II- Xây Dựng Hệ Thống Mạng
6. Triển Khai Wildcard Certificate
Tổng quan Secure Socket Layer (SSL):
- Secure Socket Layer (SSL) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet.
- SSL là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt (browser), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia sẻ tạm thời được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua chứng chỉ điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA).
- Giao thức SSL dựa trên hai nhóm con giao thức là giao thức "bắt tay" (handshake protocol) và giao thức "bản ghi" (record protocol). Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi "lời chào" (hello) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng. Ngoài ra, các ứng dụng còn trao đổi "số nhận dạng/khoá theo phiên" (session ID, session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng chỉ điện tử (digital certificate) xác thực của ứng dụng chủ (web server).
- Chứng chỉ điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (Thẩm quyền xác nhận CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ "xác nhận" số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver.
- Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số:
Số nhận dạng theo phiên làm việc ngẫu nhiên;
Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL;
Triển khai:
- Công ty phugiasc đã có website trên web server đặt tại công ty và có nhu cầu publish website này ra Internet có mã hóa trên đường truyền, đồng thời để tăng cường độ tin cậy của khách hàng với doanh nghiệp khi truy cập website của mình, doanh nghiệp phải mua SSL certificate tại các nhà cung cấp chuyên bán certificate như Verisign, Rapidssl, Dynamicssl...
- Giả lập đề tài, thay vì mua SSL Certificate ta xây dựng Certificate Server trên máy DC với chế độ Stand-Alone CA cục bộ cấp phát.
- Khi triển khai SSL Certificate cho mỗi website ta cần phải đăng ký common name tương ứng với mỗi website.
- Trong đề tài, ta đã triển khai các website: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn . Thay vì triển khai common name tương ứng cho từng website, ta triển khai Wildcard Certificate (*.phugiasc.vn) để định danh chung cho tất cả website cùng domain name.
- Tại máy Web Server, thực hiện yêu cầu chứng thực certificate từ máy DC.
- Vào IIS -> Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server Certificate
- Chọn nơi lưu trữ file yêu cầu Certificate
- Truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv -> nhấn chọn Request a certificate
- Chọn Advanced certificate request
- Chọn Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file
- Truy xuất vào file request certificate (đã được ở trên: wirld_card.txt), copy nội dung và dán vào Save request -> nhấn Submit để xin certificate.
- Tại Certificate Server (máy DC), vào Certificate Authority chứng thực certificate đã yêu cầu bằng thao tác: chọn mục Pending Certificate -> Right click vào request certificate đang chờ xử lý chọn All Tasks/ Issue.
- Trở lại Web Server, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv để download certificate đã chứng thực.
- Vào IIS -> Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server Certificate -> chọn Process the pending request and install the certificate -> trỏ đường dẫn về file certificate đã download ở trên.
- Sau khi hoàn thành quá trình yêu cầu Wildcard Certificate, tiến hành Export Certificate này để Trust cho các máy tính trong công ty.
- Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server Certificate -> chọn Export the current certificate to a .pfx file -> chọn nơi lưu trữ và đặt mật khẩu bảo vệ cho Certificate.
- Biểu tượng sau khi Export Certificate:
- Sau khi Export thành công Wildcard Certificate, tiến hành gỡ bỏ Wildcard Certificate để triển khai yêu cầu Certificate cho Web Sites: www.phugiasc.vn
- Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server Certificate -> chọn Remove the current certificate. Thông tin Certificate gỡ bỏ:
- Tương tự, tiến hành yêu cầu chứng thực Certificate cho Web Sites: www.phugiasc.vn và Web-mail: client.phugiasc.vn , admin.phugiasc.vn nhƣ các bƣớc ở trên nhƣng không Export và gỡ bỏ Certificate.
- Các máy Client truy xuất Web Sites và Web-mail của công ty thông qua trình duyệt xuất hiện cảnh báo Web Site không tin cậy.
- Tiến hành xin Certificate cho các máy Client bằng thao tác: truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv -> chọn Request a certificate -> chọn Web Browser Certificate -> điền thông tin yêu cầu -> chọn Submit.
- Tại Certificate Server (máy DC), vào Certificate Authority chứng thực certificate đã yêu cầu bằng thao tác: chọn mục Pending Certificate -> Right click vào request certificate đang chờ xử lý chọn All Tasks/ Issue.
- Trở lại máy Client, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv để cài đặt certificate đã chứng thực.
- User tiến hành kiểm tra Certificate bằng thao tác: vào trình duyệt web Internet Explorer -> chọn Tools/ Options -> chọn thẻ Content -> chọn Certificate
- Như vậy, User đã có thể truy cập Web Sites và Web-mail của công ty qua cơ chế HTTPS và dữ liệu đã được mã hóa.
6.2 Triển Khai Secure Mail
- Tại máy Mail Server, vào Mail Daemon chọn thẻ Security/ Security Settings -> chọn mục SSL & TLS/ Mdaemon -> Enable SSL và directed SSL port cho giao thức SMTP, IMAP, POP3 -> chọn Wildcard Certificate: *.phugiasc.vn (đã được tạo ở phần 6.1)
- Kiểm tra các giao thức: SMTPS, POP3S, IMAPS đã được Active
- Tiến hành yêu cầu Certificate cho các máy Client bằng thao tác: truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv -> chọn Request a certificate -> chọn E-Mail Protection
Certificate -> điền thông tin yêu cầu/chọn Submit.
- Tại Certificate Server (máy DC), vào Certificate Authority chứng thực certificate đã yêu cầu bằng thao tác: chọn mục Pending Certificate -> Right click vào request certificate đang chờ xử lý chọn All Tasks/ Issue.
- Trở lại máy Client, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv -> chọn View the status of a peding certificate request, cài đặt certificate đã được chứng thực.
Kiểm tra:
- Tại máy Client, logon vào u1 và mở chương trình Outlook Express chọn Tool/ Options -> chọn thẻ Security -> Digital IDs để kiểm tra chữ ký điện tử được cấp bởi: phugiasc_ca
- Tại Oulook Express, vào Tool/ Accounts -> chọn thẻ Mail -> Double click vào Account -> chọn thẻ Server thiết lập cấu hình
- Tương tự, vào máy client logon vào u2 thực hiện các thao tác như u1 ở trên. Sau đó thực hiện gửi mail cho u1 để xác nhận mối quan hệ tin cậy.
- Tại u1, nhận được bức thư kèm chữ ký điện tử.
- Sau khi xác lập mối quan hệ tin cậy, việc gửi nhận mail sẽ được mã hóa dữ liệu.