ВИКОРИСТАННЯ ЦИФРОВИХ СЕРТИФІКАТІВ

Мета роботи.

Ознайомлення з порядком використання цифрових сертифікатів Х.509 в протоколах захисту даних SSL / TLS і S / MIME.

Програмні засоби.

Комп'ютер з підключенням до мережі Інтернет, браузер, Microsoft Outlook або інший поштовий клієнт, що підтримує S / MIME.

Опис роботи.

В ході даної лабораторної роботи будуть розглянуті деякі питання використання цифрових сертифікатів.

Почнемо з їх використання протоколом SSL / TLS (насправді це два різних протоколу, але так як TLS розроблений на базі SSL, принцип використання сертифікатів один і тог ж). Цей протокол широко застосовується в мережі Інтернет для захисту даних переданих між Web-сервсром і браузером клієнта. Для аутентифікації сервера в ньому використовується сертифікат Х.509.

Захищене з'єднання з сайтом

Мал. 5.14. Захищене з'єднання з сайтом

Для прикладу звернемося па сайт Рамблер-пошти (mail.rambler.ru). Для забезпечення безпеки переданих даних встановлюється захищене з'єднання (рис. 5.14), на що вказує префікс https в рядку адреси і зображення закритого замка (в разі браузера Internet Explorer). Якщо клацнути миши по зображенню замку, то побачимо представлене на рис. 5.14 повідомлення про те, що справжність вузла за допомогою сертифіката підтверджує засвідчує центр Thawte. Це означає, що ми насправді звернулися на справжній сайт Рамблер-пошти (а не підроблений порушниками) і можемо безпечно вводити логін і пароль.

Натиснувши на посилання «Перегляд сертифіката» (англ. View certificates) можна дізнатися подробиці про одержувача і видавця, інші параметри сертифіката (рис. 5.15).

параметри сертифіката

Мал. 5.15. параметри сертифіката

Завдання.

Перегляньте парамегри сертифіката якого-небудь захищеного сайту, наприклад «Особистого кабінету співробітника СПбГГТУ» https://staff.spbstu.ru або Сбербанк Онлайн https://online.sberbank.ru. Опишіть, ким на який термін, для якого суб'єкта сертифікат був виданий.

Тепер розглянемо інший варіант - ми підключаємося по SSL до Wcb-серверу, а браузер не може перевірити його справжність або повідомляє, що використовується сертифікат, виданий для іншого Web- сервера. Наприклад, подібна ситуація станеться при підключенні до розділу-обслуговування оператора мобільного зв'язку Tele2 за посиланням https://www.selfcare.tcle2.ru/work.html (на рис. 5.16).

Браузер повідомляє про проблему з цим сертифікатом

Мал. 5.16. Браузер повідомляє про проблему з цим сертифікатом

Якщо натиснути посилання «Продовжити відкриття цього Web-вузла» {англ. Continue to this website), можна буде переглянути сертифікат.

Завдання.

Розберіться, у чому проблема з зазначеним сертифікатом (на всякий випадок в кінці опису лабораторної роботи наведено відповідь).

Тепер розглянемо, як зберігаються сертифікати. Операційна система Windows подцержіваег захищені сховища ключів і сертифікатів. Працювати зі сховищем можна, використовуючи налаштування консоль управління ММС «Сертифікати».

З меню Пуск »Виконати запустіть консоль командою mmc. У меню Консоль виберіть Додати або видалити оснастку, а в списку оснасток виберіть Сертифікати {англ. Certificates). Якщо буде запропоновано вибір (а его відбудеться, якщо ви працюєте з правами адміністратора), виберіть пункт «Моїй облікового запису».

За допомогою оснастки можна переглядати сертифікати поточного користувача. Якщо раніше сертифікати не запрошувалися, то в розділі «Особисті сертифікати» елементів не буде.

У розділі «Довірені кореневі центри сертифікації» (англ. Trusted Root Certification Authorities) представлений досить великий список центрів, чиї сертифікати поставляються разом з операційною системою. Знайдіть в ньому сертифікати, що засвідчує, Thawte. Завдяки тому, що вони вже були встановлені, в розглянутому на початку роботи прикладі з підключенням до сервера електронної пошти Рамблер браузер міг підтвердити справжність вузла.

Перейдемо до «Керування сертифікатами, до яких немає довіри» (англ .Untrustcd Certificates). Там знаходяться відкликані сертифікати, зокрема, два сертифікати, які невідомі отримали від імені корпорації Microsoft в центрі сертифікації VeriSign в 2001 році. Коли це з'ясувалося, сертифікати відкликали (рис. 5.17).

відкликані сертифікати

Мал. 5.17. відкликані сертифікати

Тепер розглянемо процес запиту сертифіката. Деякі засвідчують центри дозволяють отримати «персональний» сертифікат для захисту електронної пошти за допомогою протоколу S / MIME (як розбиралася в розділі 3.1 даного посібника, для розподілу ключів в S / MIME потрібен сертифікат формату Х.509). Наприклад, їх надає засвідчує центр COMODO http://www.comodo.com/home/email-security/free-email-certificate.php.

Щоб отримати сертифікат, знадобиться заповнити невелику анкету, вказавши ім'я, прізвище, адресу електронної пошти (повинен бути чинним), пароль для відновлення. Коли все заповнено, на вказану адресу пошти буде надіслано лист з посиланням, по якій треба пройти для завершення процедури отримання сертифікату. Отриманий цифровий сертифікат буде поміщений в сховище, в чому можна переконатися за допомогою оснастки «Сертифікати».

Якщо використовувати сертифікат для захисту пошти, подальша настройка залежить від поштового клієнта. Якщо це Microsoft Outlook 2010 необхідна настройка робиться в меню Файл-> Параметри -> Центр управління безпекою -> Захист електронної пошти. Там можна вибрати використовуваний сертифікат і алгоритми шифрування (рис. 5.18).

Налаштування S / MIME для Outlook

Мал. 5.18. Налаштування S / MIME для Outlook

Щоб скористатися наявними можливостями S / MIME в Outlook 2010 року, в вікні повідомлення перейдіть на вкладку «Параметри» і виберіть «Підписати» і / або «Шифрувати».

Налаштування інших поштових клієнтів виконується в чому аналогічно.

Завдання.

Запитайте цифровий сертифікат і налаштуйте поштовий клієнт для використання S / MIME. Надішліть листа з електронним підписом.

Відповідь на завдання про сертифікат на сайті Tele2.

Проблема була в тому, що сертифікат був виданий для вузла https://my.tele2.ru. Ми ж скористалися посиланням з ім'ям https://www.selfcare.tele2.ru і отримали сертифікат, формально не відповідає адресою вузла.

Довіряти чи ні такого сертифіката - залежить від конкретного випадку.

 
Переглянути оригінал
< Попер   ЗМІСТ   ОРИГІНАЛ   Наст >