Microsoft TechDays Илья Лисицын Системный администратор ООО «Информационные Технологии» г. Смоленск.

Презентация:



Advertisements
Похожие презентации
Windows ® Azure Platform. Создание сервера SQL Azure Создание базы данных Создание правил брандмауэра Управление базой данных Содержание.
Advertisements

© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or.
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or.
Windows ® Azure Platform. Управление пользователями и ролями Управление правилами брандмауэра Содержание.
Windows ® Azure Platform. Обзор возможностей ДEМО: Получение информации и управление приложением в «облаке» Содержание.
Microsoft TechDays Илья Рудь MCT ЦКО «Специалист»
Как продвигается тестирование? Как происходит сборка? Мы устраняем дефекты? На сколько качественно мы чиним дефекты? Мы готовы к выпуску?
24%24% 71%71% Silverlight ?????? infoinfo Браузер somedomain.com.
Microsoft TechDays Иван Андреев.
Microsoft TechDays Заграничнов Александр Microsoft.
Microsoft TechDays Абраменко Денис Инженер IBS Datafort.
Microsoft TechDays Алексей Вихарев Microsoft Certified Trainer.
Microsoft TechDays Илья Рудь MCT ЦКО «Специалист»
1 Анна Юфкина Специалист по бизнес-решениям
Microsoft TechDays Владимир Безмалый MVP Consumer Security Microsoft Security Trusted Adviser.
Microsoft TechDays Дмитрий Сошников Академический евангелист, Майкрософт Россия
Новый цикл разработки Интерфейс для создания Silverlight приложений.
bool allowed = App.Current.Detach(); if (allowed){ //Показать что-нибудь пользователю } if(App.Current.RunningOffline) //Приложение запущено вне браузера.
Microsoft TechDays Дмитрий Филимонов Системный инженер Вебзавод.
Microsoft TechDays Игнатов Максим Разработчик e-Legion
Транксрипт:

Microsoft TechDayshttp:// Илья Лисицын Системный администратор ООО «Информационные Технологии» г. Смоленск

Microsoft TechDayshttp:// Создание обособленного (от основной структуры предприятия ) сервера Обособленный сервер должен отвечать следующим требования: Ограничение количества администраторов. Ограничение количества рабочих станций, с которых возможны административные входы на сервер Ограничение количества рабочих станций, с которых возможны прямые подключения к БД Авторизация на WEB-сервере должна проходить при помощи двухфакторной аутентификации Создавая защищенный сервер, заказчик преследовал следующие цели:

Microsoft TechDayshttp:// Любое комплексное решение должно быть разделено на части.

Microsoft TechDayshttp:// Создание обособленного сервера в составе рабочей группы и общего адресного пространства: Ограничение прав администраторов домена на доступ к данному серверу Любое комплексное решение должно быть разделено на части:

Microsoft TechDayshttp:// Создание обособленного сервера в составе рабочей группы и общего адресного пространства: Ограничение прав администраторов домена на доступ к данному серверу Любое комплексное решение должно быть разделено на части: Создание обособленного Windows-ЦС Обеспечит требуемую аутентификацию пользователей на WEB-сайте

Microsoft TechDayshttp:// Создание обособленного сервера в составе рабочей группы и общего адресного пространства: Ограничение прав администраторов домена на доступ к данному серверу Любое комплексное решение должно быть разделено на части: Создание обособленного Windows-ЦС Обеспечит требуемую аутентификацию пользователей на WEB-сайте Настройка защиты Настройка брандмауэра обеспечит доступ к ограниченному количеству ресурсов, определенных администратором Внедрение и настройка ipsec обеспечит защищенный доступ администраторов к необходимым сервисам

Microsoft TechDayshttp://

Проблемы Изолированный корневой Windows ЦС работает с объектом «пользователь» Технология ipsec работает на уровне «компьютер»

Microsoft TechDayshttp:// Проблемы Изолированный корневой Windows ЦС работает с объектом «пользователь» Технология ipsec работает на уровне «компьютер» Варианты решения проблемы Создание домена [Active Directory] Создание ЦС уровня Предприятия

Microsoft TechDayshttp:// Проблемы Изолированный корневой Windows ЦС работает с объектом «пользователь» Технология ipsec работает на уровне «компьютер» Варианты решения проблемы Создание домена [Active Directory] Создание ЦС уровня Предприятия Создание второго ЦС [OpenSSL]

Microsoft TechDayshttp://

Наш новый ЦС будет сконфигурирован по следующей структуре: C:\CA\ - Каталог конфигурации ЦС и исполняемых файлов openssl C:\CA\_scripts – Каталог скриптов ЦС C:\CA\db – Каталог БД ЦС

[ca] default_ca = CA_CLIENT # При подписи сертификатов # использовать секцию CA_CLIENT [CA_CLIENT] dir = c:\\CA\\db # Каталог для служебных файлов certs = c:\\CA\\db\\certs # Каталог для сертификатов new_certs_dir = c:\\CA\\db\\newcerts # Каталог для новых сертификатов database = c:\\CA\\db\\index.txt # Файл с базой данных # подписанных сертификатов serial = c:\\CA\\db\\serial # Файл содержащий серийный номер # сертификата # (в шестнадцатеричном формате) certificate = c:\\CA\\ServerKEYs\\ca2.crt # Файл сертификата CA private_key = c:\\CA\\ServerKEYs\\ca2.pem # Файл закрытого ключа CA

default_crl_days = 365 # Срок действия CRL default_md = md5 # Алгоритм подписи policy = policy_anything # Название секции с описанием # политики в отношении данных # сертификата [policy_anything] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied Address = optional [v3_ca] #Секция настройки ЦС subjectKeyIdentifier=hash authorityKeyIdentifier=keyid:always,issuer:always basicConstraints = CA:true

[req] #Секция запроса сертификата default_bits= 1024 distinguished_name= req_distinguished_name attributes= req_attributes x509_extensions= v3_ca #Расширения v3, добавляемые к #самоподписанному сертификату [v3_req] #Расширения, добавляемые в клиентский запрос basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ req_distinguished_name ]#Обязательные атрибуты сертификата countryName= Country Name (2 letter code) countryName_default= RU countryName_min= 2 countryName_max= 2 stateOrProvinceName= State or Province Name (full name) stateOrProvinceName_default= Smolenskaya Oblast localityName= Locality Name (eg, city) localityName_default= Smolensk 0.organizationName= Organization Name (eg, company) 0.organizationName_default= Test Client Organization organizationalUnitName= Organizational Unit Name (eg, section) organizationalUnitName_default= IT commonName= Common Name (eg, YOUR name) commonName_max= 64 Address= Address Address_max= 64 [ req_attributes ] challengePassword= A challenge password challengePassword_min= 4 challengePassword_max= 20 unstructuredName= An optional company name

c:\ca\openssl genrsa -des3 -rand random -out ca2.key 1024 c:\ca\openssl rsa -in ca2.key -out ca2.pem c:\ca\openssl req -config c:\CA\ca.config -new -key ca2.key -out ca2.req c:\ca\openssl x509 -req -days in ca2.req -signkey ca2.key -out ca2.crt xcopy ca2*.* C:\CA\ServerKEYs\*.* del ca2*.*

Microsoft TechDayshttp://

cd \CA\db\certs mkdir %1 cd %1 C:\CA\openssl req -config c:\CA\ca.config -new -keyout %1.req -out %1.req - days 365 -passin pass: passout pass: subj "/C=RU/ST=Smolenskaya Oblast/L=Smolensk/O=CA2Test/CN= -batch C:\CA\openssl ca -config c:\CA\ca.config -policy policy_anything -out %1.crt -passin pass: extensions xpclient_ext -extfile c:\CA\xpextensions -infiles %1.req C:\CA\openssl pkcs12 -export -in %1.crt -inkey %1.req -out %1-ipsec-clt.p12 -clcerts -passin pass: passout pass: C:\CA\openssl pkcs12 -in %1-ipsec-clt.p12 -out %1.pem -passin pass: passout pass:123456

Microsoft TechDayshttp://

c:\ca\openssl ca -config ca.config -revoke c:\CA\db\certs\%1}\%1.crt c:\ca\openssl ca -gencrl -config c:\ca\ca.config -out C:\CA\ServerKEYs\ca2.crl

Microsoft TechDayshttp://

Удалённое конфигурирование Firewall – это к дороге… [Народная мудрость]

Microsoft TechDayshttp:// Готов ответить на ваши вопросы –

Microsoft TechDayshttp:// Благодарности: Статья Vadims Podāns «IPSec и сертификаты» - administrators.info/?p=2094http://system- administrators.info/?p=2094 Статья «Основы работы с OpenSSL» Microsoft Learning

Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.