Cài đặt Enterprise root CA trên máy DC-CA.technet.com.vn:Trên máy DC-CA.technet.com.vn, mở RUN và gõ appwiz.cpl: Trong cửa sổ Add or Remove Programs, nhấn nút Add/Remove Windows Compon
Trang 1Certificate Authority Certificate Authority là một tổ chức chuyên làm việc chứng thực cho người dùng, cũng như
máy tính, hay các dịch vụ CA sẽ cung cấp các chứng chỉ đã được chứng nhận bởi nó cho các đối
tượng đi xin Các chứng chỉ số (Certificate) sẽ được dùng vào các mục đích khác nhau, ví dụ như
mã hóa dữ liệu, mã hóa thư điện tử, mã hóa website…
I Xây dựng Enterprise RootCA:
DC-CA.technet.com.vn PC01.technet.com.vn PC02.technet.com.vn
IPAddress: 192.168.1.1/24
PreferredDNS:192.168.1.1
IPAddress: 192.168.1.10/24 PreferredDNS:192.168.1.1
IPAddress: 192.168.1.11/24 PreferredDNS:192.168.1.1
Yêu cầu: -Máy DC-CA.technet.com.vn đã nâng lên thành Domain Controller với domain: technet.com.vn
-Máy PC01.technet.com.vn và máy PC02.technet.com.vn đã join domain
Trang 21 Cài đặt Enterprise root CA trên máy DC-CA.technet.com.vn:
Trên máy DC-CA.technet.com.vn, mở RUN và gõ appwiz.cpl:
Trong cửa sổ Add or Remove Programs, nhấn nút Add/Remove Windows
Components:
Bước 1: Cài đặt dịch vụ Internet Information Service (IIS), để có thể xin Certificate từ
CA server thông qua giao diện web, chúng ta phải cài đặt dịch vụ IIS đồng thời (hoặc
truớc) khi cài dịch vụ Certificate Authority.Ttrong mục cửa sổ Windows Components Wizard, chọn thành phần Application Server, nhấn nút Details…
Trang 3Cửa sổ Application Server xuất hiện, chọn dịch vụ IIS bằng cách tích vào option Internet Information Services(IIS), tự động hệ thống sẽ cài Enable network COM+ access, tiếp đó nhấn OK
Trang 4Bước 2: Cài đặt dịch vụ Certificate Authority:
Vẫn trong hộp thoại Windows Components Wizard, chọn dịch vụ Certificate
Authority, khi nhận được cảnh báo Microsoft Certificate Servies, chọn yes để đồng ý:
Nhấn Next để tiếp tục:
Trong bước khai báo kiểu CA server, hãy chọn Enterprise roor CA:
Trang 5Trong bước khai báo thông tin về tổ chức CA, hãy điền trong ô Common name for this CA: technet:
Trang 6Trong bước khai báo dữ liệu cho dịch vụ CA, để mặc định và nhấn Next:
Trang 7Trong khi tiến trình cài dịch vụ IIS và CA đang chạy, khi xuất hiện hộp thoại Microsoft
Certificate Services yêu cầu bạn cài thêm dịch vụ ASP trong IIS, hãy nhấn yes để đồng
ý:
Nhấn Finish để kết thúc quá trình cài đặt:
Sau khi cài xong dịch vụ Internet Information Services và dịch vụ Certificate
Authority, yêu cầu khởi động lại máy DC-CA.technet.com.vn và các máy trạm
PC01.technet.com.vn và PC02.technet.com.vn
2 Giới thiệu dịch vụ Certificate Authority:
Để mở dịch vụ Certificate Authority: vào Start/All Programs/Administrative
Tools/Certificate Authority:
Trang 8Trong mục Certificate Templates lưu trữ những Chứng chỉ số mẫu để cấp cho các đối
tượng, có thể là User, có thể là Computer…:
Trang 9Trong mục Failed Requests lữu trữ những Chứng chỉ số bị lỗi trong quá trình xin:
Trong mục Pending Requests: lưu trữ những chứng chỉ số đang chờ Administrator
đồng ý phát hành:
Trang 10Trong mục Issued Certificates: lưu trữ những chứng chỉ số đã phát hành:
Và cuối cùng, trong mục Revoked Certificates: lưu trữ những chứng chỉ đã bị thu hồi:
Trang 113 Xin chứng chỉ số cho các đối tượng:
Sẽ có những đối tượng có thể xin Chứng chỉ số là User, Computer hay một dịch vụ (services) nào đó, hoặc cũng có thể là một phần mềm cần được chứng thực
Để xin Certificate từ CA server ta sẽ có những cách xin sau:
a Xin Certificate qua Webcert:
Để xin certificate qua Website, trên máy DC-CA.technet.com.vn mở trình duyệt web
Internet Explorer(IE) và gõ vào http://192.168.1.1/certsrv :
Trang 12Khi được hệ thống yêu cầu nhập tài khoản để xin chứng thực, hãy điền Administrator
và mật khẩu (bước này tôi sẽ xin chứng chỉ số cho Administrator dùng để mã hóa
file):
Trong trang Welcome, hãy nhấn vào link Request a certificate để xin một chứng chỉ
số:
Trang 13Tiếp đến, trong trang Request a Certificate, nhấn vào link advanced certificate
request:
Trang 14Trong trang Advanced Certificate Request, chọn link Create and submit a request
to this CA:
Trong trang Advanced Certificate Request, trong ô Certificate Template: chọn đối
loại chứng chỉ để mã hóa File là Basic EFS:
Trang 15Tiếp đến kéo xuống cuối trang và nhấn nút Submit> , khi hệ thống xuất hiện hộp
thoại cảnh báo: Potelial Scripting Violation, chọn Yes :
Trong trang Certificate Issued, chọn Install this certificate để cài đặt chứng chỉ số
cho tài khoản Administrator trên máy DC-CA.technte.com.vn:
Trang 16Trong khi cài đặt Certificate cho Administrator, hệ thống sẽ cảnh bảo bạn một lần nữa
về việc cài đặt Certificate, hãy chọn Yes:
Và chứng chỉ số đã cài đặt thành công cho Administrator:
Trang 17Để kiểm chứng rằng chứng chỉ số này đã được cài đặt cho Administrator hay chưa,
trên máy DC-CA.technet.com.vn, mở RUN và gõ mmc để mở công cụ Microsoft Management Console:
Cửa sổ Console sẽ xuất hiện, nhấn chuột vào nút File và chọn Add/Remove in… để thêm đối tượng Certificate vào trong giao diện quản lý MMC:
Trang 18Snap-Trong cửa sổ Add/Remove Snap-in, nhấn nút Add…
Trang 19Trong cửa sổ Add Standalone Snap-in, chọn đối tượng Certificate và nhấn Add:
Trang 20Trong cửa sổ Certificate snap-in chọn đối tượng để quản lý là My user account và nhấn Finish:
Trang 21Đóng các cửa sổ lại sau khi đã add snap-in Certificate, trong giao diện mmc, kích vào
dấu “+” để mở rộng đối tượng Certificate, Trong mục Personal/Certificate ta đã thấy
1 chứng chỉ số phát hành cho Administrator, phát hành bởi tổ chức technet, và
thuộc loại chứng chỉ để mã hóa file Basic EFS:
b Xin Certificate qua công cụ MMC (Microsoft Management Console):
Trên máy DC-CA.technet.com.vn, đăng nhập vào máy với tài khoản Administrator
của domain Lưu ý, khi xin chứng chỉ số cho tài khoản người dùng nào thì người
dùng đó phải đăng nhập trên máy tính đang thực hiện thao tác xin chứng chỉ số qua
MMC
Tiếp đến mở ra công cụ MMC và Add đối tượng là Certificate vào.( như các bước đã
làm ở cách a Xin Certificate qua webcert):
Tiếp đến, chuột phải vào đối tượng Personal/All Tasks/Request New Certificate…:
Trang 22Trong cửa sổ Welcome chọn Next:
Trong bước khai báo loai chứng chỉ Certificate Types, chọn Basic EFS và nhấn Next:
Trang 23Điền thông tin về nguời xin chứng chỉ và nhấn Next:
Nhấn Finish để kết thúc:
Trang 24Và Certificate sẽ tự động được cài đặt vào cho tài khoản Administrator:
Và đã có thêm một chứng chỉ mới dành cho Administrator với mục đích mã hóa file
Basic EFS:
Trang 254 Export và Import Certificate
Export Certificate:
Bởi mặc định, dữ liệu về chứng chỉ số( Certificate) của các đối tượng User sẽ nằm
trong Profiles của user, vậy nếu Profiles của user đó bị xóa thì user đó cũng sẽ mất
Trang 26Chọn Yes, export th private key:
Trang 27Định dạng Key khi xuất ra, để mặc định và nhấn Next: (Sẽ xuất ra file có định dạng là
.pfx):
Đặt mật khẩu cho Certificate này khi được yêu cầu, mật khẩu này sẽ dùng khi User Import Certificate:
Trang 28Chọn nơi sẽ xuất Certificate này ra: C:\EFSAdmin.pfx rồi nhấn Next:
Nhấn Finish để kết thúc:
Trang 29Và trong ổ C:\ đã thấy có file EFSAdmin.pfx Đây chính là PrivateKey và có thể import lại
Import Certificate:
Trang 30Để Import lại Certificate đã xuất ra, mở MMC, add vào đối tượng Certificate Snap-in
Kích chuột phải vào Personal chọn All Tasks/Import:
Khi được hỏi đường dẫn của key muốn import, kích vào nút Browse, trong cửa sổ Open, trong ô Files of type chọn All Files (*.*):
Trang 31Tiếp đến chọn file đã xuất ra ở bước trên là EFSAdmin.pfx và nhấn vào nút Open:
Trang 32Điền mật khẩu khi được yêu cầu:
Trang 33Finish để kết thúc quá trình Import Certificafe:
5 Backup And Restore CA:
a Backup CA:
Để Backup CA phòng trường hợp CA bị lỗi, ta tạo ra một thư mục là CABackup trên
ổ C:\CABackup:
Trang 34Tiếp đến, mở dịch vụ CA, nhấp phải chuột vào tên máy chủ CA-Server chọn All
Tasks/Back up CA…:
Trong cửa sổ Welcome nhấn Next:
Trang 35Trong bước khai báo các đối tượng để Backup, tích vào ô Private key and CA certificate và ô Certificate database and certificate database log Tiếp đến trong ô Back up to this location: chọn C:\CABackup rồi nhấn Next:
Trang 36Khai báo password dùng cho việc khôi phục:
Và nhấn Finish để kết thúc:
Trang 37b Restore CA:
Để Restore CA, làm tương tự thao tác Backup Chuột phải vào máy chủ CA chọn All Task/Restore CA…:
Hệ thống yêu cầu stop dịch vụ CA để thực hiện quá trình Restore, chọn Yes:
Chọn đối tượng để Restore, tích vào ô Private key and CA certificate và ô
Certificate database and certificate database log, trong ô Restore from this location điền C:\CABackup rồi nhấn Next:
Trang 38Khai báo password đã đặt trong quá trình Backup:
Nhấn Finish để quá trình Restore tiến hành thực hiện:
Trang 39Khi Restore hoàn thành, hệ thống sẽ yêu cầu bạn Start dịch vụ CA, hãy chọn Yes:
II Cấu hình mã hóa thư điện tử :
Vẫn sử dụng mô hình Lab trên
Bước 1: Cài dịch vụ Mail MDaemon trên máy DC-CA.technet.com.vn làm mail server Các
bước cài đặt xem lại bài DNS Yêu cầu cần lưu ý khi cài đặt:
DNS: yêu cầu có các bản ghi Alias(CNAME) hoặc Host(A) để phân giải ra tên
pop.technet.com.vn và smtp.technet.com.vn Trong bài lab này, do không cần gửi và nhận
thư điện tử ra domain khác nên không cần có bản ghi Mail Exchanger (MX):
Trang 40Cài đặt Mail MDaemon: khai báo thông tin cá nhân của người dùng:
Khai báo tên domain: technet.com.vn:
Trang 41Khai báo địa chỉ IP của DNS server: 192.168.1.1:
Bước 2: Tạo hòm thư cho các tài khoản người dùng u1@technet.com.vn và
u2@technet.com.vn
Trang 42-Mở dịch vụ Active Directory User and Computer trên máy DC-CA.technet.com.vn, tạo 1
OU mới có tên là Technet, trong OU Technet, tạo ra các user u1 và u2 đều với mật khẩu 12345a@:
Kích chuột phải vào user u1 chọn Properties, trong cửa sổ u1 Properties qua tab General, điền địa chi hòm thư của u1 vào trong trường E-mail: u1@technet.com.vn, sau đó nhấn
OK:
Trang 43Tương tự với tài khoản người dùng u2:
Trang 44- Qua dịch vụ MDaemon, Import các user u1 và u2 vào( xem lại bài DNS):
Chọn domain:
Trang 45Chọn user u1, u2 ,rồi nhấn vào nút >> Chọn option Authenticate password dynamically using SAM/AD và nhấn Import Selected Accounts:
Bước 3: Xin chứng chỉ số cho u1 và u2 để mã hóa mail:
- Trên máy PC01.technet.com.vn logon vào domain technet với tài khoản u1:
Trang 46Mở Internet Explorer, gõ http://192.168.1.1/certsrv , điền thông tin của u1 khi được hỏi:
Chọn Request a certificate để xin một chứng chỉ số:
Trang 47Chọn User Certificate:
Trang 48Nhấn nút Submit > để hoàn thành:
Khi hệ thống cảnh báo, hãy nhấn Yes để xin Certificate:
Trang 49Chọn Install this certificate để cài đặt:
Và nhấn Yes để đồng ý cài đặt:
Quá trình xin chứng chỉ số và cài đặt đã xong, bây giờ người dùng u1 đã có thể mã hóa mail
Trang 50Mở MMC , add Certificate snap-in để kiểm tra chứng chỉ số của u1:
Kích đúp vào Certificate u1 để xem thông tin về chứng chỉ số:
Trang 51Làm tương tự đối với u2 trên máy PC02.technet.com.vn
Trang 52Bước 4: Mã hóa E-Mail:
-Cấu hình Outlook Express cho u1 nhận và gửi mail trên máy PC01.technet.com.vn -Cấu hình Outlook Express cho u2 nhận và gửi mail trên máy PC02.technet.com.vn
Chi tiết các bước cấu hình Outlook Express xem lại bài DNS
Trang 54Khai báo Incoming mail server và Outgoing mail server lần lượt là pop.technet.com.vn
và smtp.technet.com.vn:
Sau khi đã cấu hình Outlook Express cho u1 và u2 trên 2 máy trạm, bắt đầu quá trình gửi và
mã hóa mail:
U1 soạn 1 bức thư và gửi đến cho u2, đồng thời kích vào nút Sign để đóng dấu thư( cũng là
quá trình trao đổi P):
Trang 55U2 nhận thư và mở ra đọc, u2 phải nhấn vào nút Continue để đọc thư:
Trang 56U2 Reply lại cho u1, đồng thời nhấn vào nút Encrypt để mã hóa thư:
Trang 57U1 nhận được thư và thấy rằng thư đã được mã hóa bởi U2, để đọc thư hãy kích vào nút
Continue:
Trang 58Và nội dung thư đúng như u2 đã soạn:
Trang 59Kết luân: như vậy quá trình gửi và nhận thư giữa u1 và u2 đã được mã hóa
III Cấu hình Key Recovery Agent:
Khi user mất chứng chỉ số( Key) họ sẽ không thể nào giải mã được những dữ liệu đã mã hóa,
vì vậy cần cấu hình Key Recovery Agent để khi user vô tình làm mất Key thì người quản trị (Administrator) sẽ có khả năng cứu lại key
Cấu hình Key Recovery Agent được thực hiện trên máy CA server, cụ thể trong mô hình
này là DC-CA.technet.com.vn
Bước 1: Phát hành các chứng chỉ số mẫu dùng cho việc cấu hình Key Recovery Agent: Trên máy DC-CA.technet.com.vn mở dịch vụ Certificate Authority, kích phải chuột vào mục Certificate Templates chọn Manage:
Trang 60Trong cửa sổ cấu hình Certificate Templates, chuột phải vào chứng chỉ mẫu có tên User và chọn Duplicate Template:
Trong cửa sổ Properties of New Template, trong tab General, trong ô Template display name: điền User(backupkey) rồi nhấn Apply:
Trang 61Qua tab Security, chọn nhóm Domain Users, cho các quyền Read, Enroll và Autoenroll rồi nhấn Apply:
Trang 62Qua tab Request Handing, tích vào option Archive subject’s encryption private key, nhấn Apply rồi OK để đóng lại quá trình tạo 1 Certificate template mới có tên User(backupkey):
Trang 63Đóng cửa sổ cấu hình Certificate Templates lại, kích phải chuột vào Certificate Templates
và chọn New/Certificate Template to Issue:
Trang 64Trong cửa sổ Enable Certificate Templates, chọn 2 Certificate có tên Key Recovery Agent
và User(backupkey) vừa tạo, nhấn OK:
Bước 2: Xin Chứng chỉ số theo loại Key Recovery Agent cho Administrator:
Trên máy DC, mở trình duyệt Internet Explorer, gõ http://192.168.1.1/certsrv và đăng nhập tài khoản administrator khi được hỏi:
Trang 65Chọn Request a certificate:
Trang 66Chọn Advanced certificate request:
Trang 67Chọn Create and submit a request to this CA:
Trong mục Certificate Template, chọn Key Recovery Agent và kích vào nút Submit:
Trang 68Certificate thuộc loại Key Recovery Agent phải được người quản trị hệ thống phát hành thủ công, mặc định hệ thống không cho user tự động xin Vì vậy chúng ta sẽ lưu lại Certificate
Request ID để vào dịch vụ CA phát hành nó Ở đây, Request ID là 9:
Trang 69Mở dịch vụ Certificate Authority trên máy DC-CA.technet.com.vn, vào mục Pending
Requests, chọn Certificate có RequestID là 9, kích chuột phải vào nó chọn All
Tasks/Issue:
Mở Internet Explorer và gõ 192.168.1.1/certsrv, chọn View the status of a pending
certificate request:
Trang 70Và sẽ thấy 1 chứng chỉ số theo loại Key Recovery Agent đã được administrator phát hành
thủ công, kích chuột vào đó để cài đặt:
Trang 71Tiếp tục chọn Install this certificate để cài đặt:
Kiểm tra trong MMC Certificate Snap-in đã thấy có 1 chứng chỉ số xin cho Administrator theo loại Key Recovery Agent, vậy là quá trình xin chứng chỉ số đã thành công
Tiếp đến, sau khi đã có Chứng chỉ số cấp cho Administrator phục vụ cho việc Recovery key,
ta sẽ import Certificate đó vào trong dịch vụ Certificate Authority trên máy
DC-CA.technet.com.vn
Trong dịch vụ CA, chuột phải vào tên máy server technet chọn Properties:
Trang 72Trong cửa sổ technet Properties, qua tab Recovery Agents, chọn Archive the key và nhấn nút Add…:
Chọn Certificate đang có và nhấn OK:
Trang 73Nhấn Apply, hệ thống yêu cầu khởi động lại dịch vụ CA, nhấn Yes để đồng ý:
Sau khi Restart dịch vụ CA, ta thấy Certificate trong mục Key recovery agent certificates:
không còn báo đỏ nữa OK để đóng lại
Trang 74Bước 3: Xin chứng chỉ số cho User theo loại chứng chỉ số có thể khôi phục được:
Trên máy PC01.technet.com.vn đang logon với tài khoản u1, mở Webcert để xin certificate mới, làm tương tự các ở phần mã hóa mail, lưu ý bước này:
Chọn Advanced certificate request:
Trang 75Trong mục Certificate Template chọn User(backupkey) rồi nhấn Submit>:
Và sau đó Install Certificate đó cho u1, làm tương tự các bước trong phần mã hóa mail
Trang 76Bước 4: Khôi phục Certificate khi bị mất:
Trên máy DC-CA.technet.com.vn, trong dịch vụ CA, sau khi u1 đã xin certificate theo loại User(backupkey) ở bước 3, ta thấy đã xuất hiện một chứng chỉ số trong mục Issued
Certificates được cấp cho u1 theo loại User(backupkey)
Khi khôi phục chúng ta sẽ dùng các thông số trong chứng chỉ này để khôi phục nó Để xem thông tin chi tiết về chứng chỉ này hãy kích đúp vào nó
Qua tab Details, chọn thông số Serial number, copy lại đoạn code đó: