Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #072, стр. 072-010-6, совершенно секретно

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #72, НОЯБРЬ 2006 г.

совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-6

Устанавливаем удостоверяющий центр:

1 ВЫБИРАЕШЬ START–> SETTINGS–> CONTROL PANEL–> ADD/REMOVE PROGRAMS–> ADD/REMOVE WINDOWS COMPONENTS.

2 ВЫБИРАЕШЬ КОМПОНЕНТ CERTIFICATE SERVICES, ДАЛЕЕ YES.

3 ВЫБИРАЕШЬ STAND-ALONE ROOT CA, КЛИКАЕШЬ NEXT.

4 ЗАПОЛНЯЕШЬ ПОЛЕ CA NAME (НАПРИМЕР, TRUSTED ZONE), ДРУГИЕ ПОЛЯ - ПО ЖЕЛАНИЮ, И НАЖИМАЕШЬ NEXT.

5 ОСТАВЛЯЕШЬ ВСЕ ПУТИ ПО УМОЛЧАНИЮ, НАЖИМАЕШЬ NEXT И OK.

6 ПОСЛЕ УСТАНОВКИ НАЖИМАЕШЬ FINISH.

Устанавливается удостоверяющий центр, консоль управления им, и настраивается сайт, через который клиенты могут запрашивать и получать сертификаты. Теперь с машины, на которой установлен CA, должен открываться сайт http://127.0.0.1/certsrv/, а в Administrative Tools должна добавиться оснастка Certification Authority.

Итак, допустим, есть установленный центр с ip-адресом ip_центр_серт, тогда:

1 С КОМПЬЮТЕРА, НА КОТОРОМ ТРЕБУЕТСЯ УСТАНОВИТЬ СЕРТИФИКАТЫ, В АДРЕСНОЙ СТРОКЕ НАБИРАЕШЬ: HTTP://IP_ЦЕНТРА_СЕРТ/CERTSRV.

2 ВЫБИРАЕШЬ RETRIEVE THE CA CERTIFICATE OR CERTIFICATE REVOCATION LIST, ЖМЕШЬ NEXT.

3 НАЖИМАЕШЬ НА ССЫЛКУ DOWNLOAD CA CERTIFICATE И ВЫБИРАЕШЬ SAVE.

4 СОХРАНЯЕШЬ ФАЙЛ, СОДЕРЖАЩИЙ СЕРТИФИКАТ, НА ДИСК.

5 МЕНЮ START–> RUN–> MMC, НАЖИМАЕШЬ ENTER.

6. В ОКНЕ ВЫБИРАЕШЬ FILE..., ДАЛЕЕ ADD/REMOVE SNAP-IN, ТАМ ADD...

7. В СПИСКЕ ВЫБИРАЕШЬ CERTIFICATES, НАЖИМАЕШЬ ADD..., ВЫБИРАЕШЬ COMPUTER ACCOUNT И NEXT.

8. ОСТАВЛЯЕШЬ LOCAL COMPUTER, ДАЛЕЕ FINISH И ЗАКРЫВАЕШЬ ЛИШНИЕ ОКНА.

9. ОТКРЫВАЕШЬ ДЕРЕВО CERTIFICATES, КЛИКАЯ НА ПЛЮС, В ПОДДЕРЕВЕ ОТКРЫВАЕШЬ TRUSTED ROOT CERTIFICATION AUTHORITIES И ПРАВЫЙ КЛИК НА CERTIFICATES.

10. В КОНТЕКСТНОМ МЕНЮ ВЫБИРАЕШЬ ALL TASKS..., ДАЛЕЕ IMPORT.

11. В МАСТЕРЕ НАЖИМАЕШЬ NEXT, В СЛЕДУЮЩЕМ ОКНЕ — BROWSE... И НАХОДИШЬ ФАЙЛ, ПОЛУЧЕННЫЙ С НАШЕГО ЦС СЕРТИФИКАТА, ЖМЕШЬ NEXT.

12. ДАЛЕЕ NEXT, ОПЯТЬ NEXT И FINISH.

13. НАЖИМАЕШЬ OK В ОКОШКЕ, УВЕДОМЛЯЮЩЕМ ОБ УСПЕШНОМ ИМПОРТЕ.

Сохраняешь консоль с оснасткой сертификатов, она еще пригодится.

Теперь в списке доверенных у нас есть сертификат созданного нами удостоверяющего центра, и можно указать, что для аутентификации концов туннеля IPSec можно использовать сертификаты, выданные этим центром. Сделаем это:

1 МЕНЮ START, ДАЛЕЕ RUN, НАБИРАЕШЬ SECPOL.MSC, НАЖИМАЕШЬ ENTER.

2 СЛЕВА ВЫБИРАЕШЬ IPSEC POLICIES ON LOCAL MACHINE.

3 В ПРАВОЙ ПАНЕЛИ ДВОЙНОЙ КЛИК НА НАШЕЙ ПОЛИТИКЕ IPSEC (IPSEC NETA=>NETB).

4 ДАЛЕЕ ДВОЙНОЙ КЛИК НА ПЕРВОМ ФИЛЬТРЕ (NETA=>NETB), ЗАКЛАДКА AUTHENTICATION METHOD, ДАЛЕЕ ADD...

5 ВЫБИРАЕШЬ USE A CERTIFICATE FROM THIS CERTIFICATE AUTHORITY (CA), НАЖИМАЕШЬ BROWSE...

6 В СПИСКЕ ВЫБИРАЕШЬ ВНОВЬ СОЗДАННЫЙ УДОСТОВЕРЯЮЩИЙ ЦЕНТР И НАЖИМАЕШЬ OK.

7 В СЛЕДУЮЩЕМ ОКОШКЕ OK.

8 ДЛЯ ЧИСТОТЫ ЭКСПЕРИМЕНТА УДАЛИ ВСЕ ОСТАЛЬНЫЕ МЕТОДЫ АУТЕНТИФИКАЦИИ, ПОМЕЧАЯ КАЖДЫЙ ИЗ НИХ И НАЖИМАЯ REMOVE И YES В ПОЯВИВШЕМСЯ ОКНЕ.

9 ПОВТОРЯЕШЬ ЭТУ ПРОЦЕДУРУ ДЛЯ ВТОРОГО ФИЛЬТРА (NETB=>NETA).

Назад на стр. 072-010-5 Содержание Вперед на стр. 072-010-7