Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w

Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w
środowisku Microsoft Active Directory
Przygotował:
Mariusz Stawowski
Entrust Certified Consultant
CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Spis treści
1. WPROWADZENIE
3
2. KONFIGURACJA ACTIVE DIRECTORY
4
3. INSTALACJA BAZY DANYCH INFORMIX
11
4. INSTALACJA URZĘDU CERTYFIKACJI (ENTRUST/AUTHORITY)
15
5. WSTĘPNA KONFIGURACJA ENTRUST/PKI
26
6. PRZYGOTOWANIE I INSTALACJA PAKIETU ENTRUST DESKTOP
29
7. INSTALACJA ACTIVCARD GOLD
39
8. DEFINIOWANIE UŻYTKOWNIKÓW I GENEROWANIE PROFILI KRYPTOGRAFICZNYCH
41
 Copyright by CLICO, 1991-2002.
2
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
1. Wprowadzenie
Entrust® w wersji 6.0 został opracowany pod kątem kompleksowej integracji z
Microsoft® Active Directory™ oraz Microsoft Crypto API (CAPI):
• Active Directory może być wykorzystane do przechowywania certyfikatów wydanych
przez Entrust/PKI, listy unieważnień (CRL) i informacji o użytkownikach.
• Klucze i certyfikaty mogą być w sposób przeźroczysty udostępniane w środowisku
systemu Microsoft Windows z użyciem interfejsu CAPI. Dzięki temu aplikacje
Microsoft (m.in. Outlook, Internet Explorer) bez konieczności instalacji dodatkowego
oprogramowania mogą korzystać z usług Entrust/PKI.
ActivCard® uzyskał certyfikat Entrust-Ready gwarantujący bezproblemową integrację
ActivCard Gold z aplikacjami funkcjonującymi w środowisku PKI opartym na Entrust/PKI.
Zastosowanie ActivCard Gold zapewnia bezpieczne składowanie poufnego materiału
kryptograficznego użytkownika oraz umożliwia wykonywanie newralgicznych operacji PKI
wewnątrz kart Smart Card.
Operacje kryptograficzne wymagające użycia kluczy prywatnych wykonywane są
wewnątrz karty (m.in. generowanie kluczy, podpis cyfrowy, szyfrowanie klucza sesji).
W rozwiązaniu ActivCard kryptograficzne klucze prywatne nigdy nie opuszczają karty Smart
Card. ActivCard Gold dostarcza w oparciu o Smart Card niezawodnych i bezpiecznych usług
identyfikacji cyfrowej użytkowników PKI. ActivCard wspiera wszystkie obowiązujące standardy
PKI (m.in. PKCS#11, CAPI/CSP).
 Copyright by CLICO, 1991-2002.
3
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
2. Konfiguracja Active Directory
Na kontrolerze Active Directory1 logujemy się na konto Administrator i uruchamiamy
aplikację entadconfig.exe. Instalacji nie należy wykonywać z klienta Terminal Server.
1
Instalacja AD na serwerze Windows 2000 odbywa się za pomocą polecenia ‘dcpromo’. W czasie instalacji AD należy ustalić nazwę
domeny (np. clico.pl) oraz wskazać lub zainstalować serwer DNS.
 Copyright by CLICO, 1991-2002.
4
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
5
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
6
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Tworzymy nowe konto w AD (np. CLICO CA).
 Copyright by CLICO, 1991-2002.
7
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
8
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
9
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Utworzone konto ‘CLICO CA’ powinno należeć do lokalnych administratorów (Active
Directory Users and Computers | Users | Member of ...).
 Copyright by CLICO, 1991-2002.
10
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
3. Instalacja bazy danych Informix2
Na maszynie Urzędu Certyfikacji logujemy się na utworzone w poprzednim kroku konto
(np. CLICO CA) i rozpoczynamy instalację Informix.
2
System bazy danych Informix jest standardowo wykorzystywany przez Entrust/PKI jako repozytorium danych Urzędu Certyfikacji
(m.in. kopie Backup kluczy szyfrowania użytkowników).
 Copyright by CLICO, 1991-2002.
11
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
12
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
13
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Po zainstalowaniu systemu bezy danych Informix restartujemy komputer.
 Copyright by CLICO, 1991-2002.
14
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
4. Instalacja Urzędu Certyfikacji (Entrust/Authority)
Po przeładowaniu komputera i poprawnej inicjalizacji systemu bazy danych Informix
rozpoczynamy instalację Entrust/Authority.
 Copyright by CLICO, 1991-2002.
15
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
16
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
17
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
18
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
19
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
20
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
21
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
22
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
23
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
24
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
25
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
5. Wstępna konfiguracja Entrust/PKI
W pliku konfiguracyjnym <dysk>:\authdata\manager\entmgr.ini dopisujemy nową sekcję:
[CDP]
1=ldap://<server>/<crl>?<attrib>
W plikach konfiguracyjnych entrust.ini oraz entmgr.ini ustawiamy FIPS Mode:
[FIPS Mode]
FIPSMode=0
Uruchamiamy konsolę Entrust/Authority Master Control.
 Copyright by CLICO, 1991-2002.
26
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Ustalamy hasła dostępu dla administratorów Urzędu Certyfikacji (tzw. Master User) oraz
oficera bezpieczeństwa First Officer.
 Copyright by CLICO, 1991-2002.
27
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
28
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
6. Przygotowanie i instalacja pakietu Entrust Desktop
Entrust/PKI realizuje zgodnie z założoną polityką bezpieczeństwa zcentralizowane
zarządzanie kluczy i certyfikatów użytkowników. W trakcie funkcjonowania PKI nie ma potrzeby
dokonywania prac administracyjnych na stacjach użytkowników. Konieczne jest jednak
zainstalowanie na stacjach użytkowników Entrust/Entelligence – komponentu odpowiedzialnego
za komunikację z Urzędem Certyfikacji. Komunikacja ta jest zabezpieczona kryptograficznie.
 Copyright by CLICO, 1991-2002.
29
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
30
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
31
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
32
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
33
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
34
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
35
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
36
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
37
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Nie tworzymy profilu Entrust.
 Copyright by CLICO, 1991-2002.
38
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
7. Instalacja ActivCard Gold
Tworzenie profilu Entust użytkownika zawierającego poufny materiał kryptograficzny
należy wykonać z użyciem karty Smart Card. Może tego dokonać oficer bezpieczeństwa na
Entrust/RA (Registration Authority), bądź użytkownik na swojej stacji roboczej. Do obsługi kart
Smart Card należy zamontować czytnik kart oraz zainstalować oprogramowanie ActivCard Gold.
Karta ActivCard Gold może spełniać także inne funkcje jak PKI (np. składowanie haseł
statycznych do aplikacji, generowanie haseł dynamicznych, składowanie opisu i numerów kart
kredytowych).
Nie ulega wątpliwości, że Infrastruktura Klucza Publicznego w połączeniu z technikami
„mocnej” kryptografii wprowadzają do systemu informatycznego bardzo wysoki poziom
bezpieczeństwa. Należy jednak pamiętać, że PKI bez kart inteligentnych Smart Card, gdy klucze
kryptograficzne i certyfikaty są zapisywane na dysku komputera PC jest z punktu widzenia
bezpieczeństwa niewiele warte. Odpowiednio spreparowany wirus, czy „koń trojański” może
odczytać profil kryptograficzny użytkownika razem z hasłem dostępu i przesłać całość do
dalszego, nieupoważnionego wykorzystania. Klucze prywatne użytkownika nie powinny
opuszczać karty Smart Card (m.in. nie powinno być możliwości ich nieupoważnionego
odczytania przez oprogramowanie komputera PC). Karta ActivCard Gold oprócz bezpiecznego
składowania materiału kryptograficznego, umożliwia także na wewnętrzne generowanie kluczy
kryptograficznych, wykonywanie podpisów cyfrowych oraz szyfrowanie kluczy sesji (tzn. kluczy
użytych do szyfrowania danych aplikacji).
Karta inteligentna Smart Card jest urządzeniem elektronicznym zbudowanym na wzór
komputera (m.in. posiada procesor, pamięć i system operacyjny). Karta Smart Card
wyposażona w odpowiednie oprogramowanie może użytkownikowi służyć do wielu zastosowań.
Oprócz w/w karta ActivCard Gold może zostać dostosowana np. do użytku w systemie kontroli
dostępu do pomieszczeń i stref bezpieczeństwa. Wdrożenie kart inteligentnych nie jest wbrew
powszechnie panującej opinii bardzo czasochłonne i kosztowne. Wymaga to jedynie
zamontowania na stacjach PC czytników kart (zwykle podłączanych do portu szeregowego
COM, portu USB lub montowanych jako karty PCI) lub zainstalowania sterowników do obsługi
kart USB (tzn. kart podłączanych bezpośrednio do portu USB bez dodatkowego czytnika). Nie
wymaga to więcej pracy od np. zamontowania w komputerze modemu zewnętrznego, czy
drukarki. Często też markowe stacje PC dostarczane są o razu z czytnikiem Smart Card.
W rozwiązaniu ActivCard kod dostępu do karty Smard Card (PIN), dzięki zastosowaniu
specjalnie opracowanego czytnika ActivReader może być wpisywany bezpośrednio do czytnika.
Po włożeniu karty do czytnika i wpisaniu kodu PIN użytkownik nie musi wykonywać żadnych
dodatkowych czynności. Wszystko załatwiane jest przez oprogramowanie ActivCard (np.
logowanie do serwera aplikacji, systemu Firewall/VPN). Z kolei po wyjęciu karty następuje
automatyczne zablokowanie dostępu do komputera.
Dobór odpowiedniego rozwiązania Smart Card ma duży wpływ na możliwości rozwoju
i funkcjonalność wdrażanego systemu zabezpieczeń. Dla zastosowań korporacyjnych nie jest w
tym zakresie wskazane opieranie się na rozwiązaniach od producentów samego sprzętu Smart
Card. Są one zwykle atrakcyjne cenowo, ale dostarczana funkcjonalność takich rozwiązań jest
bardzo ograniczona. Karta Smart Card jest jak komputer, który bez dobrego oprogramowania
ma niewielką funkcjonalność.
 Copyright by CLICO, 1991-2002.
39
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Inicjujemy kartę Smart Card (m.in. ustalamy PIN).
 Copyright by CLICO, 1991-2002.
40
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
8. Definiowanie użytkowników i generowanie profili
kryptograficznych
Dodajemy użytkownika w Active Directory.
Uruchamiamy serwisy Entrust/PKI.
 Copyright by CLICO, 1991-2002.
41
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Definiujemy użytkownika w Urzędzie Certyfikacji.
 Copyright by CLICO, 1991-2002.
42
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
43
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Tworzymy profil kryptograficzny użytkownika za pomocą Entrust/Entelligence i karty
ActivCard Gold (na stacji Entrust/RA przez oficera bezpieczeństwa lub bezpośrednio na stacji
użytkownika).
 Copyright by CLICO, 1991-2002.
44
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
 Copyright by CLICO, 1991-2002.
45
Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory
Profil kryptograficzny zostanie wygenerowany i zapisany na karcie Smart Card.
 Copyright by CLICO, 1991-2002.
46