Đang tải... (xem toàn văn)
PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY I - Nội dung: - Cài đặt Enterprise Root CA. - Cấp Certificate cho user. User dùng certificate để signing và encrypt mail. - User export key. - Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt. - User import key. Khả năng đọc và mã hóa dữ liệu của user được phục hồi như cũ. II - Chuẩn bị: Yêu cầu hệ thống: 01 máy Windows Sever 2003 làm Domain Controller 1. Tạo các object trong Active Directory: Log on Administrator a. Chỉnh Password Policy. b. Tạo OU TestCA. Trong OU TestCA, tạo user U1 (display name: Cu Ti, password: 123) c. Khai báo Email address trong properties của U1: U1@nhatnghe.com d. Cho user U1 làm thành viên của group Print Operators (để U1 có quyền log on locally vào domain controller)
Enterprise certificate authority Enterprise certificate authority & key recovery agent & key recovery agent PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY I - Nội dung: - Cài đặt Enterprise Root CA. - Cấp Certificate cho user. User dùng certificate để signing và encrypt mail. - User export key. - Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt. - User import key. Khả năng đọc và mã hóa dữ liệu của user được phục hồi như cũ. II - Chuẩn bị: Yêu cầu hệ thống: 01 máy Windows Sever 2003 làm Domain Controller 1. Tạo các object trong Active Directory: Log on Administrator a. Chỉnh Password Policy. b. Tạo OU TestCA. Trong OU TestCA, tạo user U1 (display name: Cu Ti, password: 123) c. Khai báo Email address trong properties của U1: U1@nhatnghe.com d. Cho user U1 làm thành viên của group Print Operators (để U1 có quyền log on locally vào domain controller) 2. Cài đặt và cấu hình mail server: a. Cài MDaemon 6. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 9 b. Khai báo domain: Trong cửa sổ MDaemon 6 menu Setup Primary domain Nhập domain name và HELO domain. (VD: NhatNghe.com) c. Tạo mail box cho user U1: Trong cửa sổ MDaemon 6 Menu Accounts New account Nhập Full name: “Cu Ti”, Mailbox name: “U1”, Password “123”. 3. Tạo, kiểm tra và cấu hình mail account của U1: Log on U1. a. Tạo mail account cho U1 trong chương trình Outlook Express.: Nhập Full name: “Cu Ti”, E-mail address: “U1@NhatNghe.com”, Password “123”. Lưu ý dùng “Localhost” để khai báo Incoming và Outgoing Mail Server. b. Kiểm tra hoạt động của mail account: U1 gửi mail cho chính mình c. Cấu hình để lưu bản sao mail của U1 trên mail server: Trong Outlook Express menu Tools Accounts tab Mail chọn mail box của U1 Properties tab Advanced đánh dấu chọn mục “Leave a copy…” III - Thực hiện: 1. Cài đặt Enterprise Root CA: a. Cài ASP.NET: Log on administrator: Start Settings Control Panel Add or Remove Programs Add / Remove Windows Components chọn Details của Application Servers chọn ASP.NET (hệ thống sẽ tự động chọn thêm Enable network COM+ Access và IIS). b. Cài Enterprise Root CA “NhatNghe”: Start Settings Control Panel Add or Remove Programs Add / Remove Windows Components chọn Certificate Services. Lưu ý chọn Enterprise Root CA và Enable Active Server Page. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 10 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 11 2. Cấp Certificate cho user. User dùng Certificate để signing, encrypt mail: a. Log on U1, xin certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv Request a certificate User certificate Submit Install this certificate Yes b. Kiểm tra certificate của U1: Start Run “mmc” Trong console, chọn menu File Add / Remove Snap-in Add > chọn Certificates Add Close. Lưu console trên desktop với tên “U1_Cert.msc” c. Log on U1, gửi mail có signing và encrypt (cho chính mình) 3. User export key: Mở Console “U1_Cert.msc” đã lưu ở bước 2b. Click chuột phải trên Certificate của U1 chọn Export Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 12 Trong hộp thọai Certificate Export Wizard, chọn “Yes, Export Private key” Next chọn “Personal Info…” và “Enable strong…” Next nhập password 123, confirm password 123 Next nhấn nút Browse, tạo folder C:\CertKey, đặt tên file là “CuTi.pfx” Next chọn “Place all certifictaes…”: Personal Next Finish Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 13 4. Giả lập key bị thất lạc: a. Log on administrator. Xóa profile của user U1. b. Log on U1 xem lại mail đã signing và encrypt trước đó. 5. User import key: a. Log on U1, tạo lại console U1_Cert (xem 2b), dùng console certificate để import key từ file pfx. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 14 b. Xem lại mail đã signing và encrypt trước đó. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 15 PHẦN 2: KEY RECOVERY AGENT I - Nội dung: - Cài đặt Enterprise Root CA. - Issue enterprise certificate cho user. User dùng certificate để signing, encrypt mail. - Administrator tạo Key Recovery Agent (KRA) - Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt. - Key Recovery Agent phục hồi key cho user. II - Chuẩn bị: Tương tự phần 1 III - Thực hiện: 1. Cài đặt Enterprise Root CA: Tương tự phần 1 2. Administrator tạo Key Recovery Agent (KRA) a. Tạo certificate template mới bằng cách điều chỉnh một certificate template có sẵn và gán quyền sử dụng cho user: Start Programs Administrative Tools Certification Authority Click nút phải chuột trên Certificate Template Manage Click nút phải chuột trên Template User Duplicate Trong tab General, nhập Template display name và Template name: “UserVersion2”. Trong tab Request handling, chọn option “Archive subject’s encryption private key” Trong tab Security, cấp cho 2 group Authenticated Users và Domain Users các quyền: Read, Enroll và Autoenroll. Đóng chương trình “Certificate Template”. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 16 b. Phát hành certificate template mới: KRA và UserVersion 2: Trở lại chuơng trình Certificate Authority. Click nút phải chuột trên Certificate Template New Certificate Template to Issue. Chọn 2 template “Key Recovery Agent” và “User Version2” Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 17 c. Tạo KRA: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv Request a certificate advanced certificate request Create and submit a request to this CA chọn Certificate template “ Key Recovery Agent” Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 18 . UserVersion2 do Admin mới tạo. b. User dùng certificate để signing, encrypt mail (tương tự 2c trong phần 1) Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 22 4. Giả. chọn KRA certificate OK Yes để restart Certificate Services Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 20 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 21 3.
