lab security+ bài 10: ca
TRANSCRIPT
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 63
Bài 10: CA ( CERTIFICATE AUTHORITY)
CÁC KHÁI NIỆM VỀ CHỨNG CHỈ SỐ:
CHỨNG CHỈ SỐ LÀ GÌ?
Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá
nhân, một máy chủ, một công ty... trên Internet. Nó giống như bằng lái xe, hộ
chiếu, chứng minh thư hay những giấy tờ xác minh cá nhân.
Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp.
Chứng chỉ số cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông
tin của bạn là chính xác, được gọi là Nhà cung cấp chứng thực số (Certificate
Authority, viết tắt là CA). CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về
độ chính xác của chứng chỉ số mà mình cấp.
Trong chứng chỉ số có ba thành phần chính:
Thông tin cá nhân của người được cấp
Khoá công khai (Public key) của người được cấp
Chữ ký số của CA cấp chứng chỉ
Thông tin cá nhân: Đây là các thông tin của đối tượng được cấp chứng
chỉ số, gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức .v.v. Phần này
giống như các thông tin trên chứng minh thư của mỗi người.
LỢI ÍCH CỦA CHỨNG CHỈ SỐ?
Mã hoá: Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin.
Khi người gửi đã mã hoá thông tin bằng khoá công khai của bạn, chắc chắn
chỉ có bạn mới giải mã được thông tin để đọc. Trong quá trình truyền thông
tin qua Internet, dù có đọc được các gói tin đã mã hoá này, kẻ xấu cũng không
thể biết được trong gói tin có thông tin gì. Đây là một tính năng rất quan trọng,
giúp người sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin. Những
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 64
trao đổi thông tin cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân
hàng điện tử, thanh toán bằng thẻ tín dụng, đều cần phải có chứng chỉ số để
đảm bảo an toàn.
Chống giả mạo: Khi bạn gửi đi một thông tin, có thể là một dữ liệu
hoặc một email, có sử dụng chứng chỉ số, người nhận sẽ kiểm tra được thông
tin của bạn có bị thay đổi hay không. Bất kỳ một sự sửa đổi hay thay thế nội
dung của thông điệp gốc đều sẽ bị phát hiện. Địa chỉ mail của bạn, tên
domain... đều có thể bị kẻ xấu làm giả để đánh lừa người nhận để lây lan virus,
ăn cắp thông tin quan trọng. Tuy nhiên, chứng chỉ số thì không thể làm giả, nên
việc trao đổi thông tin có kèm chứng chỉ số luôn đảm bảo an toàn.
Xác thực: Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận - có
thể là đối tác kinh doanh, tổ chức hoặc cơ quan chính quyền - sẽ xác định rõ
được danh tính của bạn. Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệ
thống chứng chỉ số mà bạn và người nhận cùng sử dụng, người nhận sẽ biết
chắc chắn đó là bạn chứ không phải là một người khác. Xác thực là một tính
năng rất quan trọng trong việc thực hiện các giao dịch điện tử qua mạng, cũng
như các thủ tục hành chính với cơ quan pháp quyền. Các hoạt động này cần
phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân. Đây chính
là nền tảng của một Chính phủ điện tử, môi trường cho phép công dân có thể
giao tiếp, thực hiện các công việc hành chính với cơ quan nhà nước hoàn toàn
qua mạng. Có thể nói, chứng chỉ số là một phần không thể thiếu, là phần cốt lõi
của Chính phủ điện tử.
Chống chối cãi nguồn gốc: Khi sử dụng một chứng chỉ số, bạn phải
chịu trách nhiệm hoàn toàn về những thông tin mà chứng chỉ số đi kèm. Trong
trường hợp người gửi chối cãi, phủ nhận một thông tin nào đó không phải do
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 65
mình gửi (chẳng hạn một đơn đặt hàng qua mạng), chứng chỉ số mà người
nhận có được sẽ là bằng chứng khẳng định người gửi là tác giả của thông tin
đó. Trong trường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ chịu
trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin được
gửi.
Chữ ký điện tử: Email đóng một vai trò khá quan trọng trong trao đổi
thông tin hàng ngày của chúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng. Những
thông điệp có thể gửi đi nhanh chóng, qua Internet, đến những khách hàng,
đồng nghiệp, nhà cung cấp và các đối tác. Tuy nhiên, email rất dễ bị tổn
thương bởi các hacker. Những thông điệp có thể bị đọc hay bị giả mạo trước
khi đến người nhận. Bằng việc sử dụng chứng chỉ số cá nhân, bạn sẽ ngăn
ngừa được các nguy cơ này mà vẫn không làm giảm những lợi thế của email.
Với chứng chỉ số cá nhân, bạn có thể tạo thêm một chữ ký điện tử vào email
như một bằng chứng xác nhận của mình. Chữ ký điện tử cũng có các tính năng
xác thực thông tin, toàn vẹn dữ liệu và chống chối cãi nguồn gốc. Ngoài ra,
chứng chỉ số cá nhân còn cho phép người dùng có thể chứng thực mình với
một web server thông qua giao thức bảo mật SSL. Phương pháp chứng thực
dựa trên chứng chỉ số được đánh giá là tốt, an toàn và bảo mật hơn phương
pháp chứng thực truyền thống dựa trên mật khẩu.
Bảo mật Website:Khi Website của bạn sử dụng cho mục đích thương
mại điện tử hay cho những mục đích quan trọng khác, những thông tin trao đổi
giữa bạn và khách hàng của bạn có thể bị lộ. Để tránh nguy cơ này, bạn có thể
dùng chứng chỉ số SSL Server để bảo mật cho Website của mình. Chứng chỉ
số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo giao thức
bảo mật SSL (Secure Sockets Layer). Loại chứng chỉ số này sẽ cung cấp cho
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 66
Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của
bạn về tính xác thực và tính hợp pháp của Website. Chứng chỉ số SSL Server
cũng cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách
hàng, nhân viên và đối tác của bạn thông qua công nghệ SSL mà nổi bật là các
tính năng:
+ Thực hiện mua bán bằng thẻ tín dụng
+ Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng
+ Đảm bảo hacker không thể dò tìm được mật khẩu
Đảm bảo phần mềm:Nếu bạn là một nhà sản xuất phần mềm, chắc
chắn bạn sẽ cần những ''con tem chống hàng giả'' cho sản phẩm của mình. Đây
là một công cụ không thể thiếu trong việc áp dụng hình thức sở hữu bản quyền.
Chứng chỉ số Nhà phát triển phần mềm sẽ cho phép bạn ký vào các applet,
script, Java software, ActiveX control, các file dạng EXE, CAB, DLL... Như
vậy, thông qua chứng chỉ số, bạn sẽ đảm bảo tính hợp pháp cũng như nguồn
gốc xuất xứ của sản phẩm. Hơn nữa người dùng sản phẩm có thể xác thực
được bạn là nhà cung cấp, phát hiện được sự thay đổi của chương trình (do vô
tình hỏng hay do virus phá, bị crack và bán lậu...).
NHÀ CUNG CẤP CHỨNG THỰC SỐ CA
Trong các hệ thống quản lý chứng thực số đang hoạt động trên thế giới,
nhà cung cấp chứng thực số (Certificate authority - CA) là một tổ chức chuyên
đưa ra và quản lý các nội dung xác thực bảo mật trên một mạng máy tính, cùng
các khoá công khai để mã hoá thông tin. Là một phần trong Cơ sở hạ tầng khoá
công khai (public key infrastructure - PKI), một CA sẽ kiểm soát cùng với một
nhà quản lý đăng ký (Registration authority - RA) để xác minh thông tin về
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 67
một chứng chỉ số mà người yêu cầu xác thực đưa ra. Nếu RA xác nhận thông
tin của người cần xác thực, CA sau đó sẽ đưa ra một chứng chỉ.
Tuỳ thuộc vào việc triển khai cơ sở hạ tầng khoá công khai, chứng chỉ
số sẽ bao gồm khoá công khai của người sở hữu, thời hạn hết hiệu lực của
chứng chỉ, tên chủ sở hữu và các thông tin khác về chủ khoá công khai.
1. CÁC THÀNH PHẦN TRONG MÔ HÌNH
CA server: 26.0.0.2
Client và webserver: 26.0.0.3
2. CÀI ĐẶT VÀ CẤU HÌNH CERTIFICATE AUTHORITY – CA
Click Start Setting Control Panel Add or Remove Programs Add or
Remove Windows Component
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 68
Check vào ô Certificate Services. Chọn Next.
Chương trình sẽ hiện bảng Warning “Nếu sau khi đã cài Certificate Services
thì những thông tin các thành viên trong domain sẽ không được thay đổi như
quyền được hưởng và CA được lưu trữ trong Active Directory, cho nên bạn
phải chắc chắn rằng những thông tin các thành viên trong Domain đã được
Configured & Install trước khi cài Certificate Services”.Chúng ta chấp nhận và
Click Yes
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 69
Chúng ta chọn Enterprise Root CA
Click Next
Hoàn thành các thông tin yêu cầu:
Common name for this CA : Server1 (Computer Name CA Server)
Distinguished name suffix : DC=vt04c1,DC=com
Preview of Distinguished name : CN=server1,DC=vt04c1,CN=com
Expiration date : 5 năm
Click Next tiếp tục quá trình cài đặt Certificate Services
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 70
Information Certificate Database & Certificate Database Log được lưu trữ
C:\WINDOWS\system32\CertLog
Click Browse… để thay đổi nơi lưu trữ
Nếu muốn Share Information Configuration thì ð Store onfiguration
information …
Sau đó Click Next
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 71
Chương trình xuất hiện bảng Warning:“Chương trình sẽ STOP Service IIS”
Click Yes để tiếp tục
Chương trình yêu cầu Source Win2k3 C:\source win2k3\I386\Certsrv
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 72
Click File Certsrv.exe Click Open
Chương trình đang cấu hình Certificate Services
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 73
Click Finish hòan thành quá trính cài đặt Certificate Services
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 74
3. USER ĐĂNG KÝ CA
Sau khi cài xong CA server .Trên máy client ta sẽ đăng ký 1 Certificate cho
User Test
Ta mở trình duyệt Web Internet Explorer trên máy client để đăng ký
Nhập cá thông tin sau:
Address : 26.0.0.2/certsrv
Hoặc :http://localhost/certsrv
Trang Web đăng ký xuất hiện
Sau đó Click Request a Certificate
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 75
Màn hình sau xuất hiện : Click Advanced Certificate Request
Click Create and Submit a request to this CA
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 76
Điền các thông tin của client:
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 77
Trong mục Certifcate Template chọn User
Store Certificate ...
Click Submit
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 78
Sau khi đã đăng ký xong thì trên CA server sẽ xác nhận cung cấp
Certificate.Sau đó từ client vào lại http://26.0.0.2/certsrv ---> chọn View the
status of a pending certificate request ---> Client Authentication Certificate
(Tuesday August 29 2006 5:20:48 PM) ,Click Install this Cerificate
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 79
Click Yes
Chương trình thông báo Certificate đã được Install
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 80
Sau khi install hòan tất quay trở lại trang http://26.0.0.2/certsrv chọn Download a CA
certificate, certificate chain, or CRL Download CA certificate
Ngoài Desktop có 1 file certnew.cer là file mà chúng ta vừa đăng ký trên CA
Server
Để kiểm tra lại Certificate đã có hiệu lực chưa ta sẽ vào CA Server kiểm tra
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 81
Click Start Programs Administrative Tools Click Certificate
Authority
Click Issue Certificates ta thấy Certifiacte User Test đã đươc cấp và Certifiacte
User Test đã có hiệu lực.
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+.Trung tâm đào tạo An Ninh Mạng ATHENA 82