Защита беспроводных сетей, WPA: теория и практика (часть пятая)

Защита беспроводных сетей, WPA: теория и практика (часть пятая) Сертификаты
Содержание
  1. Что такое программа пфдо
  2. Что нужно знать о сертификате пфдо
  3. Что такое ssl-сертификат
  4. «быстрая» установка сертификатов.
  5. Настройка FreeRADIUS.
  6. Создание сертификата компьютера.
  7. 1 Установка корневого сертификата CA напрямую.
  8. 1 файл /etc/raddb/clients.conf
  9. 2 файл /etc/raddb/radiusd.conf
  10. 3 файл /etc/raddb/proxy.conf
  11. 4 файл /etc/raddb/eap.conf
  12. 6 права доступа к /etc/raddb/
  13. 7 запуск radiusd в режиме отладки
  14. Настройка точки доступа.
  15. 1 Установка пользовательских сертификатов через интерфейс управления сертификатами.
  16. 2 Установка корневого сертификата через интерфейс управления сертификатами.
  17. Настройка беспроводного клиента.
  18. Настройка точки доступа.
  19. Установка сертификатов через MMC
  20. Добавление FreeRadius в автостарт
  21. Настройка беспроводной сети на клиенте.
  22. Настройка точки доступа
  23. Добавление FreeRadius в автостарт.
  24. Процесс подключения со стороны RADIUS-сервера
  25. Проверка соответствия CN-поля сертификата имени компьютера
  26. Domain validation
  27. Organization validation
  28. Безопасность данных
  29. Доверие к сайту
  30. Использование беспроводных сетей в доменах windows
  31. Как работает сертификат пфдо
  32. Как я активировала сертификат
  33. Как я оплатила кружок сертификатом
  34. Как я оформила сертификат пфдо на ребенка
  35. Какие виды ssl-сертификатов есть и кто их выдаёт?
  36. Каким сайтам нужен ssl?
  37. Какой ssl-сертификат выбрать?
  38. С 1 сентября вступят в силу новые требования к форме квалифицированного сертификата электронной подписи
  39. Самоподписные ssl-сертификаты
  40. Extended validation
  41. Заключение
  42. Заключение.

Что такое программа пфдо

Бесплатные детские кружки всегда финансировало государство. Дворцы творчества планировали, сколько детей запишется в кружок, и получали деньги на полную группу, например на 10 человек. Но потом в непопулярный кружок записывалось меньше детей, например только 4 ребенка, и там оказывалось больше свободных мест, чем нужно.

По этой системе бесплатный кружок получит государственные деньги за тех детей, которые ходят туда по факту, а не за тех, кого руководство планировало привлечь, но не смогло. Если организаторы кружка захотят больше денег, им придется изменить программу, чтобы записалось больше детей.

На 1 мая 2020 года в ПФДО участвует 65 регионов. До конца 2024 года подключатся и остальные.

У каждого региона-участника есть сайт-навигатор по программе. Там можно оформить сертификат и записать ребенка в кружки и секции. Одни навигаторы базируются на сайте ПДО, другие — на Inlearno. Где ваш, заранее не узнать — искать свой регион придется и там, и там.

Что нужно знать о сертификате пфдо

  1. Сертификат положен каждому ребенку в возрасте от 5 до 17 лет включительно. Он должен быть гражданином РФ.
  2. Чтобы оформить сертификат, нужно найти свой регион на портале ПДО или Inlearno и перейти на нужный сайт-навигатор, зарегистрироваться, подтвердить электронную почту и заполнить электронное заявление. Через несколько дней сертификат будет оформлен и в личном кабинете появится его номер.
  3. Сертификат нужно активировать. В личном кабинете есть список школ и образовательных центров, где можно это сделать. Туда нужно отнести или отправить копию паспорта или свидетельства о рождении ребенка, заявление о включении в систему ПФДО и согласие на обработку персональных данных. Через три рабочих дня сертификат будет активирован.
  4. Чтобы оплатить кружок сертификатом, нужно выбрать его в списке в личном кабинете, заполнить заявку, а потом прийти в образовательный центр и подписать договор. Деньги с сертификата будут каждый месяц зачислять на счет центра.
  5. Если в кружке ребенку не понравится, нужно написать заявление об отчислении, иначе деньги с сертификата будут списывать и дальше.

Что такое ssl-сертификат

SSL (Secure Sockets Layer — уровень защищённых сокетов) — это протокол шифрования, который позволяет кодировать данные для более безопасного обмена.

«быстрая» установка сертификатов.

Сертификаты можно устанавливать как напрямую, щелчком из проводника (windows explorer), так и через отдельную интерфейс-закладку Internet Explorer (еще это можно делать через mmc-консоль).

Рассмотрим первый способ установки, как самый быстрый и простой.

Настройка FreeRADIUS.

Начнем с установки и настройки FreeRADIUS сервера.

В операционной системе Gentoo это делается довольно просто, достаточно ввести команду
=====================================================
root@s2 ~ # emerge -av freeradius

These are the packages that I would merge, in order:

Calculating dependencies …done!

[ebuild N ] net-dialup/freeradius-1.0.5-r1 -edirectory
-frascend -frnothreads -frxp -kerberos -ldap -mysql pam
-postgres -snmp ssl -udpfromto 2,240 kB

Total size of downloads: 2,240 kB

Do you want me to merge these packages? [Yes/No]
=====================================================

Если планируется хранить базу пользователей во внешних базах (например, ldap, mysql или postgre), то перед сборкой RADIUS сервера надо активировать соответствующие флаги, позволяющие собрать FreeRADIUS с поддержкой mysql/postgre и/или ldap:
=====================================================
# USE=”mysql ldap” emerge -av freeradius
=====================================================

После проверки включенности нужных флагов, достаточно нажать клавишу Y и пакет будет собран и установлен в систему:
=====================================================

<….>

— !targe sym /usr/lib/rlm_digest-1.0.5.la
— !targe sym /usr/lib/rlm_detail.so
— !targe sym /usr/lib/rlm_detail-1.0.5.la
— !targe sym /usr/lib/rlm_counter.so
— !targe sym /usr/lib/rlm_counter-1.0.5.la
— !targe sym /usr/lib/rlm_checkval.so
— !targe sym /usr/lib/rlm_checkval-1.0.5.la
— !targe sym /usr/lib/rlm_chap.so
— !targe sym /usr/lib/rlm_chap-1.0.5.la
— !targe sym /usr/lib/rlm_attr_rewrite.so
— !targe sym /usr/lib/rlm_attr_rewrite-1.0.5.la
— !targe sym /usr/lib/rlm_attr_filter.so
— !targe sym /usr/lib/rlm_attr_filter-1.0.5.la
— !targe sym /usr/lib/rlm_always.so
— !targe sym /usr/lib/rlm_always-1.0.5.la
— !targe sym /usr/lib/rlm_acct_unique.so
— !targe sym /usr/lib/rlm_acct_unique-1.0.5.la
— !targe sym /usr/lib/libradius.so
— !targe sym /usr/lib/libradius-1.0.5.la
— !targe sym /usr/lib/libeap.so
— !targe sym /usr/lib/libeap-1.0.5.la
>>> original instance of package unmerged safely.
>>>

Вышеприведенный лог сборки (его конец) показывает, что FreeRADIUS 1.0.5 успешно установлен в систему (о чем сообщает строка ” net-dialup/freeradius-1.0.5-r1 merged”). Можно приступать к его настройке.

Создание сертификата компьютера.

Для начала создадим сертификат компьютера. Он создается абсолютно аналогично пользовательскому сертификату, по уже описанному в третьей части алгоритму.

Наш компьютер называется testcomp1. Создаем сертификат для него:
#—————————————————-
# ./sign_cert.sh client_cert testcomp1
#—————————————————-

Называние поля CN сертификата в общем случае может не совпадать с названием рабочей станции, на которой этот сертификат будет установлен. Но в настройках Radius-сервера можно ввести проверку на идентичность этого поля и имени машины. В случае несовпадения — отказать в соединении.

После ввода всех необходимых параметров и отработки скрипта мы получим на выходе файл testcomp1.p12 — его и установим в дальнейшем на нашу рабочую станцию.

1 Установка корневого сертификата CA напрямую.

Для начала, необходимо установить корневой сертификат CA (сертификационного центра). Просто открываем в Windows Explorer-е директорию, где у нас лежат файлы сертификатов, и два раза щелкаем на созданном ранее файле tmp_org-ca.crt

В ответ получаем окошко, где нам предлагается установить сертификат в систему. Можно сразу щелкнуть по кнопке “Установить сертификат”, а можно предварительно побегать по закладкам:

Закладка “Состав” показывает все параметры сертификата. Особенно интересны пункты “Действителен с” и “Действителен по” — сертификат будет действителен только в этом промежутке времени. Если им воспользоваться раньше или позже указанного времени, он будет отвергнутым (это касается сертификатов любых типов — как серверных, так и клиентских).

“Путь сертификации” показывает, что сертификат является корневым (самоподписанным).

После нажатия кнопки “Установить сертификат” в закладке “Общие”, мы попадем в мастер импорта сертификатов.

Операционная система сама разберется, куда помещать сертификат, поэтому можно оставить галку на “Автоматически выбрать хранилище”.

… осталось нажать кнопку “готово”.

Выскакивает последнее предупреждение об установке нового центра сертификации “tmp_org root CA”.

После нажатия на кнопку “да” в предыдущем меню, система сообщит нам, что импорт выполнен. Тем не менее, даже после нажатия на “ОК”, основное окошко с сертификатом продолжает сообщать, что сертификат неизвестен. Это всего лишь “фича” операционной системы. Достаточно закрыть то окно и открыть его заново (два раза щелкнуть на файл с сертификатом):

В этом случае нам уже сообщают, что сертификат известен и ему доверяют.

1 файл /etc/raddb/clients.conf

Для начала пропишем клиентов (в данном случае — точку доступа) в файле /etc/raddb/clients.conf
#—————————————————-
client 192.168.1.250/32 {
secret = test1234
shortname = test_ap
}
#—————————————————-

Эта запись означает, что клиент с адресом 192.168.1.250 авторизируется на RADIUS-е с паролем test1234. Имя test_ap будет использована при логировании событий, связанных с этой точкой доступа.

Не забываем сменить стандартный пароль для localhost_клиентов:
#—————————————————-
secret = very_strong_secret_password
#—————————————————-

2 файл /etc/raddb/radiusd.conf

Теперь разберемся с основным файлом конфигурации Radius-а /etc/raddb/radiusd.conf

Секция Modules{ }, раздел mschap { }

Включаем

use_mppe = yes # использовать алгоритм mppe

require_encryption = yes # использовать шифрование

require_strong = yes # только сильное шифрование

3 файл /etc/raddb/proxy.conf

Теперь открываем файл /etc/raddb/proxy.conf и добавляем в конец этого файла
#—————————————————-
realm DEFAULT {
type = radius
authhost = LOCAL
accthost = LOCAL
}
#—————————————————-

DEFAULT реалм, добавленный нами, позволяет всем аккаунтам, которые не попали ни в один вышезаданный реалм, проверяться на локальном радиусе. В нашем случае это означает, что все windows-аккаунты с отрезанной доменной частью будут проверяться локально.

4 файл /etc/raddb/eap.conf

Переходим к настройке протокола EAP. Его настройки располагаются в отдельном файле, который, в свою очередь, подключается к основному /etc/raddb/radiusd.conf вот такой конструкцией:
#—————————————————-
$INCLUDE ${confdir}/eap.conf
#—————————————————-

Про сертификаты:  Сертификат на салаты оформить в Саранске - разработка и регистрация в центре сертификации "СТ-Сертификация"

Открываем /etc/raddb/eap.conf

В секции eap{ }
#—————————————————-
default_eap_type = peap # по-умолчанию, используем EAP-PEAP
#—————————————————-

Раскомментируем секцию, относящуюся к peap:
#—————————————————-
peap {
default_eap_type = mschapv2
}
#—————————————————-

Но этого недостаточно для функционирования PEAP, нам также необходимо активировать (раскомментировать) секцию, отвечающую за EAP-TLS:
#—————————————————-
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/cert-srv.pem

certificate_file = ${raddbdir}/certs/cert-srv.

В данном случае использованы цифровые сертификаты, сгенерированные автоматически, при установке пакета freeradius. Можно, конечно, создать собственные сертификаты, подписанные своим (или сторонним) сертификационным центром, но для простоты объяснения, этот этап опущен (он будет подробно расписан в следующей части статьи). Для работы RADIUS-сервера для обеспечения работы EAP-PEAP протокола, вышеприведенных настроек будет достаточно.

6 права доступа к /etc/raddb/

Пара слов о безопасности. При установке пакета freeradius создается пользователь radiusd и группа radiusd, которая является основной для этого пользователя. Права на директорию конфигурационных файлов RADIUS устанавливаются следующие:
=====================================================
# /bin/ls -l /etc | grep raddb
drwxr-x— 3 root radiusd 4096 Oct 12 15:10 raddb
=====================================================

7 запуск radiusd в режиме отладки

На этом настройка FreeRadius сервера завершена. Можно запустить его в режиме отладки командой

# /usr/sbin/radiusd -fX

Настройка точки доступа.

Здесь описывается лишь настройка точки доступа в качестве Radius-клиента. Разумеется, интерфейсы точек доступа разных производителей будут выглядеть по-разному, но общие принципы настроек изменяться не будут.

Надо сделать следующее:

  • включить WPA;
  • выбрать тип шифрования (AES или TKIP)
  • прописать адрес RADIUS-сервера
  • прописать пароль доступа (shared secret) к RADIUS-серверу

Вводим SSID беспроводной сети (WPA-PEAP), активируем “Security” и жмем кнопку “Configure Security”.

В появившемся окне выбрать WPA RADIUS в пункте “Security Mode”. Далее алгоритм шифрования — установить AES (или TKIP, если клиентское оборудование AES не поддерживает). Далее вводим адрес машины, где установлен RADIUS сервер и порт, по которому оный принимает запросы (порт 1812 — является стандартным).

Осталось задать “Shared Secret” (пароль на подключение) и все — настройка точки доступа на этом завершена.

1 Установка пользовательских сертификатов через интерфейс управления сертификатами.

Все вышеописанные действия (а также посмотреть, какие сертификаты у нас установлены и, при необходимости, удалить их) можно и следующим образом:

В Internet Explorer жмем на “Сервис -> Свойства обозревателя”

В появившемся окне идем на закладку “Содержание” и жмем кнопку “Сертификаты”.

В появившемся меню нас интересует закладка “Личные”.

2 Установка корневого сертификата через интерфейс управления сертификатами.

Если перейти на закладку “Доверенные корневые центры сертификации” в интерфейсе “сертификаты” Internet Explorer-а, то

… тут мы увидим большое количество установленных в систему корневых сертификатов различных организаций. Тут же находится и установленный нами корневой сертификат нашего собственного центра. Нажав на кнопку “Импорт” можно установить другие корневые сертификаты.

Настройка беспроводного клиента.

WiFi карта подключена к компьютеру под управлением Windows XP PRO SP2. Настройка производится в родной Windows Zero Config утилите.

Жмем на “изменить порядок предпочтения сетей”.

В закладке “беспроводные сети” щелкаем на кнопку “Добавить”.

Попадаем в окно свойств беспроводной сети.

Закладка “связи”. Указываем нужное имя сети (в нашем случае WPA-PEAP) и выбираем тип шифрования данных (AES или TKIP). Разумеется, он должен совпадать с тем, что был указан в точке доступа.

Переходим на закладку “Проверка подлинности”. В типе EAP ставим “Protected EAP (PEAP)”. После чего жмем на кнопку “Свойства”.

В следующем окошке снимаем галку с “проверять сертификат сервера”. Так как сертификаты у нас самосгенеренные при установке FreeRadius, Windows не сможет проверить их валидность (это будет показано чуть ниже).

Далее, выбираем “Метод проверки подлинности”, ставим там “Secured password (EAP-MSCHAP v2). Если тут же нажать кнопку “настроить”, то

Настройка точки доступа.

Настройка точки доступа аналогична процедуре, описанной в предыдущей статье, поэтому подробно описывать этот процесс не будем.

По сравнению с предыдущим разом, изменилось лишь название (SSID) беспроводной сети, теперь она называется WPA-TLS.

Установка сертификатов через MMC

Пара способов установки клиентских сертификатов уже была описана в четвертой части:

К сожалению, так можно установить только клиентские сертификаты (и корневые). И те и другие будут храниться в профиле пользователя.

Для установки сертификата компьютера, который будет храниться в системном профиле (куда ОС будет иметь доступ даже без наличия сети), необходимо воспользоваться Microsoft Managment Console (MMC).

Для этого идем в “Пуск” -> “Выполнить”.

В окне запуска программы пишем “mmc” и жмем клавишу “OK”.

В открывшемся окне консоли необходимо добавить оснастку сертификатов.

Для этого идем в меню “Консоль”. И выбираем пункт “Добавить или удалить оснастку”.

На закладке “Изолированная оснастка” жмем кнопку “добавить”.

В появившемся списке выбираем оснастку “Сертификаты” и жмем кнопку “Добавить”.

Появляется меню, в котором необходимо выбрать, какими сертификатами мы будем управлять.

Пункт “моей учетной записи пользователя” позволит добавить оснастку управления пользовательскими сертификатами. Именно ими мы и управляли в предыдущей статье с помощью интерфейса IE.

Добавляем пользовательскую оснастку.

Теперь таким же образом добавляем оснастку для управления сертификатами учетной записи компьютера:

Сертификаты компьютера невозможно добавить напрямую или через IE. Они добавляются только через MMC-консоль.

При добавлении оснастки управления сертификатами компьютера, появляется меню, где можно указать, каким именно компьютером мы хотим в данный момент управлять — выбираем “локальным компьютером” (в принципе, администратор домена может удаленно управлять оснастками и на удаленных машинах).

В результате мы добавили две оснастки — для управления сертификатами пользователя и компьютера.

Теперь подробнее рассмотрим, что эти оснастки из себя представляют.

Раскрываем дерево сертификатов текущего пользователя. Идем вниз по дереву: “Личные” -> “Сертификаты”.

Добавление FreeRadius в автостарт

Осталось лишь остановить FreeRADIUS сервер, запущенный в режиме отладки, добавить его в автостарт…
=====================================================
# rc-update add radiusd default
* radiusd added to runlevel default
=====================================================

…для того, чтобы radiusd сервис запускался при старте системы, и запустить его (однократно) в нормальном режиме:
=====================================================
# /etc/init.d/radiusd start
* Starting radiusd … [ ok ]
=====================================================

Все, настройка системы на этом завершена.

Настройка беспроводной сети на клиенте.

Профиль опять-таки настраивается похожим на предыдущий случай образом. Но тут присутствуют существенные отличия.

Заходим в Zero Config Utility, жмем на “Изменить порядок предпочтения сетей”.

В закладке “Беспроводные сети” жмем кнопку “Добавить”.

В закладке “Связи” вводим имя сети (WPA-TLS), в качестве проверки подлинности опять выбираем WPA, а шифрование данных — AES.

Пока все то же самое, не так ли? А с закладки “Проверка подлинности” появляются отличия.

В качестве “Типа EAP” выставляем “Смарт карта или другой сертификат”.

Галка “Проверять подлинность как у компьютера при доступности сведений о компьютере” пока не нужна, ее необходимость будет рассмотрена позже.

Теперь жмем на кнопку “Свойства”.

В появившемся окне свойств сертификата необходимо выбрать “использовать сертификат на этом компьютере”, то есть сказать системе, что аутентификация происходит с помощью клиентского сертификата, расположенного на компьютере.

После чего активировать “проверку сертификата сервера” и в появившемся внизу списке сертификатов корневых серверов выбрать наш личный центр — tmp_org root CA.

Конечно, можно не активировать проверку сертификата сервера, но ведь мы настраиваем безопасную сеть, не так ли? И должны убедиться, что точка доступа наша, так как обращается к нашему RADIUS-серверу. При подключении к точке доступа, она (а точнее RADIUS) предъявляет свой, серверный сертификат, также подписанный корневым tmp_org root CA.

Также можно оставить включенной проверку сертификата сервера, но не выбирать в списке корневой сертификат нашего центра.

Тогда при первом подключении к точке доступа, в трее выскочит окошко, предлагающее убедиться в валидности предъявляемого радиусом сертификата. После клика на нем,

появится окно, сообщающее, что корневым сертификатом для предъявленного сервером радиуса, является “tmp_org root CA”. Если нажать ОК, то соединение продолжится.

Если же убрать галку с “проверка сертификата сервера”, то никаких проверок валидности серверного сертификата на клиенте производиться не будет. Но это небезопасно — кто угодно может поставить собственную точку доступа, настроенную аналогично нашей (то же имя сети (SSID), те же параметры шифрования и собственный центр сертификации), в результате мы подключимся к чужой сети, возможно, с самыми печальными последствиями.

Про сертификаты:  сертификация игрушек из дерева - Выгодно! Звоните! - МЕРЦИС, Испытания, сертификация продукции, регистрация деклараций на соответствие требованиям ТР ТС, сертификация продукции Системе ГОСТ Р

Последняя закладка — “Подключение” — в свойствах беспроводной сети позволяет активировать автоматическое подключение к сети, как только она будет обнаружена клиентом.

Настройка точки доступа

Конфигурация точки доступа полностью аналогична описанной в четвертой части серии.

Добавление FreeRadius в автостарт.

На этом настройка беспроводных клиентов с аутентификацией по цифровым сертификатам завершена. Осталось добавить запуск RADIUS-сервера в автостарт, если это не было сделано ранее (способ добавления описан во второй части цикла статей) и стартовать его.

Процесс подключения со стороны RADIUS-сервера

Для детального наблюдения за процессом, запускаем Radius в режиме отладки:
#—————————————————-
# radiusd -X
#—————————————————-

В данном случае нас интересует только процесс подключения с использованием сертификата компьютера, так как подключение с использованием пользовательского сертификата мы уже видели.

После того, как рабочая станция включится и операционная система полностью загрузится (до момента, когда появится ctrl alt del экран) нужно подождать еще секунд 20..40. Это время необходимо ОС для обнаружения беспроводной сети — только после этого произойдет попытка подключения к ней.

То есть, если попытаться нажать три заветных клавиши раньше и попробовать аутентифицироваться в домене, у вас, скорее всего, ничего не выйдет.

Проверка соответствия CN-поля сертификата имени компьютера

Теперь давайте включим проверку соответствия поля CN сертификата и имени компьютера.

CN поле сертификата соответствует “testcomp1”. Компьютер тоже называется “testcomp1”.

Для активации такой проверки необходимо в конфигурационном файле Radius-а

/etc/raddb/eap.conf

в секции tls{ } раздела eap{ }

Domain validation

DV сертификаты подтверждают только факт того, что именно владельцу сертификата действительно принадлежит данный домен и являются наиболее доступной разновидностью SSL-сертификатов. Данные сертификаты лучшего всего подойдут для форумов и небольших сайтов или блогов с не очень большим количеством посетителей.

SSL-сертификат такого уровня:

  • обеспечивает только начальный уровень защиты;
  • доступен физическим и юридическим лицам;
  • не требует предоставление дополнительных документов;
  • выпускается в течение 5-10 минут;
  • обойдётся примерно в 1-4 тысячи рублей за год.

Organization validation

OV-сертификат подтверждает бизнес-статус организации и вызывает куда больше доверия пользователей, чем DV-сертификат. Данный тип сертификата хорошо подойдёт для онлайн-магазина и другого небольшого интернет-бизнеса.

Сертификат уровня защиты OV:

  • обеспечивает средний уровень защиты;
  • выдаётся только юридическим лицам;
  • для регистрации необходимо предоставить копии документов организации, счёт телефонной компании с указанным названием организации и номером телефона её владельца;
  • выпускается в течение 1-5 дней;
  • обойдётся примерно от 4 000 рублей до 50 000 рублей в год.

Безопасность данных

Конечно же, стоит начать с этого пункта, ведь в этом заключается основная цель использования SSL-сертификатов. Если вы работаете с персональными данными пользователей, вам просто необходимо их шифровать при передаче к серверу. Само по себе использование сертификата не лекарство от всех бед, злоумышленники могут перехватить данные ещё до момента передачи их на сервер на заражённом компьютере или устройстве посетителя сайта. Однако использование протокола шифрования — значительный вклад в снижение уязвимости сайта.

Доверие к сайту

Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.

Использование беспроводных сетей в доменах windows

Предыдущая статья была посвящена настройке клиентской части WPA шифрования по протоколу EAP-TLS.

В предпоследней статье серии мы рассмотрим вопросы использования EAP-TLS в доменных сетях Windows.

Обращаю внимание, что для понимания нижеследующего материала, читателю необходимо ознакомиться со всеми предыдущими статьями этого цикла.

Как обычно, для дальнейшей работы нам потребуется все то, что упоминалось в предыдущей части. А именно:

Как работает сертификат пфдо

В каждом регионе может быть свой список направлений, которые будут оплачивать сертификатами. Например, в Подмосковье это техническое, художественное, физкультурно-спортивное, военно-патриотическое, естественно-научное, культурологическое и социально-педагогическое.

У сертификата есть номинал — сумма, которую можно потратить на дополнительное образование в будущем учебном году. Ее пополняют каждое учебное полугодие. Номинал зависит от бюджета конкретного города. Например, в Балаково Саратовской области на сентябрь — декабрь 2021 года выделено 2191,6 Р.

Цену занятий в каждом кружке определяют чиновники. Она называется нормативной стоимостью образовательной услуги. Когда ребенок записывается в кружок, средства списывают с сертификата в счет оплаты. Кружков может быть несколько. Если денег на сертификате на все не хватит, родителям придется самим доплачивать остальную сумму.

У меня есть знакомые в Братске Иркутской области. С января по май 2020 года номинал сертификата у них был примерно 9800 Р. Английский обходился в 1250 Р в месяц, а индивидуальные занятия по игре на скрипке — в 1650 Р.

В Урае Ханты-Мансийского автономного округа с сентября по декабрь 2021 года номинал сертификата был 11 623,52 Р. Я не в курсе, сколько он составлял в 2021 году, но знаю стоимость кружков в это время. Если номинал остался прежним, то его хватило бы на краткий курс робототехники за 5030 Р, но не вышло бы оплатить им полный за 30 530 Р.

Как я активировала сертификат

Активировать сертификат нужно в образовательном учреждении своего города. Когда я нажала кнопку «Активировать сертификат», появился список детских центров, школ и гимназий. Там была и гимназия моего сына. Я собиралась отнести туда документы, но классный руководитель сказала, что можно подать их дистанционно.

Вот какие документы понадобились:

  1. Копия свидетельства о рождении сына.
  2. СНИЛС сына.
  3. Заявление о том, чтобы его включили в систему ПФДО.
  4. Согласие на обработку персональных данных.
Я нажала на кнопку «Активировать сертификат» и увидела список организаций, где можно это сделать

Как я оплатила кружок сертификатом

В августе 2020 года, перед началом учебного года, в навигаторе появился список всех кружков нашего города. Я задала в поиске муниципалитет, направленность обучения, возраст и возможность оплатить сертификатом. И быстро нашла в списке нужный кружок английского. Он уже прошел все проверки, и занятия можно было оплатить сертификатом.

Кнопка «Записаться» была на страницах только тех кружков, где остались свободные места

Я нажала на кнопку «Записаться», и заявка ушла в образовательный центр. При этом номинал сертификата я все еще не знала. Но надеялась, что денег хватит на первое полугодие. Чтобы узнать номинал, я запросила его отдельной заявкой на странице ребенка.

Первую заявку рассматривали 3 рабочих дня. В центре проверили, есть ли у моего сына сертификат, и пригласили меня прийти. Там я заполнила два заявления — на обучение ребенка по ПФДО и на определение сертификата. А еще подписала с центром договор на предоставление образовательных услуг.

К этому времени в муниципалитете рассмотрели и вторую заявку. В личном кабинете появилась сумма — 2800 Р. Из них 1091 Р уже зарезервировали для кружка по английскому.

Пока сын занимается, с сертификата каждый месяц списывают 60,65 Р. А если он бросит кружок, я напишу заявление об отчислении, и деньги больше не будут уходить центру.

Я отслеживала статус заявки в меню «История заявок». Сначала было написано «новая», а потом — «обучается»

Как я оформила сертификат пфдо на ребенка

Вот что я для этого сделала:

  1. Зарегистрировалась в навигаторе и подтвердила электронную почту. После этого получила доступ в личный кабинет родителя.
  2. В личном кабинете указала фамилию, имя, отчество и дату рождения ребенка.
  3. Отправила заявку на оформление сертификата. Через несколько дней увидела, что ему присвоен номер. Это означало, что сертификат у нас уже есть, но теперь его нужно активировать.
Чтобы зарегистрироваться, я указала свои фамилию, имя, отчество, телефон и электронную почту

Какие виды ssl-сертификатов есть и кто их выдаёт?

Есть специальные центры сертификации или как ещё называют — удостоверяющие центры (УЦ). Вы могли встречать названия таких УЦ: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert. Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.

Кроме того, есть проекты, CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такой сертификат выпускается на 3 месяца и далее требует продления. Однако во время их установки и дальнейшей работы есть ряд нюансов, которые стоит учитывать.

Например, при выборе сертификата Cloudflare учтите, что он выдаётся сразу на 50 сайтов. Тем самым сертификат будет защищать не только ваш домен, но и ещё несколько чужих, что несёт за собой риски безопасности. Также у Cloudflare нет печати доверия. Если говорить о недостатках LetsEncrypt, то сюда можно отнести поддержку далеко не всех браузеров, отсутствие гарантии сохранности данных сайта и печати доверия.

Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.

Итак, существует несколько типов SSL-сертификатов по источнику подписи и типу проверки данных.

  • Самоподписанные. Сертификат подписывается самим сервером. Его может сгенерировать любой пользователь самостоятельно. По сути, он бесполезен, потому что доверять ему будет только компьютер, на котором был сгенерирован такой сертификат. Большинство браузеров при посещении сайта с таким сертификатом выдаст предупреждение, что соединение не защищено.
  • Подписанные доверенным центром сертификации (валидные). Речь о тех самых авторитетных УЦ выше. Сертификат корректно отображается во всех браузерах. Данные сертификата проверены и подтверждены в сертифицирующем центре.
Про сертификаты:  Каталог материалов для гидроизоляции.

Так вот, разница между самоподписанными сертифкатами и, выданными УЦ, как раз и заключается в том, что браузер знаком с УЦ и доверяет ему, и при использовании такого сертификата ваш посетитель никогда не увидит огромное уведомление о небезопасности ресурса. Купить такой SSL-сертификат можно как напрямую в УЦ, так и через хостинг-провайдеров.

Подписанные доверенным центром сертификаты, в свою очередь, тоже подразделяются по типу проверки данных:

  • DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
  • OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
  • EV (Extended Validation) — это эффективное решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:

  • WildCard — защищает соединение с доменом и всеми его поддоменами.
  • SAN — защищает домены по списку, указанному при получении SSL-сертификата.

Каким сайтам нужен ssl?

SSL-сертификат необходимо подключать к сайтам, которые работают с финансами и персональными данными пользователей. Это интернет-магазины, банки, платёжные системы, социальные сети, почтовые сервисы и любые другие проекты. 

SSL-сертификат лучше ставить с самого начала, чтобы иметь более высокие позиции в поисковых системах. Если всё же изначально не использовался сертификат, то переехать можно быстро, а вот поисковики могут увидеть это только спустя пару месяцев. Тем более сегодня поставить SSL можно и бесплатно.

Какой ssl-сертификат выбрать?

Итак, мы определились с тем, что SSL-сертификаты различаются между собой не только брендом и ценой. Сегодняшний ассортимент предложений предусматривает широкий круг задач, для которых может потребоваться SSL.

Например, если вы просто хотите уберечь пользователей вашего веб-сайта от навязчивых предупреждений браузера о посещении непроверенного сайта, будет достаточно за несколько минут получить простой DV (Domain Validation) сертификат. Если же вы используете свою интернет-площадку для операций, требующих повышенного уровня безопасности данных компании и клиентов — стоит задуматься об EV (Extended Validation) сертификате.

Для выбора оптимального сертификата для определённого сайта нужно изучить, что предлагают центры сертификации, обращая внимание на следующие аспекты:

  • насколько SSL совместим с основными браузерами;
  • на каком уровне происходит защита данных пользователей;
  • насколько масштабная проверка организации проводится;
  • есть ли печать доверия.

С 1 сентября вступят в силу новые требования к форме квалифицированного сертификата электронной подписи

С 1 сентября вступят в силу новые требования к форме квалифицированного сертификата электронной подписи

С 1 сентября 2021 вступят в силу новые требования к форме квалифицированного сертификата ключа проверки электронной подписи. Соответствующие нормы содержит  приказ ФСБ от 29.01.2021 № 31.

Напомним, согласно статье 8 закона об электронной подписи (от 06.04.2021 № 63-ФЗ), требования к форме квалифицированного сертификата и правила подтверждения владения ключом электронной подписи утверждает ФСБ.

Действующие требования к форме квалифицированного сертификата ключа проверки электронной подписи утверждены приказом от 27.12.2021 № 795.

Теперь в эти требования будет включен, в том числе общий вид квалифицированного сертификата на бумажном носителе для владельца – физического лица, являющегося индивидуальным предпринимателем.

Также изменяется состав дополнительных атрибутов имени.

В частности, вместо атрибута INN (ИНН) появятся атрибуты INN (ИНН физического лица) и INNLE (ИНН юридического лица).

При этом значением атрибута INNLE станет строка, состоящая из 10 цифр и представляющая ИНН владельца квалифицированного сертификата – юридического лица. Объектный идентификатор типа атрибута INNLE имеет вид 1.2.643.100.4. Тип атрибута INNLE описывается следующим образом: INNLE ::= NUMERIC STRING SIZE 10.

Одновременно вводится новый атрибут OGRNIP (ОГРНИП). Значением атрибута OGRNIP станет строка, состоящая из 15 цифр и представляющая ОГРНИП владельца квалифицированного сертификата – физического лица, являющегося индивидуальным предпринимателем. Объектный идентификатор типа атрибута OGRNIP имеет вид 1.2.643.100.5. Тип атрибута OGRNIP описывается следующим образом: OGRNIP ::= NUMERIC STRING SIZE 15.

Кроме того, вводится некритичное дополнение identificationKind типа IdentificationKind, имеющего следующее представление IdentificationKind ::= INTEGER { personal(O), remote_cert(l), remote_passport(2), remote_system(3) }.

Например, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии, дополнение identificationKind будет иметь значение 0.

Новые нормы вступят в силу с 1 сентября 2021 года.

В решениях системы «1С:Предприятие 8» необходимые изменения будут поддержаны с выходом очередных релизов. О сроках см. в «Мониторинге законодательства».

Самоподписные ssl-сертификаты

Получение SSL- сертификата, разумеется, стоит денег, при этом действует он ограниченное количество времени. Поэтому многие используют так называемые самоподписные SSL-сертификаты. Сгенерировать их можно с помощью панели управления хостингом прямо на веб-сервере, причём сделать это можно совершенно бесплатно. Однако, далеко не всегда целесообразно использовать самоподписной сертификат.

Любой браузер проверяет, выдан ли сертификат известным ему центром сертификации, и если нет (а это и есть случай самоподписного сертификата), то выдаёт на него ошибку и выводит на экран большую табличку с надписью “Сертификат безопасности сайта не является доверенным!”.

Extended validation

SSL-сертификаты с расширенным уровнем проверки являются самыми надёжными, но и самыми дорогими. Хорошо подойдут для крупной и серьезной организации, для которой важны престиж и безопасность.

Сертификат уровня EV:

  • предлагает самый высокий уровень защиты и наивысший уровень доверия среди других SSL-сертификатов
  • выдаётся только юридическим лицам;
  • для регистрации необходимы следующие дополнительные документы: свидетельство о постановке на учёт в налоговом органе, уведомление о регистрации юридического лица, извещение о регистрации в качестве страхователя и другие;
  • поддерживает кириллические домены;
  • выпускается в течение 3-10 дней.
  • обойдётся примерно от 10 000 до 100 000 рублей в год.

Также после документальной проверки провайдер может позвонить по официально заявленному телефону организации, совершив тем самым дополнительный этап проверки. Зато после прохождения всего этого документооборота ваш сайт будет обладать самым высоким уровнем доверия, о чём будет свидетельствовать зелёная панелька с названием компании в адресной строке.

По ней пользователи и смогут определить высокий бизнес статус компании, а при нажатии на панель узнать полные сведения об организации. Сертификаты этого типа служат отличной защитой от фишинга: из-за строгих требований верификации, злоумышленники не смогут пройти все этапы проверки, в результате чего “липовые” EV-сертификаты встречаются в крайне редких случаях.

Заключение

На этом завершается вторая часть статьи. Мы научились настраивать беспроводную сеть для работы в режиме чистого WPA с аутентификацией клиентов через EAP-PEAP, с хранением базы аккаунтов во внешней базе (в данном случае — в текстовом файле). Если не хочется связываться с собственным центром сертификации, то информации, приведенной выше, более чем достаточно для построения защищенной беспроводной сети.

Заключение.

На этой статье цикл планировалось завершить, но по мере ее написания становилось ясно, что материал выходит слишком большим, поэтому последнюю часть пришлось оформить отдельной статьей.

В последней части речь пойдет о проблеме “первичности курицы и яйца”- использовании беспроводных клиентов в доменах Windows.

Разберем вкратце эту ситуацию. Клиентский сертификат хранится в профиле пользователя. Профиль может лежать как на сервере (перемещаемые профили), так и на самой рабочей станции (локальные профили).

Для процесса аутентификации (подключения к беспроводной сети), нам необходим клиентский сертификат, лежащий в профиле. Для доступа к профилю, нам как минимум надо аутентифицироваться и на домен-контроллере. То есть, с одной стороны, для подключения к беспроводной сети нам нужно аутентифицироваться на домен-контроллере. А с другой — для аутентификации на домен-контроллере мы уже должны быть подключены к беспроводной сети. Замкнутый круг? 🙂

Второй момент. Выдали сотруднику клиентский сертификат на его ноутбук. Работает он в беспроводной сети, горя не знает. Потом сотрудник уволился. Как запретить ему доступ в сеть компании?

Эти два аспекта и будут рассмотрены в заключительной, пятой части статьи.

Оцените статью
Мой сертификат
Добавить комментарий