LAB Xây dựng CA Server trên Workgroup và Domain
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.34 MB, 51 trang )
1/ CA WORKGROUP
Trước tiên ta xét trường hợp sử dụng Certificate Authority (CA) trong môi trường
WORKGROUP
Để cài CA Server đầu tiên bạn phải cài dịch vụ IIS lên máy sẽ cài CA, tuy nhiên bạn phải
cài IIS hoàn tất mới được cài CA Services nếu không dịch vụ CA sẽ không chạy được.
Sau khi cài IIS hoàn tất bạn quay trở lại Windows Components chọn Certificate Services
và nhấp Next để cài đặt
Do ta đang ở trong môi trường Workgroup nên 2 lựa chọn đầu tiên sẽ bị mờ đi ở đây ta
chọn lưa chọn thứ 3 là Stand-alone root CA
Đặt tên cho CA tùy thích ở đây tôi đặt là GC Com Co
Giữ nguyên giá trị mặc định của màn hình Certificate Database Settings chọn Next
Cuối quá trình cài đặt CA bạn phải chọn Yes để đồng ý Enable IIS nếu không CA không
hoạt động được
Tiếp theo tôi dựng một Mail Server với MDaemon
Sau khi cài đặt MDaemon hoàn tất bạn nhập domain của mình vào ô Domain name
Tại màn hình Setup your first account bạn đặt một tài khoản mới, tài khoản này chính là tài
khoản Admin trong MDaemon
Màn hình Setup you DNS để trống và nhấp Next
Cuối quá trình cài đặt bạn vào Services xem dịch vụ MDaemon có được Started chưa nếu
chưa bạn hãy Start nó thì mới có thể sử dụng MDaemon được
Mặc nhiên MDaemon sẽ không cho tạo tài khoản mới với password đơn giản vì vậy trong
bài tôi sẽ để bỏ tính năng này bằng cách nhấp vào Menu Setup -> Miscellaneous Options
Chọn tiếp Tab Misc và bỏ mục Require strong passwords
Bây giờ tôi sẽ tạo 2 tài khoản mới là gccom1 và gccom2 trong Account Manager để các
User có thể sử dụng tài khoản này Test mail thử
Trong Local user and Group tôi cũng sẽ tạo 2 Account mới là gccom1 và gccom2 để kiểm
chứng
Logon với gccom1 và cấu hình Outlook Express cho Account này ứng với tài khoản
gccom1 trong MDaemon
Nhập chính xác email của gccom1 trong Email address
Do chúng ta đang thử nghiệm trên chính máy mình nên các dịch vụ SMTP & POP3 bạn
nhập IP của chính mình
Nhập lại tài khoản & mật khẩu của Account gccom1 trong MDaemon
Bây giờ gccom1 sẽ gởi một Email cho gccom2 với nội dung GCCOM1 SENT TO
GCCOM2
Đăng nhập với tài khoản Administrator và vào C:\MDaemon\Users\gccom.net\gccom2 để
xem các Email mà gccom1 gởi cho gccom2
Tôi đã tìm thấy nội dung Email mà gccom1 gởi cho gccom2. Sau đó tôi thử Edit nó bằng
cách thêm một dòng mới là REPLY TO ME ngay bên dưới
Logon với gccom để kiểm tra mail
gccom2 sẽ thấy rằng mình nhận được một Email từ gccom1 với nội dung đã bị
Administrator đã Edit trước đó mà nó không hề hay biết. Như vậy đến đây ta thấy hệ thống
của chúng ta lúc này thực sự không an toàn chút nào cả
Bây giờ gccom1 & gccom2 sẽ tiến hành cài CA lên mình để ứng dụng CA vào việc ký tên
điện tử và mã hóa Email như sau:
Vào địa chỉ http://[IP máy CA Server]/certsrv
Nhấp vào Request a certificate để yêu cầu CA Server cấp chứng thực cho mình
Do chúng ta cần chứng thực cho Email mà thôi nên tại màn hình tiếp theo ta chọn Email
Protection Certificate
Tại màn hình Information bạn phải nhập chính xác thông tin về tài khoản email của mình
và nhấp Submit để gởi yêu cầu
Chọn Yes để hoàn tất
Cuối cùng nó sẽ hiển thị màn hình thông báo đã nhận đơn yêu cầu của bạn và chờ
Administrator chứng thực
Tại CA Server bạn vào Start -> Programs -> Administrative tools -> Certificate Authority
để xem các yêu cầu chứng thực từ các Client
Trong Folder Pending Requests bạn chọn Issue để chấp nhận đơn của user
Đơn sau khi được chấp nhận sẽ hiển thị trong Folder Issued Certificates
Các user sau khi được chứng thực phải tiến hành cài CA lên chính mình bằng cách vào lại
trang Web CA Server chọn View the status of a pending certificate request
Nhấp vào Link Email Protection Certificate
Chọn Install this certificate để tiến hành cài đặt CA lên mình
Màn hình thông báo đã cài đặt thành công
Bây giờ tại gccom1 tôi sẽ tiến hành gởi 2 Email cho gccom2 một Mail sử dụng chữ ký điện
tử, một Mail sẽ mã hóa hoàn toàn nội dung
Trước tên tôi tạo một Email thứ 1 với:
Subject là Test CA 1
Nội dung Test CA 1
Và nhấp vào nút Sign bên trên và gởi đi
Tiếp theo tôi tạo một Email thứ 2 với:
Subject là Test CA 2
Nội dung Test CA 2
Và nhấp vào cả 2 nút Sign và Encrypt bên trên và gởi đi
