Hướng dẫn bảo mật win2003 phan 2 EntCA KRA

Enterprise certificate authority
Enterprise certificate authority
& key recovery agent
& key recovery agent
PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY
I - Nội dung:
- Cài đặt Enterprise Root CA.
- Cấp Certificate cho user. User dùng certificate để signing và encrypt mail.
- User export key.
- Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt.
- User import key. Khả năng đọc và mã hóa dữ liệu của user được phục hồi như cũ.
II - Chuẩn bị:
Yêu cầu hệ thống: 01 máy Windows Sever 2003 làm Domain Controller
1. Tạo các object trong Active Directory: Log
on Administrator
a. Chỉnh Password Policy.
b. Tạo OU TestCA. Trong OU TestCA,
tạo user U1 (display name: Cu Ti,
password: 123)
c. Khai báo Email address trong properties của U1: U1@nhatnghe.com
d. Cho user U1 làm thành viên của group Print Operators (để U1 có quyền log on locally
vào domain controller)
2. Cài đặt và cấu hình mail server:
a. Cài MDaemon 6.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
9
b. Khai báo domain: Trong cửa sổ MDaemon 6  menu Setup  Primary domain 
Nhập domain name và HELO domain. (VD: NhatNghe.com)
c. Tạo mail box cho user U1: Trong cửa sổ MDaemon 6  Menu Accounts  New
account  Nhập Full name: “Cu Ti”, Mailbox name: “U1”, Password “123”.
3. Tạo, kiểm tra và cấu hình mail account của U1: Log on U1.
a. Tạo mail account cho U1 trong chương trình Outlook Express.: Nhập Full name: “Cu
Ti”, E-mail address: “U1@NhatNghe.com”, Password “123”. Lưu ý dùng “Localhost”
để khai báo Incoming và Outgoing Mail Server.
b. Kiểm tra hoạt động của mail account: U1 gửi mail cho chính mình
c. Cấu hình để lưu bản sao mail của U1 trên
mail server: Trong Outlook Express 
menu Tools  Accounts  tab Mail 
chọn mail box của U1  Properties  tab
Advanced  đánh dấu chọn mục “Leave a
copy…”
III - Thực hiện:
1. Cài đặt Enterprise Root CA:
a. Cài ASP.NET: Log on administrator: Start  Settings  Control Panel  Add or
Remove Programs  Add / Remove Windows Components  chọn Details của
Application Servers  chọn ASP.NET (hệ thống sẽ tự động chọn thêm Enable network
COM+ Access và IIS).
b. Cài Enterprise Root CA “NhatNghe”: Start  Settings  Control Panel  Add or
Remove Programs  Add / Remove Windows Components  chọn Certificate
Services. Lưu ý chọn Enterprise Root CA và Enable Active Server Page.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
10
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
11
2. Cấp Certificate cho user. User dùng Certificate để signing, encrypt mail:
a. Log on U1, xin certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv
 Request a certificate  User certificate  Submit  Install this certificate  Yes
b. Kiểm tra certificate của U1: Start  Run
 “mmc”  Trong console, chọn menu
File  Add / Remove Snap-in  Add >
chọn Certificates  Add  Close. Lưu
console trên desktop với tên
“U1_Cert.msc”
c. Log on U1, gửi
mail có signing
và encrypt (cho
chính mình)
3. User export key: Mở Console “U1_Cert.msc” đã lưu ở bước 2b. Click chuột phải trên
Certificate của U1 chọn Export
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
12
Trong hộp thọai Certificate Export Wizard, chọn “Yes, Export Private key”  Next  chọn
“Personal Info…” và “Enable strong…”  Next  nhập password 123, confirm password 123 
Next  nhấn nút Browse, tạo folder C:\CertKey, đặt tên file là “CuTi.pfx”  Next  chọn “Place all
certifictaes…”: Personal  Next  Finish
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
13
4. Giả lập key bị thất lạc:
a. Log on administrator. Xóa profile của user U1.
b. Log on U1 xem lại mail đã signing và encrypt trước đó.
5. User import key:
a. Log on U1, tạo lại console U1_Cert (xem 2b), dùng console certificate để import key từ
file pfx.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
14
b. Xem lại mail đã signing và encrypt trước đó.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
15
PHẦN 2: KEY RECOVERY AGENT
I - Nội dung:
- Cài đặt Enterprise Root CA.
- Issue enterprise certificate cho user. User dùng certificate để signing, encrypt mail.
- Administrator tạo Key Recovery Agent (KRA)
- Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt.
- Key Recovery Agent phục hồi key cho user.
II - Chuẩn bị: Tương tự phần 1
III - Thực hiện:
1. Cài đặt Enterprise Root CA: Tương tự phần 1
2. Administrator tạo Key Recovery Agent (KRA)
a. Tạo certificate template mới bằng cách điều chỉnh một certificate template có sẵn và gán
quyền sử dụng cho user: Start  Programs  Administrative Tools  Certification
Authority  Click nút phải chuột trên Certificate Template  Manage  Click nút
phải chuột trên Template User  Duplicate
Trong tab General, nhập Template display name và Template name: “UserVersion2”.
Trong tab Request handling, chọn option “Archive subject’s encryption private key”
Trong tab Security, cấp cho 2 group Authenticated Users và Domain Users các quyền: Read, Enroll và
Autoenroll. Đóng chương trình “Certificate Template”.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
16
b. Phát hành certificate template mới: KRA và UserVersion 2: Trở lại chuơng trình
Certificate Authority. Click nút phải chuột trên Certificate Template  New 
Certificate Template to Issue. Chọn 2 template “Key Recovery Agent” và “User
Version2”
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
17
c. Tạo KRA: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv  Request a
certificate  advanced certificate request  Create and submit a request to this CA 
chọn Certificate template “ Key Recovery Agent”
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
18
Cấp Certificate cho KRA:
Start  Programs  Administrative
Tools  Certification Authority
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
19
d. KRA install certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv 
View the status of a pending certificate request  Key Recovery Agent Certificate… 
Install this certificate  Yes
e.
e.
e.
e.
e.
e. Cấu hình thuộc tính archive the
key cho KRA: Start 
Programs 
Administrative Tools  Certification
Authority  Properties của root CA
 trong tab Recovery Agents, chọn
option “Archive the key”, chọn
nút Add  chọn KRA certificate 
OK  Yes để restart
Certificate Services
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
20
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
21
3. User dùng certificate để sign & encrypt mail:
a. User xin enterprise certificate: Log on U1, thực hiện tương tự phần 1 nhưng chọn
certificate template UserVersion2 do Admin mới tạo.
b. User dùng
certificate để signing, encrypt mail (tương tự 2c trong phần 1)
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
22

Xem chi tiết: Hướng dẫn bảo mật win2003 phan 2 EntCA KRA