Windows juhend: Kuidas paigaldata täiendavaid (juur)sertfikaate

From ICO wiki
Revision as of 10:11, 11 October 2011 by Tpodzuks (talk | contribs) (→‎Kolmas moodus)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigationJump to search

Mine teen, Taavi Podzuks


Mis on juur sertifikaat

Juur sertifikaadid on üks vundamentaalne osa avaliku võrtma krüptoloogiast. Seda kasutavad nii veebibrauser kui ka teenused, et kindlaks teha teatud krüpteeringuid Näiteks HTTPS,LTT/SSH. Kui minna https lehele siis juur sertifikaati kasutatakse seal selleks, et kindlaks teha kas ühendutti ikka sinna kuhu oli plaanis seda teha. Kõige levinudmad juur sertifikaadid on antud välja X.509 standardi alusel. Ja kannab "certification authority" digitaalset allkirja. "certification authority" ehk "CA" on autoriseeritud kolmas osapool mis tagab krüpteeritud andmete õigsuse. "CA" ei ole üks vaid neild on umbes 100.

Kuidas ära tunda juursertifikaati

Tehnilised nõuded

  • Juur sertifikaadid peavad olema x.509 v3 sertifikaadid.
  • Sertifikaadi nimi peab sisaldama tähendusega "CA" nime
  • Tavaline piirangud laiendile : cA=true

Key Usage (if present): keyCertSign and cRLSign only

  • Juur võtme suurused põhinevad NIST SP 800-57:
   *
     RSA >= 2048-bit moodulid
   *
     ECC >=  P256 moodulid
  • Räsi algoritmid peavad olema vähemalt SHA1. MD2, MD4 või MD5 räsisid ei lubata.

Juur sertifikaadi X.509 Vead

Juur sertifikaadi nii hea kui ka halb pool on see, et nad on kõhklematult usaldatud.Näiteks on nad kaasas veebibrauseriga nimega "Internet Explorer" kus nad mängivad suurt rolli turvalisuse küsimustes. Aga selline kõhklematu usalduse ülesehitus tähendab seda, et kasutajal ei jää muud üle kui usaldad oma brauseri väljaandjat, et see lisaks brauserile õiged sertifikaadid. Ja Kui brauser usaldab "CA"d siis see tähendab, et tunnistatakse usaldusväärseks ka kõik need kellele on see "CA" andnud loa väljastada certifikaadi mis autendivad nende väljastatud sertifikaatide omanikud. Ja siin ongi see viga süsteemis, sellel ülekanduval usaldusel mida võetakse enesestmõistetavaks ei ole konkreetset viisi millega tagada ,et sertifitseerimis kett oleks täielikult vigadevaba.

Selgitus sertifitseerimis protsessist(Https suhtluse näitel)

  • 1.Brauser saadab veebilehele sõnumi, et suhtleme turvaliselt.
  • 2.Vastuseks saab ta veebilehe avaliku võtme.
  • 3.Brauser nüüd dekrüpteerib ja vaatab sigantuuri avaliku võtme sees ja kui see sigantuur oli antud kellegi poolt keda brauser usaldab siis sai see avalik võti tõesti tulla ainult selle veebilehe käest kelle poole ta tahtiski pöörduda.
  • 4.Brauser krüpteerib ülejäänud info, et ainult see veebilehtleht saaks infot lugeda.

Juur sertifikaat ongi see asi mida kolmandas sammus brauser kasutas, et kindlaks teha kas avalik võta mis saadeti on ikka selle veebilehe avalik võti kelle poole brauser tahtis pöörduda.

juursertifikaati lisamine

Juursertifikaadi lisamiseks on mitmeid mooduseid.

Automatiseeritud lisamine windwowsi poolt

Windows uuendab oma juursertifikaate automaatselt. Kui Kasutaja külastab turvalist veebilehte (näiteks https/ssl iga)mis on llkirjastatud ja kohtab uut juursertifikaati, siis windowsi sertifitseerimis ahela tuvastus tarkvara kontrollib õige "Microsoft update" asukoha sellele juursertifikaadile. Kui see leitakse laetakse see alla, kusjuures kasutajale täiesti märkamatult.

Esimene moodus

Üheks viisika on uuendada microsofti poolt heaks kiidetud sertifikaatide loendit. Selleks tuleb teha

  • 2.Otsida märksõna "Update for Root Certificates"
  • 4.Tõmmata see alla
  • 5.Käivitada tõmmatud exe fail.


Teine moodus

Mango juur sertifikaatide paigaldamine. Ehk kuidas lisada kellegi poolt valmistatud sertifikaati.

   *1.Tõmba vajalik sertifikaat(.crt fail).

   *2.Parem klõps failil ning vajuta "Install Certificate"->Vajuta Open-> Next

   *3.Vali pildil näidatud valikud ning vajuta "OK"

   *4.Järgmisena "Security" küsimusele vasta jah ning sertifikaat ongi paigaldatud. 

   *5.Kontroll 

Kolmas moodus

Meelepärase Sertifikaadi lisamine mmc abil(Import).

*1.Vajuta Start->Run. Kirjuta mmc ->OK-> vajuta File menu->Add/Remove Snap-in
   *2.Topelt klõps certificates kirjal.Valige computer account(Et sertifikaat kehtiks kõigile selle   
 arvuti kasutajatele) ->Next
  • 3.
   *4.Vajuta OK->aken sulgub->navigeeri faili certificates, Trusted root certificates,ide all->parem 
 klikk->All Tasks->import
   *5.Vali meelepärane Sertifikaat->Next->Juursertifikaadi lisamiseks "Trusted Root Certification 
 Authorities"->Next->Finish 

Meelepärase juursertifikaadi lisamine ühelt arvutilt teisele.

 *1.Korda Kolmanda mooduse esimest kolme punkti.
 *2.Navigeeri "Trusted Root Certification Authorities"->"Certificates" Ning järgnevast loetelust leie 
 ülesse sertifikaat mida kavatsed teise arvutisse tõsta.Ning parem hiireklõps sellel sertifikaadil
*3.Vajuta nuppu "Copy to file"
 *4.Tuleb lahti "Wizard"->Next->Next->Vali kuhu ja mis nime alla sertifikaat salvestada. 
 *5.Nüüd trantspordi sertifikaat teise arvutisse, ning korda Kolmanda variandi samme.

Kasutatud kirjandus

--Tpodzuks 10:37, 10 October 2011 (EEST)