Отправляет email-рассылки с помощью сервиса Sendsay

Информационная безопасность

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 116 RSS
  Январь 2012  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт рассылки: http://sec-it.ru
Открыта: 05-12-2011

Автор
admin@sec-it.ru

Статистика

116 подписчиков
0 за неделю
  Все выпуски  

Информационная безопасность Сертификаты открытых ключей. Использование центра сертификации Windows в локальной вычислительной сети организации. Выпуск и создание сертификатов ключей пользователей


Доброго времени суток уважаемые читатели моего блога по информационной безопасности. В предыдущих статьях на тему криптографической защиты информации мы с вами разобрались, что такое асимметричные алгоритмы шифрования и электронная цифровая подпись, а также научились поднимать свой собственный центр сертификации на операционной системе MS Windows. Сегодня я хочу рассказать Вам, как производится создание и выпуск сертификатов ключей ЭЦП пользователям и как обеспечить безопасность закрытых ключей.

центр сертификации
Итак для того чтобы пользователь мог получить свой личный сертификат ЭЦП необходимо на его компьютере в адресной строке обозревателя интернет Internet Explorer набрать адрес вашего центра сертификации. Для моего примера описанного в предыдущей статье по разворачиванию центра сертификации имя сервера центра сертификации был CA, следовательно, адрес будет выглядеть следующим образом: http://ca/certsrv/. В своем случае вы, конечно же, должны будете вместо CA подставить свое имя центра сертификации развернутого в вашей сети.
центр сетификации
В открывшемся сайте центра сертификации для получения сертификата пользователем необходимо выбрать пункт Запрос сертификата. В исполнении нашего центра сертификации нет возможности менять шаблоны сертификатов, т.к. он создан как изолированный корневой центр сертификации. Для того чтобы можно было бы изменять шаблоны сертификатов нужно устанавливать центр сертификации в домене, т.е. корпоративный центр сертификации, но об этом в одной из следующих статей. Вернемся к нашему варианту. При осуществлении пользователем запроса на сертификат возможно выбрать несколько вариантов предустановленных шаблонов.
центр сетификации эцп
Т.к. в основном часто используемыми шаблонами сертификатов являются сертификаты для доступа к сайтам и для защиты сообщений электронной почты то предлагаются, в упрощенном виде, эти два шаблона, но если вы хотите выбрать шаблон отличный от этих двух то выберете Расширенный запрос сертификата. Кстати сертификат для защиты электронной почты можно использовать для подписания документов и шифрования файлов, но об этом в одной из следующих статей. Для примера давайте выберем шаблон сертификата для защиты электронной почты.
центр сетификации
В открывшемся окне необходимо заполнить по возможности все поля, особенно страну (нужно писать для России RU), имя (ФИО) и электронную почту. После заполнения полей запроса на сертификат нажимаем кнопку Выдать. В случае возникновения системного сообщения , что запрашивается новый сертификат нужно его подтвердить. На этом работа пользователя пока закончена. С юридической точки зрения пользователь должен заключить с центром сертификации и его пользователями некое соглашение о присоединении и о том, что подписи выданные данным центром сертификации считаются юридически значимыми в рамках какого либо электронного документооборота. После оформления всех необходимых документов, администратор центра сертификации должен выпустить пользователю его сертификат. Для этого на центре сертификации, из панели управления Администрирования, необходимо запустить оснастку Центр сертификации. В оснастке, в ветке Запросы в ожидании будет висеть запрос от данного пользователя. Для того чтобы выпустить пользователю сертификат, необходимо щелкнуть правой кнопкой мышки по запросу и в меню выбрать пункт Выдать.
электронная цифровая подпись
После чего пользователю будет выпущен сертификат подписанный данным центром сертификации, и он появится в той же оснастке в ветке Выданные сертификаты. Щелкнув два раза кнопкой мышки по выданному сертификату можно просмотреть его свойства срок действия, имя субъекта, открытый ключ, поставщика, область использования и т.п.
центр сетификации
Для того, чтобы пользователь смог воспользоваться своим сертификатом и, например, передать его другому пользователю для шифрования файлов или проверки подписи опять необходимо на компьютере пользователя в адресной строке обозревателя интернет Internet Explorer набрать адрес вашего центра сертификации и выбрать уже пункт Просмотр состояния ожидаемого запроса сертификата.
сертификаты эцп
На открывшейся странице будет находится ссылка на выпущенный сертификат, перейдя по которой он будет установлен в локальное хранилище сертификатов на компьютере пользователя. Просмотреть или скопировать его в файл можно через свойства обозревателя Internet Explorer в закладке Содержание нажав кнопку Сертификаты.
центр сетификации

эцпВ этой панели управления сертификатами можно импортировать сертификат другого пользователя которому вы будете шифровать сообщения или проверять подпись, удалить сертификаты с компьютера, экспортировать их в файлы, просмотреть их свойства и т.д.
Кстати в предыдущих статьях речь шла о том, что закрытый ключ пользователя должен находиться в тайне, но ни при запросе сертификата, ни при получении его нигде не спрашивалось, куда его записать! Все дело в том, что операционная система Microsoft Windows по умолчанию (если не стоят дополнительные средства для работы с криптографией, например, eToken, КриптоПро и т.п.) использует для хранения закрытых ключей и сертификатов файлы в папках в профиле пользователя, от которого производился запрос. Эти папки расположены в C:\Documents and Settings\Имя пользователя\Application Data\Microsoft. В папке Crypto содержатся закрытые ключи пользователя, а в папке SystemCertificates содержатся сертификаты со ссылками на контейнеры закрытых ключей. Так вот для обеспечения безопасности закрытых ключей необходимо, прежде всего, обеспечить безопасность локального профили пользователя, т.е. ограничить к нему доступ других пользователей, в том числе и администраторов (об этом я уже писал в своей предыдущей статье – Разграничение доступа). Кроме того, с целью исключения возможности компрометации закрытых ключей, желательно ограничить не только доступ на системном уровне, но и физический доступ к жесткому диску опечатать компьютер, закрывать помещение на ключ и т.п. Опечатанный компьютер позволит вовремя определить, что был несанкционированный физический доступ к внутренностям компьютера и существует вероятность компрометации закрытых ключей. В данном случае, при малейшем подозрении на компрометацию закрытого ключа, Вам необходимо без промедлений обратиться к администратору центра сертификации с просьбой отозвать сертификат, иначе будет потом мучительно больно, если кто-то сможет воспользоваться вашим закрытым ключом.
Для того чтобы отозвать сертификат пользователя администратор центра сертификации, через свою оснастку, должен щелкнуть правой кнопкой мышки по отзываемому сертификату и в открывшемся меню выбрать Отзыв сертификата.
центр сетификации
При этом будет предложено указать причину отзыва. Кстати если будет указана причина Приостановка действия то соответственно потом, если компрометация не подтвердилась, можно отменить отзыв сертификата. Также эту причину отзыва сертификата можно использовать, если пользователь уходит в отпуск, а по возвращению отменять отзыв. На этом я для начала закончу рассказ о создании, выпуске и управлении жизненным циклом сертификатов открытых ключей. В следующей статье я расскажу, как пользователи могут использовать свои закрытые ключи для подписания документов в электронном виде, а также использовать сертификаты других пользователей для шифрования сообщений электронной почты и файлов.

Здесь можно оставить свои комментарии. Выпуск подготовленплагином wordpress для subscribe.ru
В избранное