PHẦN 1: SECURE SOCKET LAYER I - Nội dung: Xin Certificate cho web server để user truy cập bằng HTTPS (HTTP SECURE) II- Chuẩn bị: - Yêu cầu hệ thống: 01 máy Domain Controller Windows Sever 2003 Enterprise (P3_DC) - Cài ASP.NET III- Thực hiện 1. Kiểm chứng: Lần lượt truy cập web default bằng HTTP và HTTPS. - Nhập địa chỉ trong IE: http://localhost: Trang web hiển thị bình thường. - Nhập địa chỉ trong IE: https://localhost: Trang web không thể hiển thị.
Trang 1Secure Socket Layer & Ip Security
PHẦN 1: SECURE SOCKET LAYER
I - Nội dung: Xin Certificate cho web server để user truy cập bằng HTTPS (HTTP SECURE)
II- Chuẩn bị:
- Yêu cầu hệ thống: 01 máy Domain Controller Windows Sever 2003 Enterprise (P3_DC)
- Cài ASP.NET
- Cài Enterprise root CA
- Tạo trang web default: Inetpub\wwwroot\default.htm
Trang 2III- Thực hiện
1 Kiểm chứng: Lần lượt truy cập web default bằng HTTP và HTTPS.
- Nhập địa chỉ trong IE: http://localhost: Trang web hiển thị bình thường
- Nhập địa chỉ trong IE: https://localhost: Trang web không thể hiển thị
2 Xin certificate cho web server:
- Mở Properties của IIS: Start Programs
> Administrative Tools > Internet
Information Services (IIS) Manager
click chuột phải vào Default Web Site
Properties
- Xin certificate: Trong tab Directory
Security chọn Server Certificate…
Next Chọn Create a new certificate
Next chọn Send the request
inmmediately… Next Nhập các
thông tin theo yêu cầu… chọn port SSL
là 443… Finish
Trang 4
3 Truy cập web default bằng HTTPS: Nhập địa chỉ trong IE: https://localhost: Hệ thống cảnh báo > chọn Yes > Trang web hiển thị bình thường
I
PHẦN 2: IP SECURITY
I - Nội dung: Dùng certificate làm key mã hóa dữ liệu trên đường truyền
II - Chuẩn bị:
- Yêu cầu hệ thống: 02 máy Windows Sever 2003 Enterprise (P1)
- 02 máy disable card CROSS, kiểm tra đường truyền bằng lệnh PING IP card LAN
- 02 máy đổi password administrator thành 123
- Máy chẵn cài ASP.NET & Stand-alone root CA
III - Thực hiện:
1 Xin certificate cho 2 computer
Trang 5a Máy lẻ bổ sung danh sách trusted site: Trong chương trình Internet Explorer (IE) chọn menu
Tools Internet Options Trong tab security, chọn zone Trusted sites chọn nút Sites nhập vào mục “Add this Web site to the zone”: http://[IP của máy chẵn]/certsrv bỏ chọn
“Require server verification…” > chọn nút Add Close OK để đóng IE properties
b Hai máy xin certificate:
- Máy lẻ: Trong IE, nhập địa chỉ: http://[IP của máy chẵn]/certsrv
- Máy chẵn: Trong IE, nhập địa chỉ: http://localhost/certsrv
- Cả hai máy: chọn Request a certificate Advanced certificate request Create and submit
a request to this CA điền các thông tin cần thiết…
- Chú ý 1: Tại mục “Type of Certificate Needed”, chọn Client Authentication Certificate
Trang 6- Chú ý 2: Đánh dấu chọn “Store certificate in the local computer certificate store”
- Submit
c Cấp certificate cho 2 computer: Máy chẵn: Start Programs Administrative Tools
Certification Authority Trong cửa sổ Certification Authority, chọn mục Pending Requests lần lượt click chuột phải vào từng request All Tasks Issue
Trang 7d Hai máy install certificate: Hai máy lại mở trang web xin certificate chọn View the status
of a pending certificate request Client Authentication Certificate… Install this
certificate
e Hai máy tạo console PC_Cert:
- Start Run “mmc” menu File Add / remove snap-in Add Certificates chọn
Computer account chọn Local computer.
- Trong console, chọn menu File Save as lưu console lên Desktop với tên “ PC_Cert”
- Lưu ý certificate của máy lẻ đang bị lỗi
f Máy lẻ import certificate của root CA:
Trang 8- Trong console PC_Cert (tạo trong phần e): Chọn Trusted Root Certificate Authorities click chuột phải vào Certificates All Tasks Import
- Trong hộp thọai Certifictae Import Wizard chọn nút Browse My Network Places CerConfig on PCxx PCxx_NhatNghe.crt Open Next chọn “ Place all certificates
in the following stores: Trusted Root Certificate Authorities” Finish
Trang 92 Tạo IPSec Policy cho 2 máy: (hai máy thực hiện như nhau)
a Tạo console IPSec: Start Run “mmc” Add / Remove snap-in Add lần lượt
chọn IP Security Policy Management cho Local Computer và Services cho Local Computer
Lưu console lên Desktop với tên IPSec
b Tạo policy IPSec mới: Trong console IPSec click chuột phải vào IP Security Policy
Management Create IP Security Policy Next Đặt tên policy: ”IPSec by Cert” Next bỏ chọn “Activate the default…” Next bỏ chọn “Edit properties” > Finish
Trang 10c Cấu hình policy “IPSec by Cert”: Trong console IPSec click chuột phải vào IPSec by Cert
Properties trong tab Rules của IPSec by Cert Properties chọn nút Add Next trong hộp thọai Tunnel Endpoint chọn “This rule does
not specify a tunnel” Next trong hộp thọai
Network Type chọn “All network connections”
Next trong hộp thọai IP Filter List đánh dấu
chọn “All IP traffic” Next trong hộp thọai
Filter Action đánh dấu chọn “Require Security”
Next trong hộp thọai Authentication Method
đánh dấu chọn :”Use a certificate…” chọn nút
Browse trong hộp thọai Select Certificate chọn
CA “NhatNghe” OK quay về hộp thọai
Authentication Method Next Finish quay
về IPSec by Cert Properties OK
Trang 11d Assign Policy và restart services:
- Trong console IPSec click chuột phải vào IPSec by Cert Assign
- Cũng trong console IPSec chọn Services click chuột phải vào IPSEC Services Restart
3 Kiểm chứng quá trình mã hóa: Trong command-line của máy chẵn, nhập dòng lệnh PING [IP máy lẻ] -t.
