Windows juhend: Kuidas paigaldata täiendavaid (juur)sertfikaate: Difference between revisions
No edit summary |
|||
Line 105: | Line 105: | ||
*http://www.tech-faq.com/root-certificate.html | *http://www.tech-faq.com/root-certificate.html | ||
*http://technet.microsoft.com/en-us/library/cc751157.aspx | *http://technet.microsoft.com/en-us/library/cc751157.aspx | ||
--[[User:Tpodzuks|Tpodzuks]] 10:37, 10 October 2011 (EEST) |
Revision as of 09:37, 10 October 2011
Mine teen, Taavi Podzuks
Mis on juur sertifikaat
Juur sertifikaadid on üks vundamentaalne osa avaliku võrtma krüptoloogiast. Seda kasutavad nii veebibrauser kui ka teenused, et kindlaks teha teatud krüpteeringuid Näiteks HTTPS,LTT/SSH. Kui minna https lehele siis juur sertifikaati kasutatakse seal selleks, et kindlaks teha kas ühendutti ikka sinna kuhu oli plaanis seda teha. Kõige levinudmad juur sertifikaadid on antud välja X.509 standardi alusel. Ja kannab "certification authority" digitaalset allkirja. "certification authority" ehk "CA" on autoriseeritud kolmas osapool mis tagab krüpteeritud andmete õigsuse. "CA" ei ole üks vaid neild on umbes 100.
Kuidas ära tunda juursertifikaati
Tehnilised nõuded
- Juur sertifikaadid peavad olema x.509 v3 sertifikaadid.
- Sertifikaadi nimi peab sisaldama tähendusega "CA" nime
- Tavaline piirangud laiendile : cA=true
Key Usage (if present): keyCertSign and cRLSign only
- Juur võtme suurused põhinevad NIST SP 800-57:
* RSA >= 2048-bit moodulid * ECC >= P256 moodulid
- Räsi algoritmid peavad olema vähemalt SHA1. MD2, MD4 või MD5 räsisid ei lubata.
Juur sertifikaadi X.509 Vead
Juur sertifikaadi nii hea kui ka halb pool on see, et nad on kõhklematult usaldatud.Näiteks on nad kaasas veebibrauseriga nimega "Internet Explorer" kus nad mängivad suurt rolli turvalisuse küsimustes. Aga selline kõhklematu usalduse ülesehitus tähendab seda, et kasutajal ei jää muud üle kui usaldad oma brauseri väljaandjat, et see lisaks brauserile õiged sertifikaadid. Ja Kui brauser usaldab "CA"d siis see tähendab, et tunnistatakse usaldusväärseks ka kõik need kellele on see "CA" andnud loa väljastada certifikaadi mis autendivad nende väljastatud sertifikaatide omanikud. Ja siin ongi see viga süsteemis, sellel ülekanduval usaldusel mida võetakse enesestmõistetavaks ei ole konkreetset viisi millega tagada ,et sertifitseerimis kett oleks täielikult vigadevaba.
Selgitus sertifitseerimis protsessist(Https suhtluse näitel)
- 1.Brauser saadab veebilehele sõnumi, et suhtleme turvaliselt.
- 2.Vastuseks saab ta veebilehe avaliku võtme.
- 3.Brauser nüüd dekrüpteerib ja vaatab sigantuuri avaliku võtme sees ja kui see sigantuur oli antud kellegi poolt keda brauser usaldab siis sai see avalik võti tõesti tulla ainult selle veebilehe käest kelle poole ta tahtiski pöörduda.
- 4.Brauser krüpteerib ülejäänud info, et ainult see veebilehtleht saaks infot lugeda.
Juur sertifikaat ongi see asi mida kolmandas sammus brauser kasutas, et kindlaks teha kas avalik võta mis saadeti on ikka selle veebilehe avalik võti kelle poole brauser tahtis pöörduda.
juursertifikaati lisamine
Juursertifikaadi lisamiseks on mitmeid mooduseid.
Automatiseeritud lisamine windwowsi poolt
Windows uuendab oma juursertifikaate automaatselt. Kui Kasutaja külastab turvalist veebilehte (näiteks https/ssl iga)mis on llkirjastatud ja kohtab uut juursertifikaati, siis windowsi sertifitseerimis ahela tuvastus tarkvara kontrollib õige "Microsoft update" asukoha sellele juursertifikaadile. Kui see leitakse laetakse see alla, kusjuures kasutajale täiesti märkamatult.
Esimene moodus
Üheks viisika on uuendada microsofti poolt heaks kiidetud sertifikaatide loendit. Selleks tuleb teha
- 1.Minna lehele http://www.bing.com/
- 2.Otsida märksõna "Update for Root Certificates"
- 4.Tõmmata see alla
- 5.Käivitada tõmmatud exe fail.
Teine moodus
Mango juur sertifikaatide paigaldamine. Ehk kuidas lisada kellegi poolt valmistatud sertifikaati.
*1.Tõmba vajalik sertifikaat(.crt fail).
*2.Parem klõps failil ning vajuta "Install Certificate"->Vajuta Open-> Next
*3.Vali pildil näidatud valikud ning vajuta "OK"
*4.Järgmisena "Security" küsimusele vasta jah ning sertifikaat ongi paigaldatud.
*5.Kontroll
Kolmas moodus
Meelepärase Sertifikaadi lisamine mmc abil(Import).
*1.Vajuta Start->Run. Kirjuta mmc ->OK-> vajuta File menu->Add/Remove Snap-in
*2.Topelt klõps certificates kirjal.Valige computer account(Et sertifikaat kehtiks kõigile selle arvuti kasutajatele) ->Next
*4.Vajuta OK->aken sulgub->navigeeri faili certificates, Trusted root certificates,ide all->parem klikk->All Tasks->import
*5.Vali meelepärane Sertifikaat->Next->Juursertifikaadi lisamiseks "Trusted Root Certification
Authorities"->Next->Finish
Meelepärase juursertifikaadi lisamine ühelt arvutilt teisele.
*1.Korda Kolmanda mooduse esimest kolme punkti. *2.Navigeeri "Trusted Root Certification Authorities"->"Certificates" Ning järgnevast loetelust leie ülesse sertifikaat mida kavatsed teise arvutisse tõsta.Ning parem hiireklõps sellel sertifikaadil
*3.Vajuta nuppu "Copy to file"
*4.Tuleb lahti "Wizard"->Next->Next->Vali kuhu ja mis nime alla sertifikaat salvestada.
*5.Nüüd trantspordi sertifikaat teise arvutisse, ning korda Kolmanda variandi samme.
Kasutatud kirjandus
- http://ask-leo.com/what_are_root_certificates_and_why_do_i_need_to_update_them.html
- http://www.tech-faq.com/root-certificate.html
- http://technet.microsoft.com/en-us/library/cc751157.aspx
--Tpodzuks 10:37, 10 October 2011 (EEST)