Создание собственного сертификата и генерация ключей для сервера и клиентов.

↑

▷ Содержание

Стр 1 из 3Следующая ⇒

           Московский Авиационный Институт

    (Государственный Технический Университет)

Лабораторная работа по дисциплине «Методы защищенного доступа к распределенным информационным ресурсам»

на тему:

“ Использование виртуальных частных сетей для передачи конфиденциальной информации ”

Выполнила студент 4 курса

Группа№_________942________________

                   Студент:_Савельев А.М._____________

                                           (фамилия и инициалы)

                   Принял:_______Боровков А.В.__________

                    Оценка:_____________________________

                                   (дата, подпись, преподавателя)

                                  Серпухов-2009

Определение

Для начала, определимся с терминологией. VPN (англ. Virtual Private Network — виртуальная частная сеть) — логическая сеть, создаваемая поверх другой сети, например интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям, с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (эта реализация называется так же PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE). Некоторые другие протоколы так же предоставляют возможность формирования защищенных каналов (SSH или ViPNet).

Структура VPN

VPN состоит из двух частей: защищенная «внутренняя» сеть и «внешняя» сеть, по которой проходит защищенное соединение (обычно используется Интернет). Как правило, между внешней сетью и внутренней находится Firewall. При подключении удаленного пользователя (либо при установке соединения с другой защищенной сетью) Firewall требует авторизации, на основании которой определяются полномочия пользователя (или удаленной сети).

Типы VPN

Защищенная VPN использует шифрование для всего туннельного трафика для обеспечения конфиденциальности защиты передаваемых данных по публичным сетям.

Помимо защищенных VPN также существует много незащищенных, поскольку реализация и настройка системы шифрования может оказаться довольно сложной.

Защищенные VPN-протоколы включают:

IPSec (IP security) — часто используется поверх IPv4.

SSL — используется для туннелирования всего сетевого стека. Например https.

PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.

L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.

L2TPv3 (Layer 2 Tunnelling Protocol version 3).

OpenVPN

В качестве программного решения для реализации VPN был выбран OpenVPN (http://openvpn.net). Данное программное средство распространяется под свободной лицензией GPL (GPL license version 2), т.е. является бесплатным. Среди поддерживаемых платформ есть ОС Windows. Это дает нам возможность сэкономить время на изучении UNIX-подобных систем и сразу приступить к настройкам.

Далее вручную был установлен два TAP-адаптера, один для клиента, другой для сервера.

Инфраструктура публичных ключей (public key infrastructure) состоит из:

· Сепарированного сертификата (открытый ключ) и закрытого ключа для сервера и клиента.

· Генерального сертификата, который необходим для подписи сертификатов сервера и клиентов.

Вы можете более подробно ознакомиться с процедурой аутентификации на официальном сайте проекта.

Генерируем CA. В Windows-версии программы уже есть bat-файлы, делающие всю работу по созданию сертификатов за вас. Остается только в нужном порядке исполнить нужные команды. Открываем командный интерпретатор (Пуск, Выполнить, cmd) и переходим в каталог со скриптами:

cd "C:\Program Files\OpenVPN\easy-rsa"

Редактируем файл vars.bat (edit vars.bat или через проводник открываем в блокноте) на предмет таких директив, как KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, and KEY_EMAIL/ Не в коем случае не оставляйте эти переменные пустыми. Это необходимо при генерации CA.

Сохраняем файл и инициализируем PKI:

Init-config

vars

clean-all

build-ca

В моем случае получился следующий output:

C:\Program Files\OpenVPN\easy-rsa>vars

C:\Program Files\OpenVPN\easy-rsa>clean-all

Скопировано файлов:    1.

Скопировано файлов:    1.

C:\Program Files\OpenVPN\easy-rsa>build-ca

Loading 'screen' into random state - done

Generating a 1024 bit RSA private key

..............++++++

............................++++++

writing new private key to 'keys\ca.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [RU]:

State or Province Name (full name) [111]:

Locality Name (eg, city) [111]:

Organization Name (eg, company) [11]:

Organizational Unit Name (eg, section) [111]:

Common Name (eg, your name or your server's hostname) []:111

Email Address [mail@host.domain]:111@mail.ru

C:\Program Files\OpenVPN\easy-rsa>

Теперь сгенерируем сертификаты и ключи для клиентов и сервера. В нашем случае будет всего один клиент и один сервер:

build-key-server server

build-key client1

При генерации ключа Вам будет предложено ввести пароль. Оставьте это поле пустым. Очень важно ввести слово “server” в Common Name. Важные моменты помечены синим цветом. Ниже приведен пример ввода данных команд:

C:\Program Files\OpenVPN\easy-rsa>build-key-server server

Loading 'screen' into random state - done

Generating a 1024 bit RSA private key

.....................++++++

...................................++++++

writing new private key to 'keys\server.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [RU]:

State or Province Name (full name) [111]:

Locality Name (eg, city) [111]:

Organization Name (eg, company) [111]:

Organizational Unit Name (eg, section) []:unit

Common Name (eg, your name or your server's hostname) []:server

Email Address [111@host.domain]:mail

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Using configuration from openssl.cnf

Loading 'screen' into random state - done

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

countryName      :PRINTABLE:'RU'

stateOrProvinceName :PRINTABLE:'MR'

localityName     :PRINTABLE:'Protvino'

organizationName :PRINTABLE:'FortFunston'

organizationalUnitName:PRINTABLE:'unit'

commonName       :PRINTABLE:'name'

emailAddress     :IA5STRING:'mail'

Certificate is to be certified until Apr 13 19:15:42 2017 GMT (3650 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

C:\Program Files\OpenVPN\easy-rsa>

Аналогично с build-key client1.

Вводим параметры Диффи-Халмана (Диффи и Халман разработали протокол согласования ключей в 1976г.). http://www.rsa.com/rsalabs/node.asp?id=2248

build-dh

Вывод примерно такой (Придется подождать некоторое время. Зависит от крутизны вашего ПК):

C:\Program Files\OpenVPN\easy-rsa>build-dh

Loading 'screen' into random state - done

Generating DH parameters, 1024 bit long safe prime, generator 2

This is going to take a long time

...........................................................+....................

.............................................+................+.................

...........................................................................+....

................+..............+.....................+........+.......+.........

Следующая таблица показывает, какие файлы мы получили и какой файл для какой цели служит (каталог C:\Program Files\OpenVPN\easy-rsa\keys):

Познавательные статьи:



Алгоритмические операторы Matlab

Конструирование и порядок расчёта дорожной одежды

Исследования учёных: почему помогают молитвы?

Почему терпят неудачу многие предприниматели?