IV.2 Triển khai SSL

CHƢƠNG IV : SSL CAPABILITY

IV.2 Triển khai SSL

như : độ khả thi ,chi phí triển khai , nhân sự , khả năng duy trì , độ ảnh hưởng đến hệ thống , .v.v.

Khi triển khai ta cần chắc chắn chương trình quản lý ứng dụng của server và client đều hỗ trợ SSL và đã cập nhật những update / bản vá để đảm bảo không bị kẻ xấu lợi dụng . Đăng ký certificate nên lựa chọn từ những CA lớn và có uy tín.

Sau đây là trình bày tóm tắt các bước cấu hình chính của một webserver IIS 6.0 của Microsoft chạy SSL với certificate đăng ký từ VeriSign ,từ đó ta có thể áp dụng triển khai cho các ứng dụng khác :

1. Tạo Request Certificate

2. Đăng ký SSL Certificate từ VeriSign.com 3. Cấu hình Trusted Root Certification Authority 4. Import SSL Certificate cho Web Server

 1.Tạo Request Certificate :

Trong IIS 6.0 Manager , mở Folder WebSites , right click website muốn xin certificate ( ở ví dụ chọn Default Web Site

=> Properties

=> Tab Directory Security => Server Certificate => Create a new certificate

Secure Socket Layer 55

=> điền thông tin về Organizition

=> Common name : điền tên miền trang web mà đã đăng ký với DNS hoặc nếu muốn chỉ mang ý nghĩa local thì điền NetBios name ( ở ví dụ điền www.ptit.com vì lúc sau khi đã đăng ký thành công sẽ dùng DNS của chính mình) => điền thông tin Country ,State ,City

=> Browse đến nới muốn tạo và đặt tên cho certificate request

=> xem lại summary => Finish

=> OK

 2.Đăng ký SSL Cerificate từ VeriSign.com :

Mở trang web www.verisign.com => chọn Free Trial SSL

=> Nhập các thông tin cá nhân theo mẫu ,cần điền chính xác mail để nhận kết quả => Tiếp tục nhập Teachnical Contact

Secure Socket Layer 56

=>Đặt câu hỏi bí mật và câu trả lời (chỉ có tác dụng nếu sau này muốn quay lại sửa thông tin về certificate này) => Xem lại summary và acceptance

Secure Socket Layer 57

 3.Cấu hình Trusted Root Certification Authority :

Vì trial root CA này là chưa chính thức nên ta phải đi cấu hình Trustted Root CA, nếu ta mua một certificate chính thức thì không cần làm bước này .

=> Vào mail đã dùng đăng ký certificate ,mở thư trả lời , down load Trial SSL Intermediate CA certificate

=> Chọn link VeriSign CA Certificate

=> Chọn Secure Site Trial Root CA Certificate => Copy toàn bộ Root CA certificate

Secure Socket Layer 58

=> Mở IE option/tab content/chọn Certificate/chọn Import chỉ đến file cạcer /chọn Automatically select the certificate store based on the type of certificate/Finish hoặc cũng có thể trong Run gõ certmgr.msc/mở Trusted Root Certificate Authorities/right click Certificate/All Task/Import file cạcer như trong IE

Secure Socket Layer 59

 4.Import SSL certificate cho web server :

Mở mail khi nảy,copy toàn bộ Trial SSL certificate

=>Trong máy dán nội dung đó vào file mycert.txt

=>Trong IIS manager Properties Default Web Site/tab Dictionary Security/Server Certificate => Chọn Process the pending request and install the certificate

Secure Socket Layer 60

=> Finish

=>Trong tab chọn Edit

=> Check Require Secure Channel (SSL) để cho server luôn chạy bằng cơ chế SSL

=> Trong tab Home Dictionary chọn A redirect to URL và điền https://www.ptit.com

Secure Socket Layer 61

Secure Socket Layer 62

Tham Khảo :

 Cryptography and Network Security Principles and Practices, Fourth Edition

–By William Stallings

 JDK 5.0 Documentation

 Information Security Principles and Practice – ByMark Stamp

 Internet Security Cryptographic Principles, Algorithms and Protocols –ByMan Young Rhee

 Beginning Cryptography with Java – By David hook



Java Network Programming, 3rd Edition- By Elliotte Rusty Harold

 MCP 70-299: Implementing and Administering Security in a Microsoft Windows Server 2003 Network.

 http://www.blackhat.com/ (BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf)

 http://www.thoughtcrimẹorg/

 http://www.oxid.it/

 http://en.wikipediạorg/