Автор работы: Пользователь скрыл имя, 26 Ноября 2013 в 01:50, лабораторная работа
Сертификатом называется открытый ключ пользователя вместе с идентифицирующей пользователя информацией подписанные секретным ключом центра сертификации (CA – Certificate Authority). В настоящее время наиболее часто применяются сертификаты стандарта Х.509. Сертификаты Х.509 используются такими протоколами сетевой защиты, как IPSec, SSL/TLS, S/MIME, SET. Цель работы: Научиться создавать сертификаты стандарта Х.509 программой opessl.
Міністерство освіти і науки України
Одеський державний
Лабораторна робота № 6
З предмету «Методи та засоби захисту інформації»
Тема роботи: «Создание сертификатов в Windows»
Виконала:
студентка групи МК-51
Ляшкова А.В.
Одеса 2013
Сертификатом называется открытый ключ пользователя вместе с идентифицирующей пользователя информацией подписанные секретным ключом центра сертификации (CA – Certificate Authority). В настоящее время наиболее часто применяются сертификаты стандарта Х.509. Сертификаты Х.509 используются такими протоколами сетевой защиты, как IPSec, SSL/TLS, S/MIME, SET.
Цель работы: Научиться создавать сертификаты стандарта Х.509 программой opessl.
Порядок выполнения работы:
Для выполнения лабораторной работы создать каталог ./lab6. Файлы с ключами называть своим именем.
1) В каталоге lab6 создайте каталог myCA, где будет храниться секретный ключ корневого сертификата и сам сертификат.
2) Генерируем секретный ключ ключевой пары алгоритма RSA для корневого сертификата локального центра:
openssl genrsa –des3 –out myCA\cakey.pem 1024
Содержимое файла cakey.pem
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,A10E58A606CA7953
ljAJyhDcGtNVXw2F0dRFj+F/
-----END RSA PRIVATE KEY-----
3) Создаем корневой сертификат ЦС. Корневой сертификат будет самоподписанным, потому что он находится выше всех в создаваемой иерархии:
openssl req –new –x509 –key myCA\cakey.pem –out myCA\cacert.pem –days 365 –config openssl.cnf
4) Просмотр содержимого сертификата:
openssl x509 –text –noout –in myCA\cacert.pem
Создание сертификата для пользователя.
1) В своем текущем каталоге генерируем секретный ключ.
openssl genrsa -out ad_pr.pem 1024
Просмотр содержимого файла ключа:
..\openssl\openssl rsa -noout -text -in ad_pr.pem
Содержимое файла ad_pr.pem
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,176A6508E972B180
DB6SmiqHezaN8quM8EYnhAbaN0ulep
3Uu9OhdNdeyoo5GRGb5AjwYLSV/
-----END RSA PRIVATE KEY-----
2) Создание запроса reqad.pem на сертификацию (-new) на основе создаваемого секретного ключа rsa (-newkey rsa:1024), который записывается в файл –keyout ad_pr.pem (и шифруется тройным DES). Запрос на сертификацию создается на основе конфигурационного файла — config:
..\openssl\openssl req -new -newkey rsa:1024 -keyout ad_pr.pem -config ..\openssl\openssl.cnf -out reqad.pem
3) Просмотр содержимого файла запроса на подписание сертификата пользователя:
..\openssl\ openssl req -noout -text -in myCA\cacert.pem
4) Создать по запросу сертификат пользователя, подписанный локальным центром сертификации :
..\openssl\ openssl x509 -req -days 365 -in req ad.pem -CA myCA\cacert.pem -CAkey myCA\cakey.pem -CAcreateserial
-out ad_cer.pem
5) Просмотр содержимого файла сертификата:
..\openssl\openssl x509 -text -noout -in myCA\cacert.pem
6) Для помещения сертификата пользователя в хранилище WINDOWS необходимо его преобразовать в формат pkcs#12:
..\openssl\openssl pkcs12 -export -in ad_cer.pem -inkey ad_pr.pem -out ad_cer.p12
7) Чтобы приложение Windows могло проверить сертификат пользователя, перед импортированием сертификата пользователя надо импортировать сертификат центра сертификации, выдавшего сертификат пользователю. Для этого сертификат центра сертификации можно перевести в формат сообщения pkcs#7:
..\openssl\openssl crl2pkcs7 -nocrl -certfile myCA\cacert.pem -out myCA\cacert.p7b
8) Переместим сертификат пользователя в хранилище WINDOWS
Выполнив двойной щелчок по файлу ad_cer.p12 откроется окно WINDOWS «Мастер импорта сертификата»