1 http://vietphone.org/forum.php Bảo Mật Email với Digital Certificate Digital Signature Phần I: Cài đặt cấu hình hệ thống Mail Server Kerio Trong viết trình bày cách thức triển khai PKI để bảo mật cho hệ thống email Mục đích cụ thể lab: - Mã hóa nội dung e-mail với Digital Certificate - Đảm bảo tính xác thực e-mail với Digital Signature II Chuẩn bị Một máy Windows Server 2008 Domain Controller III Thực Tạo User Account - Logon MSOPENLAB\Administrator, mở Active Directory Users and Computers, tạo user Trong Hieu hình bên dưới, password user là: P@ssword OK Chuột phải user Hieu, chọn Properties, nhập hieu@msopenlab.com vào ô E-mail, chọn http://vietphone.org/forum.php Chuột phải user Trong, chọn Properties, nhập trong@msopenlab.com vào ô E-mail, chọn OK Cài đặt Mail Server Kerio Chạy file cài đặt keri-kms-6.4.1-3801-win.exe *Bạn download chương trình Mail Server Kerio http://www.kerio.com/kms_download.html Hộp thoại Choose Setup Language, chọn ngôn ngữ English (United States), chọn OK http://vietphone.org/forum.php Trong hộp thoại Welcome, chọn Next Hộp thoại What’s New, chọn Next Hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next - Hộp thoại Setup Type, chọn Complete, chọn Next http://vietphone.org/forum.php - Hộp thoại Destination Folder, giữ đường dẫn mặc định, chọn Next - Hộp thoại Ready to Install the Program, chọn Install http://vietphone.org/forum.php - Hộp thoại Welcome, chọn Next Hộp thoại Mail Domain, nhập MSOpenLab.com vào ô domain, nhập DC vào ô Hostname, chọn Next Hộp thoại Administrative Account, nhập 123456 vào ô Password Confirm Password, chọn Next http://vietphone.org/forum.php - Hộp thoại Message Store Directory, chọn Finish, chọn Close - Hộp thoại InstallShield Wizard Completed, chọn Finish http://vietphone.org/forum.php Cấu hình Mail Server Kerio - Vào Start\Programs\Kerio, mở Administration Console, Trong hộp thoại New Connection, nhập password 123456, chọn Connect Trong cửa sổ Administration Console, bung Configuration, vào Domain, kiểm tra có domain MSOpenLab.com http://vietphone.org/forum.php Trong mục Domain Settings, vào Users, bung Import, chọn Import from directory service… - Trong hộp thoại Import Users, nhập thông tin hình bên (Password: http://vietphone.org/forum.php P@ssword), chọn OK - Đánh dấu chọn vào user Hieu Trong, chọn OK - Kiểm tra mục user có mailbox hình bên dưới, chọn Apply 10 http://vietphone.org/forum.php - Trong Configuration, vào Services Lần lượt Stop service: HTTP HTTPS Cài đặt Desktop Experience http://vietphone.org/forum.php - - Hộp thoại Specify CA Type, chọn Root CA, chọn Next - - Trong hộp thoại Setup Private Key, chọn Create a new private key, chọn Next http://vietphone.org/forum.php - - Hộp thoại Configure Cryptography for CA, chọn Next - Trong hộp thoại Configure CA Name, nhập MSOpenLab-CA vào ô Common name for this CA, chọn Next - Hộp thoại Set Validity Period, chọn Next Hộp thoại Configure Certificate Database, chọn Next - - Hộp thoại Web Server (IIS), chọn Next, Trong hộp thoại Select Role Services, giữ nguyên lựa chọn mặc định, chọn Next http://vietphone.org/forum.php - Hộp thoại Confirm Installation Selections, chọn Install Hộp thoại Installation Results, chọn Close - Mở Certification Authoity từ Administrative Tools, kiểm tra CA cài đặt thành công http://vietphone.org/forum.php Xin Certificate cho User - Logon MSOPENLAB\Hieu, vào Start\Run, gõ mmc, chọn OK Trong cửa sổ Console1, bung File, chọn Add/Remove Snap-in - - Trong cửa sổ Add or Remove Snap-in, chọn Certificates, chọn Add, chọn Ok http://vietphone.org/forum.php - Trong cửa sổ Console1, chuột phải Personal, chọn All tasks, chọn Request New Certificate - - - - Hộp thoại Before You Begin, chọn Next - Trong hộp thoại Request Certificates, đánh dấu chọn User, chọn Enroll http://vietphone.org/forum.php - - Hộp thoại Certificate Installation Results, chọn Finish - - Trong cửa sổ Console1, bung Personal\Certificate, mở certificate tên Hieu - - Kiểm tra xin certificate cho Hieu thành công 10 http://vietphone.org/forum.php - Logon MSOPENLAB\Trong, tương tự bước trên, thực xin User Certificate cho Trong Trao đổi Public Key - - Logon MSOPENLAB\Hieu, mở Windows Mail, chọn Create Mail, nhập trong@msopenlab.com vào ô To, Subject Body hình bên Chọn nút Sign 11 http://vietphone.org/forum.php - Logon MSOPENLAB\Trong, mở Windows Mail, vào Inbox, mở mail gởi từ Hieu, chọn Continue - Kiểm tra xem nội dung mail (Lúc Trong có Public Key Hieu), chọn Reply, nhập nội dung mail hình bên dưới, chọn nút Encrypt, chọn Send 12 http://vietphone.org/forum.php - - Logon MSOPENLAB\Hieu, mở Windows Mail, mở mail gởi từ Trong, chọn Continue để xem nội dung - - Lúc này, user trao đổi Public Key thành công 13 http://vietphone.org/forum.php 10 Kiểm tra Digital Signature - - Logon MSOPENLAB\Hieu, mở Windows Mail, chọn Create Mail, nhập trong@msopenlab.com vào To, Subject Body hình bên dưới, chọn nút Sign, chọn Send - Logon MSOPENLAB\Administrator, vào đường dẫn C:\Program Files\Kerio\MailServer\store\mail\MSOpenLab.com\hieu\INBOX\#msgs, chuột phải file eml, chọn Open With, chọn Notepad 14 http://vietphone.org/forum.php - - Trong Notepad, sửa nội dung mail tùy ý *E-mail chưa sửa nội dung *E-mail sau sửa nội dung 15 http://vietphone.org/forum.php - Logon MSOPENLAB\Trong, mở Windows Mail, mở e-mail gởi từ Hieu, chọn Continue Kiểm tra nhận cảnh báo Security Warning, chọn Open Message để xem nội dung 16 http://vietphone.org/forum.php Lúc ta biết e-mail bị thay đổi nội dung 11 Kiểm tra E-mail có mã hóa - Logon MSOPENLAB\Trong, mở Windows Mail, chọn Create Mail, nhập Hieu@msopenlab.com vào ô To, Subject Body hình bên dưới, chọn nút Encrypt, chọn Send 17 http://vietphone.org/forum.php - - Logon MSOPENLAB\Administrator, vào đường dẫn C:\Program Files\Kerio\MailServer\store\mail\MSOpenLab.com\hieu\INBOX\#msgs, chuột phải file eml, chọn Open With, chọn Notepad - Kiểm tra không xem nội dung e-mail nội dung mã hóa 64bit 18 http://vietphone.org/forum.php Logon MSOPENLAB\Hieu, mở Windows Mail, mở e-mail gởi từ Trong, chọn Continue để xem nội dung Kiểm tra giải mã nội dung e-mail (E-mail mã hóa Public key Hieu nên giải mã thành công Private key Hieu) ... II- TRIỂN KHAI CERTIFICATION AUTHORITY (CA) http://vietphone.org/forum.php Bảo Mật Email với Digital Certificate Digital Signature Phần II: Triển khai Certification Authority (CA) Trong Phần I:... (CA) để ứng dụng phương pháp mã hóa Public Key Infrastructure (PKI) chữ ký điện tử (Digital Signature) nhằm bảo mật cho hệ thống E-mail I Giới thiệu Bài lab bao gồm bước: Tạo User Account Cài đặt... Personal Certificate, mở certificate tên Hieu - - Kiểm tra xin certificate cho Hieu thành công 10 http://vietphone.org/forum.php - Logon MSOPENLABTrong, tương tự bước trên, thực xin User Certificate