Đang tải... (xem toàn văn)
Tìm hiểu và ứng dụng của CA trên môi trường windows server 2008
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN -o0o - ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ ỨNG DỤNG CỦA CA TRÊN MÔI TRƯỜNG WINDOWS SERVER 2008 Sinh Viên Thực Hiện: Giáo Viên Hướng Dẫn: TS ĐẶNG TRƯỜNG SƠN THÀNH PHỐ HỒ CHÍ MINH Lời cảm ơn Lời chúng em xin tỏ lòng biết ơn sâu sắc đến Thầy Đặng Trường Sơn, người thầy cho chúng em định hướng ý kiến quý báu đề tài Cảm ơn Thầy dạy hướng dẫn chúng em tận tình từ lúc lựa chọn đề tài trình thực đồ án Chúng em xin gửi lời cảm ơn đến Khoa CNTT trường Đại Học Kỹ Thuật Công Nghệ TP HCM tạo điều kiện cho chúng em thực đồ án tốt nghiệp Cảm ơn Thầy, Cô khoa tận tâm giảng dạy, cho chúng em kiến thức thật hữu ích năm qua Chúng em xin cảm Thầy Cô, bạn bè khố dìu dắt, giúp đỡ chúng em tiến suốt năm học qua Xin cảm ơn gia đình bè bạn, người ln bên cạnh, khuyến khích giúp đỡ chúng em hồn cảnh khó khăn Được hồn thành thời gian hạn hẹp, đồ án chắn nhiều khiếm khuyết, kính mong q Thầy Cơ bạn tận tình bảo Chúng em xin cảm ơn thầy cô, bạn bè người thân có góp ý chân tình cho nội dung đồ án này, để chúng em tiếp tục sâu tìm hiểu ứng dụng thực tiễn công tác Một lần chúng em xin chân thành cảm ơn Thầy dìu dắt hướng dẫn tận tình thời gian qua Xin kính chúc Thầy dồi sức khỏe thành công sống Nhóm sinh viên thực LỜI NĨI ĐẦU Tình trạng an tồn mạng Việt Nam ngày nghiêm trọng, khơng phải trình độ tin tặc hackers cao khó đối phó, lý khách quan khác làm cho giới IT bị khó khăn cần bảo vệ an tồn thơng tin Theo báo cáo Ban Cơ Yếu Chính Phủ, gần 60% website quan nhà nước, quan kinh doanh mạng, hay tổ chức tín dụng bị hacker thâm nhập cơng nhằm tìm thơng tin có lợi cho chúng Tình trạng hacker nước có, chí nước phát triển cao hacker nhiều tỏ có tay nghề khó đối phó Việt Nam nước có tình trạng tin tặc lộng hành phổ biến lãnh vực internet Việt Nam chưa xem cao khu vực Nhiều website Việt Nam hoạt động mạng tồn cầu có tính chất thông tin chủ yếu chưa đạt tới mức mua bán, trao đổi trực tuyến đa số nước khác Việc gây lo ngại cho phủ mà doanh nghiệp tư nhân bất an không kém, đặc biệt doanh nghiệp chuẩn bị việc mua bán mạng Viễn cảnh thiếu an tồn khiến khơng sở ngưng triển khai việc tạo trang nhà phục vụ yêu cầu kinh doanh trao đổi hay mua bán trực tuyến Việc trực tiếp gây trở ngại cho tăng trưởng kinh tế thời đại hội nhập toàn cầu Ngày nay, việc giao tiếp qua mạng Internet trở thành nhu cầu cấp thiết Các thông tin truyền mạng quan trọng, mã số tài khoản, thông tin mật Tuy nhiên, với thủ đoạn tinh vi, nguy bị ăn cắp thông tin qua mạng ngày gia tăng Hiện giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP Đây giao thức cho phép thông tin gửi từ máy tính tới máy tính khác thơng qua loạt máy trung gian mạng riêng biệt Chính điều tạo hội cho ''kẻ trộm''cơng nghệ cao thực hành động phi pháp Các thông tin truyền mạng bị nghe trộm (Eavesdropping), giả mạo (Tampering), mạo danh (Impersonation) v.v Các biện pháp bảo mật nay, chẳng hạn dùng mật khẩu, không đảm bảo bị nghe trộm bị dị nhanh chóng Do vậy, để bảo mật, thơng tin truyền Internet ngày có xu hướng mã hoá Trước truyền qua mạng Internet, người gửi mã hố thơng tin, q trình truyền, dù có ''chặn'' thơng tin này, kẻ trộm khơng thể đọc bị mã hố Khi tới đích, người nhận sử dụng cơng cụ đặc biệt để giải mã Phương pháp mã hoá bảo mật phổ biến giới áp dụng chứng số (Digital Certificate) Với chứng số, người sử dụng mã hố thơng tin cách hiệu quả, chống giả mạo (cho phép người nhận kiểm tra thơng tin có bị thay đổi khơng), xác thực danh tính người gửi Ngồi chứng số chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu gửi Ngày nay, giải pháp an ninh toàn diện cạnh tranh với PKI thực chưa tìm thấy Từ góc độ giải pháp cơng nghệ, điều làm cho việc chọn lựa trở nên đơn giản Nhiều hãng khác cung cấp giải pháp PKI, song bạn đầu tư cho công nghệ Microsoft doanh nghiệp mình, bạn tận dụng lợi mà tập đồn khổng lồ có PKI cho phép bạn tạo quan hệ tin cậy chứng thực tổ chức khác giải pháp PKI Windows Server 2008 bao gồm tính Nó giúp bạn bắt đầu với phạm vi quan hệ tin cậy không lớn cho phép bạn mở rộng phạm vi tương lai PKI công nghệ xác thực hồn thiện sử dụng phương pháp mã hố dựa khố bí mật khố cơng cộng Tuy nhiên, PKI bao gồm việc ứng dụng rộng rãi dịch vụ bảo mật khác, bao gồm dịch vụ liệu tin cậy, thống liệu tổng thể quản lý mã khoá Đồ án “Tìm hiểu ứng dụng CA mơi trường Windows Server 2008” giới thiệu kiến thức tổng quát hệ thống cung cấp dịch vụ chứng số CA, hạ tầng khóa cơng khai PKI, chứng số thành phần quan trọng khác để xây dựng hệ thống mã hóa, cung cấp chứng số, bảo đảm thông tin trao đổi mạng Mục lục Lời cảm ơn Lời nói đầu Danh mục từ viết tắt Danh mục hình Mục lục Chương 1: Tổng quan 1.1 Đặt vấn đề 1.2 Tình hình sử dụng dịch vụ chứng số 1.2.1 Ở Việt Nam 1.2.2 Tình hình số nước khác 1.2.3 Nhiệm vụ đồ án Chương 2: Chứng số hạ tầng sở khóa cơng khai 2.1 Chứng số 2.2 Định dạng X.509 2.2.1 Định dạng X.509 version 2.2.2 Định dạng X.509 version 2.2.3 Định dạng X.509 version 2.3 Các loại chứng số 2.3.1 Chứng số CA 2.3.2 Chứng số thực thể cuối 2.3.3 Lợi ích chứng số 2.3.4 Ứng dụng chứng số 2.4 Tổng quan hạ tầng khóa cơng khai – PKI 2.4.1 Giới thiệu 2.4.2 Các thành phần PKI 2.4.3 Chức PKI 2.4.4 Các mơ hình tin cậy PKI Kết chương Chương 3: CA Windows Server 2008 3.1 Các loại CA 3.1.1 Root Subordinate CA 3.1.2 Enterprise CA Stand-alone CA 3.1.2.1 Enterprise CA 3.1.2.2 Standalone CA 3.2 Quá trình cài đặt CA 3.2.1 Cài đặt Root CA 3.2.2 Cài đặt Subordinate CA 3.3 Cấp phát quản lý chứng số 3.3.1 Cấp phát tự động 3.3.2 Cấp phát không tự động 3.4 Chứng số mẫu 3.4.1 Chứng số mẫu version 3.4.2 Chứng số mẫu version 3.4.3 Chứng số mẫu version 3.4.4 Các mẫu chứng mặc định Windows Server 2008 3.5 Yêu cầu chứng số 3.5.1 Sử dụng Certificate Request Wizard 3.5.2 Sử dụng Web Enrollment Kết chương Chương 4: Kết thực nghiệm 4.1 Mơ hình demo bước chuẩn bị CHƯƠNG 1: TỔNG QUAN 1.1 Đặt vấn đề: Muốn bảo vệ liệu mà dựa vào việc mã hoá liệu nguy hiểm Ngày có nhiều tin tặc đọc trộm liệu, tráo đổi liệu mạo danh để xâm nhập cách táo tợn thiện nghệ Cho tới việc mật mã hóa liệu phương pháp đủ mạnh để bảo vệ liệu quan trọng riêng tư không bị xâm phạm soi mói tọc mạch hay dụng tâm có ác ý Tuy nhiên, phương tiện truyền thơng giới tường thuật nhiều khả để rò rỉ liệu cá nhân khách hàng mã số bảo hiểm xã hội, thơng tin thẻ tín dụng … Để đáp ứng tiêu chuẩn nghiêm ngặt vốn đòi hỏi liệu phải lưu trữ bảo vệ suốt thời gian đó, cơng ty phải tuyên chiến với nạn đánh cắp, tráo đổi liệu biện pháp gồm nhiều tầng lớp mà mức thấp mật mã hóa mức cao tích hợp nhiều chữ ký điện tử, chứng thực điện tử quản lý khóa theo trật tự cấp bậc (hierachical key) Việc kết nối qua mạng Internet chủ yếu sử dụng giao thức TCP/IP TCP/IP cho phép thông tin gửi từ máy tính tới máy tính khác thơng qua loạt máy trung gian mạng riêng biệt trước tới đích Tuy nhiên, tính linh hoạt giao thức TCP/IP tạo hội cho “bên thứ ba” thực hành động bất hợp pháp, cụ thể là: - Nghe trộm (Eavesdropping): Thông tin khơng bị thay đổi, bí mật khơng cịn Ví dụ, biết số thẻ tín dụng, thơng tin cần bảo mật bạn - Giả mạo (Tampering): Các thông tin truyền bị thay đổi thay trước đến người nhận Ví dụ, sửa đổi đơn đặt hàng thay đổi lý lịch cá nhân - Mạo danh (Impersonation): Thông tin gửi tới cá nhân mạo nhận người nhận hợp pháp Có hai hình thức mạo danh sau: + Bắt chước (Spoofing): Một cá nhân giả vờ người khác Ví dụ, dùng địa mail người khác giả mạo tên miền trang web + Xuyên tạc (Misrepresentation): Một cá nhân hay tổ chức đưa thơng tin khơng thật họ Ví dụ, có trang web mạo nhận chuyên kinh doanh trang thiết bị nội thất, thực tế trang chuyên ăn cắp mã thẻ tín dụng khơng gửi hàng cho khách Nhiều sản phẩm thực lưu trữ thường hay truyền lưu liệu dạng đơn giản thông qua giải thuật mật mã hóa đơn sơ Trong nhiều kỹ thuật tinh xảo dùng để đảm bảo liệu lưu phương tiện nhớ ban đầu truy cập người khơng có thẩm quyền liệu lưu phương tiện backup lại người khơng có thẩm quyền truy cập khôi phục cách thoải mái Mật mã hóa cách làm tốt lợi ích cịn hạn chế Đó lý an toàn liệu cần phải tích hợp chữ ký điện tử, chứng thực điện tử phương pháp quản lý khóa theo trật tự cấp bậc Áp dụng chứng số cho chứng thực điện tử giải pháp hữu hiệu để bảo đảm an tồn thơng tin, sở cho người gửi, nhận cung cấp liệu, thông tin qua mạng, ký kết hợp đồng, toán điện tử, hóa đơn, chứng từ điện tử … Cùng với phát triển ứng dụng mạng đặc biệt ứng dụng Chính phủ điện tử, thương mại điện tử chứng thực điện tử trở thành yếu tố thiếu Việc đời chứng thực điện tử đáp ứng nhu cầu xã hội mà cịn có tác dụng to lớn việc phát triển ứng dụng mạng Chứng thực điện tử hoạt động chứng thực danh tính người tham gia vào việc gửi nhận thông tin qua mạng, đồng thời cung cấp cho họ công cụ, dịch vụ cần thiết để thực việc bảo mật thông tin, chứng thực nguồn gốc nội dung thông tin Hạ tầng công nghệ chứng thực điện tử sở hạ tầng khóa cơng khai ( PKI – Public Key Infrastructure) với tảng mật mã khóa cơng khai chữ ký số Người sử dụng chứng thực điện tử quan cung cấp dịch vụ chứng thực điện tử (CA – Certification Authority) cung cấp cho chứng số phải gán cặp khóa mã ( khóa bí mật khóa cơng khai ) để tham gia sử dụng chứng thực điện tử ứng dụng mà tham gia Chứng thực điện tử có chức sau: - Tính xác thực: Đảm bảo xác định thực thể hợp pháp - Tính bảo mật: Mã hóa thơng tin gửi mạng, đảm bảo bí mật thơng tin - Tính tồn vẹn liệu: Xác định thơng tin nhận có thông tin gửi không hay bị thay đổi - Tính khơng thể chối bỏ: Chứng thực điện tử đảm bảo cho người sử dụng chối bỏ liệu mà gửi Chính có tính nên chứng thực điện tử sử dụng nhiều ứng dụng như: - Ký vào tài liệu điện tử - Thư điện tử bảo đảm - Thương mại điện tử - Bảo vệ mạng WLAN (Wireless Local Area Network ) - Bảo đảm an toàn cho dịch vụ Web - Mạng riêng ảo VPN … 1.2 Tình hình sử dụng dịch vụ chứng số : 1.2.1 Ở Việt Nam: Chứng số, phạm vi dự thảo Tiêu chuẩn quốc gia, tập tin mang thông tin khố cơng khai cá nhân, tổ chức hay thiết bị, ứng dụng muốn truy nhập vào hệ thống Chứng số dùng dịch vụ chứng thực sử dụng chữ ký số tảng sở hạ tầng khố cơng khai qua Internet Tiêu chuẩn ITU-T X.509 sử dụng rộng rãi dựa hạ tầng khóa cơng khai PKI 10 Web Basic EFS Sử dụng Encrypting File System User (EFS) để mã hóa liệu CA Exchange Được dùng để lưu trữ khóa riêng Computer tư CEP Encryption Cho phép người nắm giữ Computer chứng hoạt động Registration Authority (RA) cho yêu cầu Simple Certificate Enrollment Protocol (SCEP) Code signing Sử dụng để ký số vào phần mềm User Computer Cho phép máy tự chứng thực Computer 1 mạng Cross-Certification Được dùng cho việc xác thực CrossAuthority chéo CA cấp đạt chất certified CA lượng Directory E-mail Được dùng để tái tạo e-mail Computer Replication AD DS Domain controller Được sử dụng DC Computer chứng đa mục đích (xác thực người dùng máy tính) Domain Controller Dùng để xác thực user máy Computer Authentication tính Active Directory EGS Recovery Cho phép đối tượng giải mã User Agent tập tin mà trước mã hóa EFS Enrollment Agent Được sử dụng để yêu cầu chứng User thay mặt cho đối tượng khác Enrollment Agent Được sử dụng để yêu cầu chứng Computer 81 (Computer) thay mặt cho máy tính khác Exchange Được dùng để yêu cầu chứng User Enrollment Agent cho đối tương khác có cung (Offline request) cấp tên đối tượng chứng Exchange Được sử dụng dịch vụ User Signature Only Microsoft Exchange Key Management Servicer để cấp phát chứng cho email có chữ ký số đến user Mail Exchange Exchange User Tương tự Exchange User Signature Only giành cho việc mã hóa e-mail IPSec Được sử dụng giao thức Computer Internet Protocol để ký số, mã hóa giải mã giao tiếp mạng IPSEC (Offline Được sử dụng giao thức Computer request) Internet Protocol (IPSec) để ký số, mã hóa giải mã giao tiếp mạng tên đối tượng cung cấp yêu cầu chứng Kerberos Được dùng để xác thực user Authentication máy tính AD Key Recovery Agent OCSP Response Computer Dùng để phục hồi khóa riêng tư Key trường hợp cần thiết, khóa Recovery riêng lưu trữ CA Agent Được sử dụng Online Computer 82 Signing Responder để phản hồi yêu cầu tình trạng chứng RAS and IAS Cho phép truy cập từ xa đến Server máy chủ server Internet Computer Authentication Service (IAS) để xác thực nhận dạng chúng cho máy tính khác Root Certification Dùng để chứng minh nhận dạng CA Authority Root CA Router (Offline Được sử dụng router Computer request) thông qua yêu cầu SCEP từ 1 CA chứa chứng CEP Encryption Smartcard Logon Cho phép người sử dụng User User CA User User Cho phép user ký số vào liệu User Chứng minh nhận dạng Computer xác thực cách sử dụng thẻ smart-card Smartcard User Cho phép người dùng xác thực bảo vệ e-mail với thẻ Smart-card Subordinate Được dùng để chứng minh nhận Certification dạng CA gốc Được cấp phát Authority CA cấp CA gốc Trust List Signing Cho phép người dùng ký số vào danh sách tin tưởng User Được dùng cho e-mail, mã hóa EFS xác thực client người dùng User Signature Only Web Server Web Server 83 Workstation Cho phép máy client xác thực Authentication nhận dạng đến máy chủ Computer 3.5 Yêu cầu chứng số - Requesting Certificate Yêu cầu chứng số phải thực user, máy tính, dịch vụ mà có quyền truy cập vào khóa riêng liên kết với khóa cơng khai Tuỳ thuộc vào sách khóa cơng khai thành lập người quản trị hệ thống, máy tính dịch vụ u cầu chứng tự động mà khơng có can thiệp người dùng Có hai cách để yêu cầu chứng số, ta sử dụng Certificate Request Wizard hay Certificate Services Web pages để thực việc 3.5.1 Sử dụng Certificate Request Wizard: Chỉ có Enterprise CA mơi trường domain cấp phát chứng việc sử dụng Certificate Request Wizard Phải thành viên nhóm Users hay nhóm Administrators cục yêu cầu tối thiểu để thực việc Để yêu cầu chứng số ta làm theo bước sau: Vào Start/ Run gõ mmc OK Ở cửa sổ ta chọn menu File/ Add/Remove Snap-in … Tiếp theo ta chọn Certificates nhấn Add 84 Khi nhấn Add cửa sổ yêu cầu ta chọn snap-in quản lý chứng cho user, dịch vụ hay tài khoản máy tính: Trong mục Console Root: ta chọn Certificates-Curent User/ Personal/ Certificate Trong menu hoạt động, ta chọn All Tasks/ Request New 85 Certificate …để khởi động Certificate Enrollment Wizard Nhấn Next để tiếp tục Chọn loại chứng mà ta muốn yêu cầu, ta nhấn vào nút Details để xem thêm thông tin loại chứng Nhấn Enroll để kết thúc 86 3.5.1 Sử dụng Web Enrollment: Mỗi CA cài đặt Windows Server 2008 có trang web mà user truy cập để gửi yêu cầu chứng Địa mặc định trang thường là: https://servername/certsrv Phải thành viên nhóm Users hay nhóm Administrators cục yêu cầu tối thiểu để thực việc Để thực việc ta cần cài dịch vụ IIS vào máy tính trước.Khi cài đặt dịch vụ Active Directory Certificates Services ta phải chọn cài thêm mục Certification Authority Web Enrollment để thực việc yêu cầu chứng thông qua Web, dịch vụ trang Web máy cài CA trang Web cho phép người dùng gửi yêu cầu cấp phát chứng số 87 Đối với Stand-alone CA cấp phát thơng qua trang Web cách để cấp chứng số Bởi Certificate Snap-in khơng sử dụng để u cầu chứng số Stand-alone CA Enterprise CAs chấp nhận yêu cầu chứng số qua Certificate Snap-in hay Web Enrollment Đây thành phần riêng biệt dịch vụ chứng số Những trang Web cài mặc định thiết lập CA cho phép người yêu cầu chứng số gửi yêu cầu thông qua Web Browser A Trên Stand-alone CA: Cấu hình Web Server (https): Bước 1:Tạo public key cho web server: Vào dịch vụ IIS Manager Server Certificate Create certificate request Điền thông tin để mơ tả certificate (ở mục Common Name, điền tên trang web (nếu internet nên lấy tên từ DNS Name, local nên lấy từ NetBios Name)) Chọn nhà cung cấp dịch vụ certificate chiều dài khóa mã Certificate request (public key) ta lưu file text, đặt tên file chọn vị trí lưu file Nhấn Next Finish 88 Bước 2:Gởi yêu cầu chứng đến CA: Sử dụng trình duyệt web để truy cập vào trang web certificate CA theo địa http://ip_cua_CA_server/certsrv http://ten_trang_web/certsrv ( ví dụ ta truy cập sau http://192.168.1.1/certsrv http://web.com/certsrv ) Request a certificate xuất yêu cầu chọn loại certificate, có loại: − Web Brower Certificate : sử dụng cho web client − Email Protection Certificate : sử dụng cho email client − Advance Certificate Request : sử dụng cho web server mail server… Chú ý: Nếu CA thuộc loại Stand-alone vào trang Web không yêu cầu username password Nếu Enterprise CA xuất hộp thoại Login, yêu cầu nhập username password yêu cầu chứng 89 Ở ta chọn Advance Cerificate Request tùy theo loại CA mà có policy khác nhau, chọn Submit a certificate request by using a base-64encoded CMC or PKCS #10 file, or submit a renewal request by using a base64-encoded PKCS #7 file Next Lúc ta thấy textbox Base-64-encoded certificate request (CMC or PKCS #10 or PKCS #7) yêu cầu copy public key Webserver ta vừa tạo ra, lúc ta mở file text copy toàn nội file vào textbox này, chọn Submit thông báo ta tạo Certificate Request thành công CA nhận request này, số nhận dạng Cerificate Request Id ta (Your Request Id is 2) (Tham khảo đoạn video Send Certificate Request to CA.wmv) 90 Bước 3: CA cấp phát Certificate cho WebServer Lúc vào Certification Authority vào thư mục Pending Requests ta thấy thông tin Request vừa nhận từ webserver: số ID, common name, ngày yêu cầu,… click chuột phải vào Request chọn All tasks Issue, lúc CA cấp phát Certificate cho webserver vào thư mục Issued Certificate, ta thấy Request vừa cấp phát (Tham khảo đoạn video CA issue Certificate to Webserver.wmv) Bước 4: Nhận Certificate CA Truy cập lại trang web certificate CA chọn View the status of a pending certificate request ta thấy Certificate vừa CA cấp phát, click chọn certificate Download Certificate lưu certificate (Tham khảo đoạn video Receive Certificate from CA.wmv) Bước 5: Cài đặt Certificate cho WebServer Vào dịch vụ IIS Server Certificate Complete certificate request hộp thoại yêu cầu browe đến certificate vừa nhận từ CA đặt tên cho lúc ta thấy Server Certificate xuất thêm dòng certificate vừa cài đặt vào dịch vụ IIS Ta tiếp tục áp dụng certificate vào webserver : chọn webserver click chuột phải chọn Edit Bindings chọn Add, để thêm thông tin việc truy cập https mục type ta chọn https, lúc yêu cầu ta chọn SSL Certificate certificate vừa thêm Ok Như ta cài đặt xong certificate cho WebServer, thử truy cập địa https://ip_cua_CA_server https://ten_trang_web ( ta truy cập sau https://192.168.1.1 https://web.com ) (Tham khảo đoạn video Install Certificate for WebServer.wmv) Cấu hình client: 91 Lúc Client ta truy cập đến trang web địa https, nhiên cảnh báo client chưa cài đặt certificate View Certificate Truy xuất http://ip_cua_CAserver/certsrv http://web.com/certsrv Request a Certificate Web browser Certificate điền thông tin theo yêu cầu Submit xuất hộp thoại hỏi ta có muốn u cầu certificate khơng, chọn Yes lúc ta thấy thông báo yêu cầu gửi tới server có số ID ta (server thấy số ID biết yêu cầu từ máy client nào!) Vào dịch vụ Certification Authority Pending Requests ta thấy ID client vừa request thông tin client cung cấp click phải chuột vào request chọn All Tasks Issue vào phần Issued Certificate thấy request Vào máy client, truy xuất http://ip_cua_CAserver/certsrv http://web.com/certsrv View status of a pending certificate request ta thấy Web brower certificate (đây certificate vừa server cấp phát), click chọn Install this certificate Yes Certificate cài đặt vào máy client Truy xuất vào https://web.com ta thấy có khác trước: View Certificate 92 (Tham khảo đoạn video Install CA for Client Stand-alone CA.wmv) B Trên Enterprise CA Yêu cầu : Server phải nâng cấp lên Domain Controller Cấu hình WebServer (https): Ở ta thấy khác biệt lớn sử dụng Stand-alone CA Enterprise nằm việc tự động cấp pháp Certificate Enterprise khơng cịn phải làm “bằng tay” Stand-alone CA Do việc cấu hình trở nên đơn giản việc gộp tất bước Tạo public key cho web server, Gởi yêu cầu Ceritificate (chứng số) đến CA, CA cấp phát Certificate cho WebServer, Nhận Certificate CA, Cài đặt Certificate cho WebServer Stand-alone CA thành bước Cài đặt Certificate cho WebServer Vào dịch vụ IIS Server Certificate Create Domain Certificate, để tạo Certificate cho toàn Domain Điền thơng tin để mơ tả certificate (ở mục Common Name, điền tên trang web (nếu internet nên lấy tên từ DNS Name, cịn local nên lấy từ NetBios Name)) hộp thoại yêu cầu đến Online CA (đó CA tạo mặc định IIS cài đặt Active Directory Certificate Services) Ta tiếp tục áp dụng certificate vào webserver : chọn webserver click chuột phải chọn Edit Bindings chọn Add, để thêm thông tin việc truy cập https mục type ta chọn https, lúc yêu cầu ta chọn SSL Certificate certificate vừa thêm Ok Như ta cài đặt xong certificate cho WebServer, thử truy cập địa https://ip_cua_CA_server https://ten_trang_web ( ta truy cập sau https://192.168.1.1 https://web.abc.com ) 93 Lúc vào Certification Authority vào thư mục Issued Certificate ta thấy thông tin Request vừa nhận từ webserver: số ID, common name, ngày yêu cầu,… Request vừa cấp phát tự động cho Webserver (Tham khảo đoạn video Configure Webserver on Enterprise CA.wmv) Cấu hình client: Cũng giống Stand-alone CA, ta http://ip_cua_CAserver/certsrv http://web.abc.com/certsrv truy xuất vì Enterprise CA nên yêu cầu chứng thực tài khoản domain user muốn cài đặt Certificate nhập Domain Account cấp từ Domain Controller Request a Certificate User Certificate chọn Submit Install Certificate, ta cài đặt thành công certificate cho Client (Tham khảo đoạn video Install CA for Client Enterprise CA.wmv) TÀI LIỆU THAM KHẢO [1] “Windows Server 2008 PKI and Certificate Security” – Brian Komar [2] “Public Key Infrastructure Overview” By JoelWeise - SunPSSM Global Security Practice 94 [3] “ Understanding Public Key Infrastructure (PKI)” - RSA Data Security, Inc [4] “Cross-Certification and PKI Policy Networking” - Jim Turnbull [5] “Trust Models and Management in Public-Key Infrastructures” - John Linn [6] “Tài liệu dự thảo tiêu chuẩn quốc gia khuôn dạng chứng thư số” - Bộ thông tin truyền thông [7] www.technet2.microsoft.com [8] www.wikipedia.org 95 ... đồ án: Mục tiêu đề tài ? ?Tìm hiểu cài đặt CA mơi trường Windows Server 2008? ?? tìm hiểu kỹ hệ thống quản lý cung cấp dịch vụ chứng số CA, định dạng CA, hạ tầng PKI, tìm hiểu cách tổ chức hoạt động,... Constraint: trường cho biết có phải chứng CA hay không cách thiết lập giá trị logic (true) Trường có chứng CA Chứng CA dùng để thực số chức Chứng hai dạng Nếu CA tạo chứng để tự sử dụng, chứng gọi chứng... loại: chứng số CA chứng số thực thể cuối 2.3.1 Chứng số CA: Là chứng ban hành CA cho CA khác hay cho Các CA có chứng có tác dụng nhận diện họ hãng có thẩm phát hành chứng Đây chứng gốc mơ hình CA