PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY I - Nội dung: - Cài đặt Enterprise Root CA. - Cấp Certificate cho user. User dùng certificate để signing và encrypt mail. - User export key. - Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt. - User import key. Khả năng đọc và mã hóa dữ liệu của user được phục hồi như cũ. II - Chuẩn bị: Yêu cầu hệ thống: 01 máy Windows Sever 2003 làm Domain Controller 1. Tạo các object trong Active Directory: Log on Administrator a. Chỉnh Password Policy. b. Tạo OU TestCA. Trong OU TestCA, tạo user U1 (display name: Cu Ti, password: 123) c. Khai báo Email address trong properties của U1: U1@nhatnghe.com d. Cho user U1 làm thành viên của group Print Operators (để U1 có quyền log on locally vào domain controller)
Trang 1Enterprise certificate authority
& key recovery agent
PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY
I - Nội dung:
- Cài đặt Enterprise Root CA
- Cấp Certificate cho user User dùng certificate để signing và encrypt mail
- User export key
- Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt
- User import key Khả năng đọc và mã hóa dữ liệu của user được phục hồi như cũ
II - Chuẩn bị:
Yêu cầu hệ thống: 01 máy Windows Sever 2003 làm Domain Controller
1 Tạo các object trong Active Directory: Log
on Administrator
a Chỉnh Password Policy.
b Tạo OU TestCA Trong OU TestCA,
tạo user U1 (display name: Cu Ti, password: 123)
c Khai báo Email address trong properties của U1: U1@nhatnghe.com
d Cho user U1 làm thành viên của group Print Operators (để U1 có quyền log on locally
vào domain controller)
2 Cài đặt và cấu hình mail server:
a Cài MDaemon 6.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 9
Trang 2b Khai báo domain: Trong cửa sổ MDaemon 6 menu Setup Primary domain
Nhập domain name và HELO domain (VD: NhatNghe.com)
c Tạo mail box cho user U1: Trong cửa sổ MDaemon 6 Menu Accounts New
account Nhập Full name: “Cu Ti”, Mailbox name: “U1”, Password “123”
3 Tạo, kiểm tra và cấu hình mail account của U1: Log on U1.
a Tạo mail account cho U1 trong chương trình Outlook Express.: Nhập Full name: “Cu
Ti”, E-mail address: “U1@NhatNghe.com”, Password “123” Lưu ý dùng “Localhost”
để khai báo Incoming và Outgoing Mail Server
b Kiểm tra hoạt động của mail account: U1 gửi mail cho chính mình
c Cấu hình để lưu bản sao mail của U1 trên
mail server: Trong Outlook Express menu Tools Accounts tab Mail chọn mail box của U1 Properties tab Advanced đánh dấu chọn mục “Leave a copy…”
III - Thực hiện:
1 Cài đặt Enterprise Root CA:
a Cài ASP.NET: Log on administrator: Start Settings Control Panel Add or
Remove Programs Add / Remove Windows Components chọn Details của Application Servers chọn ASP.NET (hệ thống sẽ tự động chọn thêm Enable network COM+ Access và IIS)
b Cài Enterprise Root CA “NhatNghe”: Start Settings Control Panel Add or
Remove Programs Add / Remove Windows Components chọn Certificate Services Lưu ý chọn Enterprise Root CA và Enable Active Server Page
Trang 3Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 11
Trang 42 Cấp Certificate cho user User dùng Certificate để signing, encrypt mail:
a Log on U1, xin certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv
Request a certificate User certificate Submit Install this certificate Yes
b Kiểm tra certificate của U1: Start Run
“mmc” Trong console, chọn menu File Add / Remove Snap-in Add >
chọn Certificates Add Close Lưu console trên desktop với tên
“U1_Cert.msc”
c Log on U1, gửi
mail có signing
và encrypt (cho chính mình)
3 User export key: Mở Console “U1_Cert.msc” đã lưu ở bước 2b Click chuột phải trên
Certificate của U1 chọn Export
Trang 5Trong hộp thọai Certificate Export Wizard, chọn “Yes, Export Private key” Next chọn
“Personal Info…” và “Enable strong…” Next nhập password 123, confirm password 123 Next nhấn nút Browse, tạo folder C:\CertKey, đặt tên file là “CuTi.pfx” Next chọn “Place all certifictaes…”: Personal Next Finish
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 13
Trang 64 Giả lập key bị thất lạc:
a Log on administrator Xóa profile của user U1.
b Log on U1 xem lại mail đã signing và encrypt trước đó.
5 User import key:
a Log on U1, tạo lại console U1_Cert (xem 2b), dùng console certificate để import key từ
file pfx
Trang 7b Xem lại mail đã signing và encrypt trước đó.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 15
Trang 8PHẦN 2: KEY RECOVERY AGENT
I - Nội dung:
- Cài đặt Enterprise Root CA
- Issue enterprise certificate cho user User dùng certificate để signing, encrypt mail
- Administrator tạo Key Recovery Agent (KRA)
- Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt
- Key Recovery Agent phục hồi key cho user
II - Chuẩn bị: Tương tự phần 1
III - Thực hiện:
1 Cài đặt Enterprise Root CA: Tương tự phần 1
2 Administrator tạo Key Recovery Agent (KRA)
a Tạo certificate template mới bằng cách điều chỉnh một certificate template có sẵn và gán
quyền sử dụng cho user: Start Programs Administrative Tools Certification Authority Click nút phải chuột trên Certificate Template Manage Click nút phải chuột trên Template User Duplicate
Trong tab General, nhập Template display name và Template name: “UserVersion2”
Trong tab Request handling, chọn option “Archive subject’s encryption private key”
Trong tab Security, cấp cho 2 group Authenticated Users và Domain Users các quyền: Read, Enroll và Autoenroll Đóng chương trình “Certificate Template”
Trang 9b Phát hành certificate template mới: KRA và UserVersion 2: Trở lại chuơng trình
Certificate Authority Click nút phải chuột trên Certificate Template New
Certificate Template to Issue Chọn 2 template “Key Recovery Agent” và “User
Version2”
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 17
Trang 10c Tạo KRA: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv Request a certificate advanced certificate request Create and submit a request to this CA chọn Certificate template “ Key Recovery Agent”
Trang 11Cấp Certificate cho KRA:
Start Programs Administrative Tools Certification Authority
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 19
Trang 12d KRA install certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv View the status of a pending certificate request Key Recovery Agent Certificate… Install this certificate Yes
e e e e.
e.
e Cấu hình thuộc tính archive the
key cho KRA: Start
OK Yes để restart Certificate Services
Trang 13Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 21
Trang 143 User dùng certificate để sign & encrypt mail:
a User xin enterprise certificate: Log on U1, thực hiện tương tự phần 1 nhưng chọn
certificate template UserVersion2 do Admin mới tạo
b User dùng
certificate để signing, encrypt mail (tương tự 2c trong phần 1)
Trang 154 Giả lập certificate bị thất lạc:
a Log on administrator, xóa profile của user U1.
b Log on U1 xem lại mail đã signing và encrypt trước đó.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 23
Trang 165 Key Recovery Agent phục hồi key cho user
a Copy số serial certificate của user U1 còn lưu tại root và paste vào một file text; lược bỏ
các khoảng trắng rồi copy vào clipboard một lần nữa
ư u
archived key của user U1 vào file *.pfx: nhập dòng
lệnh trong cửa sổ command-line: certutil –getkey [số serial] abc.pfx (Paste số serial vào)
Trang 17c Phục hồi key của user U1 vào file *.pfx: nhập dòng lệnh trong cửa sổ command-line: certutil –recoverkey abc.pfx CuTi.pfx (không cần nhập password)
d User import key: Log on U1, dùng console certificate để import key từ file pfx và xem
lại mail đã signing và encrypt trước đó
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 25
