Hướng dẫn-Bảo mật win2003-phan 2- EntCA_KRA

Chia sẻ: Khongduong Vusua | Ngày: | Loại File: DOC | Số trang:17

0
365
lượt xem
237
download

Hướng dẫn-Bảo mật win2003-phan 2- EntCA_KRA

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo tài liệu 'hướng dẫn-bảo mật win2003-phan 2- entca_kra', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:
Lưu

Nội dung Text: Hướng dẫn-Bảo mật win2003-phan 2- EntCA_KRA

  1. Enterprise certificate authority & key recovery agent PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY I - Nội dung: - Cài đặt Enterprise Root CA. - Cấp Certificate cho user. User dùng certificate để signing và encrypt mail. - User export key. - Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt. - User import key. Khả năng đọc và mã hóa dữ liệu của user được phục hồi như cũ. II - Chuẩn bị: Yêu cầu hệ thống: 01 máy Windows Sever 2003 làm Domain Controller 1. Tạo các object trong Active Directory: Log on Administrator a. Chỉnh Password Policy. b. Tạo OU TestCA. Trong OU TestCA, tạo user U1 (display name: Cu Ti, password: 123) c. Khai báo Email address trong properties của U1: U1@nhatnghe.com d. Cho user U1 làm thành viên của group Print Operators (để U1 có quyền log on locally vào domain controller) 2. Cài đặt và cấu hình mail server: a. Cài MDaemon 6. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 9
  2. b. Khai báo domain: Trong cửa sổ MDaemon 6  menu Setup  Primary domain  Nhập domain name và HELO domain. (VD: NhatNghe.com) c. Tạo mail box cho user U1: Trong cửa sổ MDaemon 6  Menu Accounts  New account  Nhập Full name: “Cu Ti”, Mailbox name: “U1”, Password “123”. 3. Tạo, kiểm tra và cấu hình mail account của U1: Log on U1. a. Tạo mail account cho U1 trong chương trình Outlook Express.: Nhập Full name: “Cu Ti”, E-mail address: “U1@NhatNghe.com”, Password “123”. Lưu ý dùng “Localhost” để khai báo Incoming và Outgoing Mail Server. b. Kiểm tra hoạt động của mail account: U1 gửi mail cho chính mình c. Cấu hình để lưu bản sao mail của U1 trên mail server: Trong Outlook Express  menu Tools  Accounts  tab Mail  chọn mail box của U1  Properties  tab Advanced  đánh dấu chọn mục “Leave a copy…” III - Thực hiện: 1. Cài đặt Enterprise Root CA: a. Cài ASP.NET: Log on administrator: Start  Settings  Control Panel  Add or Remove Programs  Add / Remove Windows Components  chọn Details của Application Servers  chọn ASP.NET (hệ thống sẽ tự động chọn thêm Enable network COM+ Access và IIS). b. Cài Enterprise Root CA “NhatNghe”: Start  Settings  Control Panel  Add or Remove Programs  Add / Remove Windows Components  chọn Certificate Services. Lưu ý chọn Enterprise Root CA và Enable Active Server Page. 10 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  3. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 11
  4. 2. Cấp Certificate cho user. User dùng Certificate để signing, encrypt mail: a. Log on U1, xin certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv  Request a certificate  User certificate  Submit  Install this certificate  Yes b. Kiểm tra certificate của U1: Start  Run  “mmc”  Trong console, chọn menu File  Add / Remove Snap-in  Add > chọn Certificates  Add  Close. Lưu console trên desktop với tên “U1_Cert.msc” c. Log on U1, gửi mail có signing và encrypt (cho chính mình) 3. User export key: Mở Console “U1_Cert.msc” đã lưu ở bước 2b. Click chuột phải trên Certificate của U1 chọn Export 12 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  5. Trong hộp thọai Certificate Export Wizard, chọn “Yes, Export Private key”  Next  chọn “Personal Info…” và “Enable strong…”  Next  nhập password 123, confirm password 123  Next  nhấn nút Browse, tạo folder C:\CertKey, đặt tên file là “CuTi.pfx”  Next  chọn “Place all certifictaes…”: Personal  Next  Finish Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 13
  6. 4. Giả lập key bị thất lạc: a. Log on administrator. Xóa profile của user U1. b. Log on U1 xem lại mail đã signing và encrypt trước đó. 5. User import key: a. Log on U1, tạo lại console U1_Cert (xem 2b), dùng console certificate để import key từ file pfx. 14 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  7. b. Xem lại mail đã signing và encrypt trước đó. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 15
  8. PHẦN 2: KEY RECOVERY AGENT I - Nội dung: - Cài đặt Enterprise Root CA. - Issue enterprise certificate cho user. User dùng certificate để signing, encrypt mail. - Administrator tạo Key Recovery Agent (KRA) - Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt. - Key Recovery Agent phục hồi key cho user. II - Chuẩn bị: Tương tự phần 1 III - Thực hiện: 1. Cài đặt Enterprise Root CA: Tương tự phần 1 2. Administrator tạo Key Recovery Agent (KRA) a. Tạo certificate template mới bằng cách điều chỉnh một certificate template có sẵn và gán quyền sử dụng cho user: Start  Programs  Administrative Tools  Certification Authority  Click nút phải chuột trên Certificate Template  Manage  Click nút phải chuột trên Template User  Duplicate Trong tab General, nhập Template display name và Template name: “UserVersion2”. Trong tab Request handling, chọn option “Archive subject’s encryption private key” Trong tab Security, cấp cho 2 group Authenticated Users và Domain Users các quyền: Read, Enroll và Autoenroll. Đóng chương trình “Certificate Template”. 16 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  9. b. Phát hành certificate template mới: KRA và UserVersion 2: Trở lại chuơng trình Certificate Authority. Click nút phải chuột trên Certificate Template  New  Certificate Template to Issue. Chọn 2 template “Key Recovery Agent” và “User Version2” Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 17
  10. c. Tạo KRA: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv  Request a certificate  advanced certificate request  Create and submit a request to this CA  chọn Certificate template “ Key Recovery Agent” 18 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  11. Cấp Certificate cho KRA: Start  Programs  Administrative Tools  Certification Authority Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 19
  12. d. KRA install certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv  View the status of a pending certificate request  Key Recovery Agent Certificate…  Install this certificate  Yes e.e.Cấu hình thuộc tính archive the key cho KRA: Start  Programs  Administrative Tools  Certification Authority  Properties của root CA  trong tab Recovery Agents, chọn option “Archive the key”, chọn nút Add  chọn KRA certificate  OK  Yes để restart Certificate Services 20 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  13. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 21
  14. 3. User dùng certificate để sign & encrypt mail: a. User xin enterprise certificate: Log on U1, thực hiện tương tự phần 1 nhưng chọn certificate template UserVersion2 do Admin mới tạo. b. User dùng certificate để signing, encrypt mail (tương tự 2c trong phần 1) 22 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  15. 4. Giả lập certificate bị thất lạc: a. Log on administrator, xóa profile của user U1. b. Log on U1 xem lại mail đã signing và encrypt trước đó. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 23
  16. 5. Key Recovery Agent phục hồi key cho user a. Copy số serial certificate của user U1 còn lưu tại root và paste vào một file text; lược bỏ các khoảng trắng rồi copy vào clipboard một lần nữa. b. b. Lưu archived key của user U1 vào file *.pfx: nhập dòng lệnh trong cửa sổ command-line: certutil – getkey [số serial] abc.pfx. (Paste số serial vào) 24 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  17. c. Phục hồi key của user U1 vào file *.pfx: nhập dòng lệnh trong cửa sổ command- line: certutil –recoverkey abc.pfx CuTi.pfx. (không cần nhập password) d. User import key: Log on U1, dùng console certificate để import key từ file pfx và xem lại mail đã signing và encrypt trước đó. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 25
Đồng bộ tài khoản