Tạo User Account - Logon MSOPENLAB\Administrator, mở Active Directory Users and Computers, tạo các user Trong và Hieu như trong hình bên dưới, password của các user là: P@ssword - Ch
Trang 1Bảo Mật Email với Digital Certificate và
Digital Signature Phần I: Cài đặt và cấu hình hệ thống Mail
Server Kerio
Trong bài viết này chúng tôi sẽ trình bày cách thức triển khai PKI để bảo mật cho hệ thống mail Mục đích cụ thể của bài lab:
e Mã hóa nội dung ee mail với Digital Certificate
- Đảm bảo tính xác thực của e-mail với Digital Signature
1 Tạo User Account
- Logon MSOPENLAB\Administrator, mở Active Directory Users and Computers, tạo các user Trong và Hieu như trong hình bên dưới, password của các user là: P@ssword
- Chuột phải user Hieu, chọn Properties, nhập hieu@msopenlab.com vào ô E-mail, chọn
OK
Trang 22 Cài đặt Mail Server Kerio
- Chạy file cài đặt keri-kms-6.4.1-3801-win.exe
*Bạn có thể download chương trình Mail Server Kerio tại
Trang 3- Trong hộp thoại Welcome, chọn Next Hộp thoại What’s New, chọn Next
- Hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next
- Hộp thoại Setup Type, chọn Complete, chọn Next
Trang 4
- Hộp thoại Destination Folder, giữ đường dẫn mặc định, chọn Next
Trang 5- Hộp thoại Welcome, chọn Next
Trang 7
3 Cấu hình Mail Server Kerio
- Vào Start\Programs\Kerio, mở Administration Console, Trong hộp thoại New
Connection, nhập password 123456, chọn Connect
- Trong cửa sổ Administration Console, bung Configuration, vào Domain, kiểm tra có domain MSOpenLab.com
Trang 8- Trong mục Domain Settings, vào Users, bung Import, chọn Import from directory service…
- Trong hộp thoại Import Users, nhập thông tin như trong hình bên dưới (Password:
Trang 9P@ssword), chọn OK
- Đánh dấu chọn vào user Hieu và Trong, chọn OK
- Kiểm tra trong mục user đã có các mailbox như hình bên dưới, chọn Apply
Trang 10- Trong Configuration, vào Services Lần lượt Stop các service: HTTP và HTTPS
4 Cài đặt Desktop Experience
Trang 11Vì Windows Server 2008 không có cài đặt sẵn các chương trình mail client như Outlook Express trên Windows XP và Windows Mail trên Windows Vista, nên trong bài lab này để trên Windows
Server 2008 sử dụng được Windows Mail thì chúng ta cần cài đặt Desktop Experience
Trang 12- Hộp thoại Confirm Installation Selections, chọn Install
- Hộp thoại Installation Results, chọn Close Hộp thoại Do you want to restart now?, chọn Yes để restart
Trang 13
5 Cấu hình Windows Mail cho User
- Logon MSOPENLAB\Hieu, mở Windows Mail từ Start\Programs
- Trong hộp thoại Your Name, nhập Hieu vào ô Display name, chọn Next
- Hộp thoại Internet E-mail Address, nhập Hieu@MSOpenLab Com vào ô Email
Trang 15P@ssword vào ô Password, chọn Next, chọn Finish
- Tương tự, logon MSOPENLAB\Trong, cấu hình Windows Mail cho user Trong
6 Capture và thay đổi nội dung e-mail
- Logon MSOPENLAB\Trong, mở Windows Mail, chọn Create Mail
- Nhập Hieu@msopenlab.com vào ô To, nhập Subject và Body như trong hình, chọn Send
Trang 16- Logon MSOPENLAB\Administrator, vào đường dẫn C:\Program
Files\Kerio\MailServer\store\mail\MSOpenLab.com\hieu\INBOX\#msgs, chuột phải file eml, chọn Open With, chọn Notepad
- Trong Notepad, sửa nội dung mail tùy ý
Trang 18- Logon MSOPENLAB\Hieu, mở Windows Mail, kiểm tra nội dung e-mail gời từ Trong
là nội dung đã bị giả mạo
Lưu ý: Trong một hệ thống mail thông thường, e-mail được gởi bằng chế độ cleartext nên không
bảo mật được nội dung bên trong Và khi ta nhận một e-mail thông thường, sẽ không có đặc điểm nào để phân biệt được e-mail có bị giả mạo hoặc giả danh hay không?
XEM TIẾP: PHẦN II- TRIỂN KHAI CERTIFICATION AUTHORITY (CA)
Trang 19Bảo Mật Email với Digital Certificate và
Digital Signature Phần II: Triển khai Certification Authority
(CA)
Trong Phần I: Cài đặt và cấu hình hệ thống Mail Server, các bạn đã thấy rõ trong một hệ thống mail thông thường, e-mail được gởi bằng chế độ cleartext nên không bảo mật được nội dung bên trong Và khi ta nhận một e-mail thông thường, chúng ta sẽ không có đặc điểm nào để phân biệt được e-mail giả mạo hoặc giả danh
Trong phần II, chúng ta sẽ triển khai hệ thống Certification Authority (CA) để ứng dụng phương pháp mã hóa Public Key Infrastructure (PKI) và chữ ký điện tử (Digital Signature) nhằm bảo mật cho hệ thống E-mail
I Giới thiệu
Bài lab bao gồm các bước:
1 Tạo User Account
2 Cài đặt Mail Server Kerio
3 Cấu hình Mail Server Kerio
4 Cài đặt Desktop Experience
5 Cấu hình Windows Mail cho User
6 Capture và thay đổi nội dung e-mail
7 Cài đặt Enterprise CA
8 Xin Certificate cho User
9 Trao đổi Public Key
10 Kiểm tra Digital Signature
11 Kiểm tra E-mail có mã hóa
Trang 20- - Hộp thoại Before You Begin, chọn Next
- - Hộp thoại Select Server Roles, đánh dấu chọn Active Directory Certificate Services, chọn Next
Trang 21- - Hộp thoại Introdution to Active Directory Certificate Services, chọn Next
- - Trong hộp thoại Select Role Services, đánh dấu chọn ô Certification Authority Web
Enrollment, Hộp thoại Add role services required for Certification Authority Web Enrollment, chọn Add Required Role Service
- - Hộp thoại Specify Setup Type, chọn Enterprise, chọn Next
Trang 22- - Hộp thoại Specify CA Type, chọn Root CA, chọn Next
- - Trong hộp thoại Setup Private Key, chọn Create a new private key, chọn Next
Trang 23
- - Hộp thoại Configure Cryptography for CA, chọn Next
- - Trong hộp thoại Configure CA Name, nhập MSOpenLab-CA vào ô Common name for this
Trang 24- - Hộp thoại Confirm Installation Selections, chọn Install Hộp thoại Installation Results,
Trang 258 Xin Certificate cho User
- - Logon MSOPENLAB\Hieu, vào Start\Run, gõ mmc, chọn OK Trong cửa sổ
Console1, bung File, chọn Add/Remove Snap-in
- - Trong cửa sổ Add or Remove Snap-in, chọn Certificates, chọn Add, chọn Ok
Trang 26
- - Trong cửa sổ Console1, chuột phải Personal, chọn All tasks, chọn Request New Certificate
- - Hộp thoại Before You Begin, chọn Next
- - Trong hộp thoại Request Certificates, đánh dấu chọn User, chọn Enroll
Trang 27
- - Hộp thoại Certificate Installation Results, chọn Finish
- - Trong cửa sổ Console1, bung Personal\Certificate, mở certificate tên Hieu
- - Kiểm tra xin certificate cho Hieu thành công
Trang 28
- - Logon MSOPENLAB\Trong, tương tự các bước trên, thực hiện xin User Certificate cho Trong
9 Trao đổi Public Key
- - Logon MSOPENLAB\Hieu, mở Windows Mail, chọn Create Mail, nhập
trong@msopenlab.com vào ô To, Subject và Body như hình bên dưới Chọn nút Sign
Trang 29
- - Logon MSOPENLAB\Trong, mở Windows Mail, vào Inbox, mở mail gởi từ Hieu, chọn Continue
- - Kiểm tra xem được nội dung mail (Lúc này Trong đã có Public Key của Hieu), chọn Reply, nhập nội dung mail như hình bên dưới, chọn nút Encrypt, chọn Send
Trang 31
10 Kiểm tra Digital Signature
- - Logon MSOPENLAB\Hieu, mở Windows Mail, chọn Create Mail, nhập
trong@msopenlab.com vào ô To, Subject và Body như trong hình bên dưới, chọn nút Sign, chọn Send
- - Logon MSOPENLAB\Administrator, vào đường dẫn C:\Program
Files\Kerio\MailServer\store\mail\MSOpenLab.com\hieu\INBOX\#msgs, chuột phải file eml, chọn Open With, chọn Notepad
Trang 32
- - Trong Notepad, sửa nội dung mail tùy ý
*E-mail khi chưa sửa nội dung
*E-mail sau khi sửa nội dung
Trang 33- - Logon MSOPENLAB\Trong, mở Windows Mail, mở e-mail gởi từ Hieu, chọn
Continue
Kiểm tra nhận được cảnh báo Security Warning, chọn Open Message để xem nội dung
Trang 34Lúc này ta biết e-mail đã bị thay đổi nội dung
11 Kiểm tra E-mail có mã hóa
- Logon MSOPENLAB\Trong, mở Windows Mail, chọn Create Mail, nhập
Hieu@msopenlab.com vào ô To, Subject và Body như trong hình bên dưới, chọn nút
Encrypt, chọn Send
Trang 35
- - Logon MSOPENLAB\Administrator, vào đường dẫn C:\Program
Files\Kerio\MailServer\store\mail\MSOpenLab.com\hieu\INBOX\#msgs, chuột phải file eml, chọn Open With, chọn Notepad
- Kiểm tra không xem được nội dung e-mail vì nội dung đã được mã hóa 64bit
Trang 36Logon MSOPENLAB\Hieu, mở Windows Mail, mở e-mail gởi từ Trong, chọn Continue để xem nội dung
Kiểm tra giải mã được nội dung e-mail (E-mail được mã hóa bằng Public key của Hieu nên được giải mã thành công bằng Private key của Hieu)