BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ HỌC PHẦN BÀI THỰC HÀNH THIẾT LẬP SỬ DỤNG SSL ĐỂ Mà HÓA CHO DỊCH VỤ WEB, MAIL Hà Nội, 2021 MỤC LỤC MỤC LỤC Thông tin phiên thực hành Điều kiện tiên Giới thiệu Kịch thực hành 4 Mục tiêu thực hành Tổ chức thực hành Yêu cầu thực hành 6.1 Phần cứng, phần mềm 6.2 Máy ảo công cụ Nội dung thực hành 7.1 Mô hình triển khai 7.2 Thiết lập môi trường 7.2.1 Chuẩn bị 7.2.2 Thiết lập card mạng 7.3 Triển khai SSL cho Web Server 7.3.1 Cài đặt DNS Server, Web Server (IIS), CA Server Windows 2012 7.3.2 Cấu hình dịch vụ Certification Authority 7.3.3 Cấu hình dịch vụ DNS 7.3.4 Kiểm tra hoạt động Web Server (IIS) 14 7.3.5 Cấu hình SSL cho dịch vụ Web 15 7.4 Triển khai SSL cho Mail Server 23 7.4.1 Tạo ghi MX DNS 23 7.4.2 Cài đặt tạo tài khoản mail client 25 7.4.3 Thực gửi thư khơng có mã hóa 27 7.4.4 Thực gửi thư có mã hóa 31 -2- Thông tin phiên thực hành Phiên Ngày tháng 1.0 09/09/2021 Mô tả Thực Xây dựng từ đầu TS Lại Minh Tuấn -3- Điều kiện tiên  Đối với giảng viên: Trước buổi học, giảng viên (người hướng dẫn thực hành) cần kiểm tra phù hợp điều kiện thực tế phòng thực hành với yêu cầu thực hành Nghiên cứu nội dung thực hành  Đối với sinh viên: Xem lại lý thuyết học, chuẩn bị sẵn công cụ, máy ảo phần Yêu cầu thực hành Giới thiệu  Bài thực hành “Thiết lập sử dụng ssl để mã hóa cho dịch vụ web, mail” thực triển khai giải pháp đảm bảo an tồn q trình sử dụng Web Mail Server Kịch thực hành  Bài thực hành chia làm 02 phần Trong Phần hướng dẫn sinh viên cài đặt, cấu hình dịch vụ phân giải tên miền DNS, cài đặt cấu hình cho dịch vụ Web IIS Cài đặt dịch vụ cung cấp chứng thư số Certification Authority (CA) Xin chứng thư cấu hình SSL cho dịch vụ web IIS nhằm mục đính bảo mật liệu đường truyền máy trạm client máy chủ web  Trong phần thực hành hướng dẫn sinh viên cài đặt cấu hình máy chủ dịch vụ mail MDaemon V10, cài đặt cấu hình phần mềm mail client Thunderbird, xin cấp chứng thư số cho tài khoản mail client sử dụng CA, cấu hình chứng thư số tương ứng để người dùng mã hóa ký số mail gửi từ người dùng đến người dùng khác nhằm mục đích đảm bảo tính bí mật tồn vẹn nội dung email gửi đường truyền Mục tiêu thực hành  Triển khai, cài đặt, cấu hình DNS Server, Web Server, CA Server, Mail Server  Thực xin, cấp phát chứng thư số cho Web Server người dùng hệ thống  Thiết lập Web Server sử dụng SSL  Thiết lập gửi mail có mã hóa ký số Tổ chức thực hành  Yêu cầu thực hành: Thực hành độc lập Yêu cầu thực hành 6.1 Phần cứng, phần mềm  Yêu cầu phần cứng:  Mỗi sinh viên bố trí 01 máy tính với cấu hình tối thiểu: CPU 3.0 GHz, RAM 8GB, HDD 50GB  Yêu cầu phần mềm máy:  Hệ điều hành Windows Server 2012 R2, Windows 7x64  Phần mềm cần thiết: VMware Worstation 15.0 trở lên, MDaemon V10, Thunderbird Setup 31.5.0, Wireshark  Yêu cầu kết nối mạng LAN: Không  Yêu cầu kết nối mạng Internet: Không  Yêu cầu khác: máy chiếu, bảng viết, bút/phấn viết bảng 6.2 Máy ảo công cụ  Windows Server 2012 R2, Windows 7x64 Nội dung thực hành 7.1 Mơ hình triển khai 7.2 Thiết lập môi trường 7.2.1 Chuẩn bị  Trên Windows Server 2012: Sinh viên thực đổi tên máy có dạng Hoten  Tắt tường lửa tất máy 7.2.2 Thiết lập card mạng  Trên Windows Server 2012:  Sau cấu hình xong địa IP, tiến hành kiểm tra hoạt động máy 7.3 Triển khai SSL cho Web Server 7.3.1 Cài đặt DNS Server, Web Server (IIS), CA Server Windows 2012  Đăng nhập tài khoản quản trị Adminstrator vào máy chủ Windows Server 2012  Tại cửa sổ Server Manager → Manage → Add Roles and Features  Tại cửa sổ Select server roles tích chọn thêm 03 dịch vụ: + Active Directory Certificate Services + DNS Server + Web Server (IIS)  Trong cửa sổ Select role service tích chọn dịch vụ: Certification Authority Certification Authority Web Enrollment  Các lựa chọn khác để mặc định Bấm Install để bắt đầu cài đặt dịch vụ chọn 7.3.2 Cấu hình dịch vụ Certification Authority  Sau cài đặt dịch vụ CA thành cơng, phải cấu hình tiếp cho CA Kích chọn vào biểu tượng hình cờ giao diện Server Manager hình chọn Configure Active Directory Certificate Services  Trong giao diện Role Services tích chọn tùy chọn Certification Authority Certification Authority Web Enrollment  Trong giao diện Setup Type chọn Standalone CA → Next  Trong giao diện CA Type chọn Root CA → Next  Trong giao diện Private Key chọn Create a new private key → Next Các lựa chọn khác để mặc định  Tại cửa sổ Confirmation kiểm tra lại thơng tin cấu hình Chọn Configure để bắt đầu cấu hình  Bấm Close để hồn tất q trình cấu hình dịch vụ CA 7.3.3 Cấu hình dịch vụ DNS  Tại Server Manager chọn DNS Nháy chuột phải vào máy chủ DNS → DNS Manager  Cửa sổ cấu hình DNS xuất  Để tiến hành cấu hình phân giải xi (Forward Lookup Zones) thực click chuột phải vào mục Forward Lookup Zones → New Zone Trong mục Zone Type → Primary zone  Trong mục Zone Name → điền tên miền có dạng: Hovaten.kma (yêu cầu bắt 10 buộc)  Kết chặn bắt cho thấy kẻ công biết thơng tin q trình gửi nhận, tiêu đề mail quan trọng biết nội dụng mail 7.4.4 Thực gửi thư có mã hóa Bước 1: Cài đặt chứng thư số cho người dùng user1  Bật trình duyệt web IE truy cập theo đường dẫn https://www.lmt.kma/certsrv/  Để yêu cầu cấp chứng thư số, giao diện web xuất chọn Request a certificate: 31  Tiếp tục chọn Advanced certificate request → Create and submit a request to this CA  Trong mục Identifying Information: Nhập thông tin user1  Trong mục Type of Certificate Needed → E-mail protection certificate  Trong mục Key options: tích chọn Mark keys as exportable  Nhấn Submit để gửi yêu cầu tới CA Bước 2: Truy cập vào dịch vụ CA để cấp phát chứng thư cho người dùng user1  Truy cập vào mục Pending requests ta thấy có chứng thư chờ đợi đồng ý 32  Chuột phải vào chứng thư chọn All Tasks → Issue  Như chứng thư cấp cho người dùng user1 Bước 3: Cài đặt chứng thư user1 vào máy chủ Windows Server 2012  Truy cập vào trình duyệt web IE theo đường dẫn https://www.lmt.kma/certsrv  Trong mục Select a task chọn View the status of a pending certificate request  Chọn E-Mail Protection Certificate  Tiếp tục chọn Install this certificate 33  Thông báo việc cài đặt thành cơng Certificate Bước 4: Trích xuất chứng thư người dùng user1 thành định dạng để import vào phần mềm Thunderbird  Bật công cụ MMC từ Run  Chọn File → Add/Remove Snap-in → Certificates → Add (My user account) → Finish → OK  Trong giao diện MMC, truy cập Personal → Certificate Click chuột phải vào chứng thư user1 chọn All Tasks → Export  Giao cửa sổ Certificate Export Wizard chọn Next để tiếp tục  Giao diện Export Private Key chọn No, not export the private key  Chọn Next để tiếp tục  Trong giao diện Export File Format ta lựa chọn DER encoded binary X.509 34 (.CER)  Chọn Next để tiếp tục, chọn nơi lưu trữ đặt tên cho chứng thư user1.cer  Tiếp tục lại q trình trích xuất chứng thư user1 lần trích xuất khóa bí mật user1  Định dạng: 35  Trong mục Security: nhập mật để bảo vệ khóa  Tiếp tục chọn nơi lưu đặt tên cho chứng thư  Kết thúc q trình trích xuất chứng thư với định dạng user1.cer user1.pfx  Thực tương tự người dùng user2 máy Windows Sau sử dụng email để gửi cho user1 chứng thư user2 Bước 5: Trích xuất chứng thư CA để Import vào Thunderbird  Trong giao diện MMC Console Root → Trusted Root Certification Authorities chọn chứng thư CA → All Tasks → Export 36  Trong giao diện Export File Format ta lựa chọn DER encoded binary X.509 (.CER) Đặt tên cho chứng thư LMTCA.cer chọn nơi lưu trữ Bước 6: Import chứng thư người dùng user1 vào Thunderbird  Bật Thunderbird lên thực theo đường dẫn: chọn biểu tượng dấu gạch ngang phía góc phải Thunderbird → Chọn Options → Account Settings  Trong giao diện Account Setting chọn tab Security  Trong mục Certificates chọn View certificate  Trong giao diện Certificate Manager chọn Tab Authorities → Chọn Import 37 trỏ đến nơi lưu trữ chứng thư CA trích xuất bước  Chọn OK  Trong Tab People thực Import chứng thư user2 với định dạng user2.cer người dùng user1 muốn gửi thư có mã hóa cho user2 cần phải có public key lưu trữ chứng thư số user2 38  Trong Tab Your Certificates thực Import chứng thư user1 với định dạng user1.pfx, nhập mật bảo vệ  Nhấn OK để kết thúc  Từ giao diện Account Setting mục Digital Signing trỏ đến chứng thư Import  Tương tự mục Encryption hỏi ta có muốn sử dụng chứng thư Import để mã hóa giải mã thư hay không Chọn Yes để đồng ý  Nhấn OK để kết thúc cấu hình chứng thư cho người dùng user1 39 Bước 7: Cài đặt chứng thư số cho người dùng user2  Các bước thực tương tự từ bước đến bước cho người dùng user1 máy chủ Windows Server 2012  Tuy nhiên có số lưu ý trình cài đặt Certificate cho user2 nhận thông báo This CA is not trusted máy Client chưa import chứng thư số CA Do ta chọn Install this CA certificate để cài đặt chứng thư số CA lên máy Client  Chứng thư số CA tải xuống, chọn Install Certificate… để cài đặt 40  Tại cửa sổ Certificate Import Wizard chọn vị trí lưu trữ cho chứng thư CA Chọn Trusted Root Certification Authorities  Thông báo xuất việc hỏi có chắn tin cậy cài chứng thư CA Server vào máy hay không Chọn Yes để cài đặt 41  Sau cài đặt chứng thư số CA hoàn tất, ta thực cài đặt lại chứng thư số user2 tương tự mục user1 từ bước đến bước  Trong Certificate Manager user2, tab People thực Import thêm chứng thư người dùng user1 với định dạng user1.cer 42 Bước 8: Gửi thư có mã hóa có ký số  Từ người dùng user2 soạn thư có mã hóa ký số gửi cho user1  Chuyển sang tài khoản user1 để kiểm tra kết 43  Kết người dùng user1 nhận mail, mail có biểu tượng ký số mã hóa Bước 9: Thử nghiệm chặn bắt thông tin đường truyền  Thực nghiệm gửi email có mã hóa user1 user2 cịn máy Windows XP đóng vai trị kẻ cơng chặn bắt phân tích thơng tin Trong kết chặn bắt này, kẻ cơng biết người gửi người nhận, tiêu đề mail, đọc nội dung email mã hóa 44 45