Lưu trữ Certificate của user lên Smartcard – Dùng Certificate trên Smartcard để logon và mã hóa dữ liệu.II - Chuẩn Bị: - Một bộ Smartcard reader và card - Máy 1 PC01: Làm các chức năng
Trang 1Lưu trữ Certificate của user lên Smartcard – Dùng Certificate trên Smartcard để logon và mã hóa dữ liệu.
II - Chuẩn Bị:
- Một bộ Smartcard ( reader và card )
- Máy 1 (PC01): Làm các chức năng DC, Enterprise Root CA (xem lại lab 2)
- Máy 2 (PC02): Workstation, join vào domain
- Tạo OU “Smart Card”, trong OU “Smart Card” tạo 1 user có user name và password là: U1/123
Trong Properties của U1, nhớ điền email address: u1@nhatnghe.com
- Di chuyển Computer Account (PC02) trong “Computer” sang OU “Smart Card”
III - Thực Hiện:
Lưu ý: Tất cả các thao tác trên máy PC01 đều dùng quyền của Domain Admin Chọn các thông số mặc nhiên
trong quá trình cài đặt
1 – Cài driver và chương trình đọc thẻ từ cho cả 2 máy:
Trang 2TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email:info@nhatnghe.com
a Tại PC01 chạy chương trình Setup.exe trong bộ
software bán kèm với Smartcard → Install products →
ASE Drive Driver Sau khi hoàn tất việc cài Driver, cài
tiếp “ASE Card Cryto User Toolkit”
b Thực hiện tương tự trên PC02
2 – Phát hành các Certificate Template mới dùng cho Smartcard:
a Tại PC01, chạy chương trình Certificate
Authority Click nút phải chuột trên Certificate
Template → New → Certificate Template to
Issue
b Chọn các Template: Enrollment
Agent, Smartcard Logon, Smartcard
User → OK
3 - Cấp Certificate “Enrollment Agent” cho Administrator
a Tại PC01, chạy IE, nhập vào địa chỉ:
http://localhost/certsrv → Request a
Certificate → Advanced Certificate Request
→ Create and Submit a Request to this CA
b Trong mục Certificate Template, chọn
Enrollment Agent → Submit → Yes
Hệ thống tự động cấp Certificate loại
Trang 34 – Admin dùng quyền “Enrollment Agent” để xin Certificate cho U1 và ghi Certificate vào thẻ từ
a Tại PC01, chạy IE → Tools → Internet
Options → chọn tab Security→ Trusted Sites
Chọn nút Sites, thêm vào địa chỉ
http://localhost Chỉnh mức Security Level
xuống mức Low, đóng IE
b Tại PC01, chạy IE, nhập vào địa chỉ:
http://localhost/certsrv → Request a Certificate → Advanced Certificate Request → Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station
Trang 4TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email:info@nhatnghe.com
c Trong Certificate
Template chọn “Smartcard
User”, trong User to Enroll
chọn U1@nhatnghe.com
Các mục khác chọn giá trị
mặc nhiên Đưa thẻ từ vào
đầu đọc→ Enroll
d Nhập vào số PIN hiện tại của thẻ từ (123456), chọn mục “Change PIN after Verification” Nhập lại số PIN
mới
Hoàn tất quá trình xin Certificate cho user
5 – Dùng Smartcard để logon trên Workstation:
Gắn đầu đọc vào PC02 rồi khởi động lại Trên màn hình sẽ xuất hiện thông báo “Insert card or press Ctrl-Alt-Delete to begin” Lúc này ta có 2 cách logon: dùng Ctrl-Alt-Ctrl-Alt-Delete như truyền thống, hoặc dùng thẻ từ
Đưa thẻ từ vào đầu đọc, hệ thống sẽ yêu cầu nhập số PIN → gõ 123456 → U1 logon thành công
Trang 5Outlook Express:
Display Name: U1
Email Address: U1@nhatnghe.com
Incoming mail: mail.nhatnghe.com
Outgoing mail: mail.nhatnghe.com
Account name: U1
Password: 123
Lưu ý: Trong bài lab này ta không cần cài đặt mail server (máy mail.nhatnghe.com không tồn tại) → trong Outlook Express ấn Send/Receive sẽ bị báo lỗi → không quan tâm.
b Tạo một mail mới (không ấn nút send), gởi cho chính U1@nhatnghe.com, subject: Test Smartcard, nội dung tùy ý
c Chọn “Sign” và “Encrypt” →
Send → hệ thống yêu cầu nhập số
PIN của Smartcard → gõ 123456
→ OK → Email được mã hoá và
chuyển sang folder outbox để chờ
gởi
7 – Áp Policy để bắt buộc máy PC02 phải dùng Smartcard để logon:
a Tại máy PC01, logon administrator
b Chạy chương trình Active Directory Users and Computer, Click nút phải chuột trên OU “Smatd Card”→
Trang 6TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ
105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email:info@nhatnghe.com Properties → Group Policy → New → đặt tên Policy là “Smardcard” → Edit
c Trong Computer Configuration → Windows Settings → Security Settings → Local Policies → Security
Options→ Chỉnh lại các option sau:
Interative Logon: Do not require CTRL + ALT + DELETE : Enable
Interative Logon: Require Smartcard: Enable
Interative Logon: Smartcard removal behavior: Lock Workstation
d Đóng tất cả các cửa sổ đang mở → Start → Run → GPUPDATE /FORCE
e Khởi động lại PC02, ấn Ctrl + ALT + Delete → Nhập Username / Password: U1/123 → hệ thống báo lỗi
“The Local Policy of this System requires you to logon using a smart card” → đưa smart card vào → nhập số PIN → logon U1 thành công → lấy card ra → workstation bị lock lại