Enterprise certificate authority
Enterprise certificate authority
& key recovery agent
& key recovery agent
PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY
I - Nội dung:
- Cài đặt Enterprise Root CA.
- Cấp Certificate cho user. User dùng certificate để signing và encrypt mail.
- User export key.
- Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt.
- User import key. Khả năng đọc và mã hóa dữ liệu của user được phục hồi như cũ.
II - Chuẩn bị:
Yêu cầu hệ thống: 01 máy Windows Sever 2003 làm Domain Controller
1. Tạo các object trong Active Directory: Log
on Administrator
a. Chỉnh Password Policy.
b. Tạo OU TestCA. Trong OU TestCA,
tạo user U1 (display name: Cu Ti,
password: 123)
c. Khai báo Email address trong properties của U1:
d. Cho user U1 làm thành viên của group Print Operators (để U1 có quyền log on locally
vào domain controller)
2. Cài đặt và cấu hình mail server:
a. Cài MDaemon 6.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
9
b. Khai báo domain: Trong cửa sổ MDaemon 6 menu Setup Primary domain
Nhập domain name và HELO domain. (VD: NhatNghe.com)
c. Tạo mail box cho user U1: Trong cửa sổ MDaemon 6 Menu Accounts New
account Nhập Full name: “Cu Ti”, Mailbox name: “U1”, Password “123”.
3. Tạo, kiểm tra và cấu hình mail account của U1: Log on U1.
a. Tạo mail account cho U1 trong chương trình Outlook Express.: Nhập Full name: “Cu
Ti”, E-mail address: “”, Password “123”. Lưu ý dùng “Localhost”
để khai báo Incoming và Outgoing Mail Server.
b. Kiểm tra hoạt động của mail account: U1 gửi mail cho chính mình
c. Cấu hình để lưu bản sao mail của U1 trên
mail server: Trong Outlook Express
menu Tools Accounts tab Mail
chọn mail box của U1 Properties tab
Advanced đánh dấu chọn mục “Leave a
copy…”
III - Thực hiện:
1. Cài đặt Enterprise Root CA:
a. Cài ASP.NET: Log on administrator: Start Settings Control Panel Add or
Remove Programs Add / Remove Windows Components chọn Details của
Application Servers chọn ASP.NET (hệ thống sẽ tự động chọn thêm Enable
network COM+ Access và IIS).
b. Cài Enterprise Root CA “NhatNghe”: Start Settings Control Panel Add or
Remove Programs Add / Remove Windows Components chọn Certificate
Services. Lưu ý chọn Enterprise Root CA và Enable Active Server Page.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
10
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
11
2. Cấp Certificate cho user. User dùng Certificate để signing, encrypt mail:
a. Log on U1, xin certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv
Request a certificate User certificate Submit Install this certificate Yes
b. Kiểm tra certificate của U1: Start Run
“mmc” Trong console, chọn menu
File Add / Remove Snap-in Add >
chọn Certificates Add Close. Lưu
console trên desktop với tên
“U1_Cert.msc”
c. Log on U1,
gửi mail có
signing và
encrypt (cho
chính mình)
3. User export key: Mở Console “U1_Cert.msc” đã lưu ở bước 2b. Click chuột phải trên
Certificate của U1 chọn Export
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
12
Trong hộp thọai Certificate Export Wizard, chọn “Yes, Export Private key” Next chọn
“Personal Info…” và “Enable strong…” Next nhập password 123, confirm password 123
Next nhấn nút Browse, tạo folder C:\CertKey, đặt tên file là “CuTi.pfx” Next chọn “Place
all certifictaes…”: Personal Next Finish
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
13
4. Giả lập key bị thất lạc:
a. Log on administrator. Xóa profile của user U1.
b. Log on U1 xem lại mail đã signing và encrypt trước đó.
5. User import key:
a. Log on U1, tạo lại console U1_Cert (xem 2b), dùng console certificate để import key
từ file pfx.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
14
b. Xem lại mail đã signing và encrypt trước đó.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
15
PHẦN 2: KEY RECOVERY AGENT
I - Nội dung:
- Cài đặt Enterprise Root CA.
- Issue enterprise certificate cho user. User dùng certificate để signing, encrypt mail.
- Administrator tạo Key Recovery Agent (KRA)
- Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt.
- Key Recovery Agent phục hồi key cho user.
II - Chuẩn bị: Tương tự phần 1
III - Thực hiện:
1. Cài đặt Enterprise Root CA: Tương tự phần 1
2. Administrator tạo Key Recovery Agent (KRA)
a. Tạo certificate template mới bằng cách điều chỉnh một certificate template có sẵn và
gán quyền sử dụng cho user: Start Programs Administrative Tools
Certification Authority Click nút phải chuột trên Certificate Template Manage
Click nút phải chuột trên Template User Duplicate
Trong tab General, nhập Template display name và Template name: “UserVersion2”.
Trong tab Request handling, chọn option “Archive subject’s encryption private key”
Trong tab Security, cấp cho 2 group Authenticated Users và Domain Users các quyền: Read, Enroll
và Autoenroll. Đóng chương trình “Certificate Template”.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
16
b. Phát hành certificate template mới: KRA và UserVersion 2: Trở lại chuơng trình
Certificate Authority. Click nút phải chuột trên Certificate Template New
Certificate Template to Issue. Chọn 2 template “Key Recovery Agent” và “User
Version2”
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
17
c. Tạo KRA: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv Request a
certificate advanced certificate request Create and submit a request to this CA
chọn Certificate template “ Key Recovery Agent”
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
18
Cấp Certificate cho KRA:
Start Programs Administrative
Tools Certification Authority
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
19
d. KRA install certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv
View the status of a pending certificate request Key Recovery Agent Certificate…
Install this certificate Yes
e.
e.
e.
e.
e.
e. Cấu hình thuộc tính archive the
key cho KRA: Start
Programs
Administrative Tools Certification
Authority Properties của root CA
trong tab Recovery Agents, chọn
option “Archive the key”, chọn
nút Add chọn KRA certificate
OK Yes để restart
Certificate Services
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
20
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
21
3. User dùng certificate để sign & encrypt mail:
a. User xin enterprise certificate: Log on U1, thực hiện tương tự phần 1 nhưng chọn
certificate template UserVersion2 do Admin mới tạo.
b. User dùng
certificate để signing, encrypt mail (tương tự 2c trong phần 1)
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
22
4. Giả lập certificate bị thất lạc:
a. Log on administrator, xóa profile của user U1.
b. Log on U1 xem lại mail đã signing và encrypt trước đó.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
23
5. Key Recovery Agent phục hồi key cho user
a. Copy số serial certificate của user U1 còn lưu tại root và paste vào một file text; lược
bỏ các khoảng trắng rồi copy vào clipboard một lần nữa.
b. L
ư
u
archived key của user U1 vào file *.pfx: nhập dòng
lệnh trong cửa sổ command-line: certutil –getkey
[số serial] abc.pfx. (Paste số serial vào)
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
24
c. Phục hồi key của user U1 vào file *.pfx: nhập dòng lệnh trong cửa sổ command-line:
certutil –recoverkey abc.pfx CuTi.pfx. (không cần nhập password)
d. User import key: Log on U1, dùng console certificate để import key từ file pfx và xem
lại mail đã signing và encrypt trước đó.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
25