Отчет защищен с оценкой
Скачать 1.83 Mb.
|
ГУАП КАФЕДРА № 34 ОТЧЕТ ЗАЩИЩЕН С ОЦЕНКОЙ ПРЕПОДАВАТЕЛЬ
РАБОТУ ВЫПОЛНИЛ
Санкт-Петербург ОглавлениеПодпись запросов через центр сертификации 3 Проверка на подлинность сертификата 3 Создание списка отозванных сертификатов 4 Проверка на подлинность через CRL 5 Вывод 6 Подпись запросов через центр сертификации1. Чтобы создать центр сертификации в системе Linux Ubuntu создаём в рабочей директории каталог “demoCA”, в котором будет находится центр сертификации(файлы центра) – серийный номер сертификата, список отзыва, приватный ключ, сертификат центра и т.д. 2. Выпускаем два сертификата ‘A’ и ‘B’ на разных ключах на разные почты, подписываем запросы центром сертификации. Проверка на подлинность сертификата3. Проверяем сертификат ‘A’ на подлинность. Сертификат подлинный 4. Изменяем в сертификате ‘А’ символы, в промежутке с ‘begin cert’ по ‘end cert’, снова проверяем на подлинность. Verification failed – неподлинный 5. Вносим сертификат 'B’ в список отзыва, для этого совершаем отзыв сертификата. Data Base Updated Создание списка отозванных сертификатов6. Создаем CRL – список отзывов сертификатов, он сверяет данные с файла index где у нашего сертификата стоит пометка ‘R’ – revoked. 7. Выводим список в текст. В нем указаны данные сертификата центра сертификации, помимо этого поле ‘revoker certificates’ – список отзывов сертификатов где указана информация об отозванных сертификатах. Проверка на подлинность через CRL8. Убеждаемся с помощью списка отзыва в том что сертификат был отозван. Failed – certificate revoked – сертификат отозван. Для верификации сертификата на другом узле с помощью списка отзыва сертификатов нужно: 1. Подписать сертификат ключом узла. 2. Сгенерировать CRL этого узла. 3. Верифицировать с помощью команды ‘verify’, и поля ‘crl_check’. ВыводПроблема CRL в том, что списки содержат много сертификатов от конкретных центров сертификации. Они разбиваются на промежуточные сертификаты CA, а центр сертификации может выдавать списки меньшими частями, но проблема остаётся той же. У списка CRL немалый размер. Другая проблема в том, что у клиента нет свежей копии CRL, ему нужно запросить её при первоначальном подключении к сайту, что может сделать всю процедуру заметно медленнее. В процессе лабораторной работы мы ознакомились с методами создания центра сертификации с применением OpenSSL и работой с сертификатами пользователей – подпись запросов, отзыв сертификата, проверка на подлинность сертификата/через список отзыва. |