Konfiguracja centrum certyfikacji Ćwiczenie 1 – Instalacja roli
Transkrypt
Konfiguracja centrum certyfikacji Ćwiczenie 1 – Instalacja roli
Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak Konfiguracja centrum certyfikacji Ćwiczenie 1 – Instalacja roli serwera IIS 1. Dodaj rolę Active Directory Certificate Service. 2. Zainstaluj przedstawione niżej usługi. Jeżeli będzie to konieczne zainstaluj dodatkowe funkcje. 3. Instalację przeprowadź z następującymi ustawieniami: o Enterprise o Root CA o Create a new private key o Wybrać następujące opcje kryptograficzne: 1 Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak o Wprowadzić nazwę dla urzędu certyfikacji KISNCA, gdzie N to numer komputera w pracowni. o 5 lat ważności certyfikatu o Domyślne ścieżki baz. 4. Sprawdzić logi zainstalowanej usługi. Ćwiczenie 2 – Operacje na certyfikatach 1. Otwórz magazyn certyfikatów certmgr.msc. 2. Złóż prośbę o nowy certyfikat dla bieżącego użytkownika (Administrator). 3. Certyfikaty mają być wygenerowane w celach: o Basic EFS o User 4. Odnów certyfikat utworzony w celu User z nowym kluczem. 5. Złóż prośbę o nowy certyfikat Basic EFS z tym samym kluczem co obecnie. 6. Wyeksportuj dowolny z certyfikatów Basic EFS wraz z prywatnym kluczem użytkownika i usuń go z magazynu. Jako hasło podaj P@$$word. Plik zapisz na pulpicie jako user.pfx. 7. Wyeksportuj certyfikat głównego urzędu certyfikacji KISNCA, gdzie N to numer komputera w pracowni, w formacie binarnym X.509. Plik zapisz na pulpicie jako ca.cer. 8. Otwórz w Active Directory Certificate Services w Server Manager. 2 Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak 9. Znajdź najnowszy certyfikat użytkownika Administrator przeznaczony dla Basic EFS. 10. Odwołaj ten certyfikat podając jako powód Certificate Hold. 11. Przywróć odwołany certyfikat. 3 Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak Ćwiczenie 3 – Obsługa certyfikatów z wykorzystaniem strony WWW 1. Otwórz przeglądarkę internetową jako administrator. 2. Dodaj stronę http://localhost/ do zaufanych witryn. 3. Zresetuj ustawienia zabezpieczeń witryn zaufanych to poziomu Medium-low oraz pozwól na uruchamianie skryptów Active X jak pokazano poniżej: 4. Otwórz w przeglądarce stronę http://localhost/certsrv. 5. Złóż prośbę o certyfikat dla użytkownika. Wybierz format PKCS10. 6. Zainstaluj certyfikat. 7. Otwórz magazyn certyfikatów certmgr.msc i sprawdź czy certyfikat został zainstalowany. 8. Używając magazynu certyfikatów wygeneruj niestandardową prośbę o wygenerowanie certyfikatu zgodnie tak jak przedstawiono poniżej. 4 Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak 9. Zapisz prośbę w formacie Base-64 w pliku request.req na pulpicie. 10. Poprzez stronę internetową centrum certyfikacji (http://localhost/certsrv) przekaż wygenerowaną prośbę korzystając z opcji zaawansowanych i wybierając : Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. 11. Zapisz plik z certyfikatem w formacie DER na pulpicie jako certnew.cer. 12. Zainstaluj certnew.cer. w magazynie certyfikatów jako certyfikat użytkownika. 5