3.4.2.1. Tự tạo chứng thực CA cho chính mình Bước 1: Tạo cặp khóa MyCA
Tạo khóa riêng X509 cho CA, mã hóa dạng Base64 – Mục đích là sẽ dùng khóa riêng này kí nhận cho code signing certificate. Khi tạo, cần cung cấp mật khẩu cho khóa riêng này.
Lệnh: Openssl> genrsa -des3 -out MyCA.key 1024 Pass phrase for MyCA.key : là “thanhtung”
Tạo chứng chỉ X509 cho CA có chứa public key, mã hóa dạng Base64 – Bạn cung cấp các thông tin cho CA, bao gồm tên đại diện cho CA, mã quốc gia, tên thành phố, email và mật khẩu của khóa riêng đã tạo ở trên.
Lệnh: Openssl > req -new -config openssl.cfg -x509 -days 365 -key MyCA.key -out MyCA.crt
Pass phrase for MyCA.key: là ‘thanhtung’
Bước 3: Chuyển sang dạng PKCS#12 để có thể import vào IIS
Lệnh: Openssl> pkcs12 -export -in MyCA.crt -inkey MyCA.key -out MyCA.pfx
Pass phrase for MyCa.key: là ‘thanhtung’ Export Password: ‘123456’
3.4.2.2. Tạo chứng thực cho máy chủ (server)Bước 1: Tạo cặp khóa MyServer: Bước 1: Tạo cặp khóa MyServer:
Lệnh: Openssl> genrsa -des3 -out MyServer.key 1024 Pass phrase for MyServer.key : ‘123456789’
Bước 2: Tạo yêu cầu chứng thực (certificate signing request): Lệnh: Openssl> req -config openssl.cfg -out MyServer.csr -key
MyServer.key –new
Pass phrase for MyServer.key : ‘123456789’ \
Bước
(certificate request) với khóa bí mật của MyCA và tạo chứng thực cho MyServer
Lệnh: Openssl> x509 -CAcreateserial -CAserial MyCA.srl -in MyServer.csr -days 370 -req -extfile openssl.cfg -extensions v3_req –CA MyCA.crt -CAkey MyCA.key -out MyServer.crt Pass phrase for MyCA.key : ‘thanhtung’
Bước 4: Chuyển sang dạng PKCS#12 để có thể import vào IIS Lệnh: Openssl> pkcs12 -export -in MyServer.crt -inkey
MyServer.key -out MyServer.pfx Pass phrase for MyServer.key : ‘123456789’ Export Password: ‘123456’
3.4.2.3. Cài đặt MyCA và MyServerBước 1: Chạy MMC: Bước 1: Chạy MMC:
Menu Start/Run.../mmc
Certificates/Add/Computer Account/Next/Finish/Close/OK
Bước 2: Cài CA Certificate (MyCA)
+Console root/Certificates/Trusted Root Certification Authorities/
Right-click vào Certificates/All Tasks/Import...
Sau đó gõ password: 123456 và bấm next mặc định đến finish.
Bước 3: Cài End-Use Certificate (MysServer)
Console root /Certificates/Personal/Right-click Certificates/All Tasks/Import...
Bước 4: Cho IIS dùng MyServer
Menu Start/Settings/Control Panel/Administratove Tools/Internet Services Manager
Chuột phải vào Default Web Site/Properties/Directory Security
Bước 5: Kiểm tra
Mở Internet Explorer của máy victim, truy cập vào trang web đã thiết lập SSL , nếu thấy biểu tượng ổ khóa ở bên dưới góc phải màn hình là ta đã thành công.
Website trên Server từ http đã được chuyển thành công qua https
3.5. Kết quả Demo:
Trên máy Attacker dùng Wireshark kiểm tra thì chỉ thấy các gói tin đã mã hóa. Nội dung trang web đã được mã hóa không thể đọc được.Chúng ta đã bảo đảm được an toàn cho web
Xác thực Server và trao đổi khóa
Kết thúc kết nối bảo mật
Mục tiêu đạt được
Tìm hiểu về cấu trúc của SSL Một số cơ chế bảo mật của SSL Một số ứng dụng của SSL
Xây dựng 1 Web server chạy SSL
Vì SSl là một giao thức hiện tại rất ít được ứng dụng tại Việc Nam nên nguồn tài liệu chủ yếu nhóm tìm hiểu là thông qua mạng Internet, book về SSL gần như rất hạn chế. Trong quá trình tìm hiểu về giao thức SSL dù rất cố gắng thực hiện tốt nhất nhưng vẫn mắc một số khiếm quyết mong thầy góp ý để em hoàn chỉnh đề tài tốt hơn.
Tài liệu tham khảo:
ht t p : // w w w . b l ackh a t .c o m / ( BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf) ht t p : // w w w . t h oug h t cr i m e . org/ ht t p : // w w w .o x id . i t / ht t p : / / en . wi k i pe d i a.o r g / htt p://m sopenl ab.com / http://vn-zoom.com/ http://pcworld.com.vn/ http://www.rfc-editor.org/rfc/rfc6101.txt