Microsoft TechDayshttp:// Илья Лисицын Системный администратор ООО «Информационные Технологии» г. Смоленск

Microsoft TechDayshttp:// Интегрировать Apache для соответствия требованиям WEB- решения

Microsoft TechDayshttp:// Поставить следующие цели Изучить существующую инфраструктуру PKI предприятия Установить и настроить Apache в среде FreeBSD Интегрировать Apache в существующую инфраструктуру PKI Протестировать решение Представить полученные результаты

Microsoft TechDayshttp:// Алгоритм шифрования @;o)J)Г(?л(&(*(#Xl; Алгоритм расшифрования Закрытый ключ

Microsoft TechDayshttp:// ЦС DC приложение с поддержкой PKI

Microsoft TechDayshttp:// Сертификат – электронный документ, подтверждающий взаимосвязь между открытым ключом и идентификационными данными его владельца Понятие сертификата впервые было введено Л. Конфельдером в 1976 году для решения задачи снижения нагрузки на сервер распределения открытых ключей [Kohnfelder Loren. «Towards a Practical Public-key Cryptosystem», Bachelors thesis, MIT, May, 1978]

Microsoft TechDayshttp://

Certificate Services ExitModuleExitModuleEntryModuleEntryModule CertificateTemplatesCertificateTemplates Policy Module Protected Store CSPCSP Личные ключи Открытые ключи Certificate Database Запросы PKCS10 Сертификаты CRL

Microsoft TechDayshttp://

Поставить следующие цели Изучить существующую инфраструктуру PKI предприятия Установить и настроить Apache в среде FreeBSD Интегрировать Apache в существующую инфраструктуру PKI Протестировать решение Представить полученные результаты V

Microsoft TechDayshttp://

ВНИМАНИЕ! Демонстрация проводилась на СПЕЦАЛЬНО созданных виртуальных серверах. Конфигурация домена, ЛВС, PKI и т.д. не имеют отношения к реальной инфраструктуре ни одного клиента. Настройки серверных ОС – базовые («из коробки»). НИКАКИЕ ТРЕБОВАНИЯ ИТ-БЕЗОПАСНОСТИ НЕ СОБЛЮДЕНЫ

Microsoft TechDayshttp://

# Secure (SSL/TLS) connections Include conf/extra/httpd-ssl.conf #Включение возможности работы с php LoadModule php5_module/modules/libphp5.so AddType application/x-httpd-php.php AddType application/x-httpd-php-source.phps

# SSL Cipher Suite: SSLCipherSuite HIGH:!aDSS:+SHA1:+MD5:+HIGH:+AES:+3DES:+TLSv1:+SSLv3 # Server Certificate: SSLCertificateFile "/usr/local/apache2/conf/SSL/apache.cer" # Server Private Key: SSLCertificateKeyFile "/usr/local/apache2/conf/SSL/server.key" # Certificate Authority (CA): SSLCACertificateFile "/usr/local/apache2/conf/SSL/CA.cer" # Certificate Revocation Lists (CRL): SSLCARevocationFile "/mnt/TESTDC/CRL/EntIssCA_CRL+.crl" SSLVerifyClient require #Включаю использование SSLv3 +TLS + отключаю остальное SSLProtocol -all +TLSv1 +SSLv3 #SSLVerifyClient require #Включаю глубину проверки SSLVerifyDepth 2

Microsoft TechDayshttp:// Поставить следующие цели Изучить существующую инфраструктуру PKI предприятия Установить и настроить Apache в среде FreeBSD Интегрировать Apache в существующую инфраструктуру PKI Протестировать решение Представить полученные результаты V V

Microsoft TechDayshttp://

COMPANY Enterprise Root CA Company Subordinate Issuing CA Smolensk

Microsoft TechDayshttp:// COMPANY Enterprise Root CA Company Subordinate Issuing CA Smolensk APACHE [freebsd- ]

Microsoft TechDayshttp:// Поставить следующие цели Изучить существующую инфраструктуру PKI предприятия Установить и настроить Apache в среде FreeBSD Интегрировать Apache в существующую инфраструктуру PKI Протестировать решение Представить полученные результаты V V V

Microsoft TechDayshttp://

Root CA Sub CA 2 Sub CA 3 User Сертификат разрешено использовать в данном режиме. Тип сертификата Сертификат действителен в данный момент. Срок действия Цифровая подпись CA, выдавшего сертификат, верна. Целостность Сертификат не был отозван. Легитимность Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities. Доверие Списки CTL не запрещают использование сертификата для данной задачи. Запреты

.td { Border-Left: 1px solid #D0D0D0; Border-Bottom: 1px solid #D0D0D0; }.TStat { Border-Top: 1px solid #A0A0A0; Border-Bottom: 1px solid #A0A0A0; border-right : 1px solid #A0A0A0; }

.tdend { Border-Left: 1px solid #000000; Border-Bottom: 1px solid #000000; text-align: right; padding-left: 0px; }

'SSL_CIPHER_USEKEYSIZE'=>'SSL_CIPHER_USEKEYSIZE', 'SSL_CIPHER_ALGKEYSIZE'=>'SSL_CIPHER_ALGKEYSIZE', 'SSL_CLIENT_S_DN_CN'=>'Имя пользователя', 'SSL_CLIENT_V_START'=>'Дата выпуска сертификата', 'SSL_CLIENT_V_END'=>'Срок действия сертификата', 'SSL_CLIENT_S_DN_ '=>' ', 'SSL_CLIENT_I_DN'=>'Кем выдан (ЦС)', 'SSL_CLIENT_A_KEY'=>'SSL_CLIENT_A_KEY', 'SL_CLIENT_A_SIG'=>'SSL_CLIENT_A_SIG', 'SSL_SERVER_S_DN_CN'=>'Сертификат Сервера', ); print " ";

Microsoft TechDayshttp://

Поставить следующие цели Изучить существующую инфраструктуру PKI предприятия Установить и настроить Apache в среде FreeBSD Интегрировать Apache в существующую инфраструктуру PKI Протестировать решение Представить полученные результаты V V V V

Microsoft TechDayshttp:// Поставить следующие цели Изучить существующую инфраструктуру PKI предприятия Установить и настроить Apache в среде FreeBSD Интегрировать Apache в существующую инфраструктуру PKI Протестировать решение Представить полученные результаты V V V V V

Microsoft TechDayshttp://

Благодарности: Александр Шаповал. Презентация «Использование PKI для создания безопасных сетей» (Windows 2000) Курс «Основы PKI» Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004 Руководство по FreeBSD R/books/handbook/ R/books/handbook/ Microsoft Learning

Microsoft TechDayshttp:// Готов ответить на ваши вопросы –

Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.