Xem mẫu
- Secure Socket Layer & Ip Security
PHẦN 1: SECURE SOCKET LAYER
I - Nội dung: Xin Certificate cho web server để user truy cập bằng HTTPS (HTTP SECURE)
II- Chuẩn bị:
- Yêu cầu hệ thống: 01 máy Domain Controller Windows Sever 2003 Enterprise (P3_DC)
- Cài ASP.NET
- Cài Enterprise root CA
- Tạo trang web default: Inetpub\wwwroot\default.htm
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 33
- III- Thực hiện
1. Kiểm chứng: Lần lượt truy cập web default bằng HTTP và HTTPS.
- Nhập địa chỉ trong IE: http://localhost: Trang web hiển thị bình thường.
- Nhập địa chỉ trong IE: https://localhost: Trang web không thể hiển thị.
2. Xin certificate cho web server:
- Mở Properties của IIS: Start Programs
> Administrative Tools > Internet
Information Services (IIS) Manager
click chuột phải vào Default Web Site
Properties
- Xin certificate: Trong tab Directory
Security chọn Server Certificate…
Next Chọn Create a new certificate
Next chọn Send the request
inmmediately… Next Nhập các
thông tin theo yêu cầu… chọn port
SSL là 443… Finish.
34 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
- Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 35
- 3. Truy cập web default bằng HTTPS: Nhập địa chỉ trong IE: https://localhost: Hệ thống
cảnh báo > chọn Yes > Trang web hiển thị bình thường.
I
PHẦN 2: IP SECURITY
I - Nội dung: Dùng certificate làm key mã hóa dữ liệu trên đường truyền
II - Chuẩn bị:
- Yêu cầu hệ thống: 02 máy Windows Sever 2003 Enterprise (P1).
- 02 máy disable card CROSS, kiểm tra đường truyền bằng lệnh PING IP card LAN.
- 02 máy đổi password administrator thành 123.
- Máy chẵn cài ASP.NET & Stand-alone root CA.
III - Thực hiện:
1. Xin certificate cho 2 computer
36 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
- a. Máy lẻ bổ sung danh sách trusted site: Trong chương trình Internet Explorer (IE) chọn menu
Tools Internet Options Trong tab security, chọn zone Trusted sites chọn nút Sites
nhập vào mục “Add this Web site to the zone”: http://[IP của máy chẵn]/certsrv bỏ chọn
“Require server verification…” > chọn nút Add Close OK để đóng IE properties.
b. Hai máy xin certificate:
- Máy lẻ: Trong IE, nhập địa chỉ: http://[IP của máy chẵn]/certsrv
- Máy chẵn: Trong IE, nhập địa chỉ: http://localhost/certsrv
- Cả hai máy: chọn Request a certificate Advanced certificate request Create and submit
a request to this CA điền các thông tin cần thiết…
- Chú ý 1: Tại mục “Type of Certificate Needed”, chọn Client Authentication Certificate
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 37
- - Chú ý 2: Đánh dấu chọn “Store certificate in the local computer certificate store”
- Submit.
c. Cấp certificate cho 2 computer: Máy chẵn: Start Programs Administrative Tools
Certification Authority. Trong cửa sổ Certification Authority, chọn mục Pending Requests
lần lượt click chuột phải vào từng request All Tasks Issue
38 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
- d. Hai máy install certificate: Hai máy lại mở trang web xin certificate chọn View the status
of a pending certificate request Client Authentication Certificate… Install this
certificate.
e. Hai máy tạo console PC_Cert:
- Start Run “mmc” menu File Add / remove snap-in Add Certificates chọn
Computer account chọn Local computer.
- Trong console, chọn menu File Save as lưu console lên Desktop với tên “ PC_Cert”
- Lưu ý certificate của máy lẻ đang bị lỗi.
f. Máy lẻ import certificate của root CA:
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 39
- - Trong console PC_Cert (tạo trong phần e): Chọn Trusted Root Certificate Authorities
click chuột phải vào Certificates All Tasks Import
- Trong hộp thọai Certifictae Import Wizard chọn nút Browse My Network Places
CerConfig on PCxx PCxx_NhatNghe.crt Open Next chọn “ Place all certificates
in the following stores: Trusted Root Certificate Authorities” Finish.
40 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
- 2. Tạo IPSec Policy cho 2 máy: (hai máy thực hiện như nhau)
a. Tạo console IPSec: Start Run “mmc” Add / Remove snap-in Add lần lượt
chọn IP Security Policy Management cho Local Computer và Services cho Local Computer
Lưu console lên Desktop với tên IPSec.
b. Tạo policy IPSec mới: Trong console IPSec click chuột phải vào IP Security Policy
Management Create IP Security Policy Next Đặt tên policy: ”IPSec by Cert”
Next bỏ chọn “Activate the default…” Next bỏ chọn “Edit properties” > Finish.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 41
- c. Cấu hình policy “IPSec by Cert”: Trong console IPSec click chuột phải vào IPSec by
Cert Properties trong tab Rules của IPSec
by Cert Properties chọn nút Add Next trong
hộp thọai Tunnel Endpoint chọn “This rule does
not specify a tunnel” Next trong hộp thọai
Network Type chọn “All network connections”
Next trong hộp thọai IP Filter List đánh dấu
chọn “All IP traffic” Next trong hộp thọai
Filter Action đánh dấu chọn “Require Security”
Next trong hộp thọai Authentication
Method đánh dấu chọn :”Use a certificate…”
chọn nút Browse trong hộp thọai Select
Certificate chọn CA “NhatNghe” OK quay
về hộp thọai Authentication Method Next
Finish quay về IPSec by Cert Properties OK.
42 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
- d. Assign Policy và restart services:
- Trong console IPSec click chuột phải vào IPSec by Cert Assign.
- Cũng trong console IPSec chọn Services click chuột phải vào IPSEC Services
Restart.
3. Kiểm chứng quá trình mã hóa: Trong command-line của máy chẵn, nhập dòng lệnh
PING [IP máy lẻ] -t.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 43
nguon tai.lieu . vn