PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory Przygotował: Mariusz Stawowski Entrust Certified Consultant CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: support@clico.pl, orders@clico.pl.; Ftp.clico.pl.; http://www.clico.pl
Spis treści 1. WPROWADZENIE 3 2. KONFIGURACJA ACTIVE DIRECTORY 4 3. INSTALACJA BAZY DANYCH INFORMIX 11 4. INSTALACJA URZĘDU CERTYFIKACJI (ENTRUST/AUTHORITY) 15 5. WSTĘPNA KONFIGURACJA ENTRUST/PKI 26 6. PRZYGOTOWANIE I INSTALACJA PAKIETU ENTRUST DESKTOP 29 7. INSTALACJA ACTIVCARD GOLD 39 8. DEFINIOWANIE UŻYTKOWNIKÓW I GENEROWANIE PROFILI KRYPTOGRAFICZNYCH 41 Copyright by CLICO, 1991-2002. 2
1. Wprowadzenie Entrust w wersji 6.0 został opracowany pod kątem kompleksowej integracji z Microsoft Active Directory oraz Microsoft Crypto API (CAPI): Active Directory może być wykorzystane do przechowywania certyfikatów wydanych przez Entrust/PKI, listy unieważnień (CRL) i informacji o użytkownikach. Klucze i certyfikaty mogą być w sposób przeźroczysty udostępniane w środowisku systemu Microsoft Windows z użyciem interfejsu CAPI. Dzięki temu aplikacje Microsoft (m.in. Outlook, Internet Explorer) bez konieczności instalacji dodatkowego oprogramowania mogą korzystać z usług Entrust/PKI. ActivCard uzyskał certyfikat Entrust-Ready gwarantujący bezproblemową integrację ActivCard Gold z aplikacjami funkcjonującymi w środowisku PKI opartym na Entrust/PKI. Zastosowanie ActivCard Gold zapewnia bezpieczne składowanie poufnego materiału kryptograficznego użytkownika oraz umożliwia wykonywanie newralgicznych operacji PKI wewnątrz kart Smart Card. Operacje kryptograficzne wymagające użycia kluczy prywatnych wykonywane są wewnątrz karty (m.in. generowanie kluczy, podpis cyfrowy, szyfrowanie klucza sesji). W rozwiązaniu ActivCard kryptograficzne klucze prywatne nigdy nie opuszczają karty Smart Card. ActivCard Gold dostarcza w oparciu o Smart Card niezawodnych i bezpiecznych usług identyfikacji cyfrowej użytkowników PKI. ActivCard wspiera wszystkie obowiązujące standardy PKI (m.in. PKCS#11, CAPI/CSP). Copyright by CLICO, 1991-2002. 3
2. Konfiguracja Active Directory Na kontrolerze Active Directory 1 logujemy się na konto Administrator i uruchamiamy aplikację entadconfig.exe. Instalacji nie należy wykonywać z klienta Terminal Server. 1 Instalacja AD na serwerze Windows 2000 odbywa się za pomocą polecenia dcpromo. W czasie instalacji AD należy ustalić nazwę domeny (np. clico.pl) oraz wskazać lub zainstalować serwer DNS. Copyright by CLICO, 1991-2002. 4
Copyright by CLICO, 1991-2002. 5
Copyright by CLICO, 1991-2002. 6
Tworzymy nowe konto w AD (np. CLICO CA). Copyright by CLICO, 1991-2002. 7
Copyright by CLICO, 1991-2002. 8
Copyright by CLICO, 1991-2002. 9
Utworzone konto CLICO CA powinno należeć do lokalnych administratorów (Active Directory Users and Computers Users Member of...). Copyright by CLICO, 1991-2002. 10
3. Instalacja bazy danych Informix 2 Na maszynie Urzędu Certyfikacji logujemy się na utworzone w poprzednim kroku konto (np. CLICO CA) i rozpoczynamy instalację Informix. 2 System bazy danych Informix jest standardowo wykorzystywany przez Entrust/PKI jako repozytorium danych Urzędu Certyfikacji (m.in. kopie Backup kluczy szyfrowania użytkowników). Copyright by CLICO, 1991-2002. 11
Copyright by CLICO, 1991-2002. 12
Copyright by CLICO, 1991-2002. 13
Po zainstalowaniu systemu bezy danych Informix restartujemy komputer. Copyright by CLICO, 1991-2002. 14
4. Instalacja Urzędu Certyfikacji (Entrust/Authority) Po przeładowaniu komputera i poprawnej inicjalizacji systemu bazy danych Informix rozpoczynamy instalację Entrust/Authority. Copyright by CLICO, 1991-2002. 15
Copyright by CLICO, 1991-2002. 16
Copyright by CLICO, 1991-2002. 17
Copyright by CLICO, 1991-2002. 18
Copyright by CLICO, 1991-2002. 19
Copyright by CLICO, 1991-2002. 20
Copyright by CLICO, 1991-2002. 21
Copyright by CLICO, 1991-2002. 22
Copyright by CLICO, 1991-2002. 23
Copyright by CLICO, 1991-2002. 24
Copyright by CLICO, 1991-2002. 25
5. Wstępna konfiguracja Entrust/PKI W pliku konfiguracyjnym <dysk>:\authdata\manager\entmgr.ini dopisujemy nową sekcję: [CDP] 1=ldap://<server>/<crl>?<attrib> W plikach konfiguracyjnych entrust.ini oraz entmgr.ini ustawiamy FIPS Mode: [FIPS Mode] FIPSMode=0 Uruchamiamy konsolę Entrust/Authority Master Control. Copyright by CLICO, 1991-2002. 26
Ustalamy hasła dostępu dla administratorów Urzędu Certyfikacji (tzw. Master User) oraz oficera bezpieczeństwa First Officer. Copyright by CLICO, 1991-2002. 27
Copyright by CLICO, 1991-2002. 28
6. Przygotowanie i instalacja pakietu Entrust Desktop Entrust/PKI realizuje zgodnie z założoną polityką bezpieczeństwa zcentralizowane zarządzanie kluczy i certyfikatów użytkowników. W trakcie funkcjonowania PKI nie ma potrzeby dokonywania prac administracyjnych na stacjach użytkowników. Konieczne jest jednak zainstalowanie na stacjach użytkowników Entrust/Entelligence komponentu odpowiedzialnego za komunikację z Urzędem Certyfikacji. Komunikacja ta jest zabezpieczona kryptograficznie. Copyright by CLICO, 1991-2002. 29
Copyright by CLICO, 1991-2002. 30
Copyright by CLICO, 1991-2002. 31
Copyright by CLICO, 1991-2002. 32
Copyright by CLICO, 1991-2002. 33
Copyright by CLICO, 1991-2002. 34
Copyright by CLICO, 1991-2002. 35
Copyright by CLICO, 1991-2002. 36
Copyright by CLICO, 1991-2002. 37
Nie tworzymy profilu Entrust. Copyright by CLICO, 1991-2002. 38
7. Instalacja ActivCard Gold Tworzenie profilu Entust użytkownika zawierającego poufny materiał kryptograficzny należy wykonać z użyciem karty Smart Card. Może tego dokonać oficer bezpieczeństwa na Entrust/RA (Registration Authority), bądź użytkownik na swojej stacji roboczej. Do obsługi kart Smart Card należy zamontować czytnik kart oraz zainstalować oprogramowanie ActivCard Gold. Karta ActivCard Gold może spełniać także inne funkcje jak PKI (np. składowanie haseł statycznych do aplikacji, generowanie haseł dynamicznych, składowanie opisu i numerów kart kredytowych). Nie ulega wątpliwości, że Infrastruktura Klucza Publicznego w połączeniu z technikami mocnej kryptografii wprowadzają do systemu informatycznego bardzo wysoki poziom bezpieczeństwa. Należy jednak pamiętać, że PKI bez kart inteligentnych Smart Card, gdy klucze kryptograficzne i certyfikaty są zapisywane na dysku komputera PC jest z punktu widzenia bezpieczeństwa niewiele warte. Odpowiednio spreparowany wirus, czy koń trojański może odczytać profil kryptograficzny użytkownika razem z hasłem dostępu i przesłać całość do dalszego, nieupoważnionego wykorzystania. Klucze prywatne użytkownika nie powinny opuszczać karty Smart Card (m.in. nie powinno być możliwości ich nieupoważnionego odczytania przez oprogramowanie komputera PC). Karta ActivCard Gold oprócz bezpiecznego składowania materiału kryptograficznego, umożliwia także na wewnętrzne generowanie kluczy kryptograficznych, wykonywanie podpisów cyfrowych oraz szyfrowanie kluczy sesji (tzn. kluczy użytych do szyfrowania danych aplikacji). Karta inteligentna Smart Card jest urządzeniem elektronicznym zbudowanym na wzór komputera (m.in. posiada procesor, pamięć i system operacyjny). Karta Smart Card wyposażona w odpowiednie oprogramowanie może użytkownikowi służyć do wielu zastosowań. Oprócz w/w karta ActivCard Gold może zostać dostosowana np. do użytku w systemie kontroli dostępu do pomieszczeń i stref bezpieczeństwa. Wdrożenie kart inteligentnych nie jest wbrew powszechnie panującej opinii bardzo czasochłonne i kosztowne. Wymaga to jedynie zamontowania na stacjach PC czytników kart (zwykle podłączanych do portu szeregowego COM, portu USB lub montowanych jako karty PCI) lub zainstalowania sterowników do obsługi kart USB (tzn. kart podłączanych bezpośrednio do portu USB bez dodatkowego czytnika). Nie wymaga to więcej pracy od np. zamontowania w komputerze modemu zewnętrznego, czy drukarki. Często też markowe stacje PC dostarczane są o razu z czytnikiem Smart Card. W rozwiązaniu ActivCard kod dostępu do karty Smard Card (PIN), dzięki zastosowaniu specjalnie opracowanego czytnika ActivReader może być wpisywany bezpośrednio do czytnika. Po włożeniu karty do czytnika i wpisaniu kodu PIN użytkownik nie musi wykonywać żadnych dodatkowych czynności. Wszystko załatwiane jest przez oprogramowanie ActivCard (np. logowanie do serwera aplikacji, systemu Firewall/VPN). Z kolei po wyjęciu karty następuje automatyczne zablokowanie dostępu do komputera. Dobór odpowiedniego rozwiązania Smart Card ma duży wpływ na możliwości rozwoju i funkcjonalność wdrażanego systemu zabezpieczeń. Dla zastosowań korporacyjnych nie jest w tym zakresie wskazane opieranie się na rozwiązaniach od producentów samego sprzętu Smart Card. Są one zwykle atrakcyjne cenowo, ale dostarczana funkcjonalność takich rozwiązań jest bardzo ograniczona. Karta Smart Card jest jak komputer, który bez dobrego oprogramowania ma niewielką funkcjonalność. Copyright by CLICO, 1991-2002. 39
Inicjujemy kartę Smart Card (m.in. ustalamy PIN). Copyright by CLICO, 1991-2002. 40
8. Definiowanie użytkowników i generowanie profili kryptograficznych Dodajemy użytkownika w Active Directory. Uruchamiamy serwisy Entrust/PKI. Copyright by CLICO, 1991-2002. 41
Definiujemy użytkownika w Urzędzie Certyfikacji. Copyright by CLICO, 1991-2002. 42
Copyright by CLICO, 1991-2002. 43
Tworzymy profil kryptograficzny użytkownika za pomocą Entrust/Entelligence i karty ActivCard Gold (na stacji Entrust/RA przez oficera bezpieczeństwa lub bezpośrednio na stacji użytkownika). Copyright by CLICO, 1991-2002. 44
Copyright by CLICO, 1991-2002. 45
Profil kryptograficzny zostanie wygenerowany i zapisany na karcie Smart Card. Copyright by CLICO, 1991-2002. 46