ pair and "A certiicate( i pritisnuti Net.

1+ #tvara se dijalo koji defini)ePublic !nd Priv!te Key P!irkao )to je prikazano na narednoj slici. Public !nd Priv!te Key Pair pae( izabrati sledee opcije/

a. C'#/ Microsoft $tron Crptoraphic $ervice Providerb. Allow t#is CSP to inter!ct wit# t#e des$top/ @e ekirati.c. Has? a-;orit?m/ $A-0d. &e -en;t?/ 1(54

%atim kad je sve pode)eno uPublic !nd Priv!te Key P!irpae( pritisnuti Net.

00


13/24

+ CA dentifyin" nfor'!tionpae uneti potrebne informacije( analono primeru na sledeoj slici/

- Common name for this CA/ ABCCA-


14/24

koliko je sve ura&eno kako treba $ertifikat se nalazi na C root-u. Prvi sertifikat >nterprise 2oot CA jepotpisao i izdao sam sebi. #tvorimo sertifikat i ako pi)e u opciji Certi7i.ate status/ #is certific!te is4K+ sve je ura&eno kako treba( kao )to je i prikazano na slici.

103 #*)EAVAN%A$N,$RPRI&$ R--, "AZA ,A) 'A &$I%ENTI"A

#ro.edura podeOavanja:

13 'TA,T meniju pritisnemo ,unP i u dobijenom dijalo boH-u otkucamo mm. +MicrosoftManaement Console, i pritisnemo *&.

23 Conso-e1 otvorimo +i-e i izaberemo Add>,emove 'napinP i u tako dobijenom dialo boH-upritisnemo AddP

07


15/24

83 #tvara se nov prozor Add 'tanda-one 'napin i tu selektujemo Internet In7ormation 'ervi.es5II'6 "ana;er i pritisnemo Addi zatvorimo ove 'napinprozore.

43 Conso-e1sada otvaramoII' "ana;er< -o.a- .omputer+na) server,( (e! 'ites i u)e7au-t (e!'ite desnim klikom mi)a od ponu&enih opcija izaberemo #roperties3

/3 )e7au-t (e! 'ite #roperties podesi se u )ire.tor 'e.urit kartici opcija 'e.ure.ommuni.ationspritiskom na dume Edit3

04


16/24

J3 ekira se polje A..ept .-ient .erti7i.atesi potrebno je podesiti $$? protokol. Do se radi tako )to sena formi 'e.ure Communi.ationsekira opcija ,eQuire se.ure .?anne- 5''$6


17/24

L3 @a njoj pritisnuti desni taster mi)a i u opciji #ropertiesekirati sledee opcije koje su prikazane nanarednoj slici.

103 Izdavanje serti7ikata k-ijentimau konkretnom prikazu funkcioni)e po principu autoenrolmenta.%a ovaj tip dodeljivanja sertifikata nije postojao standardizovani templejt( pa je obrazovan novitemplejt( dupliranjem korisniko templejta i prepode)avanjem u autoenrolment +samoizdavajuoj,opciji. #vo je realizovano na sledei nain/

a. Pritisnuti 'tart( ,uni otkucati mmc pa*&. Conso-e1 otvorimo +i-e i izaberemo Add>,emove'napinP i u tako dobijenom dialo boH-u pritisnemo AddP #tvara se nov prozor Add'tanda-one 'napin i tu duplim klikom selektujemo Certi7i.ate Temp-ates i zatvorimo otvorene

prozore +prvo pritiskom na C-ose< pa pritisnuti *&,. Conso-e1 sada otvaramo Certi7i.ateTemp-atesi izaberemo templejt ser3

0B


18/24

b. @a kartici A.tion izaberemo)up-i.ate Temp-ate3 ponu&enom polju imena templejta upi)emoAutoenro--ed ser i ekiramo opcijuPublis# certific!te in Active &irectory+$ada izabiramo karticu'e.urit i u polju 9roup o7 user nameskliknemo na )omain sers3 polju #ermissions 7or)omain sers odobravamo +ekiramo u koloni Allow, opcije Enro-- i Autoenro-- i onda

pritisnemo na *&. @a ovaj nain smo izradili templejt za autoenrolment sertifikata lanovimadomena servera.

c. druoj fazi konstituisanja autoenrolment opcije trebalo je konfiurisati >nterprise 2oot CA zaizdavanje sertifikata i u autoenrolment opciji. #vo je realizovano na sledei nain/

- Pritisnuti 'tart( pa Administrative Too-s. Administrative Too-s pritisnutiCerti7i.ation Aut?orit3 stablu Certi7i.ation Aut?orit 5$o.a-6 kliknemo naCerti7i.ate Temp-ates3

d. Na karti.i A.tion idemo na opcijuNe=nterprise 2oot CA konfiurisan i za izdavanje sertifikata uautoenrolment opciji.

0E


19/24

e. Drea faza odobrenja autoenrolment sertifikata je zahtevala da politika rada CA dopustiautoenrolment izdavanje sertifikata odobrenim uesnicima domena. #vo je realizovano na sledeinain/

- Pritisnuti 'tart( ,uni otkucati mmc pa*&. Conso-e1 otvorimo +i-e i izaberemo Add>,emove'napinP i u tako dobijenom dialo boH-u pritisnemo AddP #tvara se nov prozor Add'tanda-one 'napin i tu duplim klikom selektujemo A.tive )ire.tor sers and Computers izatvorimo otvorene prozore +prvo pritiskom na C-ose< pa pritisnuti *&,. Conso-e1 sadakliknemo na ime na)e domena 5u ovom primeru to je a!.3.om63@a kartici A.tion kliknemo na#roperties3 ;a!.3.om #ropertiesR izabiramo karticu 9roup #o-i. i kliknemo na Edit3 #tvarase prozor 9roup #o-i. *!je.t Editor i u levom delu ovo prozora otvaramo prvo serCon7i;urationpa (indo=s 'ettin;s


20/24

0. ?A@ mre'ama korisnicima je dodeljena jedna rupa IP adresa. #vde je potrebno da i korisniciimaju fiksne IP adrese u okviru dodeljene rupe( dok se na) >nterprise 2oot CA javlja i kao -mail servera( na koju se korisnici trebaju podesiti i prilikom javljanja >-mailserveru. Princip dodele fiksne IP adrese korisnicima je identian navedenom dodeljivanju IP adreseza $erver( ali se mora paziti da se adrese na razliitim raunarima ne dupliraju. @a narednoj slici se

vidi pode)avanje potrebnih IP adresa na jednom od korisnikih raunara.

1. Prilikom prijavljivanja $erveru korisniki raunar treba obaviti sledeu proceduru/

- desnim klikom mi)a na " Computersod ponu&enih opcija se izabere #roperties- u otvorenom 'stem #roperties dialo boH-u se izabere kartica Computer Name i pritisne se

Net=ork I)- otvara se sledei dialo boH de treba pritisnuti Net

- selektuju se opcije kao na sledeim slikama i svuda treba pritisnuti Net

0:


21/24

- ore navedeni podaci se dobijaju od administratora koji je unosio podatke prilikom ulanjenjaklijenata u domen a zatim se unose u sledei dialo boH( pa Net

- Ako su podaci tano uneti( dobija se sledea poruka de se pita da li 'elimo da koristimo navedenepodatke za prikljuenje domenu. Dreba pritisnuti @es6

15


22/24

-


23/24

- @akon restarta raunara i prijavljivanja na vezu sa >nterprise 2oot CA u veoma kratkom rokudobijamo poruku da nam je autoenrolmentom dodeljen sertifikat i mi a samo trebamo prihvatiti

prema dialozima na sledeim slikama6- Kliknemo na ikonicu Certi7i.ate Enro--mentprikazanoj na sledeoj slici i izabiramo uslove +nivo

za)tite, dodeljeno sertifikata( uz koji nam je na raunar stiao i tajni klju. Primer preuzimanjasertifikata dat je na sledeim slikama6

11


24/24

Proveru primene dobijeno sertifikata ispitati kori)enjem za)tienih >-mail poruka preko *ut-ook Epressa( koje su se uspe)no de)ifrovale uz prethodnu razmenu i verifikaciju diitalnih potpisa. slov je da serealizuje uspe)na komunikacija prema >-Mail $erveru prema proceduri prilikom aktiviranja ovo prorama.

Documents

Implementacija PKI u MS OS