Secure Socket Layer & Ip Security Secure Socket Layer & Ip Security PHẦN 1: SECURE SOCKET LAYER I - Nội dung: Xin Certificate cho web server để user truy cập bằng HTTPS (HTTP SECURE) II- Chuẩn bị: - Yêu cầu hệ thống: 01 máy Domain Controller Windows Sever 2003 Enterprise (P3_DC) - Cài ASP.NET - Cài Enterprise root CA - Tạo trang web default: Inetpub\wwwroot\default.htm Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 33 III- Thực hiện 1. Kiểm chứng: Lần lượt truy cập web default bằng HTTP và HTTPS. - Nhập địa chỉ trong IE: http://localhost: Trang web hiển thị bình thường. - Nhập địa chỉ trong IE: https://localhost: Trang web không thể hiển thị. 2. Xin certificate cho web server: - Mở Properties của IIS: Start  Programs > Administrative Tools > Internet Information Services (IIS) Manager  click chuột phải vào Default Web Site  Properties - Xin certificate: Trong tab Directory Security  chọn Server Certificate…  Next  Chọn Create a new certificate  Next  chọn Send the request inmmediately…  Next  Nhập các thông tin theo yêu cầu…  chọn port SSL là 443…  Finish. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 34 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 35 3. Truy cập web default bằng HTTPS: Nhập địa chỉ trong IE: https://localhost: Hệ thống cảnh báo > chọn Yes > Trang web hiển thị bình thường. I PHẦN 2: IP SECURITY I - Nội dung: Dùng certificate làm key mã hóa dữ liệu trên đường truyền II - Chuẩn bị: - Yêu cầu hệ thống: 02 máy Windows Sever 2003 Enterprise (P1). - 02 máy disable card CROSS, kiểm tra đường truyền bằng lệnh PING IP card LAN. - 02 máy đổi password administrator thành 123. - Máy chẵn cài ASP.NET & Stand-alone root CA. III - Thực hiện: 1. Xin certificate cho 2 computer Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 36 a. Máy lẻ bổ sung danh sách trusted site: Trong chương trình Internet Explorer (IE) chọn menu Tools  Internet Options  Trong tab security, chọn zone Trusted sites  chọn nút Sites  nhập vào mục “Add this Web site to the zone”: http://[IP của máy chẵn]/certsrv  bỏ chọn “Require server verification…” > chọn nút Add  Close  OK để đóng IE properties. b. Hai máy xin certificate: - Máy lẻ: Trong IE, nhập địa chỉ: http://[IP của máy chẵn]/certsrv - Máy chẵn: Trong IE, nhập địa chỉ: http://localhost/certsrv - Cả hai máy: chọn Request a certificate  Advanced certificate request  Create and submit a request to this CA  điền các thông tin cần thiết… - Chú ý 1: Tại mục “Type of Certificate Needed”, chọn Client Authentication Certificate Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 37 - Chú ý 2: Đánh dấu chọn “Store certificate in the local computer certificate store” - Submit. c. Cấp certificate cho 2 computer: Máy chẵn: Start  Programs  Administrative Tools  Certification Authority. Trong cửa sổ Certification Authority, chọn mục Pending Requests  lần lượt click chuột phải vào từng request  All Tasks  Issue Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 38 d. Hai máy install certificate: Hai máy lại mở trang web xin certificate  chọn View the status of a pending certificate request  Client Authentication Certificate…  Install this certificate. e. Hai máy tạo console PC_Cert: - Start  Run  “mmc”  menu File  Add / remove snap-in  Add Certificates  chọn Computer account  chọn Local computer. - Trong console, chọn menu File  Save as  lưu console lên Desktop với tên “ PC_Cert” - Lưu ý certificate của máy lẻ đang bị lỗi. f. Máy lẻ import certificate của root CA: Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 39 - Trong console PC_Cert (tạo trong phần e): Chọn Trusted Root Certificate Authorities  click chuột phải vào Certificates  All Tasks  Import - Trong hộp thọai Certifictae Import Wizard  chọn nút Browse  My Network Places  CerConfig on PCxx  PCxx_NhatNghe.crt  Open  Next  chọn “ Place all certificates in the following stores: Trusted Root Certificate Authorities”  Finish. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 40 2. Tạo IPSec Policy cho 2 máy: (hai máy thực hiện như nhau) a. Tạo console IPSec: Start  Run  “mmc”  Add / Remove snap-in  Add  lần lượt chọn IP Security Policy Management cho Local Computer và Services cho Local Computer  Lưu console lên Desktop với tên IPSec. b. Tạo policy IPSec mới: Trong console IPSec  click chuột phải vào IP Security Policy Management  Create IP Security Policy  Next  Đặt tên policy: ”IPSec by Cert”  Next  bỏ chọn “Activate the default…”  Next bỏ chọn “Edit properties” > Finish. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 41 c. Cấu hình policy “IPSec by Cert”: Trong console IPSec  click chuột phải vào IPSec by Cert  Properties  trong tab Rules của IPSec by Cert Properties chọn nút Add  Next  trong hộp thọai Tunnel Endpoint chọn “This rule does not specify a tunnel”  Next  trong hộp thọai Network Type chọn “All network connections”  Next  trong hộp thọai IP Filter List đánh dấu chọn “All IP traffic”  Next  trong hộp thọai Filter Action đánh dấu chọn “Require Security”  Next  trong hộp thọai Authentication Method đánh dấu chọn :”Use a certificate…”  chọn nút Browse  trong hộp thọai Select Certificate chọn CA “NhatNghe”  OK  quay về hộp thọai Authentication Method  Next  Finish  quay về IPSec by Cert Properties  OK. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 42 . thường. I PHẦN 2: IP SECURITY I - Nội dung: Dùng certificate làm key mã hóa dữ liệu trên đường truyền II - Chuẩn bị: - Yêu cầu hệ thống: 02 máy Windows Sever