Cấp phát và quản lý các chứng chỉ số

III. Triển khai dịch vụ CA trên môi trờng Windows Server 2003

3.4. Cấp phát và quản lý các chứng chỉ số

3.4.1. Cấp phát tự động (Auto-Enrollment)

Auto-Enrollment cho phép clent yêu cầu tự động và nhận chứng chỉ số từ CA mà không cần sự can thiệp của ngời quản trị để dùng Auto-Enrollment thì phải có Domain chạy Windows Server 2003, một enterprise CA chạy Windows Server 2003 và client có thể chạy Windows XP Professional. Điều khiển tiến trình Auto-Enrollment bằng sự phối hợp của roup policy và mẫu chứng chỉ số.

Mặc định, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho tất cả các ngời dùng và máy tính nằm trong Domain. Để cài đặt, bạn mở chính sách cài đặt Auto-Enrollment, nằm trong th mục Windows Settings\ Sercurity

Settings\Public Key Policies trong cả 2 node Computer Configuration và User Configuration của Group Policy Object Editor. Hộp thoại Autoenrollment Settings Properties xuất hiện bạn có thể cấm hoàn toàn auto-enrollment cho các đối tợng sử dụng GPO này. Bạn cũng có thể cho phép các đối tợng thay đổi hoặc truy cập chứng chỉ số của chúng một cách tự động.

Một kỹ thuật khác bạn có thể dùng để điều khiển auto-enrollment là xây dựng chứng chỉ có xác định đặc tính của kiểu chứng chỉ số rõ ràng. Để quản lý mẫu chứng chỉ số, bạn dùng mẫu chứng chỉ số có sẵn (Certificate Templates snap-in), nh hình dới. Sử dụng công cụ này, bạn có thể chỉ rõ thời gian hiệu lực và thời gian gia hạn của loại chứng chỉ đã chọn, chọn dịch vụ mã hóa (cryptographic) cung cấp cho chúng. Dùng tab Security, cũng có thể chỉ rõ những user và group đợc phéo yêu cầu chứng chỉ số dùng mẫu này.

Khi client yêu cầu một chứng chỉ số, CA kiểm tra đặc tính đối tợng Active Directory của client để quyết định liệu client có quyền tối thiểu đợc nhận chứng

chỉ không ?. Nếu Client có quyền thích hợp thì CA sẽ cấp pháp chứng chỉ số một cách tự động.

3.4.2. Cấp phát không tự động (Manual Enrollment)

Stand-alone CAs không thể dùng auto-enrollment, vì vậy khi một tand- alone CA nhận yêu cầu về chứng chỉ số từ client, nó sẽ lu trữ những yêu cầu đó vào trong một hàng đợi cho tới khi ngời quản trị quyết định liệu có cấp phát chứng chỉ số hay không?. Để giám sát và xử lý các yêu cầu vào, ngời quản trị dùng Certification Authority console nh hình sau:

Trong Certification Authority console, tất cả yêu cầu cấp phát chứng chỉ số xuất hiện trong th mục Pending Request. Sau khi đánh thông tin trong mỗi yêu cầu, ngời quản trị có thể chọn để chấp nhận (issue) hay từ chối yêu cầu. Ngời quản trị cũng có thể xem đặc tính của việc cấp phát chứng chỉ và thu hồi chứng chỉ khi cần.

3.4.3. Các yêu cầu cấp phát CAa. Sử dụng Certificates Snap-in. a. Sử dụng Certificates Snap-in.

Certificates Snap-in là một công cụ dùng để xem và quản lý chứng chỉ số của một user hoặc computer cụ thể. Màn hình chính của snap-in bao gồm nhiều th mục chứa tất cả hạng mục chứng chỉ số đợc chỉ định cho user hoặc computer. Nếu tổ chức của ngời dùng sử dụng enterprise CAs, Certificate Snap-in cũng cho

phép ngời dùng yêu cầu và thay đổi chứng chỉ số bằng cách dùng Certificate Request Wizard và Certificate và Renewal Wizard.

b. Yêu cầu cấp phát thông qua Web (Web Enrollment)

Khi cài đặt Certificate Services trên máy tính chạy Windows Server 2003, ngời dùng có thể cài đặt module Certificate Services Web Enrollment Support. Để hoạt động một cách đúng đắn, module này yêu cầu ngời dùng phải cài đặt IIS trên máy tính trớc. Chọn module này trong quá trình cài đặt Certificate Services tạo rat rang Web trên máy tính chạy CA, những trang Web này cho phép ngời dùng gửu yêu cầu cấp chứng chỉ số yêu cầu mà họ chọn.

Giao diện Web Enrollment Support đợc dùng cho ngời sử dụng bên ngoài hoặc bên trong mạng truy xuất đến stand-alone CAs. Vì stand-alone server không dùng mẫu chứng chỉ số, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về chứng chỉ số và thông tin ngời sử dụng chứng chỉ số.

Khi Client yêu cầu chứng chỉ số dùng giao diện Web Enrollment Support, chúng có thể chọn từ danh sách loại chứng chỉ đã đợc định nghĩa trớc hoặc tạo ra chứng chỉ cao cấp bằng cách chỉ rõ tất cả các thông tin yêu cầu trong form Web-based.

3.4.4 Thu hồi chứng chỉ số

Có vài nguyên nhân cảnh báo cho ngời quản trị thi hồi chứng chỉ. Nếu nh khóa riêng (private key) bị lộ, hoặc ngời dùng trái phép lợi dụng đến CA, thậm chí nếu chúng ta muốn cấp phát chứng chỉ dùng tham số khác nh là khóa dài hơn, chúng ta phải đợc thu hồi chứng chỉ trớc đó. Một CA duy trì một CRL (Certificate Revocation List). Enterprise CAs xuất bản CLRs của chúng trong cơ sở dữ liệu Active Directory, vì vậy client có thể truy xuất chúng dùng giao thức truyền thông Active directory chuẩn, gọi là ightweight Directory Access Protocol (LDAP). Một stand-alone CA lu trữ CRL của nó nh một file trên đĩa

cục bộ của server, vì vậy client truy xuất dùng giao thức truyền thông Internet nh Hypertext Transfer Protocol (HTTP) hoặc File Transfer Protocol (FTP).

Mỗi chứng chỉ số chứa đờng dẫn tới điểm phân phối của CA cho CLRs.Có thể sửa đổi đờng dẫn này trong Certification Authority console bằng cách hiển thị hộp thoại Properties cho CA, click vào tab Extension. Khi một ứng dụng chứng thực client đang dùng chứng chỉ số, nó đang kiểm tra điểm phân phối CRL đã định rõ trong chứng chỉ số, để chắc chắn rằng chứng chỉ số không bị thu hồi. Nếu CRL không có tại điểm phân phối đã định rõ của nó, ứng dụng từ chối chứng chỉ.

Bằng cách chọn th mục Revoked Certificates trong ertification Authority Console và sau đó hiển thị hộp thoại Properties của nó, chúng ta có thể chỉ rõ bao lâu thì CA nên xuất bản mmotj CRL mới, và cũng cấu hình CA để xuất bản delta CRLs. Một delta CRLs là một danh sách tất cả các chứng chỉ đã thu hồi từ khi CRL cuối cùng xuất bản. Trong tổ chức với số lợng chứng chỉ số lớn, sử dụng CRLs thay vì CRLs cơ bản có thể lu một số lớn.

Chơng 3

Triển khai một số dịch vụ mạng sử dụng chứng chỉ số

I. Dịch vụ nhận và gửi E-mail

Trong thơng mại điện tử, giao dịch chủ yếu bằng th điện tử. Việc sử dụng th điện tử trong giao dịch rất tiện lợi, tiết kiệm đợc rất nhiều thời gian và chi phí. Tuy nhiên việc giao dịch bằng th điện tử bên cạnh những tiện ích to lớn đó thì nó luôn có những hiểm họa do sự tấn công từ bên ngoài hoặc từ nội bộ. Những hiểm họa này có thể gây nên những hậu quả rất nghiêm trọng. Việc sử dụng th điện tử trong giao dịch cũng nh việc bảo mật, xác thực th điện tử là một nhu cầu thiết thực đối với tất cả mọi doanh nghiệp và những ai sử dụng th điện tử để giao dịch.

1.1. Mô hình dịch vụ

Bớc cấu hình Máy Server

SERVER

(Cài DC,MAIL,POP3, CA)

IP : 172.16.0.1 Sub : 255.255.0.0 DG : Để trống DNS : 172.16.0.1

• Cài Windows Server 2003 sau đó nâng lên DC với Domain là vietbank.vn và cài tự động dịch vụ DNS, Cài dịch vụ Mail

• Tạo user: + Giám đốc + Th ký Máy Giám đốc Giám đốc IP : 172.16.0.2 Sub : 255.255.0.0 DG : 172.16.0.1 DNS: 172.16.0.1

• Cài Windows XP Professional service pack 2.

• Join vào domain vietbank.vn.

• Vai trò là 1 client trong mạng

Máy Kế toán

• Cài Windows XP Professional service pack 2.

• Join vào domain vietbanl.vn

• Vai trò là 1 client trong mạng. Kế toán

IP : 172.16.0.3 Sub : 255.255.0.0 DG : 172.16.0.1 DNS : 172.16.0.1

Máy Harkker

• Cài Windows XP Professional service pack 2.

• Không Join đợc vào Domain.

• Vai trò là 1 client ngoài mạng.

1.2. Tiến hành cài đặt

Bớc 1: Trong máy Server cài đặt E-mail server POP3

• Chúng ta vào start → Settings → Control panel → Add or remove programs → Add/remove windows component.

• Tại đây chúng ta chọn Email services, và chọn Detail và đánh dấu vào mục POP3 service, sau đó nhấn OK, sau đó chọn Next để bắt đầu quá trình cài đặt. Harker IP : 172.16.0.5 Sub : 255.255.0.0 DG : Để trống DNS : Để trống

• Sau khi qua trình cài đặt kết thúc thì chúng ta có một hệ thống E-mail service.

• Tiếp tục chúng ta tạo các USER và sử dụng dịch vụ Mail Server

Tạo các địa chỉ Email trong POP3 service, Và khi tạo các địa chỉ E-Mail này thì đồng thời cũng tạo ra các user tơng ứng.

Bớc 2: Tại máy Client của Giám đốc và kế toán tiến hành gửi và nhận Mail

• Trong chơng trình Outlook Express. Chúng ta chọn Tools/ account. Và trong internet account, chúng ta chọn thẻ Mail để thêm địa chỉ E-Mail của mình vào.

• Tại cửa sổ Your name, trong phần Display name: chúng ta gõ vào tên hiện thị trong Outlook Express

Ví dụ: Chúng ta tiến hành cài đặt dịch vụ tại máy của Giám đốc, sau đó chọn Next để tiếp tục

• Tại cửa sổ Internet E-Mail Address: chúng ta gõ tên địa chỉ email của Giám đốc hoặc Kế toán.

• Tại cữa sổ Email-Server Names chúng ta nhập vào địa chỉ IP của nới chứa th gửi và nhận mail đó là địa chỉ của máy Server

Incoming mail (POP3) server: Địa chỉ mail server chứa hộp th nhận .

Outgoing mail (SMTP) server: Địa chỉ mail server chứa hộp th gửi đi.

Tại cữa sổInternet mail logonnhập

• Account name: Bạn gõ tên hộp th của Giám đốc hoặc th ký.

• Password:Là mật khẩu hộp th của Giám đốc hoặc th ký.

• Sau đó nhấn Next và Finish để hoàn thành quá trình đăng ký ngời dùng.

• Để viết th, chúng ta chọn Creat mail, và nhập đúng các nội dung cần thiết, sau đó nhấn Send để gửi th

• Và khi đó trong E-Mail của “kế toán ” sẽ có th của giám đốc gửi tới.

• Nhng vì có những lý do nh có ngời thay đổi nội dung th, mạo danh ngời trong công ty để gửi th với những mục đich khác nhau...mà ngời nhận không hề phân biệt đợc, điều này sẽ có thể gây ra thảm họa cho cả một công ty.

• Ví dụ: Lúc cha thay đổi nội dung.

• Harker vào mail server để thay đổi nội dung của giám đốc gửu cho kế toán. Harker vào máy chủ lấy mail của giám đốc qua đờng dẫn nh sau: C:\Inetpub\mailroot\Mailbox\vietbank.vn\P3_ketoan.mbx thấy mail của kế toán

cha đọc nên vào đó để thay đổi nội dung. Nên khi kế toán nhận Mail về không biết đợc Mail mình đã bị kẻ khác thay đổi.

Hoặc bị Harker mạo danh để gửi th

Chính vì thế mà chúng ta cần một phơng pháp để xác minh xem, nội dung của bức th gửi đến đã bị thay đổi nội dung hay cha, hay là có phải là th giả mạo hay không.và một trong những phơng pháp đó là sử dụng Certifition Authority.

Bớc 3: ứng dụng Certification Authority bảo mật Mail Server Tiến hành cài đặt Certifition Authority.

• Chúng ta vào Start -> Settings -> Control panel -> Add or Remove Programs-> Add/remove Windows Component.

• Và chúng ta chọn certifficate services sau đó chọn Next để tiến hành cài đặt

• Sau khi đã cài đặt xong Certificate service thì chúng ta bắt đầu tiến hành xin cấp chứng thực cho E-Mail.

Tạo yêu cầu xin cấp chứng thực Cấp chứng thực cho máy Server

Tại máy Server vào trang http://172.16.0.1/certsrv .

• Tại đây chúng ta chọn Request a certificate để gửi yêu cầu cấp chúng thực th điện tử.

• Tại Hộp thoại Request a Certificate chúng ta chọn Advanced certificate request

• Tại hộp thoại Advanced Certificate Request chọn Create and submit a request to this CA.

Tại đây chúng ta điền các thông tin để tạo và gửu yêu cầu đến CA

Tại Hộp thoại Request a Certificate chúng ta chọn E-mail Protection Certificate

Tại mục E-Mail Protection Certificate – Identifying Information, chúng ta điền đày đủ thông tin về E-Mail xin cấp chứng chỉ. Sau đó chọn Submit để gửi yêu cầu.

•Khi đó hệ thống sẽ gửi yêu cầu về máy server để xác nhận với Id 3

Xác nhận của Server

• Chúng ta vào Run gõ mmc để vào File → Add/Remove Snap in →Add

→ Certifition Authority(Local) → Pending Request Thì chúng ta sẽ thấy đ- ợc yêu cầu chứng thực mà chúng ta đã xin cấp.

• Trong cửa sổ Console → Pending Request, Tại Request ID 4 chúng ta nhấp chuột phải vào All Task -> Issue

Bớc 4: Cài đặt Certifition Authority.

• Tại máy Client của Giám đốc và Kế toán ta vào lại trang 172.16.0.1/certsrv .

• Chúng ta chọn phần View the Statu of a pending Certicate Request.

• Và chọn E-Mail Protection Certificate.

• Tại đây chúng ta nhấp chuột vào Install this certificate để hoàn thành việc cấp chứng thực cho địa chỉ E-Mail: ketoan@45ktin.dhv.

Bớc 5: Gửi th khi đã cài đặt Certifition Authority.

• Nhờ tính năng bảo bảo mật của Certification Authority mà khi ngời nhận bức th đã bị thay đổi nội dung thì sẽ cảnh báo nh sau:

Ngoài ra Certification Authority(CA) còn có tính năng mã hóa Mail để bảo mật nội dung của Mail tránh trờng hợp bị lộ nội dung Mail và thay đổi nội dung Mail.

Khi Mail đợc mã hóa bởi CA thì trên Mail của ngời nhận đợc sẽ có ký hiệu đính kèm nh sau:

• Và không may th này bị bặt giữ trên đờng truyền thì những ngời xâm nhập cũng không thể đọc đợc nội dung của bức th.

II. Dịch vụ VPN

VPN- Virtual Private Network, là một mạng riêng dùng mạng công cộng (Internet) để kết nối các điểm hoặc ngời sử dụng tới mạng LAN trung tâm.

VPN cho phép truyền dữ liệu giữa hai máy tính sử dụng môi trờng mạng công cộng giống nh cách một đờng kết nối riêng giữa hai máy tính này. Để tạo một kết nối điểm điểm (point-to-point), dữ liệu đợc đóng gói (encapsulate), bao bọc (wrap) với một header để cung cấp các thông tin định tuyến. Để giả lập kênh truyền riêng , dữ liệu sẽ đợc mã hóa.

2.1. Mô hình dịch vụ

Server VPN-CA VPN- Client

Trong mô hình này dịch vụ VPN sẽ đợc triển khai tại văn phòng Nghệ An, ngời dùng ở nơi khác nh Hà Nội, TP HCM .... có thể kết nối, truy cập các tài nguyên bên trong mạng LAN tại Nghệ An, Giao thức L2TP/IPSec, chứng thực bằng chứng chỉ số CA.

Máy Server

• Cài Windows Server 2003 sau đó nâng lên DC với Domain là vietbank.vn

• Tạo User

Máy VPN-CA

VPN-CA

Join DC, Cài CA, VPN

IP : 172.16.0.254 Sub : 255.255.0.0 DG : 172.16.0.254 DNS : 172.16.0.1 IP : 10.0.0.254 Sub : 255.0.0.0 DG : 10.0.0.254 DNS : 172.16.0.1

Cài Windows Server 2003 sau đó Join DC và cài các dịch vụ CA và VPN

Máy VPN-Client SERVER (Cài DC) IP : 172.16.0.1 Sub : 255.255.0.0 DG : 172.16.0.254 DNS : 172.16.0.1 VPN-Client IP : 10.0.0.2 Sub : 255.0.0.0 DG : Để trống DNS : Để trống

• Cài Windows XP Professional service pack 2.

• Là một máy đặt ở xa ngoài mạng

2.2. Tiến hành cài đặt

Bớc 1: Vào máy Server cài đặt AD đã trình bày ở phần 1 Bớc 2: Vào máy VPN-CA cài CA

• Vào Start -> Settings -> Control panel -> Add or RemovePrograms-> Add/remove Windows Component.

• Và chúng ta chọn certifficate services sau đó chọn Next để tiến hành cài đặt.

• Cài đặt VPN vào Start/Programs/ Administrative Tool/Routing and Remote Access.

Bớc 3: Chứng thực cho máy VPN-CA và VPN-Client Tại máy VPN-CA vào trang http://172.16.0.1/certsrv Tại máy VPN-Client vao trang http://10.0.0.254/certsrv

Tại đây chúng ta chọn Request a certificate để gửi yêu cầu cấp chứng chỉ

Hộp thoại Request a certificate chọn advanced certificate request và đăng ký thông tin để yêu cầu chứng chỉ và chọn Submit.

Tại trang Certificate pending, hệ thống sẽ gửi yêu cầu về cho server của mình với Request Id là 4:

Vào VPN-CA xác nhận chứng chỉ số

• Chúng ta vào Run gõ mmc để vào File → Add/Remove Snap in →Add

→ Certifition Authority(Local) → Pending Request Thì chúng ta sẽ thấy đ-