Strona głównaBezpieczeństwo systemów komputerowychLaboratoriumLaboratorium 9 i 10: chroot, ssl

Zaliczenie 2019

czw., 11/21/2019 - 21:56 — mbassa

Zadanie 2019

Księgarnia Radagast posiada aplikację do katalogowania z dość niewygodnym
interfejsem.
Dla zwiększenia komfortu i efektywności, dostęp do katalogu będzie możliwy
dla pracowników księgarni za pomocą przeglądarki. Aplikacja ma być dostępna po
wpisaniu nazwy radagast.store lub zwyczajowo www.radagast.store.
W przyszłości ma zostać także uruchomiony webmail do wygodnej obsługi pracowniczej poczty
dostępny pod adresem mail.radagast.store.
Wymienione wyżej usługi będą wymagały logowania, należy więc zapewnić
bezpieczny dostęp po protokole https. Ponieważ zarząd księgarni zdecydował się
jednocześnie na cięcie wszelkich kosztów, nie ma budżetu na zakup certyfikatów.
W takiej sytuacji należy przygotować następujące rozwiązanie.

1. Utworzyć Radagast CA o następujących parametrach:

Długość klucza RSA: 4096.
C = PL
ST = Mazowieckie
LN = Warszawa
ON = Radagast Bookstore
OU = Radagast Bookstore IT Department
CN = Radagast Bookstore Certificate Authority 19
mail = login@radagast.store
Login to nazwa użytkownika na students.
Termin ważności: 10 lat

Dla bezpieczeństwa klucz prywatny CA powinien być chroniony --
zaszyfrowany aes256.

2. Wystawić CSR z kluczem RSA 4096 bit uwzględniający wszystkie wymienione wyżej nazwy domenowe,
tak, aby można było używać tylko jednego certyfikatu.

3. Na podstawie powyższego CSR wystawić certyfikat, wystawcą ma być
oczywiście Radagast CA. Termin ważności certyfikatu: 2 lata.

4. Skonfigurować serwer nginx (z obsługą https przy pomocy wyżej wygenerowanego
certyfikatu). Serwer nginx powinien uruchamiać się jako proces
w kontenerze dockera. Należy utworzyć Dockerfile z opisem obrazu
opartego o Debiana 10, z konfiguracją dla https, wgrywaniem
certyfikatów, uruchamianiem procesu nginx, tak, aby dało się
wykonać polecenie docker run .
Testowanie powinno sprowadzić się do następujących kroków:
docker build .
docker run id_obrazu
Następnie testować przeglądarką. Może być konieczne dopisanie
nazw radagast.store, www.radagast.store, mail.radagast.store do /etc/hosts,
aby działało rozwiązywanie nazw.
Należy zaimportować certyfikat Radagast CA do przeglądarki, aby podpis
na certyfikacie serwera mógł być weryfikowany -- nie może się pojawiać
ostrzeżenie o nieznanym wydawcy lub złej nazwie domeny.