Tải bản đầy đủ (.doc) (11 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Tài liệu Hướng dẫn-Bảo mật win2003-phan 4- SSL-IPSec pptx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (845.5 KB, 11 trang )

Secure Socket Layer & Ip Security
Secure Socket Layer & Ip Security
PHẦN 1: SECURE SOCKET LAYER
I - Nội dung: Xin Certificate cho web server để user truy cập bằng HTTPS (HTTP SECURE)
II- Chuẩn bị:
- Yêu cầu hệ thống: 01 máy Domain Controller Windows Sever 2003 Enterprise (P3_DC)
- Cài ASP.NET
- Cài Enterprise root CA
- Tạo trang web default: Inetpub\wwwroot\default.htm
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
33
III- Thực hiện
1. Kiểm chứng: Lần lượt truy cập web default bằng HTTP và HTTPS.
- Nhập địa chỉ trong IE: http://localhost: Trang web hiển thị bình thường.
- Nhập địa chỉ trong IE: https://localhost: Trang web không thể hiển thị.
2. Xin certificate cho web server:
- Mở Properties của IIS: Start  Programs
> Administrative Tools > Internet
Information Services (IIS) Manager 
click chuột phải vào Default Web Site 
Properties
- Xin certificate: Trong tab Directory
Security  chọn Server Certificate… 
Next  Chọn Create a new certificate 
Next  chọn Send the request
inmmediately…  Next  Nhập các
thông tin theo yêu cầu…  chọn port SSL
là 443…  Finish.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
34
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ


35

3. Truy cập web default bằng HTTPS: Nhập địa chỉ trong IE: https://localhost: Hệ thống cảnh
báo > chọn Yes > Trang web hiển thị bình thường.

I
PHẦN 2: IP SECURITY
I - Nội dung: Dùng certificate làm key mã hóa dữ liệu trên đường truyền
II - Chuẩn bị:
- Yêu cầu hệ thống: 02 máy Windows Sever 2003 Enterprise (P1).
- 02 máy disable card CROSS, kiểm tra đường truyền bằng lệnh PING IP card LAN.
- 02 máy đổi password administrator thành 123.
- Máy chẵn cài ASP.NET & Stand-alone root CA.
III - Thực hiện:
1. Xin certificate cho 2 computer
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
36
a. Máy lẻ bổ sung danh sách trusted site: Trong chương trình Internet Explorer (IE) chọn menu
Tools  Internet Options  Trong tab security, chọn zone Trusted sites  chọn nút Sites 
nhập vào mục “Add this Web site to the zone”: http://[IP của máy chẵn]/certsrv  bỏ chọn
“Require server verification…” > chọn nút Add  Close  OK để đóng IE properties.
b. Hai máy xin certificate:
- Máy lẻ: Trong IE, nhập địa chỉ: http://[IP của máy chẵn]/certsrv
- Máy chẵn: Trong IE, nhập địa chỉ: http://localhost/certsrv

- Cả hai máy: chọn Request a certificate  Advanced certificate request  Create and submit
a request to this CA  điền các thông tin cần thiết…
- Chú ý 1: Tại mục “Type of Certificate Needed”, chọn Client Authentication Certificate
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
37

- Chú ý 2: Đánh dấu chọn “Store certificate in the local computer certificate store”
- Submit.
c. Cấp certificate cho 2 computer: Máy chẵn: Start  Programs  Administrative Tools 
Certification Authority. Trong cửa sổ Certification Authority, chọn mục Pending Requests 
lần lượt click chuột phải vào từng request  All Tasks  Issue
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
38
d. Hai máy install certificate: Hai máy lại mở trang web xin certificate  chọn View the status
of a pending certificate request  Client Authentication Certificate…  Install this
certificate.
e. Hai máy tạo console PC_Cert:
- Start  Run  “mmc”  menu File  Add / remove snap-in  Add Certificates  chọn
Computer account  chọn Local computer.
- Trong console, chọn menu File  Save as  lưu console lên Desktop với tên “ PC_Cert”
- Lưu ý certificate của máy lẻ đang bị lỗi.
f. Máy lẻ import certificate của root CA:
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
39
- Trong console PC_Cert (tạo trong phần e): Chọn Trusted Root Certificate Authorities  click
chuột phải vào Certificates  All Tasks  Import
- Trong hộp thọai Certifictae Import Wizard  chọn nút Browse  My Network Places 
CerConfig on PCxx  PCxx_NhatNghe.crt  Open  Next  chọn “ Place all certificates
in the following stores: Trusted Root Certificate Authorities”  Finish.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
40
2. Tạo IPSec Policy cho 2 máy: (hai máy thực hiện như nhau)
a. Tạo console IPSec: Start  Run  “mmc”  Add / Remove snap-in  Add  lần lượt
chọn IP Security Policy Management cho Local Computer và Services cho Local Computer
 Lưu console lên Desktop với tên IPSec.
b. Tạo policy IPSec mới: Trong console IPSec  click chuột phải vào IP Security Policy

Management  Create IP Security Policy  Next  Đặt tên policy: ”IPSec by Cert” 
Next  bỏ chọn “Activate the default…”  Next bỏ chọn “Edit properties” > Finish.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
41
c. Cấu hình policy “IPSec by Cert”: Trong console IPSec  click chuột phải vào IPSec by Cert
 Properties  trong tab Rules của IPSec by Cert Properties chọn nút Add  Next  trong
hộp thọai Tunnel Endpoint chọn “This rule does
not specify a tunnel”  Next  trong hộp thọai
Network Type chọn “All network connections” 
Next  trong hộp thọai IP Filter List đánh dấu
chọn “All IP traffic”  Next  trong hộp thọai
Filter Action đánh dấu chọn “Require Security” 
Next  trong hộp thọai Authentication Method
đánh dấu chọn :”Use a certificate…”  chọn nút
Browse  trong hộp thọai Select Certificate chọn
CA “NhatNghe”  OK  quay về hộp thọai
Authentication Method  Next  Finish  quay
về IPSec by Cert Properties  OK.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
42
d. Assign Policy và restart services:
- Trong console IPSec  click chuột phải vào IPSec by Cert  Assign.
- Cũng trong console IPSec  chọn Services  click chuột phải vào IPSEC Services 
Restart.
3. Kiểm chứng quá trình mã hóa: Trong command-line của máy chẵn, nhập dòng lệnh PING
[IP máy lẻ] -t.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
43

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×