III. Triển khai dịch vụ CA trên môi trờng Windows Server 2003
3.4.3. Các yêu cầu cấp phát CA
a. Sử dụng Certificates Snap-in.
Certificates Snap-in là một công cụ dùng để xem và quản lý chứng chỉ số của một user hoặc computer cụ thể. Màn hình chính của snap-in bao gồm nhiều th mục chứa tất cả hạng mục chứng chỉ số đợc chỉ định cho user hoặc computer. Nếu tổ chức của ngời dùng sử dụng enterprise CAs, Certificate Snap-in cũng cho
phép ngời dùng yêu cầu và thay đổi chứng chỉ số bằng cách dùng Certificate Request Wizard và Certificate và Renewal Wizard.
b. Yêu cầu cấp phát thông qua Web (Web Enrollment)
Khi cài đặt Certificate Services trên máy tính chạy Windows Server 2003, ngời dùng có thể cài đặt module Certificate Services Web Enrollment Support. Để hoạt động một cách đúng đắn, module này yêu cầu ngời dùng phải cài đặt IIS trên máy tính trớc. Chọn module này trong quá trình cài đặt Certificate Services tạo rat rang Web trên máy tính chạy CA, những trang Web này cho phép ngời dùng gửu yêu cầu cấp chứng chỉ số yêu cầu mà họ chọn.
Giao diện Web Enrollment Support đợc dùng cho ngời sử dụng bên ngoài hoặc bên trong mạng truy xuất đến stand-alone CAs. Vì stand-alone server không dùng mẫu chứng chỉ số, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về chứng chỉ số và thông tin ngời sử dụng chứng chỉ số.
Khi Client yêu cầu chứng chỉ số dùng giao diện Web Enrollment Support, chúng có thể chọn từ danh sách loại chứng chỉ đã đợc định nghĩa trớc hoặc tạo ra chứng chỉ cao cấp bằng cách chỉ rõ tất cả các thông tin yêu cầu trong form Web-based.
3.4.4 Thu hồi chứng chỉ số
Có vài nguyên nhân cảnh báo cho ngời quản trị thi hồi chứng chỉ. Nếu nh khóa riêng (private key) bị lộ, hoặc ngời dùng trái phép lợi dụng đến CA, thậm chí nếu chúng ta muốn cấp phát chứng chỉ dùng tham số khác nh là khóa dài hơn, chúng ta phải đợc thu hồi chứng chỉ trớc đó. Một CA duy trì một CRL (Certificate Revocation List). Enterprise CAs xuất bản CLRs của chúng trong cơ sở dữ liệu Active Directory, vì vậy client có thể truy xuất chúng dùng giao thức truyền thông Active directory chuẩn, gọi là ightweight Directory Access Protocol (LDAP). Một stand-alone CA lu trữ CRL của nó nh một file trên đĩa
cục bộ của server, vì vậy client truy xuất dùng giao thức truyền thông Internet nh Hypertext Transfer Protocol (HTTP) hoặc File Transfer Protocol (FTP).
Mỗi chứng chỉ số chứa đờng dẫn tới điểm phân phối của CA cho CLRs.Có thể sửa đổi đờng dẫn này trong Certification Authority console bằng cách hiển thị hộp thoại Properties cho CA, click vào tab Extension. Khi một ứng dụng chứng thực client đang dùng chứng chỉ số, nó đang kiểm tra điểm phân phối CRL đã định rõ trong chứng chỉ số, để chắc chắn rằng chứng chỉ số không bị thu hồi. Nếu CRL không có tại điểm phân phối đã định rõ của nó, ứng dụng từ chối chứng chỉ.
Bằng cách chọn th mục Revoked Certificates trong ertification Authority Console và sau đó hiển thị hộp thoại Properties của nó, chúng ta có thể chỉ rõ bao lâu thì CA nên xuất bản mmotj CRL mới, và cũng cấu hình CA để xuất bản delta CRLs. Một delta CRLs là một danh sách tất cả các chứng chỉ đã thu hồi từ khi CRL cuối cùng xuất bản. Trong tổ chức với số lợng chứng chỉ số lớn, sử dụng CRLs thay vì CRLs cơ bản có thể lu một số lớn.
Chơng 3
Triển khai một số dịch vụ mạng sử dụng chứng chỉ số
I. Dịch vụ nhận và gửi E-mail
Trong thơng mại điện tử, giao dịch chủ yếu bằng th điện tử. Việc sử dụng th điện tử trong giao dịch rất tiện lợi, tiết kiệm đợc rất nhiều thời gian và chi phí. Tuy nhiên việc giao dịch bằng th điện tử bên cạnh những tiện ích to lớn đó thì nó luôn có những hiểm họa do sự tấn công từ bên ngoài hoặc từ nội bộ. Những hiểm họa này có thể gây nên những hậu quả rất nghiêm trọng. Việc sử dụng th điện tử trong giao dịch cũng nh việc bảo mật, xác thực th điện tử là một nhu cầu thiết thực đối với tất cả mọi doanh nghiệp và những ai sử dụng th điện tử để giao dịch.
1.1. Mô hình dịch vụ
Bớc cấu hình Máy Server
SERVER
(Cài DC,MAIL,POP3, CA)
IP : 172.16.0.1 Sub : 255.255.0.0 DG : Để trống DNS : 172.16.0.1
• Cài Windows Server 2003 sau đó nâng lên DC với Domain là vietbank.vn và cài tự động dịch vụ DNS, Cài dịch vụ Mail
• Tạo user: + Giám đốc + Th ký Máy Giám đốc Giám đốc IP : 172.16.0.2 Sub : 255.255.0.0 DG : 172.16.0.1 DNS: 172.16.0.1
• Cài Windows XP Professional service pack 2.
• Join vào domain vietbank.vn.
• Vai trò là 1 client trong mạng
Máy Kế toán
• Cài Windows XP Professional service pack 2.
• Join vào domain vietbanl.vn
• Vai trò là 1 client trong mạng. Kế toán
IP : 172.16.0.3 Sub : 255.255.0.0 DG : 172.16.0.1 DNS : 172.16.0.1
Máy Harkker
• Cài Windows XP Professional service pack 2.
• Không Join đợc vào Domain.
• Vai trò là 1 client ngoài mạng.
1.2. Tiến hành cài đặt
Bớc 1: Trong máy Server cài đặt E-mail server POP3
• Chúng ta vào start → Settings → Control panel → Add or remove programs → Add/remove windows component.
• Tại đây chúng ta chọn Email services, và chọn Detail và đánh dấu vào mục POP3 service, sau đó nhấn OK, sau đó chọn Next để bắt đầu quá trình cài đặt. Harker IP : 172.16.0.5 Sub : 255.255.0.0 DG : Để trống DNS : Để trống
• Sau khi qua trình cài đặt kết thúc thì chúng ta có một hệ thống E-mail service.
• Tiếp tục chúng ta tạo các USER và sử dụng dịch vụ Mail Server
Tạo các địa chỉ Email trong POP3 service, Và khi tạo các địa chỉ E-Mail này thì đồng thời cũng tạo ra các user tơng ứng.
Bớc 2: Tại máy Client của Giám đốc và kế toán tiến hành gửi và nhận Mail
• Trong chơng trình Outlook Express. Chúng ta chọn Tools/ account. Và trong internet account, chúng ta chọn thẻ Mail để thêm địa chỉ E-Mail của mình vào.
• Tại cửa sổ Your name, trong phần Display name: chúng ta gõ vào tên hiện thị trong Outlook Express
Ví dụ: Chúng ta tiến hành cài đặt dịch vụ tại máy của Giám đốc, sau đó chọn Next để tiếp tục
• Tại cửa sổ Internet E-Mail Address: chúng ta gõ tên địa chỉ email của Giám đốc hoặc Kế toán.
• Tại cữa sổ Email-Server Names chúng ta nhập vào địa chỉ IP của nới chứa th gửi và nhận mail đó là địa chỉ của máy Server
Incoming mail (POP3) server: Địa chỉ mail server chứa hộp th nhận .
Outgoing mail (SMTP) server: Địa chỉ mail server chứa hộp th gửi đi.
Tại cữa sổInternet mail logonnhập
• Account name: Bạn gõ tên hộp th của Giám đốc hoặc th ký.
• Password:Là mật khẩu hộp th của Giám đốc hoặc th ký.
• Sau đó nhấn Next và Finish để hoàn thành quá trình đăng ký ngời dùng.
• Để viết th, chúng ta chọn Creat mail, và nhập đúng các nội dung cần thiết, sau đó nhấn Send để gửi th
• Và khi đó trong E-Mail của “kế toán ” sẽ có th của giám đốc gửi tới.
• Nhng vì có những lý do nh có ngời thay đổi nội dung th, mạo danh ngời trong công ty để gửi th với những mục đich khác nhau...mà ngời nhận không hề phân biệt đợc, điều này sẽ có thể gây ra thảm họa cho cả một công ty.
• Ví dụ: Lúc cha thay đổi nội dung.
• Harker vào mail server để thay đổi nội dung của giám đốc gửu cho kế toán. Harker vào máy chủ lấy mail của giám đốc qua đờng dẫn nh sau: C:\Inetpub\mailroot\Mailbox\vietbank.vn\P3_ketoan.mbx thấy mail của kế toán
cha đọc nên vào đó để thay đổi nội dung. Nên khi kế toán nhận Mail về không biết đợc Mail mình đã bị kẻ khác thay đổi.
Hoặc bị Harker mạo danh để gửi th
Chính vì thế mà chúng ta cần một phơng pháp để xác minh xem, nội dung của bức th gửi đến đã bị thay đổi nội dung hay cha, hay là có phải là th giả mạo hay không.và một trong những phơng pháp đó là sử dụng Certifition Authority.
Bớc 3: ứng dụng Certification Authority bảo mật Mail Server Tiến hành cài đặt Certifition Authority.
• Chúng ta vào Start -> Settings -> Control panel -> Add or Remove Programs-> Add/remove Windows Component.
• Và chúng ta chọn certifficate services sau đó chọn Next để tiến hành cài đặt
• Sau khi đã cài đặt xong Certificate service thì chúng ta bắt đầu tiến hành xin cấp chứng thực cho E-Mail.
Tạo yêu cầu xin cấp chứng thực Cấp chứng thực cho máy Server
Tại máy Server vào trang http://172.16.0.1/certsrv .
• Tại đây chúng ta chọn Request a certificate để gửi yêu cầu cấp chúng thực th điện tử.
• Tại Hộp thoại Request a Certificate chúng ta chọn Advanced certificate request
• Tại hộp thoại Advanced Certificate Request chọn Create and submit a request to this CA.
Tại đây chúng ta điền các thông tin để tạo và gửu yêu cầu đến CA
Tại Hộp thoại Request a Certificate chúng ta chọn E-mail Protection Certificate
Tại mục E-Mail Protection Certificate – Identifying Information, chúng ta điền đày đủ thông tin về E-Mail xin cấp chứng chỉ. Sau đó chọn Submit để gửi yêu cầu.
•Khi đó hệ thống sẽ gửi yêu cầu về máy server để xác nhận với Id 3
Xác nhận của Server
• Chúng ta vào Run gõ mmc để vào File → Add/Remove Snap in →Add
→ Certifition Authority(Local) → Pending Request Thì chúng ta sẽ thấy đ- ợc yêu cầu chứng thực mà chúng ta đã xin cấp.
• Trong cửa sổ Console → Pending Request, Tại Request ID 4 chúng ta nhấp chuột phải vào All Task -> Issue
Bớc 4: Cài đặt Certifition Authority.
• Tại máy Client của Giám đốc và Kế toán ta vào lại trang 172.16.0.1/certsrv .
• Chúng ta chọn phần View the Statu of a pending Certicate Request.
• Và chọn E-Mail Protection Certificate.
• Tại đây chúng ta nhấp chuột vào Install this certificate để hoàn thành việc cấp chứng thực cho địa chỉ E-Mail: ketoan@45ktin.dhv.
Bớc 5: Gửi th khi đã cài đặt Certifition Authority.
• Nhờ tính năng bảo bảo mật của Certification Authority mà khi ngời nhận bức th đã bị thay đổi nội dung thì sẽ cảnh báo nh sau:
Ngoài ra Certification Authority(CA) còn có tính năng mã hóa Mail để bảo mật nội dung của Mail tránh trờng hợp bị lộ nội dung Mail và thay đổi nội dung Mail.
Khi Mail đợc mã hóa bởi CA thì trên Mail của ngời nhận đợc sẽ có ký hiệu đính kèm nh sau:
• Và không may th này bị bặt giữ trên đờng truyền thì những ngời xâm nhập cũng không thể đọc đợc nội dung của bức th.
II. Dịch vụ VPN
VPN- Virtual Private Network, là một mạng riêng dùng mạng công cộng (Internet) để kết nối các điểm hoặc ngời sử dụng tới mạng LAN trung tâm.
VPN cho phép truyền dữ liệu giữa hai máy tính sử dụng môi trờng mạng công cộng giống nh cách một đờng kết nối riêng giữa hai máy tính này. Để tạo một kết nối điểm điểm (point-to-point), dữ liệu đợc đóng gói (encapsulate), bao bọc (wrap) với một header để cung cấp các thông tin định tuyến. Để giả lập kênh truyền riêng , dữ liệu sẽ đợc mã hóa.
2.1. Mô hình dịch vụ
Server VPN-CA VPN- Client
Trong mô hình này dịch vụ VPN sẽ đợc triển khai tại văn phòng Nghệ An, ngời dùng ở nơi khác nh Hà Nội, TP HCM .... có thể kết nối, truy cập các tài nguyên bên trong mạng LAN tại Nghệ An, Giao thức L2TP/IPSec, chứng thực bằng chứng chỉ số CA.
Máy Server
• Cài Windows Server 2003 sau đó nâng lên DC với Domain là vietbank.vn
• Tạo User
Máy VPN-CA
VPN-CA
Join DC, Cài CA, VPN
IP : 172.16.0.254 Sub : 255.255.0.0 DG : 172.16.0.254 DNS : 172.16.0.1 IP : 10.0.0.254 Sub : 255.0.0.0 DG : 10.0.0.254 DNS : 172.16.0.1
Cài Windows Server 2003 sau đó Join DC và cài các dịch vụ CA và VPN
Máy VPN-Client SERVER (Cài DC) IP : 172.16.0.1 Sub : 255.255.0.0 DG : 172.16.0.254 DNS : 172.16.0.1 VPN-Client IP : 10.0.0.2 Sub : 255.0.0.0 DG : Để trống DNS : Để trống
• Cài Windows XP Professional service pack 2.
• Là một máy đặt ở xa ngoài mạng
2.2. Tiến hành cài đặt
Bớc 1: Vào máy Server cài đặt AD đã trình bày ở phần 1 Bớc 2: Vào máy VPN-CA cài CA
• Vào Start -> Settings -> Control panel -> Add or RemovePrograms-> Add/remove Windows Component.
• Và chúng ta chọn certifficate services sau đó chọn Next để tiến hành cài đặt.
• Cài đặt VPN vào Start/Programs/ Administrative Tool/Routing and Remote Access.
Bớc 3: Chứng thực cho máy VPN-CA và VPN-Client Tại máy VPN-CA vào trang http://172.16.0.1/certsrv Tại máy VPN-Client vao trang http://10.0.0.254/certsrv
Tại đây chúng ta chọn Request a certificate để gửi yêu cầu cấp chứng chỉ
Hộp thoại Request a certificate chọn advanced certificate request và đăng ký thông tin để yêu cầu chứng chỉ và chọn Submit.
Tại trang Certificate pending, hệ thống sẽ gửi yêu cầu về cho server của mình với Request Id là 4:
Vào VPN-CA xác nhận chứng chỉ số
• Chúng ta vào Run gõ mmc để vào File → Add/Remove Snap in →Add
→ Certifition Authority(Local) → Pending Request Thì chúng ta sẽ thấy đ- ợc yêu cầu chứng thực mà chúng ta đã xin cấp.
• Trong cửa sổ Console → Pending Request, Tại Request ID 4 chúng ta nhấp chuột phải vào All Task -> Issue
Xem và download chứng chỉ về máy tính của mình.
• Vào trang: http://172.16.0.254/certsrv.
• Ta chọn View the status of a pending certificate request thì sễ thấy tập hợp các chứng chỉ đã đợc tạo ta phải chọn đúng chứng chỉ của mình đã tạo.
Bớc 3:
Truy cập trang http://10.0.0.254/certsrv chọn download a CA certificate chain, Or CRL để download CA về máy của mình.
Vào Certificates/ Trusced Root Certification Authorities/Certificates
Nh vậy chúng ta đã có khóa riêng để truy cập VPN
Bớc 4: Vào máy VPN-Client để kết nối các máy ngời dùng ngoài mạng
Click chuột phải My Network Places/ Properties/ Create a new connection/ Connect to the network at my workplase/ Vitual Private Network connection
Đặt Company Name và Host name or IP address
Chọn Properties, chọn loại VPN là L2TP/IPSec. Nhấn OK và chọn Connect
Nh vậy giao thức VPN sử dụng L2TP/IPSec, chứng thực bằng chứng chỉ số do CA
III. Dịch vụ Web sử dụng SSL
SSL- Sercue Socket Layer, là một giao thức mã hóa cung cấp sự truyền thông an toàn trên Internet nh web browsing, e-mail. SSL cung cấp sự chứng thực của các điểm cuối của kết nối, kênh truyền thông riêng t trên Internet bằng cách mã hóa. Thông thờng chỉ có Server là đợc chứng thực, có nghĩa là chỉ có
ngời ding ở cuối ( ngời sử dụng và ứng dụng, …) biết rõ mình đang nói chuyện với ai. ở mức độ bảo mật cao hơn, cả hai phía đều phải biết nhau, chứng thực lẫn nhau. Chứng thực lẫn nhau yêu cầu ding hạ tầng khóa công khai –PKI.
Để ứng dụng tính năng bảo mật Web Server của Certification authority
ta thực hiện theo các bớc sau:
Bớc 1: Xây dựng tệp mã hóa các thông tin cá nhân về web server tại máy chủ server.
• Vào start/run gõ inetmgr.
• Xuất hiện hộp hội thoại Internet Information Services (IIS) Manager.
• Ta chọn Web Sites/ Default Web Sites /Properties.
• Trong hộp thoại Default Web Sites, ta chọn Directory Security và chọn
Server Cetificate.
• Tại cửa sổ Certificate Requesst File Name, ở trong phần File Name: là địa chỉ lu tệp mã hóa các thông tin cá nhân mà chúng ta đã khai báo ở trên.
• Tại cửa sổ Request File Summany, chúng ta sẽ thấy các thông tin về