Которотко о том, как работает VipNet, для чайников

Установочные файлы расположены по следующим путям:

• УКЦ: ПК Vipnet УЦ/Основные/admin/kca/setup.exe
• ЦУС сервер: ПК Vipnet УЦ/Основные/admin/ncc/server/setup.exe
• ЦУС клиент: ПК Vipnet УЦ/Основные/admin/ncc/client/setup.exe
• Клиент ViPNet: ViPNet Client 4/client.exe
• Менеджер политик: ViPNet Policy Manager 4/setup.exe
• Координатор: ViPNet Coordinator 4 for Windows/setup.exe

ВМКИ:

· Net1-AdminCA (ЦО) — Админ ViPNet (ЦУС сервер, УКЦ, Клиент, Информирование)

· Net1-OperCA (ЦО) — Оператор УЦ (Клиент, Регистрация, Публикация)

· Net1-Coord (ЦО) — Основной координатор

· Net2-Coord (Филиал) — Дочерний координатор

· Net2-Client (Филиал) — Клиент филиала

СЕТЬ:
Для Net1-AdminCA и Net1-CoordCA подключите 2 адаптера (Сеть 1 + Интернет).

• Сеть: 192.168.1.0/24
• Тип подключения: Host-only
• Назначение: используется для связи между узлами главного офиса (Net1-AdminCA, Net1-Coord, Net1-OperCA)

Пример IP-адресов:

Вирт. машина

IP-адрес

Net1-AdminCA

192.168.1.10

Net1-Coord

192.168.1.11

Net1-OperCA

192.168.1.12

2. СЕТЬ 1 ФИЛИАЛ (Сеть 1 Филиал)

• Сеть: 10.10.10.128/26
  (это подсеть на 64 адреса: от 10.10.10.129 до 10.10.10.190)
• Тип подключения: Host-only
• Назначение: для связи внутри филиала (узлы Net2-Coord и Net2-Client)

Пример IP-адресов:

Вирт. машина

IP-адрес

Net2-Coord

10.10.10.130

Net2-Client

10.10.10.131

🔹 3. «ИНТЕРНЕТ» (Виртуальный)

• Сеть: 203.73.66.0/24
• Тип подключения:
• NAT — если нужен выход в реальный интернет
• или Bridge — если сеть подключается к реальной сети
• Назначение: для связи всех координаторов между собой (межсерверные каналы)

Пример IP-адресов:

Вирт. машина

IP-адрес

Net1-Coord

203.73.66.10

Net2-Coord

203.73.66.11

📝 Файл VPN.txt — шаблон

Создайте текстовый файл VPN.txt на рабочем столе и внесите в него следующую информацию:

==============================

IP-АДРЕСА ВИРТУАЛЬНЫХ МАШИН

==============================

СЕТЬ 1 ЦО (192.168.1.0/24):

Net1-AdminCA - 192.168.1.10

Net1-Coord - 192.168.1.11

Net1-OperCA - 192.168.1.12

СЕТЬ 1 Филиал (10.10.10.128/26):

Net2-Coord - 10.10.10.130

Net2-Client - 10.10.10.131

СЕТЬ "Интернет" (203.73.66.0/24):

Net1-Coord - 203.73.66.10

Net2-Coord - 203.73.66.11

==============================

УЧЕТНЫЕ ЗАПИСИ И ПАРОЛИ

==============================

Пользователи (все): xxXX4455

Администраторы (все): 5544XXxx

SQL-пользователь (KcaUser): Number1

ViPNet Администратор УКЦ: Владимир

Пароль ViPNet администратора: 5544XXxx

==============================

ПРИМЕЧАНИЯ

==============================

- Все пароли зафиксированы по шаблону задания.

- Пароли изменять нельзя без фиксации в этом файле.

- В случае добавления новых IP, логинов или изменений — ОБЯЗАТЕЛЬНО внести в файл VPN.txt.

🔒 Рекомендации:

• Убедитесь, что все ВМ могут "пинговать" друг друга в пределах своей сети.
• Назначайте IP вручную (статически), чтобы избежать конфликтов.
• Не используйте DHCP, чтобы адреса не "сбились".

Установка ПО:
На Net1-AdminCA:

1. Установите SQL-сервер (автоматически ставится с ЦУС сервером).
2. Установите ЦУС сервер → ncc/server/setup.exe
3. Установите ЦУС клиент → ncc/client/setup.exe
4. Установите УКЦ → kca/setup.exe
5. Установите ViPNet Client → client.exe
6. Установите Сервис информирования, если отдельный установщик.

На Net1-OpenCA:

1. Установите ViPNet Client
2. Установите Сервис публикации - Доп_компоненты\ViPNet TSP-OCSP Service\x64\setup.exe
3. Установите Центр регистрации - Доп_компоненты\ ViPNet CA WebService\
   Сначала обычный CA, потом CA Client

НаNet1-Coord иNet2-Coord:

• Установите ViPNet Coordinator → Coordinator 4 for Windows/setup.exe

На Net2-Client:

• Установите ViPNet Client

На Net1-Open:

1. Установите ЦУС клиент → ncc/client/setup.exe

Установка SQL Server на Net1-Open

🔹 2.1 Установка SQL Server:

1. Запустите виртуальную машину Net1-Open.
2. Подключите ISO-образ SQL Server (или скопируйте установочный дистрибутив).
3. Запустите setup.exe от имени администратора.
4. В мастере установки выберите:

• Тип: «Новая установка SQL Server»
• Компоненты:
• ☑ Database Engine Services (обязательно)
• ☑ SQL Server Management Studio (для администрирования)
• Режим аутентификации: Смешанный (Windows + SQL Server)
• Учетная запись sa:
  → Задайте пароль, например: P@ssw0rd123

1. Завершите установку и перезагрузите систему при необходимости.

🔹 2.2 Проверка подключения:

1. Запустите SQL Server Management Studio (SSMS).
2. Подключитесь к серверу:

• Сервер: localhost или .\SQLEXPRESS (если такая версия)
• Аутентификация: SQL Server Authentication
• Логин: sa
• Пароль: P@ssw0rd123

1. Убедитесь, что подключение успешно и СУБД работает.

Инициализация и настройка

Настройка структуры сети в ЦУС

🟡 Шаг 1. Запуск ViPNet Центра управления сетью

• Пуск → Все программы → ViPNet → ViPNet Administrator → Центр управления сетью

🟡 Шаг 2. Вход

• Имя пользователя: Administrator
• Пароль: Administrator
• После первого входа смените пароль на: 5544XXxx

🟡 Шаг 3. Загрузка лицензии

• В появившемся окне укажите путь к лицензии (*.itcslic или infotecs.reg)
• Нажмите Продолжить
• Выберите: «Настроить структуру защищённой сети самостоятельно»

Первичная инициализация УКЦ (Net1-AdminCA)

🟢 Шаг 1. Запуск программы УКЦ

• Откройте ViPNet Удостоверяющий и ключевой центр (УКЦ):
• Пуск → Все программы → ViPNet → ViPNet Administrator → Удостоверяющий и ключевой центр

🟢 Шаг 2. Начало первичной инициализации

• При первом запуске появится окно «Начало работы»

В параметрах установки базы данных:

• Сервер: IP-адрес Net1-Open, например 172.16.224.10
• Логин: sa
• Пароль: P@ssw0rd123

🟢 Шаг 3. Мастер инициализации

1. Страница 1: нажмите Далее
2. Страница "Подключение к базе данных":

• Сервер: .\WINNCCSQL
• Имя базы: ViPNetAdministrator
• Нажмите Далее

1. Тип аутентификации:

• Выберите: по имени и паролю
• Логин: KcaUser
• Пароль: Number1
• Нажмите Далее

🟢 Шаг 4. Создание администратора УКЦ

• Имя администратора: Владимир
• Нажмите Далее

🟢 Шаг 5. Сертификат администратора

• Введите данные администратора:
• Имя: Владимир
• Email: vladimir@demo.lab
• Город: Адлер
• Область: Краснодарский край
• Организация: ООО Легион
• Подразделение: ИТ-отдел
• Индекс: 354340
• Нажмите Далее

🟢 Шаг 6. Параметры сертификата

• Оставьте параметры по умолчанию
• Срок действия: 192 месяца
• Нажмите Далее

🟢 Шаг 7. Хранение ключей

• Выберите: «В файле»
• Нажмите Далее

🟢 Шаг 8. Настройка паролей

• Тип пароля: Собственный
• Способ выдачи: сохранять в XPS-файл
• Пароль администратора УКЦ: 5544XXxx
• Нажмите Далее

🟢 Шаг 9. Завершение

• Проверьте все введённые данные
• Нажмите Далее, запустится "электронная рулетка"
• После завершения нажмите Закрыть

Продолжение настройки ЦУС

🟡 Шаг 4. Создание координаторов

Координатор: Base_Coordinator (Net1-Coord)

• Раздел Координаторы → нажмите Создать
• Имя: Base_Coordinator
• Оставьте галочку «Создать одноименного пользователя»
• Нажмите Создать

Координатор: Sub_Coordinator (Net2-Coord)

• Создайте аналогично с именем Sub_Coordinator
  
  НА ОБА ДОБАВИТЬ COORDINATOR100, FAILOVER100

🟡 Шаг 5. Создание клиентов

Administrator_VPN

• Раздел Клиенты → нажмите Создать
• Имя: Administrator_VPN
• Координатор: Base_Coordinator
• Снимите галочку «Создать одноименного пользователя»
• Нажмите Создать

Operator_CR

• Создайте аналогично на Base_Coordinator

Branch_Client

• Создайте аналогично на Sub_Coordinator

🟡 Шаг 6. Создание пользователей

Перейдите в раздел Пользователи, создайте:

Имя пользователя

Сетевой узел

Administrator_VPN

Administrator_VPN

Operator_CR

Operator_CR

Branch_Client

Branch_Client

🟡 Шаг 7. Связи между пользователями

• В разделе Пользователи → двойной щелчок по пользователю
• Вкладка Связи с пользователями → нажмите Добавить
• Установите связи согласно таблице 2 из задания (звёздочки = связь)

📦 ЭТАП 3. Справочники и дистрибутивы ключей

🔵 Шаг 1. Сформируйте справочники

• Меню: Моя сеть → Создать справочники
• Нажмите: Создать для всего списка

🔵 Шаг 2. Проверьте настройки в УКЦ

• Запустите УКЦ
• Перейдите в Сервис → Настройка
• Вкладка Пароли: тип — Собственный
• Вкладка Сертификаты:
• Уберите флажки:
• «Редактировать поля сертификатов при издании»
• «Создавать ключи электронной подписи»

🔵 Шаг 3. Отключите создание ЭП у пользователей

• УКЦ → раздел Пользователи
• ПКМ по каждому пользователю → Ключи пользователя → Создавать ключи ЭП → снять галочку

🔵 Шаг 4. Выдача дистрибутивов

1. УКЦ → Ключевой центр → Моя сеть → Сетевые узлы
2. Для каждого узла:

• Задайте пароль администратора: 5544XXxx
• Выделите все узлы → ПКМ → Выдать новый дистрибутив ключей

1. Вводите пароли пользователей: xxXX4455
2. Укажите путь для сохранения (или запомните стандартный)
3. Дождитесь завершения

💾 Важно: Убедитесь, что дистрибутивы успешно созданы и сохранены. Папку с ними можно перенести на другие ВМ или виртуальный образ для установки ViPNet ПО.

ОБМЕН СООБЩЕНИЯМИ В ViPNet

🛠 Необходимые условия перед началом:

1. Оба узла (Administrator_VPN и Branch_Client) должны быть инициализированы.
2. Установлены дистрибутивы ключей (пользователь и узел активированы).
3. Включено и работает ПО ViPNet Client на обоих ПК.
4. Проверена доступность между узлами (пинг и связь внутри ViPNet).

📨 Часть 1. Отправка делового письма от Administrator_VPN → Branch_Client

📌 На машинеAdministrator_VPN (например, Net1-AdminCA)

1. Убедитесь, что ViPNet Client запущен и иконка в трее зелёная (установлена защищённая связь).
2. Откройте программу ViPNet Business Mail:

• Пуск → Все программы → ViPNet → Business Mail

1. Создайте новое письмо:

• Нажмите «Создать сообщение»
• Получатель: Branch_Client
• Тема: «Тестовое письмо»
• Текст сообщения: «Здравствуйте, это тестовое письмо от Administrator_VPN»

1. Нажмите Отправить

• Убедитесь, что письмо ушло без ошибок
• Сделайте скриншот окна отправки и журнала отправленных сообщений

📌 На машинеBranch_Client (например, Net2-Client)

1. Запустите Business Mail
2. Перейдите во вкладку Входящие
3. Убедитесь, что сообщение от Administrator_VPN пришло
4. Откройте письмо, сделайте скриншот содержимого письма

💬 Часть 2. Отправка текстового сообщения от Branch_Client → Administrator_VPN

📌 На машине Branch_Client

1. Запустите программу ViPNet Connect (или ViPNet Messaging):

• Пуск → Все программы → ViPNet → ViPNet Messaging (в зависимости от версии ПО)

1. Найдите пользователя Administrator_VPN в списке контактов
2. Дважды щёлкните на имени → откроется окно чата
3. Введите сообщение, например:
   «Здравствуйте, это текстовое сообщение от Branch_Client»
4. Нажмите Отправить
5. Сделайте скриншот окна чата

📌 На машине Administrator_VPN

1. Запустите ViPNet Messaging
2. Убедитесь, что сообщение от Branch_Client получено
3. Сделайте скриншот окна с полученным сообщением

📝 Что обязательно сохранить в отчёт:

• Скриншот отправки письма с Administrator_VPN
• Скриншот полученного письма на Branch_Client
• Скриншот отправленного текста с Branch_Client
• Скриншот полученного текста на Administrator_VPN

⚠️ Важно: Все скриншоты должны быть читаемыми, с видимыми именами пользователей и временем.

Перевод УКЦ в аккредитованный режим

Запуск и переход:

1. Откройте программу ViPNet Удостоверяющий и ключевой центр на машине Net1-AdminCA.
2. Перейдите в меню Сервис → Настройка…
3. В левой панели выберите раздел Аккредитация.
4. Поставьте флажок «Перевести УКЦ в аккредитованный режим».

Заполнение данных:

1. Средства УЦ:

• Указать, какие программные продукты используются:
• Средство ЭП издателя: ViPNet CSP
• Средства удостоверяющего центра: ПК УЦ 4

1. Сертификаты:

• Сертификат ЭП издателя: выберите DemoC.lab.crt
• Сертификат средства УЦ: выберите DemoC.lab.p7b
  (Оба файла должны быть заранее импортированы на ПК или доступны в сети)

1. Класс защищённости: укажите в соответствии с заданием (например, "КС2").
2. Хранение контейнеров ключей: выберите «В файле на диске»
3. Нажмите Применить → УКЦ будет переведён в аккредитованный режим.

2. Выпуск квалифицированных сертификатов

2.1 Корневой квалифицированный сертификат

1. Перейдите в раздел Ключевой центр → Мои сертификаты.
2. Нажмите Создать → выберите Квалифицированный сертификат.
3. Укажите:

• Назначение: Корневой квалифицированный сертификат
• Срок действия: максимальный

1. Сформируйте ключ → подпишите УКЦ
2. Назначьте сертификат текущим

2.2 Квалифицированные ЭП для пользователей

Для каждого пользователя (Administrator_VPN и Branch_Client):

1. Перейдите: Ключевой центр → Пользователи
2. ПКМ по пользователю → Выдать квалифицированный сертификат
3. Заполните поля:

• Имя: имя пользователя
• Email: <username>@demo.lab
• Город: Адлер
• Область: Краснодарский край
• Организация: ООО Легион
• Подразделение: ИТ-отдел
• Индекс: 354340

1. Сформируйте ключ:

• Хранение: в файле
• Пароль: xxXX4455

1. Сохраните ключи:

• Administrator_VPN: с дистрибутивом
• Branch_Client: сохранить ключи в файл

3. Настройка автоматической публикации сертификатов (FTP)

Шаги:

1. В Настройках УКЦ → раздел Публикация
2. Выберите метод: FTP
3. Укажите:

• FTP-сервер: ftp://<адрес вашего сервера> (можно использовать локальный, например через FileZilla Server)
• Логин/пароль
• Путь загрузки: /certs/ или аналогичный

1. Установите интервал публикации:

• 1 раз в день

1. Примените настройки
   При тестировании можно использовать виртуальный FTP-сервер на той же машине для упрощения.

4. Сервис информирования

Настройка уведомлений:

1. Откройте Сервис информирования (на Net1-AdminCA)
2. Перейдите: Сервис → Настройка
3. Раздел Уведомления:

• Тип: локальное сохранение файлов .eml
• Папка: на рабочем столе, например: C:\Users\Administrator\Desktop\Notifications

Формирование отчёта:

1. В настройках сервиса → вкладка Отчёты
2. Укажите папку сохранения отчётов: например, C:\Users\Administrator\Desktop\Reports
3. Нажмите Создать отчёт за сутки

• Проверьте, что отчёт создан и сохранён
• Сделайте скриншот содержимого отчёта

Компрометация ключей пользователя Branch_Client

На машине с УКЦ (Net1-AdminCA):

1. Откройте ViPNet Удостоверяющий и ключевой центр.
2. Перейдите в раздел Ключевой центр → Моя сеть → Пользователи.
3. Найдите пользователя Branch_Client.
4. ПКМ по пользователю → Ключи пользователя → Компрометация ключа.
5. Укажите причину компрометации, например:
   «Подозрение на утечку ключа. Замена по регламенту»
6. Подтвердите операцию.

Что произойдёт:

• Ключ будет признан недействительным.
• Удостоверяющий центр добавит его в список аннулированных сертификатов (CRL).

2. Смена ключей (перевыпуск) и рассылка обновлений

На том же окне пользователя (Branch_Client):

1. ПКМ → Выдать новые ключи
2. Укажите:

• Хранение: в файле
• Пароль: xxXX4455 (тот же или новый, отразите в VPN.txt)

1. Сформируйте новый дистрибутив ключей
2. Замените старый дистрибутив на машине Net2-Client (где установлен Branch_Client):

• Удалите старый
• Установите новый, используя новый dst-файл

Обновление данных в сети:

В ЦУС (ViPNet Центр управления сетью):

1. Перейдите в Моя сеть
2. Меню: Создать справочники
3. Создайте справочники заново — это обновит структуру сети

В УКЦ:

1. Перейдите в раздел Моя сеть → Сетевые узлы
2. ПКМ по узлу Branch_Client → Выдать новый дистрибутив
3. Задайте пароль администратора: 5544XXxx
4. Отправьте обновлённый дистрибутив на машину клиента

3. Проверка восстановления — отправка сообщения

На машине Net2-Client (Branch_Client):

1. Убедитесь, что:

• Новый ключ установлен
• ViPNet Client работает (зелёная иконка)
• Узел активен

1. Запустите ViPNet Messaging
2. Найдите пользователя Administrator_VPN
3. Отправьте сообщение, например:
   «Проверка связи после смены ключей. Branch_Client»

На машине Administrator_VPN:

1. Убедитесь, что сообщение получено
2. Сделайте скриншот входящего сообщения

Что включить в отчёт:

Этап

Что зафиксировать

Компрометация

Скриншот окна с пометкой "Ключ скомпрометирован"

Выдача нового ключа

Скриншот процесса генерации нового дистрибутива

Обновление справочников

Скриншот окна «Создание справочников»

Отправка сообщения

Скриншот окна чата с отправленным и полученным сообщением

Требования к отчету

• Скриншоты всех ключевых этапов: установка, инициализация, настройка, отправка сообщений, компрометация.
• Файл VPN.txt с IP, логинами и паролями.
• Скриншот папки с установленными файлами.
• Все материалы сохранить на рабочем столе.