Информационная безопасность



              

Пример реализации защищенного беспроводного соединения - часть 3


Во-первых, пароль должен быть, по возможности, не «подбираемым влет», что обеспечит надежность всех выдаваемых впоследствии сертификатов, во-вторых, его ни в коем случае нельзя забыть, так как придется генерировать заново все сертификаты. Восстановить или взломать пароль нельзя, поэтому стоит положиться исключительно на собственную память.

По сгенерированному закрытому ключу server.key создадим корневой сертификат server.crt на следующих условиях: срок действия сертификата 5 лет (1825 дней).

openssl req -new -x509 -days 1825 -key server.key -out server.crt

В процессе создания сертификата OpenSSL запросит следующие сведения:

  • пароль закрытого ключа
  • двухсимвольный код страны (US, RU, UA и т. д.)
  • название штата или области
  • название населенного пункта
  • название компании
  • название подразделения компании
  • имя (например имя администратора, создающего сертификат)
  • По окончании генерирования корневого сертификата на руках у администратора окажется необходимый инструментарий для создания сертификатов клиента и сервера, которые они будут «предъявлять» друг другу при установке защищенного соединения. Создадим ключ и сертификат для сервера:

    openssl genrsa -out server-side.key 1024

    Процедура создания ключа сервера схожа с созданием закрытого ключа для корневого сертификата. Далее необходимо сгенерировать запрос на сертификат server-side.csr (отвечая по ходу процедуры на стандартные вопросы):

    openssl req -new -key server-side.key -out server-side.csr

    В заключение генерируем сертификат со сроком действия 1 год для сервера server-side.crt, обозначив его сигнатурой закрытого ключа server.key для корневого сертификата server.crt:

    openssl x509 -req -days 365 -in server-side.csr -CA server.crt -CAkey server.key -out server-side.crt

    Кажущаяся громоздкость описываемых процедур на самом деле логична и хорошо документирована, тем более, что данный путь позволит обеспечить реальную безопасность беспроводного соединения (в отличие от мнимой стойкости WEP-шифрования).

    Процедура создания сертификатов для клиента совершенно идентична:




    Содержание  Назад  Вперед