1 />
Bảo Mật Email với Digital Certificate và
Digital Signature
Phần I: Cài đặt và cấu hình hệ thống Mail
Server Kerio
Trong bài viết này chúng tôi sẽ trình bày cách thức triển khai PKI để bảo mật cho hệ thống email. Mục đích cụ thể của bài lab:
- Mã hóa nội dung e-mail với Digital Certificate
- Đảm bảo tính xác thực của e-mail với Digital Signature
II. Chuẩn bị
Một máy Windows Server 2008 Domain Controller
III. Thực hiện
1. Tạo User Account
- Logon MSOPENLAB\Administrator, mở Active Directory Users and Computers, tạo các
user Trong và Hieu như trong hình bên dưới, password của các user là: P@ssword

OK

Chuột phải user Hieu, chọn Properties, nhập vào ô E-mail, chọn


2 />
Chuột phải user Trong, chọn Properties, nhập vào ô E-mail,
chọn OK
2. Cài đặt Mail Server Kerio
Chạy file cài đặt keri-kms-6.4.1-3801-win.exe
*Bạn có thể download chương trình Mail Server Kerio tại
/>Hộp thoại Choose Setup Language, chọn ngôn ngữ là English (United States), chọn
OK


3 />

Trong hộp thoại Welcome, chọn Next. Hộp thoại What’s New, chọn Next
Hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn
Next

-

Hộp thoại Setup Type, chọn Complete, chọn Next


4 />
-

Hộp thoại Destination Folder, giữ đường dẫn mặc định, chọn Next

-

Hộp thoại Ready to Install the Program, chọn Install


5 />
-

Hộp thoại Welcome, chọn Next

Hộp thoại Mail Domain, nhập MSOpenLab.com vào ô domain, nhập DC vào ô
Hostname, chọn Next

Hộp thoại Administrative Account, nhập 123456 vào ô Password và Confirm
Password, chọn Next



6 />
-

Hộp thoại Message Store Directory, chọn Finish, chọn Close

-

Hộp thoại InstallShield Wizard Completed, chọn Finish


7 />
3. Cấu hình Mail Server Kerio
- Vào Start\Programs\Kerio, mở Administration Console, Trong hộp thoại New
Connection, nhập password 123456, chọn Connect

Trong cửa sổ Administration Console, bung Configuration, vào Domain, kiểm tra có
domain MSOpenLab.com


8 />
Trong mục Domain Settings, vào Users, bung Import, chọn Import from directory
service…

-

Trong hộp thoại Import Users, nhập thông tin như trong hình bên dưới (Password:


9 />

P@ssword), chọn OK

-

Đánh dấu chọn vào user Hieu và Trong, chọn OK

-

Kiểm tra trong mục user đã có các mailbox như hình bên dưới, chọn Apply


10 />
-

Trong Configuration, vào Services. Lần lượt Stop các service: HTTP và HTTPS

4. Cài đặt Desktop Experience


11 />
Vì Windows Server 2008 không có cài đặt sẵn các chương trình mail client như Outlook Express
trên Windows XP và Windows Mail trên Windows Vista, nên trong bài lab này để trên Windows
Server 2008 sử dụng được Windows Mail thì chúng ta cần cài đặt Desktop Experience
-

Mở Server Manager từ Administrative Tools, chuột phải Features, chọn Add Features

-

Trong hộp thoại Select Features, đánh dấu chọn Desktop Experience, chọn Next



12 />
-

Hộp thoại Confirm Installation Selections, chọn Install

Hộp thoại Installation Results, chọn Close. Hộp thoại Do you want to restart now?,
chọn Yes để restart.


13 />
Sau khi khởi động, logon MSOPENLAB\Administrator, kiểm tra cài đặt Desktop
Experience thành công.

5.
-

-

Cấu hình Windows Mail cho User
Logon MSOPENLAB\Hieu, mở Windows Mail từ Start\Programs
Trong hộp thoại Your Name, nhập Hieu vào ô Display name, chọn Next

Hộp thoại Internet E-mail Address, nhập Hieu@MSOpenLab. Com vào ô Email


14 />
Address, chọn Next


Hộp thoại Setup e-mail servers, nhập địa chỉ của mail server vào ô Incoming mail và
Outgoing e-mail server, đánh dấu chọn Outgoing server requires authentication, chọn Next

-

Trong hộp thoại Internet Mail Logon, nhập Hieu vào ô E-mail username, nhập


15 />
P@ssword vào ô Password, chọn Next, chọn Finish

-

Tương tự, logon MSOPENLAB\Trong, cấu hình Windows Mail cho user Trong

6. Capture và thay đổi nội dung e-mail
Logon MSOPENLAB\Trong, mở Windows Mail, chọn Create Mail

-

Nhập vào ô To, nhập Subject và Body như trong hình, chọn Send


16 />
Logon MSOPENLAB\Administrator, vào đường dẫn C:\Program
Files\Kerio\MailServer\store\mail\MSOpenLab.com\hieu\INBOX\#msgs, chuột phải file
.eml, chọn Open With, chọn Notepad

-


Trong Notepad, sửa nội dung mail tùy ý


17 />
*E-mail khi chưa sửa nội dung

*E-mail sau khi sửa nội dung


18 />
Logon MSOPENLAB\Hieu, mở Windows Mail, kiểm tra nội dung e-mail gời từ Trong
là nội dung đã bị giả mạo.

Lưu ý: Trong một hệ thống mail thông thường, e-mail được gởi bằng chế độ cleartext nên không
bảo mật được nội dung bên trong. Và khi ta nhận một e-mail thông thường, sẽ không có đặc
điểm nào để phân biệt được e-mail có bị giả mạo hoặc giả danh hay không?
XEM TIẾP: PHẦN II- TRIỂN KHAI CERTIFICATION AUTHORITY (CA)


1 />
Bảo Mật Email với Digital Certificate và
Digital Signature
Phần II: Triển khai Certification Authority
(CA)
Trong Phần I: Cài đặt và cấu hình hệ thống Mail Server, các bạn đã thấy rõ trong một hệ thống
mail thông thường, e-mail được gởi bằng chế độ cleartext nên không bảo mật được nội dung bên
trong. Và khi ta nhận một e-mail thông thường, chúng ta sẽ không có đặc điểm nào để phân biệt
được e-mail giả mạo hoặc giả danh
Trong phần II, chúng ta sẽ triển khai hệ thống Certification Authority (CA) để ứng dụng phương
pháp mã hóa Public Key Infrastructure (PKI) và chữ ký điện tử (Digital Signature) nhằm bảo mật

cho hệ thống E-mail.
I. Giới thiệu
Bài lab bao gồm các bước:
1. Tạo User Account
2. Cài đặt Mail Server Kerio
3. Cấu hình Mail Server Kerio
4. Cài đặt Desktop Experience
5. Cấu hình Windows Mail cho User
6. Capture và thay đổi nội dung e-mail
7. Cài đặt Enterprise CA
8. Xin Certificate cho User
9. Trao đổi Public Key
10. Kiểm tra Digital Signature
11. Kiểm tra E-mail có mã hóa


2 />
II. Thực hiện (tiếp theo Phần I: Cài đặt và cấu hình hệ thống Mail Server Kerio)
7. Cài đặt Enterprise CA
-

- Logon MSOPENLAB\Administrator. Mở Server Manager từ Administrative Tools, chuột
phải Roles chọn Add Roles

-

- Hộp thoại Before You Begin, chọn Next

- Hộp thoại Select Server Roles, đánh dấu chọn Active Directory Certificate Services, chọn
Next



3 />
-

- Hộp thoại Introdution to Active Directory Certificate Services, chọn Next

- Trong hộp thoại Select Role Services, đánh dấu chọn ô Certification Authority Web
Enrollment, Hộp thoại Add role services required for Certification Authority Web Enrollment,
chọn Add Required Role Service

-

- Hộp thoại Specify Setup Type, chọn Enterprise, chọn Next


4 />
-

- Hộp thoại Specify CA Type, chọn Root CA, chọn Next

-

- Trong hộp thoại Setup Private Key, chọn Create a new private key, chọn Next


5 />
-

- Hộp thoại Configure Cryptography for CA, chọn Next

- Trong hộp thoại Configure CA Name, nhập MSOpenLab-CA vào ô Common name for this
CA, chọn Next

- Hộp thoại Set Validity Period, chọn Next. Hộp thoại Configure Certificate Database,
chọn Next
-

- Hộp thoại Web Server (IIS), chọn Next, Trong hộp thoại Select Role Services, giữ nguyên
các lựa chọn mặc định, chọn Next


6 />
- Hộp thoại Confirm Installation Selections, chọn Install. Hộp thoại Installation Results,
chọn Close

- Mở Certification Authoity từ Administrative Tools, kiểm tra CA đã được cài đặt thành
công


7 />
8. Xin Certificate cho User
- Logon MSOPENLAB\Hieu, vào Start\Run, gõ mmc, chọn OK. Trong cửa sổ
Console1, bung File, chọn Add/Remove Snap-in

-

- Trong cửa sổ Add or Remove Snap-in, chọn Certificates, chọn Add, chọn Ok