Organizacije se oslanjaju na sertifikate da bi ponudile prednosti Public Key Infrastructure (PKI) kao što su pouzdanost, poverljivost, neodbijanje (Non-Repudiation). Administrator koji je zadužen za sigurnost, mora da osigura da sertifikati budi iznajmljeni tačnim sigurnosnim subjektima za potrebnu svrhu. Za krajnje korisnike, administrator mora da kreira laku izgradnju sertifikata i jasan zadatak, idealno bi bilo da izgradnja sertifikata bude bez intervencije korisnika. Kao dodatak, administrator mora da ponudi metode za restauraciju digitalnih sertifikata u slučaju da korisnik ili kompjuter izgube svoj privatni ključ koji ide zajedno sa sertifikatom.


Šta su to digitalni sertifikati?

Digitalni sertifikat je elektronski podatak o identitetu sigurnosnog subjekta koji poseduje sertifikat. Digitalni sertifikat se sastoji od javnih ključeva koji nude informacije o subjektu sertifikata, validnost sertifikata i aplikacije i servise koji mogu da koriste sertifikat. Digitalni sertifikat takođe nudi način za identifikaciju subjekta koji je vlasnik sertifikata.

Digitalni sertifikati mogu da se nalaze na hard disku, smart kartici ili na uređaju koji ima mogućnost da smesti elektronske podatke o identitetu (Credentials) u formi sertifikata. Sertifikati su kriptografske tehnike koje identifikuju dva entiteta koja nameravaju da odrade transakciju. Iz tog razloga, aplikacija ili servis proverava svakog vlasnika sertifikata proveravanjem sertifikata koji poseduje svaki od entiteta.

Digitalni potpis: Sertifikat je digitalno potpisao CA koji ga je i dodelio korisniku, kompjuteru ili servisu. Digitalni potpis sprečava napadača da modifikuje sertifikat bez obaveštenja CA o toj akciji, zato što digitalni sertifikat poseduje šifrovani sadržaj (Hash) koji se nalazi unutar sertifikata. Ako je sadržaj sertifikata modifikovan, digitalno potpisani šifrovani sadržaj (Hash) će postati nevažeći i proces provere će propasti. Napadač neće moći da simulira identitet korisnika ili kompjutera koji se nalazi u listi sertifikata ako nema pristup privatnom ključu koji je deo sertifikata.

Slika 8.1 

Sadržaj digitalnog sertifikata: Digitalni sertifikat sadrži sledeće:

  •  Javni kriptografski ključ od subjekta koji poseduje par ključeva.
  •  Informacije koje se odnose na subjekta koji je zahtevao sertifikat.
  •  Informacije koje se odnose na CA koji je iznajmio sertifikat.


Pre nego što CA počne sa dodeljivanjem sertifikata, CA proverava identitet subjekta koji zahteva iznajmljivanje sertifikata. Provera može da uključuje ručnu proveru pozadine desktopa ili detaljnu proveru Discretionary Access Control List-e (DACL) templejta zahtevanog sertifikata, da bi se osiguralo da korisnik ili kompjuter koji zahteva sertifikat, ima sve potrebne dozvole da zabeleži traženi sertifikat.

Proces iznajmljivanja (Life Cycle) ditalnih sertifikata

Kada je sertifikat iznajmljen, on prolazi kroz serije etapa i ostaje validan za određeni vremenski period. Sekvenca etape kroz koju prolazi digitalni sertifikat naziva se Certificate Lifetime i određena je konfiguracijom templejta zahtevanog sertifikata. Administrator može da obnovi sertifikat kad god je to potrebno u toku trajanja sertifikata ili dok sertifikat ne bude ukinut.

Sertifikatov Life Cycle uključuje sledeće događaje:

  1. Zahtev se šalje ka CA.
  2. CA generiše sertifikat.
  3. Sertifikat se iznajmljuje korisniku, kompjuteru ili servisu koji zahtevaju sertifikat.
  4. Korisnik, kompjuter ili servis koristi sertifikat kada rade sa PKI-omogućenim aplikacijama.
  5. Sertifikat premšuje vremenski period trajanja.
  6. U tom trenutku, sertifikat: Ističe u slučaju isteka vremenskog perioda koji je naznačen ili se obnavlja tako da korisnik, kompjuter ili servis može da nastavi da ga koristi. Može, ali ne mora da se koristi isti par ključeva nakon obnavljanja sertifikata.


Administrator može da ukine sertifikat pre nego što istekne vremenski period trajanja sertifikata. Ako obnovimo sertifikat (Renew), sertifikatov životni vek ili trajanje kreće iz početka.

Metodi upisivanja sertifikata (Enrollment Methods)

Windows Server 2003 i Windows Server 2008 familija CA nudi nekoliko metoda za upisivanje sertifikata. Naš izbor metoda upisivanja sertifikata će biti diktiran tipom CA od kojeg se zahteva iznajmljivanje sertifikata i fizičke lokacije klijentskog kompjutera i Issuing CA na mreži. Na primer, Stand-Alone CA nema mogućnost da automatski dodeljuje sertifikate, iz tog razloga, automatsko upisivanje sertifikata ne postoji kao opcija. Sve sertifkate CA administrator će morati ručno da odobri. Kao dodatak, kompjuter koji nije fizički prisutan na mreži, ne može automatski upisati sertifikat iz razloga što automatsko upisivanje zahteva da Enterprise CA bude prisutan na mreži.

Metodi upisivanja sertifkata: Kada zahtevamo sertifikat od Windows Server 2003 & Windows Server 2008 CAs, dozvoljeni su sledeći metodi upisivanja (Enrollment Methods):

  • Web-based: Dozvoljava nam da se konektujemo na CA koristeći Web Browser, i dozvoljava nam da odradimo najčešće zadatke, kao što su zahtevanje sertifikata od CA, provera statusa zahteva, ili zahtevanje CA’s sertifikata. Za Stand-alone CA ili Enterprise CA, veb stranice su primarni način za interfejs CA. Internet Information Services (IIS) 6.0 mora da bude instaliran da bi podržao upisivanje sertifikata.

  • Certificates Console: Dozvoljava korisniku ili kompjuteru da zahtevaju sertifikate od Enterprise CA koristeći Certificate Request Wizard (čarobnjaka) u Certificates MMC Snap-inu. Čarobnjak nam dozvoljava da selektujemo Enterprise CA i šablon sertifikata, i dozvoljava nam da definišemo dodatne postavke, kao što su dužina ključa i CSP.

  • Certreq.exe: Dozvoljava korisniku da kreira, ponovo iznajmi i prihvati zahteve za sertifikatima koji su poslati ka CA. Certreq.exe će zahtevati da fajl zahteva sertifikata (.req) bude generisan pre prosleđivanja zahteva.

  • Autoenrollment: Dozvoljava klijentima da automatski prosleđuju zahteve za sertifkatima ka CA i ponovo iznajmljuju i smeštaju sertifikate. Windows XP i kasniji Windows operativni sistemi i klijenti koji rade na Windows Server 2008 sistemu mogu da učestvuju u automatskom upisivanju i za korisničke i za kompjuterske sertifikate.


Upisivanje sertifikata koristeći Web-based Interface

Every CA koji se hostuje na serveru, koji radi na Windows Server 2008 operativnom sistemu, uključuje Web Enrollment Web Site. Web Enrollment Web site dozvoljava korisnicima da odrađuju različite zadatke koji se odnose na zahtevanje sertifikata od Stand-alone ili od Enterprise CA.

Web Enrollment Web sajt se nalazi na lokaciji http://ImeServera/certsrv. Da bismo zahtevali sertifikat koristeći Web Enrollment Web sajt, potrebno je pratiti sledeće korake:

1. U address baru Microsoft Internet Explorer-a, upišemo http://ImeServera/certsrv (gde je ime servera ime veb servera koji       radi na Windows Server 2003 i koji hostuje CA).

2. Kliknemo na Request Certificate.

3. Na request certificate stranici, potrebno je da uradimo nešto od sledećeg:

      • Da bismo upisali User sertifikat, kliknemo na User Certificate.
      • Da bismo upisali druge sertifikate, kliknemo na Advanced Certificate Request.
      • Na Advanced Certificate Request stranici, pošaljemo zahteva ka CA koji ukazuje na šablon sertifikata, CSP i na druge atribute zahtevanog sertifikata.


4. Ako vidimo Certificate Issued Web stranicu, kliknemo na Install this Certificate, i nakon toga zatvorimo Internet Explorer.

Ako ne vidimo Certficate Issued veb stranicu, to znači da ne ispunjavamo zahteve koji stoje u šablonu sertifikata.

Možemo da zahtevamo sertifikat na Web stranici sa naprednim opcijama (Web Pages with Advanced Options). Ovo uključuje opcije za CSP, Hash algoritam za generisanje ključeva, kreiranje novog seta ključeva, eksportovanje ključeva, omogućavanje jake zaštite ključeva.

Upisivanje sertifikata koristeći Certreq.exe

Možemo da koristimo Certreq.exe da pošaljemo, ponovo kreiramo, i prihvatimo zahteve za sertifikatima. Alatkica nam dozvoljava da napravimo script Certificate Enrollment Process-a.

Korišćenjem Certreq.exe sa primarnim svičevima, možemo da odradimo najčešće zadatke koji se odnose na sertifikate.

  • Koristiti Certreq –submit komandu kad želimo da pošaljemo ranije kreirani fajl zahteva ka CA. Fajl zahteva (Request file) može biti u PKCS#10, PKCS#7 ili CMC formatu. CMC je takođe poznat kao Certificate Management protokol koji koristi Cryptographic Message Syntax (CMS). Komanda može sadržati parametre koji ukazuju na to kojem CA se šalje zahtev, da li je uključena CRL za CA u fajlu i format fajla koji se šalje. 

  • Potrebno je koristiti Certreq.exe za dobijanje odgovora na ranije poslati zahtev CA, ako raniji zahtev za sertifikatom stoji u redu za čekanje. Korisnimo Certreq –retrieve RequestID, gde RequestID predstavlja identifikacioni broj zahteva sertifikata. Ova komanda se može koristiti nakon iznajmljivanja sertifikata.

  • Koristmo Certreq –new PolicyFile komandu da pošaljemo zahtev ka CA. PolicyFile je Information fajl (.inf) koji sadrži tekstualnu reprezentaciju ekstenzija koje su se koristile da kvalifikuju zahtev.

  • Kada pošaljemo novi fajl zahteva (Request File), moramo da prihvatimo i instaliramo odgovor na zahtev. Ovo možemo odraditi korišćenjem certreq –accept komande.


Upisivanje sertifikata koristeći Certificate Request Wizard

Koristimo Certificate konzolu samo kada zahtevamo sertifikate od Windows Server 2000 ili Windows Server 2003 i Windows Server 2008 kompjutera koji je konfigurisan kao Enterprise CA. Certificates konzola prikazuje sertifikate koji su trenutno potpisani za korisnički ili kompjuterski nalog, i prikazuje druge podatke kao što su Trusted Root CAs i potojeća sertifikat poverljiva lista (certificate trust list).

Ako smo korisnik, kada dodamo sertifikate u naš MMC, možemo da upravljamo sertifikatima samo za naš korisnički nalog. Ako smo administrator kompjutera, možemo da upravljamo sertifikatima koji su iznajmljeni:

  • Nama (yourself) – My User Account opcija.
  • Našem kompjuteru – Computer Account opcija.
  • Lokalnim servisima – Service Account opcija.


Procedura

Zahtevanje sertifikata korišćenjem MMC snap-ina, odrađuje se na sledeći način:

  1. Otvorimo prazan MMC u u njega ubacimo Certificates MMC snap-in.

  2. U konzolinom drvetu, proširimo Certificates, proširimo Personal, i nakon toga kliknemo na Certificates.

  3. Na Action meniju, kliknemo na All tasks, i nakon toga kliknemo na Request New Certificate da bi startovali Certificate Request Wizard stranicu, zatim na stranici Welcome to the Certificate Request Wizard kliknemo na Next.

  4. Na Certificates Type stranici, selektujemo tip sertifikata koji želimo da zahtevamo, i kliknemo na Next.

  5. Na Certificate Friendly Name and Description stranici, upišemo dipsplay ime za naš sertifikat, pa kliknemo na Next, i nakon toga kliknemo na Finish.

  6. Nakon uspešnog završetka kreiranja zahteva, kliknemo na OK da bi instalirali dodeljeni sertifikat.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Izgradnja sertifikata koristeći AD CS 1
  • Izgradnja sertifikata koristeći AD CS 2
  • Izgradnja sertifikata koristeći AD CS 3