Tìm hiểu hệ thống KPI

pdf 102 trang yendo 5490
Download
Bạn đang xem 20 trang mẫu của tài liệu "Tìm hiểu hệ thống KPI", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdftim_hieu_he_thong_kpi.pdf

Nội dung text: Tìm hiểu hệ thống KPI

  1. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN TpHCM, ngày tháng năm Giáo viên hướng dẫn [ký tên và ghi rõ họ tên] Tìm Hiểu Hệ Thống PKI Trang 1
  2. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN TpHCM, ngày tháng năm Giáo viên phản biện [ký tên và ghi rõ họ tên] Tìm Hiểu Hệ Thống PKI Trang 2
  3. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Mục Lục Nội dung Trang Nhận Xét Của Giáo Viên Hướng Dẫn 1 Nhận Xét Của Giáo Viên Phản Biện 2 Mục Lục 3 Lời Cảm Ơn 4 Chương 1: Mở Đầu 1.1 Mục Đích Đồ Án 5 1.2 Phương Pháp Thực Hiện 5 Chương 2: Tổng Quan Về PKI 2.1 Khái Niệm Cyptography 6 2.2 Tính Chất Của Cyptography . 6 2.3 Ứng Dụng 6 2.4 Một Số Khái Niệm Liên Quan 6 2.5 Khái Niệm Chìa Khóa 7 2.6 Thuật Toán Mã Hóa . 8 2.7 Một Số Phương Pháp Tấn Hệ Thống Thông Tin Mã Hóa . 9 2.8 Một Số Thuật Toán Nổi Tiếng 10 2.9 Hàm Hash . 12 2.10 Public Key Infrastructure 13 Chương 3: Triển Khai Hệ Thống PKI Trên Windows Server 2003 A. Yêu Cầu 16 B. Nội Dung Chính 16 C. Mô Hình Tổng Quát 16 D. Triển Khai + Phần 1: Cài đặt các services phục vụ cho hệ thống PKI 17 + Phần 2: Ứng dụng PKI trong việc gửi mail có chứng thực và mã hóa . 35 + Phần 3: Chứng thực Web Browser bằng Certificate 54 + Phần 4: Ứng Dụng PKI Trong VPN 77 Chương 4: Tổng Kết 4.1 Những Việc Đã Làm 4.2 Hướng Phát Triển Tìm Hiểu Hệ Thống PKI Trang 3
  4. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Lời Cảm Ơn - Trong quá trình thực hiện đề tài này, tuy đã gặp một số khó khăn nhất định, nhưng chúng em cũng đã hoàn thành yêu cầu của đồ án đề ra. Chúng em xin chân thành cám ơn Ban giám hiệu Trường Cao Đẳng Nguyễn Tất Thành, cám ơn quý thầy cô Khoa Công Nghệ Thông Tin. Đặc biệt là chúng em rất cám ơn thầy Lê Trí Anh đã tận tình giúp đỡ chúng em thực hiện đồ án này. Nhờ sự giúp đỡ của nhà trường, quý thầy cô và thầy Trí Anh mà chúng đã hoàn thành đồ án này. - Do kiến thức có hạn nên trong quá trình làm đề tài này, chúng em cũng còn nhiều thiếu sót, kính mong quý thầy cô thông cảm. - Chúng em xin hứa sẽ làm hết mình để đạt được kết quả tốt nghiệp và sau này có thể giúp ích cho xã hội, đất nước để không phụ lòng mong mỏi của quý thầy cô. Em thành thật cám ơn Tìm Hiểu Hệ Thống PKI Trang 4
  5. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Chương 1: MỞ ĐẦU 1.1 Mục Đích Đồ Án C ông nghệ thông tin là ngành đã được ứng dụng từ lâu. Tuy nhiên, kể từ thế kỷ 20 trở lại đây, ngành công nghệ thông tin mới thật sự phát triển mạnh mẽ trong tất cả các lĩnh vực. Công nghệ thông tin không những phát triển ở những nước có nền kinh tế phát triển mà còn ở những nước có nền kinh tế đang phát triển hoặc chưa phát triển. Trong tất cả các lĩnh vực của đời sống ngày nay, ngành công nghệ thông tin thật sự chiếm một vai trò rất quan trọng. - Công nghệ thông tin không những đã và đang phát triển về rất nhiều lĩnh vực: phần cứng, phần mềm, mạng máy tính v.v. Trong đó, công nghệ mạng máy tính đóng một vai trò rất quan trọng, là một cầu nối kết nối thông tin toàn cầu, nhờ công nghệ mạng máy tính mà mọi người trên thế giới có thể trao đổi tài liệu, dữ liệu, tin tức, gửi email, lướt web, điều khiển từ xa cho nhau khi tham gia vào hệ thống mạng, giúp con người tiết kiệm được nhiều thời gian, sức lực, tiền của v.v - Trong mạng máy tính, chia ra rất nhiều mảng nghiên cứu nhiều vấn đề khác nhau, trong đó, nghiên cứu về vấn đề hạ tầng mã hóa công cộng cũng rất thiết thực và được ứng dụng nhiều trong các lĩnh vực bảo mật, mã hóa dữ liệu v.v. Với nhu cầu như vậy, trong đồ án này, chúng ta sẽ tìm hiểu về những ứng dụng của hệ thống (Public Key Infrastructure) PKI trong thực tiễn. Mục đích cụ thể của đồ án này là: + Tìm hiểu và ứng dụng PKI + Sử dụng hệ thống PKI để chứng thực mã hóa mail trong Mail Server + Sử dụng hệ thống PKI trong việc chứng thực một web site + Ứng dụng PKI trong VPN + Phát triển thêm phần sử dụng hệ thống PKI với các phần mềm mã nguồn mở 1.2 Phương Pháp Thực Hiện - Để thực hiện đề tài này, ta cần phải tìm hiểu tất cả tài liệu liên quan đến hệ thống mã hóa công cộng PKI. - Nghiên cứu các bài hướng dẫn sử dụng từ các forums, tìm và đọc tài liệu từ các trang web về mạng máy tính nói về PKI - Bên cạnh đó, ta cần tìm những người chuyên về lĩnh vực này, học hỏi kinh nghiệm của những người đã làm được Tìm Hiểu Hệ Thống PKI Trang 5
  6. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Chương 2: TỔNG QUAN VỀ PKI 2.1 Khái Niệm Cyptography Cyptography được dịch là "mật mã học", là một ngành có nhiều thuật ngữ có thể làm cho nhiều người cảm thấy khó hiểu như: "hash function", "one-time pad" hay Rijndael Sau đây là một số khái niệm thường dùng trong ngành mật mã học mà trong quá trình hoàn thành khóa luận chúng em đã nghiên cứu, hy vọng có thể giúp ích cho những ai mong muốn tìm hiểu về lĩnh vực này. Cryptography (hay crypto) - mật mã học – ngành khoa học nghiên cứu về việc giấu thông tin. Cụ thể hơn, mật mã học là ngành học nghiên cứu về những cách chuyển đổi thông tin từ dạng "có thể hiểu được" thành dạng "không thể hiểu được" và ngược lại. 2.2 Tính Chất Cyptography Cryptography giúp đảm bảo những tính chất sau cho thông tin: • Tính bí mật (confidentiality): Thông tin chỉ được tiết lộ cho những ai được phép. • Tính toàn vẹn (integrity):Thông tin không thể bị thay đổi mà không bị phát hiện. • Tính xác thực (authentication): Người gửi (hoặc người nhận) có thể chứng minh đúng họ. • Tính không chối bỏ (non-repudiation): Người gửi hoặc nhận sau này không thể chối bỏ việc đã gửi hoặc nhận thông tin 2.3 Ứng Dụng Mật mã có rất nhiều ứng dụng trong thực tế như bảo vệ giao dịch tài chính (rút tiền ngân hàng, mua bán qua mạng), bảo vệ bí mật cá nhân Nếu kẻ tấn công đã vượt qua tường lửa và các hệ thống bảo vệ khác thì mật mã chính là hàng phòng thủ cuối cùng cho dữ liệu của bạn. 2.4 Một Số Khái Niệm Liên Quan Cần phân biệt khái niệm Cryptography với khái niệm Steganography (tạm dịch là giấu thông tin). Điểm khác nhau căn bản nhất giữa hai khái niệm này là: Tìm Hiểu Hệ Thống PKI Trang 6
  7. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Cryptography là việc giấu nội dung của thông tin, trong khi Steganography là việc giấu sự tồn tại của thông tin đó. Cryptosystem (viết tắt của Cryptographic system): Hệ thống mã hóa thông tin, có thể là phần mềm như PGP, Ax-Crypt, Truecrypt giao thức như SSL, IPsec hay đơn giản là một thuật toán như DES. Encrypt (Encipher): Mã hóa – quá trình biến đổi thông tin từ dạng ban đầu - có thể hiểu được thành dạng không thể hiểu được, với mục đích giữ bí mật thông tin đó. Decrypt (decipher): Giải mã – quá trình ngược lại với mã hóa, khôi phục lại thông tin ban đầu từ thông tin đã được mã hóa. Plaintext (cleartext): Dữ liệu gốc (chưa được mã hóa). Ciphertext: Dữ liệu đã được mã hóa. Lưu ý: từ text (hay message) ở đây được dùng theo quy ước, được hiểu là tất cả những dữ liệu được mã hóa (hay giải mã) chứ không chỉ là văn bản chữ như nghĩa thông thường. Khi dịch ra tiếng Việt, từ "văn bản" và từ "thông điệp" cũng tuân theo quy ước tương tự. Cipher (hay cypher): Thuật toán dùng để thực hiện quá trình mã hóa hay giải mã. Gọi tắt là thuật toán. Key: Chìa khóa – thông tin dùng cho qui trình mã hóa và giải mã. (Xem "Sơ đồ mã hóa và giải mã một thông điệp") Cryptanalysis: Nếu coi mật mã học là việc cất dữ liệu của bạn vào một cái hộp sau đó dùng chìa khóa khóa lại, thì cryptanalysis là ngành nghiên cứu những phương pháp mở hộp để xem dữ liệu khi không có chìa khóa. Hình 1.1 Sơ đồ mã hóa và giải mã một thông điệp Tìm Hiểu Hệ Thống PKI Trang 7
  8. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 2.5 Khái Niệm Về Chìa Khóa Password: Mật khẩu, là một hay nhiều từ mà người dùng phải biết để được cấp quyền truy cập. Trong thực tế, mật khẩu do người dùng tạo ra thường không đủ độ an toàn để được dùng trực tiếp trong thuật toán. Vì vậy, trong bất cứ hệ thống mã hóa dữ liệu nghiêm túc nào cũng phải có bước chuyển đổi mật khẩu ban đầu thành chìa khóa có độ an toàn thích hợp. Bước tạo chìa khóa này thường được gọi là key derivation, key stretching hay key initialization. Key Derivation Function: Là một hàm hash được thiết kế sao cho chìa an toàn hơn đối với tấn công kiểu brute-force hay cổ điển. Hàm này được thực hiện lại nhiều lần trên mật khẩu ban đầu cùng với một số ngẫu nhiên để tạo ra một chìa khóa có độ an toàn cao hơn. Số ngẫu nhiên này gọi là salt, còn số lần lặp lại là iteration. Ví dụ một mật khẩu là "pandoras B0x", cùng với salt là "230391827", đi qua hàm hash SHA-1 1000 lần cho kết quả là một chìa khóa có độ dài 160 bit như sau: 3BD454A72E0E7CD6959DE0580E3C19F51601C359 (thể hiện dưới dạng số thập lục phân). Keylength (Keysize): Độ dài (hay độ lớn) của chìa khóa. Nói một chìa khóa có độ dài 128 bit có nghĩa chìa đó là một số nhị phân có độ dài 128 chữ số. Một thuật toán có chìa khóa càng dài thì càng có nhiều khả năng chống lại tấn công kiểu brute- force. 2.6 Thuật Toán Mã Hóa Cổ điển • Substitution: Thay thế – phương pháp mã hóa trong đó từng kí tự (hoặc từng nhóm kí tự) của văn bản ban đầu được thay thế bằng một (hay một nhóm) kí tự khác. Tuy không còn được sử dụng nhưng ý tưởng của phương pháp này vẫn được tiếp tục trong những thuật toán hiện đại. • Transposition: Hoán vị – phương pháp mã hóa trong đó các kí tự trong văn bản ban đầu chỉ thay đổi vị trí cho nhau còn bản thân các kí tự không hề bị biến đổi. Hiện đại • Symmetric cryptography: Mã hóa đối xứng, tức là cả hai quá trình mã hóa và giải mã đều dùng một chìa khóa. Để đảm bảo tính an toàn, chìa khóa này phải được giữ bí mật. Vì thế các thuật toán loại này còn có tên gọi khác là secret key cryptography (hay private key cryptography), tức là thuật toán mã hóa dùng chìa khóa riêng (hay bí mật). Các thuật toán loại này lý tưởng cho mục đích mã hóa dữ Tìm Hiểu Hệ Thống PKI Trang 8
  9. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành liệu của cá nhân hay tổ chức đơn lẻ nhưng bộc lộ hạn chế khi thông tin đó phải được chia sẻ với một bên thứ hai. Giả sử nếu Alice chỉ gửi thông điệp đã mã hóa cho Bob mà không hề báo trước về thuật toán sử dụng, Bob sẽ chẳng hiểu Alice muốn nói gì. Vì thế bắt buộc Alice phải thông báo cho Bob về chìa khóa và thuật toán sử dụng tại một thời điểm nào đó trước đấy. Alice có thể làm điều này một cách trực tiếp (mặt đối mặt) hay gián tiếp (gửi qua email, tin nhắn ). Điều này dẫn tới khả năng bị người thứ ba xem trộm chìa khóa và có thể giải mã được thông điệp Alice mã hóa gửi cho Bob. Mã hóa đối xứng có thể phân thành hai nhóm phụ: - Block ciphers: Thuật toán khối – trong đó từng khối dữ liệu trong văn bản ban đầu được thay thế bằng một khối dữ liệu khác có cùng độ dài. Độ dài mỗi khối gọi là block size, thường được tính bằng đơn vị bit - Stream ciphers: Thuật toán dòng – trong đó dữ liệu đầu vào được mã hóa từng bit một. Các thuật toán dòng có tốc độ nhanh hơn các thuật toán khối, được dùng khi khối lượng dữ liệu cần mã hóa chưa được biết trước Ví dụ: Trong kết nối không dây. Có thể coi thuật toán dòng là thuật toán khối với kích thước mỗi khối là 1 bit. • Asymmetric cryptography: mã hóa bất đối xứng, sử dụng một cặp chìa khóa có liên quan với nhau về mặt toán học, một chìa công khai dùng để mã hoá (public key) và một chìa bí mật dùng để giải mã (private key). Một thông điệp sau khi được mã hóa bởi chìa công khai sẽ chỉ có thể được giải mã với chìa bí mật tương ứng. Do các thuật toán loại này sử dụng một chìa khóa công khai (không bí mật) nên còn có tên gọi khác là public-key cryptography (thuật toán mã hóa dùng chìa khóa công khai). Quay lại với Alice và Bob, nếu Alice muốn gửi một thông điệp bí mật tới Bob, cô ta sẽ tìm chìa công khai của Bob. Sau khi kiểm tra chắc chắn chìa khóa đó chính là của Bob chứ không của ai khác (thông qua chứng chỉ điện tử – digital certificate), Alice dùng nó để mã hóa thông điệp của mình và gửi tới Bob. Khi Bob nhận được bức thông điệp đã mã hóa anh ta sẽ dùng chìa bí mật của mình để giải mã nó. Nếu giải mã thành công thì bức thông điệp đó đúng là dành cho Bob. Alice và Bob trong trường hợp này có thể là hai người chưa từng quen biết. Một hệ thống như vậy cho phép hai người thực hiện được giao dịch trong khi không chia sẻ trước một thông tin bí mật nào cả. Một trong những hạn chế của các thuật toán mã hóa bất đối xứng là tốc độ chậm, do đó trong thực tế người ta thường sử dụng một hệ thống lai tạp trong đó dữ liệu được mã hóa bởi một thuật toán đối xứng, chỉ có chìa dùng để thực hiện việc mã hóa này mới được mã hóa bằng thuật toán bất đối xứng. Tìm Hiểu Hệ Thống PKI Trang 9
  10. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 2.7 Một Số Phương Pháp Tấn Công Hệ Thống Thông Tin Mã Hóa Bất cứ ai cũng có thể tạo ra một hệ thống thông tin mã hóa cho riêng mình. Nhưng để có một hệ thống an toàn và hiệu quả đòi hỏi người thiết kế phải có kiến thức toán học sâu sắc, có kinh nghiệm về bảo mật và am hiểu các phương pháp tấn công. • Brute-force attack (exhaustive key search): phương pháp tấn công bằng cách thử tất cả những chìa khóa có thể có. Đây là phương pháp tấn công thô sơ nhất và cũng khó khăn nhất. Theo lý thuyết, tất cả các thuật toán hiện đại đều có thể bị đánh bại bởi brute-force nhưng trong thực tiễn việc này chỉ có thể thực hiện được trong thời gian hàng triệu, thậm chí hàng tỉ năm. Vì thế có thể coi một thuật toán là an toàn nếu như không còn cách nào khác để tấn công nó dễ hơn là brute-force. Ví dụ: Thuật toán DES có độ dài chìa khóa là 56 bit tức là có tổng cộng tất cả 256 chìa để dùng. Nếu ai đó muốn "bẻ khoá” DES bằng cách thử hàng loạt chìa (brute- force attack) thì sẽ phải thử đến 256 lần (khoảng hơn 70 triệu tỉ lần). • Frequency analysis: thống kê tần suất, chỉ có thể áp dụng được đối với các thuật toán cổ điển dùng phương pháp thay thế, ví dụ phương pháp Caesar. Để thực hiện phương pháp này ta cần một lượng văn bản đã mã hóa đủ lớn để phép thống kê được chính xác. Ngoài ra còn phải biết ngôn ngữ sử dụng trong văn bản ban đầu, nếu văn bản ban đầu là tiếng Anh thì nhiều khả năng kí tự xuất hiện nhiều nhất trong văn bản đã mã hóa là do chữ e mã hóa thành, kí tự nhiều thứ nhì bắt nguồn từ chữ a • Differential cryptanalysis: Eli Biham và Adi Shamir tìm ra phương pháp này vào khoảng cuối những năm 1980; nó thường được sử dụng để tấn công các thuật toán khối (block cipher). Phương pháp này dựa trên việc phân tích những biến đổi của hai văn bản gốc có liên quan khi được mã hóa bởi cùng một chìa. Còn rất nhiều phương pháp khác như Mod-n cryptanalysis, Linear cryptanalysis, Birthday attack, Algebraic attack mà bất cứ ai thiết kế hệ thống mã hóa cũng phải chú ý tới. 2.8 Một Số Thuật Toán Nổi Tiếng • One-time Pad (OTP): xuất hiện từ đầu thế kỉ 20 và còn có tên gọi khác là Vernam Cipher, OTP được mệnh danh là cái chén thánh của ngành mã hóa dữ liệu. OTP là thuật toán duy nhất chứng minh được về lý thuyết là không thể phá được ngay cả với tài nguyên vô tận (tức là có thể chống lại kiểu tấn công brute-force). Để có thể đạt được mức độ bảo mật của OTP, tất cả những điều kiện sau phải được thỏa mãn: Tìm Hiểu Hệ Thống PKI Trang 10
  11. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành - Độ dài của chìa khóa phải đúng bằng độ dài văn bản cần mã hóa. - Chìa khóa chỉ được dùng một lần. - Chìa khóa phải là một số ngẫu nhiên thực. Mới nghe qua có vẻ đơn giản nhưng trong thực tế những điều kiện này khó có thể thỏa mãn được. Giả sử Alice muốn mã hóa chỉ 10MB dữ liệu bằng OTP, cô ta phải cần một chìa khóa có độ dài 10MB. Để tạo ra một số ngẫu nhiên lớn như vậy Alice cần một bộ tạo số ngẫu nhiên thực (TRNG - True Random Number Generator). Các thiết bị này sử dụng nguồn ngẫu nhiên vật lý như sự phân rã hạt nhân hay bức xạ nền vũ trụ. Hơn nữa việc lưu trữ, chuyển giao và bảo vệ một chìa khóa như vậy cũng hết sức khó khăn. Dễ dàng hơn, Alice cũng có thể dùng một bộ tạo số ngẫu nhiên ảo (PRNG - Pseudo Random Number Generator) nhưng khi đó mức độ bảo mật giảm xuống gần bằng zero hay cùng lắm chỉ tương đương với một thuật toán dòng như RC4 mà thôi. Do có những khó khăn như vậy nên việc sử dụng OTP trong thực tế là không khả thi. • DES: viết tắt của Data Encryption Standard. DES là một thuật toán khối với kích thước khối 64 bit và kích thước chìa 56 bit. Tiền thân của nó là Lucifer, một thuật toán do IBM phát triển. Cuối năm 1976, DES được chọn làm chuẩn mã hóa dữ liệu của nước Mỹ, sau đó được sử dụng rộng rãi trên toàn thế giới. DES cùng với mã hóa bất đối xứng đã mở ra một thời kì mới cho ngành mã hóa thông tin. Trước DES, việc nghiên cứu và sử dụng mã hóa dữ liệu chỉ giới hạn trong chính phủ và quân đội. Từ khi có DES, các sản phẩm sử dụng nó tràn ngập thị trường. Đồng thời, việc nghiên cứu mã hóa thông tin cũng không còn là bí mật nữa mà đã trở thành một ngành khoa học máy tính bình thường. Trong khoảng 20 năm sau đó, DES đã trải qua nhiều khảo sát, phân tích kỹ lưỡng và được công nhận là an toàn đối với các dạng tấn công (tất nhiên, ngoại trừ brute- force). Tới tháng 7 năm 1998, EFF (Electronic Frontier Foundation) đã "brute-force" thành công DES trong 56 giờ. Ít lâu sau đó cùng với mạng tính toán ngang hàng Distribute.net, tổ chức này đã lập nên kỉ lục mới là 22 giờ 15 phút. Sự kiện này chứng tỏ cỡ chìa 56 bit của DES đã lỗi thời và cần được thay thế. • AES: viết tắt của Advance Encryption Standard. Tháng 12 năm 1997, viện tiêu chuẩn và công nghệ Mỹ (NIST – National Institute of Standard and Technology) kêu gọi phát triển một thuật toán mới thay thế cho 3DES (một biến thể an toàn hơn Tìm Hiểu Hệ Thống PKI Trang 11
  12. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành của DES với chìa khóa dài 112 bit). Thuật toán được chọn phải là thuật toán khối có kích thước khối là 128 bit, hỗ trợ chìa khóa có kích thước 128 bit, 192 bit và 256 bit. 15 thuật toán được gửi đến từ nhiều nơi trên thế giới, 5 thuật toán lọt vào vòng hai: Rijndael, Twofish, Serpent, RC6 và MARS. Tháng 11 năm 2001, Rijndael đuợc chọn làm AES (một phần nhờ có tốc độ nhanh hơn so với các đối thủ), chính thức thay thế DES trong vai trò chuẩn mã hóa dữ liệu. • RSA: là một thuật toán mã hóa bất đối xứng được sử dụng rất rộng rãi trong giao dịch điện tử. Cái tên RSA có nguồn gốc từ ba chữ cái đầu của tên ba người đồng thiết kế ra nó: Ronald Rivest, Adi Shamir và Leonard Adleman. Ngoài ra còn nhiều thuật toán khác nhưng do khuôn khổ bài viết có hạn nên không thể đi sâu, mà chỉ liệt kê một số thuật toán thông dụng: Các thuật toán đối xứng: • Thuật toán dòng: RC4, A5/1, A5/2, Chameleon • Thuật toán khối: 3DES, RC5, RC6, 3-Way, CAST, Camelia, Blowfish, MARS, Serpent, Twofish, GOST Các thuật toán bất đối xứng: Elliptic Curve, ElGamal, Diffie Hellman 2.9 Hàm Hash Hàm hash (hash function) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định ở đầu ra. Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả: 783A3AE2ACDD7DBA5E1FA0269CBC58D. Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit) A766F44DDEA5CACC3323CE3E7D73AE82. Hai tính chất quan trọng của hàm này là: • Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả, điều này tương tự như việc bạn không thể chỉ dựa vào một dấu vân tay lạ mà suy ra ai là chủ của nó được. • Tính duy nhất: xác suất để có một vụ va chạm (hash collision), tức là hai thông điệp khác nhau có cùng một kết quả hash, là cực kì nhỏ. Tìm Hiểu Hệ Thống PKI Trang 12
  13. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Một số ứng dụng của hàm hash: • Chống và phát hiện xâm nhập: chương trình chống xâm nhập so sánh giá trị hash của một file với giá trị trước đó để kiểm tra xem file đó có bị ai đó thay đổi hay không. • Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng cách kiểm tra giá trị hash của thông điệp trước và sau khi gửi nhằm phát hiện những thay đổi cho dù là nhỏ nhất. • Tạo chìa khóa từ mật khẩu. • Tạo chữ kí điện tử. SHA-1 và MD5 là hai hàm hash thông dụng nhất và được sử dụng trong rất nhiều hệ thống bảo mật. Vào tháng 8 năm 2004, tại hội nghị Crypto 2004, người ta đã tìm thấy va chạm đối với MD5 và SHA-0, một phiên bản yếu hơn của hàm hash SHA-1. Không bao lâu sau đó, vào khoảng giữa tháng 2 năm 2005, một nhóm ba nhà mật mã học người Trung Quốc đã phát hiện ra một phương pháp có thể tìm thấy va chạm đối với SHA-1 chỉ trong vòng 269 bước tính toán (tức là có thể nhanh hơn brute-force vài nghìn lần). Người dùng bình thường cũng không cần phải hoảng sợ trước những phát hiện này bởi vì ít nhất phải một vài năm nữa người ta mới có khả năng mang những kết quả đó vào trong thực tế. Tuy vậy, các chuyên gia vẫn khuyên nên bắt đầu chuyển sang các hàm hash an toàn hơn như SHA-256, SHA-384 hay SHA-512. 2.10 Public Key Infrastructure 2.10.1 PKI là gì? Internet đã xuất sắc trong việc trở thành bệ phóng số một cho thương mại và giao dịch toàn cầu. Tính phổ biến rộng rãi một mặt đã thúc đẩy bùng nổ Internet, tuy nhiên, mặt khác khó mà bảo đảm rằng những giao dịch trên Internet luôn an toàn. Các tổ chức chính phủ, doanh nghiệp và các cá nhân đòi hỏi máy móc không những phải bảo vệ toàn vẹn thông tin lưu chuyển trên Internet mà còn phải cho họ cảm giác tin cậy giống như khi giao dịch trên giấy tờ. Trước khi giao phó các giao dịch nhạy cảm của mình cho Internet, người sử dụng đòi hỏi mức an toàn đặc biệt. Họ muốn rằng giao dịch điện tử phải đáng tin cậy và phải được bảo vệ chống xem trộm. Họ muốn được chắc chắn rằng những người tham gia giao dịch phải là những người mà họ thỉnh cầu, và họ muốn được bảo đảm rằng không ai có thể phủ nhận hành vi liên quan của mình trong giao dịch khi có sự cố xảy ra. Tìm Hiểu Hệ Thống PKI Trang 13
  14. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Cơ sở hạ tầng chìa khóa công cộng (PKI) đã đáp ứng cho những yêu cầu trên. Dựa trên cách sử dụng của chìa khóa mật mã công cộng và chữ ký điện tử, một PKI chính là bộ khung của các chính sách, dịch vụ và phần mềm mã hóa, đáp ứng nhu cầu bảo mật của người sử dụng khi gởi đi những thông tin quan trọng qua Internet và các mạng khác. Chìa khóa mật mã công cộng (Public Key cryptography) bảo đảm độ tin cậy đối với các thông tin hoặc thông điệp quan trọng bằng cách sử dụng các thuật toán, hay còn gọi là chìa khóa, để mã hóa dữ liệu và một chìa khóa để giải mã chúng. Trong dịch vụ Chìa khóa mật mã công cộng, người sử dụng nhận được phần mềm mã hóa đặc biệt và một cặp chìa khóa, trong đó có một chìa là chìa khóa công cộng (Public key) để có thể sử dụng dịch vụ, chìa còn lại là chìa khóa cá nhân (Private key) mà người sử dụng phải giữ bí mật. Hai chìa khóa này có liên quan mật thiết đến nhau, sao cho một thông điệp được mã hóa bởi một chìa khóa mật mã công cộng thì chỉ giải mã được bởi một chìa khóa cá nhân tương ứng. Một người sử dụng, ví dụ là Bob, mã hóa một thông điệp gởi đi bằng chìa khóa công cộng của người nhận là Alice. Khi nhận được thông điệp này, Alice sẽ giải mã nó bằng chìa khóa cá nhân của mình. Tất cả các chìa khóa công cộng đều được phát hành trong những cuốn niên giám điện tử. Tổ chức cấp giấy chứng nhận là một thành phần chính của PKI. Nó là một tổ chức thứ ba đáng tin cậy chịu trách nhiệm phát hành giấy chứng nhận kỹ thuật số và quản lý chúng trong thời hạn có hiệu lực. Chứng nhận kỹ thuật số là những tập tin điện tử chứa các chìa khóa mật mã công cộng và các thông tin nhận dạng đặc biệt về người sử dụng. Các giấy chứng nhận này có "dán tem" xác nhận và không thể làm giả được. Cũng giống như việc phát hành hộ chiếu, tổ chức cấp giấy chứng nhận xác nhận rằng cá nhân được cấp giấy chứng nhận kỹ thuật số là người đáp ứng đủ điều kiện. Chữ ký điện tử là một xác minh điện tử ngang bằng với một chữ ký truyền thống trên giấy - tức là có giá trị duy nhất, có thể kiểm chứng được và chỉ người ký mới có thể tạo ra nó. Thông điệp hay tài liệu dù đã được mã hóa hay chưa, hễ có chữ ký điện tử thì cũng đảm bảo được rằng thông tin trong đó không bị xâm phạm trong quá trình lưu chuyển. Các chính phủ, doanh nghiệp, cá nhân hội nhập vào cuộc cách mạng số hóa đều sẽ dùng Chứng nhận kỹ thuật số. Khi phát hành một số lượng lớn giấy chứng nhận như vậy thì cần phải đề ra biện pháp quản lý việc sử dụng. Quản lý giấy chứng nhận là một công việc về lâu về dài của Tổ chức cấp giấy chứng nhận PKI. Trên khắp thế giới, các công ty lớn và nhỏ đều đầu tư cho Cơ sở hạ tầng chìa khóa công cộng như là một giải pháp hữu hiệu cho sáng tạo tập trung, phân phối, quản lý, chứng nhận cải tiến và đổi mới. Tìm Hiểu Hệ Thống PKI Trang 14
  15. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 2.10.2 PKI hoạt động như thế nào ? Bob và Alice muốn liên lạc với nhau qua Internet, dùng PKI để chắc chắc rằng thông tin trao đổi giữa họ được bảo mật. Bob đã có chứng nhận kỹ thuật số, nhưng Alice thì chưa. Để có nó, cô phải chứng minh được với Tổ chức cấp giấy chứng nhận cô thực sự là Alice. Một khi các thông số nhận dạng của Alice đã được Tổ chức thông qua, họ sẽ phát hành cho cô một chứng nhận kỹ thuật số. Chứng nhận điện tử này có giá trị thực sự, giống như tấm hộ chiếu vậy, nó đại diện cho Alice. Nó gồm có những chi tiết nhận dạng Alice, một bản sao chìa khóa công cộng của cô và thời hạn của giấy chứng nhận cũng như chữ ký kỹ thuật số của Tổ chức chứng nhận. Alice cũng nhận được chìa khóa cá nhân kèm theo chìa khóa công cộng. Chìa khóa cá nhân này được lưu ý là phải giữ bí mật, không được san sẻ với bất cứ ai. Bây giờ thì Alice đã có chứng nhận kỹ thuật số, Bob có thể gởi cho cô những thông tin quan trọng được số hóa. Bob có thể xác nhận với cô là thông điệp đó xuất phát từ anh ta cũng như được bảo đảm rằng nội dung thông điệp không bị thay đổi và không có ai khác ngoài Alice đọc nó. Diễn biến thực tế không phải mất nhiều thời gian như những giải thích trên, phần mềm tại máy trạm của Bob tạo ra một chữ ký điện tử và mã hóa thông điệp có chứa chữ ký đó. Phần mềm sử dụng chìa khóa cá nhân của Bob để tạo ra chữ ký điện tử và dùng chìa khóa công cộng của Alice để mã hóa thông điệp. Khi Alice nhận được thông điệp đã được mã hóa có chữ ký của Bob, phần mềm sẽ dùng chìa khóa cá nhân của cô để giải mã thông điệp. Vì chỉ có duy nhất chìa khóa cá nhân của Alice mới có thể giải mã thông điệp đã được mã hóa bằng chìa khóa công cộng của cô, cho nên độ tin cậy của thông tin hoàn toàn được bảo đảm. Sau đó, phần mềm dùng chìa khóa công cộng của Bob xác minh chữ ký điện tử, để đảm bảo rằng chính Bob đã gởi thông điệp đi, và thông tin không bị xâm phạm trên đường di chuyển. Bảng sau đây minh họa cho tiến trình của chữ ký điện tử và độ tin cậy cao đáp ứng cho yêu cầu giao dịch điện tử an toàn của Bob và Alice. Bob muốn chuyển một thư điện tử đến cho Alice, Phần mềm PKI dùng chìa khóa với yêu cầu rằng giao dịch phải chứng minh được cá nhân của Bob tạo ra một chữ chính anh đã gởi nó đi và nội dung bức thư ký điện tử cho bức thư không bị thay đổi. Phần mềm PKI của Bob dùng Bob muốn chắc chắn rằng không ai ngoài Alice chìa khóa công cộng của Alice đọc được bức thư này để mã hóa thông điệp của Bob. Phần mềm PKI dùng chìa khóa cá nhân của Alice để để giải mã Alice muốn đọc thư do Bob gởi thông điệp. Alice muốn kiểm chứng rằng chính Bob đã gởi đi Phần mềm PKI của Alice dùng Tìm Hiểu Hệ Thống PKI Trang 15
  16. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành thông điệp đó và nội dung thông điệp không bị chìa khóa công cộng của Bob để chỉnh sửa. kiểm chứng chữ ký điện tử của anh ta. Chương 3: TRIỂN KHAI HỆ THỐNG PKI TRÊN WINDOWS SERVER 2003 A. Yêu Cầu - Phải có 1 hệ thống mạng máy tính, ít nhất là 2 máy, trong đó, 1 máy Server và các máy trạm. Do điều kiện có hạn nên đề tài này chúng em chỉ triển trên hệ thống máy ảo VMWare gồm có 1 máy Windows Server 2003 và máy Windows XP - Trên máy Server phải cài các services sau đây: + B. Nội Dung Chính Phần 1: Cài đặt các services phục vụ cho hệ thống PKI Phần 2: Ứng dụng PKI trong việc gửi mail có chứng thực và mã hóa Phần 3: Chứng thực Web Browser bằng Certificate Phần 4: Ứng dụng VPN C. Mô Hình Tổng Quát Tìm Hiểu Hệ Thống PKI Trang 16
  17. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành D. Triển Khai Cài các phần mềm và dịch vụ mạng trên máy Windows Server 2003 * Phần 1: Cài đặt các services phục vụ cho hệ thống PKI a) Cài đặt và cấu hình DNS Server: Khái quát về DNS - DNS là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ tên miền và các địa chỉ IP. DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất, trong một phạm vi lớn hơn các Tìm Hiểu Hệ Thống PKI Trang 17
  18. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành máy tính kết nối tới Internet để tạo địa chỉ liên kết dạng URL (Universal Resourse Locators). Theo phương pháp này mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối Các tên DNS tạo ra theo định dạng sau, ví dụ: Infosec, vasc.com.vn. Trong khi danh sách các kiểu tên DNS được thiết kế lại bởi ICANN (Công ty quản lý dịch vụ tên miền), một số các kiểu thông thường bao gồm: edu( dạng các website giáo dục , .mil (các website cho quân đội), org (thuộc dạng các tổ chức phi thương mại), .com (các tổ chức kinh tế), Và cũng có các tên miền chỉ định theo tên nước, ví dụ : .ie (Ireland),.jp (Japan),.de(Germany) Khi một máy tính (một DNS Client) muốn tìm kiếm một URL, nó đưa ra yêu cầu (GetHostByName) tới DNS Server của nó. DNS Client sử dụng một DNS resolver để định vị DNS Server không xác định được tên miền cần tìm hay DNS server không có chút thông tin gì về URL đó trong vùng nhớ đệm của nó, nó sẻ không thể trả lời yêu cầu của client ngay lập tức. Thay vào đó DNS server sẽ hoặc sử dụng một DNS Forwarder hoặc tạo lại yêu cầu theo quy tắc đệ quy Hệ thống tên miền (Domain Name Services) làmột dịch vụ tên miền của Internet theo chuẩn TCP/IP. Dịch vụ DNS làm cho những máy khách trên hệ thống mạng của bạn có khả năng đăng ký và phân giải tên miền DNS. Những tên miền này được sử dụng để tìm và truy cập những tài nguyên được đưa ra bằng những máy tính khác trên hệ thống mạng của bạn hoặc trên hệ thống mạng khác như là Internet DNS là tên viết tắt của Domain Name Services, một hệ thống mà tên của các máy tính và những dịch vụ được tổ chức vào hệ thống miền phân cấp. Tên DNS được sử dụng trong hệ thống mạng TCP/IP như là Internet những máy tính và dịch vụ định vị xuyên qua tên thân mật của user. Khi một user truy cập vào tên DNS vào trình ứng dụng, dịch vụ DNS có thể phân giải tên miền để kết hợp thông tin khác nhau như là địa chỉ IP. Ví dụ, tất cả user thích tên thân mật hơn như là example.microsoft.com để định vị máy tính như là Mail Server hoặc Web Server trên hệ thống mạng. Một tên thân mật có thể dễ dàng hơn để học và nhớ. Tuy nhiên những máy tính liên lạc với nhau trong hệ thống mạng bằng cách sử dụng những địa chỉ số. Lợi dụng tài nguyên hệ thống mạng dễ dàng hơn, tên của dịch vụ như là DNS cung cấp phương pháp để ánh xạ tên thân mật của user cho máy tính hoặc dịch vụ tới những địa chỉ số của chính nó. Nếu bạn sử dụng bất kỳ trình duyệt Web nào thì bạn sử dụng DNS Cài đặt: 1. Ta vào Start Setting Control Panel Add or Remove Programs Add/Remove Windows Components. Xuất hiện cửa sổ Windows Component Wizard, ở cửa sổ này, ta chọn Network Services. Nhấn Detail. Tìm Hiểu Hệ Thống PKI Trang 18
  19. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.1 2. Trong cửa sổ Networking Services, ta chọn dòng Domain Name System (DNS), nhấn OK. Hình 3.2 Tìm Hiểu Hệ Thống PKI Trang 19
  20. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 3. Trở về cửa sổ Windows Component Wizard, nhấn Next Hình 3.3 4. Nhấn Finish để kết thúc cài đặt dịch vụ. Hình 3.4 Tìm Hiểu Hệ Thống PKI Trang 20
  21. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Cấu Hình DNS * Tạo 1 Forward Lookup Zone. 1. Vào Start Administrative Tools DNS để mở dịch vụ DNS. Ở cửa sổ đầu tiên, ta Right Click vào mục Forward Lookup Zone, chọn New Zone. Hình 3.5 2. Ở cửa sổ kế tiếp ta nhấn Next. Cửa sổ tiếp theo ở phần Zone Type, ta chọn Primary zone, nhấn Next. Hình 3.6 3. Ở cửa sổ Zone Name, ta đặt tên Domain Name là pki.com, nhấn Next Tìm Hiểu Hệ Thống PKI Trang 21
  22. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.7 4. Cửa sổ Zone File, chọn mục Create a new file with this file name: gõ vào textbox pki.com.dns, nhấn Next Hình 3.8 5. Tiếp tục nhấn Next cho đến khi hoàn tất, nhấn Finish. Tìm Hiểu Hệ Thống PKI Trang 22
  23. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.9 6. Khi ta tạo xong Zone pki.com, ta Right Click vào zone này chọn New Host (A) xuất hiện hộp thoại tiếp theo. Tìm Hiểu Hệ Thống PKI Trang 23
  24. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.10 7. Ở hộp thoại New Host, ở textbox name: gõ tên server, IP Address: gõ 192.168.1.2. Click Add Host. Hình 3.11 8. Sau đó hiện lên bảng thông báo, ta nhấn OK, cửa sổ tiếp theo nhấn Done để thực hiện việc Add Host. Hình 3.12 * Tạo 1 Reverse Lookup Zone - Ta thực hiện các bước tương tự như trên, riêng ở phần Network ID ta gõ vào 192.168.1 nhấn Next cho đến khi xuất hiện hộp thoại cuối nhấn Finish để hoàn thành Tìm Hiểu Hệ Thống PKI Trang 24
  25. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.13 1. Trong nhánh Reverse Lookup Zone, chọn nhánh 192.168.1.x Subnet ta R.C vào nhánh này chọn New Pointer (PTR) Hình 3.14 Tìm Hiểu Hệ Thống PKI Trang 25
  26. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 2. Ở hộp thoại New Resource Record, phần Host IP number ta gõ thêm số 2 vào sau dãy 192.168.1 vì đây là địa chỉ IP máy Server. Sau đó click Browse để chọn Host name từ Server Hình 3.15 3. Host name này là Server.pki.com, click OK Tìm Hiểu Hệ Thống PKI Trang 26
  27. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.16 4. Ta vào command promt gõ lệnh Ping IP máy Server, sau đó Ping lại thay IP bằng tên miền máy Server là Server.pki.com, nếu thấy như hình 2.17 dưới đây là ta đã phân giải tên miền thành công. Hình 3.17 Tìm Hiểu Hệ Thống PKI Trang 27
  28. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành - Vậy là ta hoàn thành quá trình cài đặt và cấu hình DNS Server dùng để phân giải tên miền cho máy Server. b) Cài đặt MDAEMON và tạo User Account trong MDAEMON * Khái quát về MDAEMON * Cài đặt Mail Daemon 1. Chạy File setup.exe từ thư mục nguồn, tiến hành cài đặt như các phần mềm khác, nhấn Next, điền key cho chương trình như hình 2.18, nhấn Next Hình 3.18 2. Sau khi điền Key, một thông tin nữa ta cần chú ý là Domain Name là pki.com. Nhấn Next Tìm Hiểu Hệ Thống PKI Trang 28
  29. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.19 3. Điền tiếp user và password cho phần setup account. Nhấn Next Hình 3.20 4. Điền IP cho mục tiếp theo vào bảng dưới đây. Nhấn Next đến khi cài xong nhấn Finish ở hình 2.22 Tìm Hiểu Hệ Thống PKI Trang 29
  30. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.21 Hình 3.22 * Tạo Account trong Mail Daemon - Sau khi cài đặt MD xong, ta chạy chương trình MD và tiến hành tạo Account cho MD. 1. Ta vào menu Account New Account để tạo Account mail. Tìm Hiểu Hệ Thống PKI Trang 30
  31. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.23 2. Ở cửa sổ tiếp theo ta chọn nhánh Account trong phần Account Settings. Đặt tên và password cho Account. Nhấn OK để tạo. Hình 3.24 3. Tương tự với các Account khác 4. Sau khi tạo xong, ta mở menu Account Account Manager xem đã tạo được bao nhiêu Account. Muốn chỉnh sửa thông tin Account vào Edit Account, còn xóa thì vào Delete Account như hình 2.23. c) Cài Certificate Authirity (CA) 1. Vào Start Settings Control Panel Add/Remove Program. Nhấn Add/Remove Windows Component. Chọn Certificate Services, nhấn Detail Tìm Hiểu Hệ Thống PKI Trang 31
  32. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.25 2. Ở cửa sổ Certificate Services chọn hết 2 dịch vụ Certificate Services CA và Certificate Services Web Enrollment Support nhấn OK, nhấn Next đến khi có yêu cầu gõ tên CA Hình 3.26 3. Gõ vào dòng pki vào texbox của Common name for this CA. nhấn Next Tìm Hiểu Hệ Thống PKI Trang 32
  33. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.27 5. Nhấn Next cho đến khi xuất hiện thông báo dưới đây nhấn Yes Hình 3.28 6. Chọn Yes ở thông báo tiếp theo Hình 3.29 7. Nhấn Finish để hoàn thành cài đặt. d) Cài Internet Information Services (IIS) 1. Vào Start Settings Control Panel Add/Remove Program. Nhấn Add/Remove Windows Component. Chọn Application Server, nhấn Detail Tìm Hiểu Hệ Thống PKI Trang 33
  34. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.30 2. Ở cửa sổ Application Server chọn mục Internet Information Services (IIS) nhấn OK Hình 3.31 3. Nhấn Next cho đến khi hoàn thành nhấn Finish Tìm Hiểu Hệ Thống PKI Trang 34
  35. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.32 * Phần 2: Ứng dụng PKI trong việc gửi mail có chứng thực và mã hóa Triển khai hệ thống PKI trong việc gửi mail bằng MS Outlook a) Tạo account cho MS Outlook trên máy Server 1. Trước tiên ta đăng nhập vào máy server mở chương trình MS Outlook. Sau khi mở MS Outlook ta vào menu Tools Email Accounts, tạo một account mới trong Microsoft Outlook. Tìm Hiểu Hệ Thống PKI Trang 35
  36. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.33 2. Ở hộp thoại tiếp theo ta chọn mục Add a new e-mail account, click Next Hình 3.34 3. Ở hộp thoại Server Type chọn mục POP3 nhấn Next Tìm Hiểu Hệ Thống PKI Trang 36
  37. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.35 4. Ở hộp thoại Internet E-mail Settings (POP3), điền các thông tin vào các mục User Information, Server Information, Logon Information, nhấn Next Tìm Hiểu Hệ Thống PKI Trang 37
  38. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.36 5. Nhấn Finish để hoàn thành việc tạo 1 account mới trên MS Outlook b) Tạo account cho MS Outlook trên máy Client - Các bước cũng tương tự như tạo account trên máy server, chỉ khác ở các thông tin trên User Information, Logon Information, giống nhau ở phần Server Information như hình dưới đây. Tìm Hiểu Hệ Thống PKI Trang 38
  39. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.37 - Sau khi tạo xong account cho MS Outlook trên máy client, nhấn nút Send/Receive trên MS Outlook rồi sau đó đăng nhập qua máy Server cũng nhấn nút Send/Receive từ MS Outlook nếu ta thấy trong hộp thư (inbox) của MS Outlook máy server có nhận thư từ account của máy Client là 2 account đã có thể gửi mail được cho nhau như hình dưới đây. Tìm Hiểu Hệ Thống PKI Trang 39
  40. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.38 c) Xin Certificate server cho account trên máy Server và Client 1. Ta đăng nhập qua máy Server, mở trình duyệt web, gõ vào thanh Address địa chỉ sau: nhấn Enter, tiếp theo ở trang Welcome, ở mục Select Task: ta click vào dòng chữ Request a certificate. Hình 3.39 Tìm Hiểu Hệ Thống PKI Trang 40
  41. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 2. Ở trang Request a certificate, Click vào dòng chữ Email Protection Certificate Hình 3.40 3. Ở trang Email Protection Certificate, ta điền các thông tin như hình dưới và nhấn nút Submit. Hình 3.41 4. Xuất hiện bảng thông báo ta tiếp tục chọn Yes. Hình 3.42 Tìm Hiểu Hệ Thống PKI Trang 41
  42. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 5. Sau đó xuất hiện trang Certificate Pending. Ta để trình duyệt xuống thanh task bar 6. Đối với máy Client ta cũng thực hiện các bước tương tự cho việc tạo certificate. 7. Trên máy Server ta vào Start Program Administrative Tools Certification Authority để mở Certification Authority. Ta chọn nhánh Pending Requests, Right Click vào các Certificate đã tạo chọn All Tasks Issue Hình 3.43 8. Tương tự cho các Certificate khác. 9. Sau đó ta mở lại trình duyệt với địa chỉ cũ ở mục Select Task ta chọn dòng chữ View a status of a pending certificate request Hình 3.44 10. Ở trang View the status of a pending certificate request, chọn dòng Email Protection certificate, qua trang Certificate Issue, chọn dòng Install this Certificate Tìm Hiểu Hệ Thống PKI Trang 42
  43. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.45 11. Xuất hiện bảng thông báo nhấn Yes quá trình cài thực hiện cho đến khi hoàn thành. Hình 3.46 12. Trên máy client cũng làm các bước tương tự. d) Export Certificate 1. Vào Start Run, gõ lệnh mmc để mở Console1. Trong cửa sổ Console1 vào File Add/Remove Snap-in Hình 3.47 Tìm Hiểu Hệ Thống PKI Trang 43
  44. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 2. Ở cửa sổ Add/Remove Snap-in, nhấn Add Hình 3.48 3. Trong cửa sổ Add Standalone Snap-in, chọn Certificates nhấn nút Add Tìm Hiểu Hệ Thống PKI Trang 44
  45. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.49 4. Ở hộp thoại Certificates Snap-in, chọn mục My user account, nhấn Finish Hình 3.50 5. Trở lại cửa sổ Add/Remove Snap-in, chọn OK Tìm Hiểu Hệ Thống PKI Trang 45
  46. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.51 6. Trở lại cửa sổ Console1 chọn nhánh Personal Certificates, right click certificate, chọn All Tasks Export Tìm Hiểu Hệ Thống PKI Trang 46
  47. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.52 7. Nhấn Next đến hộp thoại Export Private Key, chọn mục Yes, export the private key, nhấn Next ở những hộp thoại kế tiếp Hình 3.53 Tìm Hiểu Hệ Thống PKI Trang 47
  48. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 8. Tới hộp thoại nhập password rồi nhấn Next Hình 3.54 9. Chọn nơi lưu lại certificate vừa Export, nhấn Next cho đến khi xuất hiện hộp thoại Complete the Certificate Export Wizard, nhấn Finish Hình 3.55 Tìm Hiểu Hệ Thống PKI Trang 48
  49. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành e) Sau khi Export Certificate xong ta mở MS Outlook. 1. Vào menu Tools Options chọn tab Security nhấn nút Import/Export Hình 3.56 2. Trong cửa sổ Import/Export Digital ID, nhấn nút Browse, chọn file certificate đã lưu để import, gõ password và Digital ID, nhấn OK Tìm Hiểu Hệ Thống PKI Trang 49
  50. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.57 3. Trong hộp thoại dưới đây, chọn OK Hình 3.58 4. Trở lại hộp thoại Options Security Chọn Settings trong hộp thoại Change Security Settings lần lượt nhấn nút Choose ở hai phần Signing Certificate và Encryption Certificate, nhấn OK Tìm Hiểu Hệ Thống PKI Trang 50
  51. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.59 5. Quay về hộp thoại Options, nhấn OK * Đăng nhập vào máy client ta cũng mở MS Outlook để thực hiện việc Import 1 certificate vào mail bằng các bước tương tự như ở máy server. f) Gửi mail bằng MS Outlook có chứng thực CA 1. Sau khi import CA xong cho máy server và client, từ máy client với account là vuong@pki.com, ta mở MS Outlook, chọn menu File New để soạn thư gửi qua máy server với account máy server là luu@pki.com. Lần gửi đầu tiên ta chỉ dùng chữ ký điện tử Digital Sign như hình 2.60 Hình 3.60 Tìm Hiểu Hệ Thống PKI Trang 51
  52. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 2. Chọn chữ ký điện tử xong, nhấn nút Send để gửi mail. Hình 3.61 3. Qua máy server mở MS Outlook nhấn nút Send/Receive, mở hộp thư Inbox đọc thư mới có biểu tượng chữ ký điện tử phía bên phải thư và nội dung đã hiện thị như hình dưới đây Hình 3.62 5. Từ máy server phản hồi thư lại máy client, nhấn nút Reply phía bên trái thư, vẫn chỉ dùng chữ ký điện tử chưa dùng đến mã hóa Encryption, nhấn Send để gửi lại Tìm Hiểu Hệ Thống PKI Trang 52
  53. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.63 6. Ta quay qua máy client mở MS Outlook nhấn nút Send/Receive để nhận thư phản hồi từ server gửi qua, ta mở hộp thư inbox đọc thư, hiển thị nội dung và chữ ký điện tử phía bên phải thư. Nhấn nút Reply phản hồi lại account máy server như hình dưới đây Hình 3.64 Tìm Hiểu Hệ Thống PKI Trang 53
  54. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 7. Từ account vuong@pki.com phản hồi lại có dùng chữ ký điện tử và cả mã hóa encryption, nhấn Send gửi qua account máy server Hình 3.65 8. Qua máy server mở hộp thư nhận thư, nếu nội dung có chữ ký điện tử và mã hóa ở bên góc phải thư thì việc gửi mail có chứng thực CA đã thành công. Hình 3.66 9. Tiếp tục gửi lại máy client với chữ ký điện tử và mã hóa khi máy client nhận thư cũng có chứng thực CA thì hai máy đã gửi thư qua lại có dùng chữ ký điện tử và mã hóa đã thành công. * Phần 3: Chứng thực Web Browser bằng Certificate a) Chuẩn bị và chạy thử trang web Tìm Hiểu Hệ Thống PKI Trang 54
  55. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 1. Trước tiên ta phải chuẩn bị 1 trang web, có thể tự soạn thảo một trang web bình thường hoặc download source của một trang web bất kỳ, để demo cho phần chứng thực Web Browser bằng certificate ta cần 1 trang web đơn giản. Sau đó, chúng ta chép trang web đó vào thư mục C:/Inetpub/wwwroot 2. Ta mở trình duyệt Internet (IE hoặc Firefox), gõ vào thanh địa chỉ dòng chữ: Http:/localhost để test xem trang web có chạy không. Như hình dưới đây Hình 3.67 3. Tương tự ta đăng nhập qua máy Client, mở trình duyệt gõ vào thanh địa chỉ: trong đó 192.168.1.10 là địa chỉ IP của máy server thì trang web cũng hiển thị như trên. b) Cấu hình IIS cho trang web 1. Mở dịch vụ IIS từ Start Program Administrative Tools Internet Informations Services (IIS). Trong cửa sổ Internet Information Services (IIS) Manager, ta vào nhánh Server Web Sites Chuột phải vào Default Web Sites, chọn Properties Tìm Hiểu Hệ Thống PKI Trang 55
  56. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.68 2. Trong hộp thoại Default Web Sites Properties, chọn tab Directory Security, nhấn Server Certificate ở khung Secure communications Tìm Hiểu Hệ Thống PKI Trang 56
  57. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.69 3. Nhấn Next ở hộp thoại Welcome to the Web Server Certificate Wizard Hình 3.70 Tìm Hiểu Hệ Thống PKI Trang 57
  58. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 4. Xuất hiện hộp thoại Modify the Current Certificate Assignment, chọn mục Renew the current certificate, nhấn Next 2 lần Hình 3.71 5. Đến hộp thoại Certificate Request File Name, gõ tên và chỉ định đường dẫn để lưu file Certreg.txt (có thể để tên và đường dẫn tùy ý). Nhấn Next Hình 3.72 6. Nhấn Next, rồi nhấn Finish để hoàn thành cấu hình web trong IIS Tìm Hiểu Hệ Thống PKI Trang 58
  59. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.73 c) Xin certificate cho Web Browser trên máy server 1. Mở lại trình duyệt web gõ vào thanh địa chỉ: ở trang Welcome, đề mục Select a task: click Request a certificate Hình 3.74 2. Ở trang Request a certificate, click dòng chữ advanced certificate request Tìm Hiểu Hệ Thống PKI Trang 59
  60. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.75 3. Qua trang Advanced certificate request, nhấn dòng chữ Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file Hình 3.76 4. Vào trang Submit a Certificate Request or Renewal Request, nhấn dòng Browse for a file to insert Tìm Hiểu Hệ Thống PKI Trang 60
  61. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.77 5. Xuất hiện thông báo nhấn Yes Hình 3.78 6. Ở trang tiếp theo nhấn Browse để chọn file cần insert lên textbox Full Path Name, nhấn nút Read! Tìm Hiểu Hệ Thống PKI Trang 61
  62. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.79 7. Sau khi nhấn nút Read! Thì khung Save Request chứa các ký tự từ file đã insert lên, nhấn tiếp nút Submit Hình 3.80 8. Trình duyệt xuất hiện trang Certificate Pending, là ta đã xin được certificate. Tìm Hiểu Hệ Thống PKI Trang 62
  63. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.81 9. Vào Start Program Administrative Tools click Certification Authority để mở CA. Ở cửa sổ bên trái Certification Authority, chọn nhánh Pending Request, chuột phải vào certificate đã xin được ở cửa sổ bên phải, chọn All Tasks Issue Hình 3.82 10. Ta mở lại trình duyệt web, gõ vào thanh địa chỉ: ở trang Welcome, chọn dòng View the status of a pending certificate request Tìm Hiểu Hệ Thống PKI Trang 63
  64. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.83 11. Ở trang View the Status of a Pending Certificate Request, nhấn Save Request Certificate Hình 3.84 12. Đến trang Certificate Issue, click Download certificate Tìm Hiểu Hệ Thống PKI Trang 64
  65. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.85 13. Xuất hiện thông báo ta nhấn nút Save đặt tên và chọn nơi lưu trữ Hình 3.86 14. Nhấn nút Close ở thông báo Download Complete để hoàn thành việc download. Tìm Hiểu Hệ Thống PKI Trang 65
  66. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.87 15. Ta mở lại IIS, trong cửa sổ Internet Information Services (IIS) Manager, ta vào nhánh Server Web Sites Chuột phải vào Default Web Sites, chọn Properties Hình 3.88 Tìm Hiểu Hệ Thống PKI Trang 66
  67. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 16. Trong hộp thoại Default Web Sites Properties, chọn tab Directory Security, nhấn Server Certificate ở khung Secure communications Hình 3.89 17. Nhấn Next ở hộp thoại Welcome to the Web Server Certificate Wizard Tìm Hiểu Hệ Thống PKI Trang 67
  68. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.90 18. Hộp thoại Pending Certificate Request, chọn mục Process the pending request and install the certificate, nhấn Next Hình 3.91 19. Chuyển qua bước tiếp theo, nhấn Browse để chọn file certificate đã tạo, nhấn Next. Tìm Hiểu Hệ Thống PKI Trang 68
  69. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.92 20. Hộp thoại SSL Port sẽ hiển thị SSL port this web site should use là 433, nhấn Next Hình 3.93 21. Hộp thoại Certificate Summary, nhấn Next, rồi Finish ở hộp thoại kế, nhấn OK khi trở lại hộp thoại Default Web Site Properties Tìm Hiểu Hệ Thống PKI Trang 69
  70. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.94 Hình 3.95 Tìm Hiểu Hệ Thống PKI Trang 70
  71. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.96 22. Mở Trình duyệt Web, gõ vào thanh địa chỉ: để chạy trang web sẽ xuất hiện một thông báo Security Alert yêu cầu chứng thực trang web này, nhấn Yes. Trang Web sau đó đã được chứng thực và hiển thị nội dung như hình 2.98 Tìm Hiểu Hệ Thống PKI Trang 71
  72. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.97 Hình 3.98 d) Xin Certificate Trên Máy Client 1. Đăng nhập qua máy Client, mở trình duyệt web, gõ ở trang Welcome, click dòng chữ Request a certificate Hình 3.99 2. Trang Request a certificate, chọn Web Browser Certificate Tìm Hiểu Hệ Thống PKI Trang 72
  73. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.100 3. Ở trang Web Browser Certificate, chọn More Options, click vào dòng use the Advance Certificate Request form, điền tên và email, sau đó check chọn Mark keys as exportable. Sau đó nhấn nút Submit. Hình 3.101 4. Xuất hiện bảng thông báo nhấn Yes. Cho đến khi xuất hiện trang Certificate Pending là ta đã cài certificate xong cho máy client Hình 3.102 Tìm Hiểu Hệ Thống PKI Trang 73
  74. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 5. Đăng nhập lại máy Server. Ta mở Certification Authority, bung thư mục Pending request, chuột phải vào certificate đã tạo, chọn All Tasks Issue Hình 3.103 6. Sau khi Issue xong, ta qua máy client, mở trình duyệt web, gõ để mở lại trang xin certificate. Chọn dòng View the status of a pending certificate request. Hình 3.104 7. Chọn dòng Client Authentication Certificate ở trang kế tiếp Tìm Hiểu Hệ Thống PKI Trang 74
  75. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.104 8. Trang tiếp theo nhấn Install this certificate, chọn Yes ở bảng thông báo Hình 3.105 9. Gõ vào thanh địa chỉ xuất hiện bảng thông báo Security Alert, vậy là ta đã chứng thực được Web Browser bằng Certificate, chọn Yes ở bảng thông báo đó. Tìm Hiểu Hệ Thống PKI Trang 75
  76. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.106 Hình 3.107 10. Trình duyệt sẽ hiển thị nội dung trang Web. Tìm Hiểu Hệ Thống PKI Trang 76
  77. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.108 * Phần 4: Ứng Dụng PKI Trong VPN Các bước thực hiện: - Cài đặt và cấu hình VPN Server - VPN Server cài đặt Certificate Services - VPN Server và VPN Client xin certificate - CA cấp certificate cho VPN Server và Client - VPN Server và VPN Client cài đặt Certificate - VPN Client tạo Connection. a) Cài đặt và cấu hình VPN Server 1. Trên máy VPN Server, mở Routing & Remote Access Chuột phải Server Configure and Enable Routing & Remote Access Hình 3.109 2. Nhấn Next Chọn Custom Configuration Nhấn Next Tìm Hiểu Hệ Thống PKI Trang 77
  78. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.110 3. Check ô VPN Access, NAT and basic firewall, LAN routing Nhấn Next Tìm Hiểu Hệ Thống PKI Trang 78
  79. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.111 4. Nhấn Finish Chọn Yes khi xuất hiện thông báo Hình 3.112 5. Sau khi cài đặt ta chuột phải vào Server Properties Hình 3.113 6. Trong hộp thoại Properties, qua Tab IP Chọn Static Address Pool Nhấn Add Tìm Hiểu Hệ Thống PKI Trang 79
  80. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 3.114 7. Cấp địa chỉ IP từ 192.168.1.150 -> 192.168.1.155 OK OK Tìm Hiểu Hệ Thống PKI Trang 80
  81. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.115 8. Chọn Port, quan sát thấy VPN Server mặc định cho phép kết nối cả PPTP và L2TP. Cấu hình VPN Server chỉ cho phép kết nối L2TP, không cho phép kết nối PPTP. Chuột phải lên Port Properties Hình 3.116 9. Chọn WAN Miniport (PPTP), nhấn Configure Tìm Hiểu Hệ Thống PKI Trang 81
  82. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.117 10. Bỏ check ở ô Remote Access connections và ô Demand dialrouting connections Nhấn OK OK Tìm Hiểu Hệ Thống PKI Trang 82
  83. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.118 11. Quan sát thấy VPN bây giờ chỉ cho phép kết nối L2TP Hình 3.119 b) VPN Server cài đặt Certificate Services (bước này đã thực hiện ở phần đầu chương). c) VPN Server và VPN Client xin certificate Tìm Hiểu Hệ Thống PKI Trang 83
  84. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 1. Trước tiên ta xin certificate cho máy server. Tương tự như xin certificate cho mail và Web, ta mở trình duyệt web, gõ vào thanh địa chỉ: Vào trang Welcome, ta click dòng Request a certificate Advanced certificate request Create and submit a request to this CA Hình 3.120 2. Điền thông tin vào phần Indentifying Information, chọn IPSec Certificate ở phần Typed of Certificate Needed, Ở phần Key Options, check chọn mục Store certificate in the local computer certificate store Nhấn Submit Hình 3.121 3. Nhấn Yes ở bảng thông báo Tìm Hiểu Hệ Thống PKI Trang 84
  85. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.122 4. Đăng nhập máy Client ta cũng xin tương tự, mở trình duyệt web, gõ Chọn dòng Request a certificate Advanced certificate request Create and submit a request to this CA Hình 3.123 5. Điền thông tin vào phần Indentifying Information, chọn IPSec Certificate ở phần Typed of Certificate Needed, Ở phần Key Options, check chọn mục Store certificate in the local computer certificate store Nhấn Submit Tìm Hiểu Hệ Thống PKI Trang 85
  86. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.124 6. Nhấn Yes ở bảng thông báo Hình 3.125 d) CA cấp certificate cho VPN Server và client 1. Trở lại máy Server, ta mở Certification Authority, chọn nhánh Pending Requests Chuột phải lên từng certificate All Tasks Issue Hình 3.126 2. Quay lại trang Welcome, ta chọn dòng View the status of a pending certificate request Tìm Hiểu Hệ Thống PKI Trang 86
  87. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.127 3. Chọn dòng IPSec certificate Hình 3.128 4. Nhấn Install this certificate nhấn Yes ở bảng thông báo Tìm Hiểu Hệ Thống PKI Trang 87
  88. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.129 5. Đăng nhập qua máy client, mở trình trở về trang Welcome, chọn dòng View the status of a pending certificate request Chọn IPSec Certificate Install this certificate Nhấn Yes ở bảng thông báo Hình 3.130 e) VPN Server và VPN Client cài đặt Certificate 1. Trở lại máy VPN Server, vào Start Run MMC Enter mở Console1 Chọn menu File Add/Remove Snap-in Tìm Hiểu Hệ Thống PKI Trang 88
  89. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.131 2. Nhấn Add chọn Certificate Nhấn Add Hình 3.132 3. Chọn Computer Account, nhấn Next Tìm Hiểu Hệ Thống PKI Trang 89
  90. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.133 4. Chọn mục Another Computer nhấn nút Browse Nhấn Advanced Nhấn nút Find Now Chọn tên máy Server Nhấn OK Tìm Hiểu Hệ Thống PKI Trang 90
  91. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.134 5. Nhấn OK Finish Tìm Hiểu Hệ Thống PKI Trang 91
  92. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.134 6. Nhấn OK Tìm Hiểu Hệ Thống PKI Trang 92
  93. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.135 7. Quan sát ta thấy console1 đã có nhánh Certificates Personal Certificates. 8. Qua máy client cũng vào Start Run MMC làm tương tự nhưng tên máy là May01 9. Cũng từ máy client, ta gõ thanh địa chỉ vào trang Welcome chọn dòng Download a certificate, certificate chain, or CRL. Tìm Hiểu Hệ Thống PKI Trang 93
  94. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.136 10. Chọn Download CA certificate, xuất hiện bảng download, nhấn nút Save và lưu trữ và đặt tên cho file certificate này. Hình 3.137 11. Mở lại console1, chọn nhánh Trusted Root Certificates Chuột phải Certificate All Tasks Import Tìm Hiểu Hệ Thống PKI Trang 94
  95. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.138 12. Nhấn Next Next Browse chọn file certificate vừa lưu để mở lên Nhấn Next Hình 3.139 13.Chọn Place on certificates in the following store Nhấn Next Tìm Hiểu Hệ Thống PKI Trang 95
  96. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.140 14. Nhấn Finish Hình 3.141 15. Xuất hiện thông báo import đã thành công. Nhấn OK Tìm Hiểu Hệ Thống PKI Trang 96
  97. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.142 f) VPN Client tạo Connection 1. Chuột phải My Computer Manage Trong cửa sổ Computer Management, chọn nhánh System Tools Local User and Group User Chuột phải lên User New User Tìm Hiểu Hệ Thống PKI Trang 97
  98. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.143 2. Tạo User tên luu, đặt password, đặt user luu với member of là User Administrator. Qua tab Dial-in chọn Allow Access nhấn OK Hình 3.144 3. Tiếp theo ta tạo 1 kết nối VPN. Vào Network Connections Nhấn Create a new connection Next Ở phần Network connection type, chọn mục thứ 2 Connect to the network at my workplace Nhấn Next Tìm Hiểu Hệ Thống PKI Trang 98
  99. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.145 4. Chọn Vitual Private Network Connection Nhấn Next Hình 3.146 5. Gõ IP 192.168.1.10 nhấn Next Tìm Hiểu Hệ Thống PKI Trang 99
  100. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Hình 3.147 6. Nhấn Finish Hình 3.148 Tìm Hiểu Hệ Thống PKI Trang100
  101. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành 7. Tạo xong ta quan sát thấy xuất hiện một kết nối với User name là luu và password ta sẽ nhập vào nhấn Connect Hình 3.149 8. Ta quan sát thấy đã kết nối được, connection pki.com đã được kết nối Hình 3.150 Tìm Hiểu Hệ Thống PKI Trang101
  102. Báo Cáo Tốt Nghiệp CĐ Nguyễn Tất Thành Chương 4: TỔNG KẾT 4.1 Những Việc Đã Làm - Tìm hiểu, nghiên cứu về các tài liệu liên quan đến PKI - Cài hệ thống máy ảo bằng chương trình VMWare Workstations. Cài máy ảo Windows Server 2003 và máy Windows XP. Thiết lập các máy trong mạng kết nối được với nhau - Cài các phần mềm và dịch vụ như Microsoft Outlook 2003, DNS Server, Mail Daemon, Internet Informations Services (IIS), Certification Authority (CA) - Thực hành gửi mail trong Microsoft Outlook có chứng thực bằng Certificate - Thực hành chứng thực web site bằng certificate - Thực hành ứng dụng CA trong VPN 4.2 Hướng Phát Triển - Qua thực hiện đồ án, còn rất nhiều thiếu sót, mục đích cũng chưa trọn vẹn, nội dung thực hiện đề tài này còn ít, điều này chúng ta sẽ phát triển thêm ở thời gian tới. Hướng phát triển của đồ án là ứng dụng hệ thống PKI trên các phần mềm mã nguồn mở. Về phần này chúng ta sẽ xây dựng và phát triển thêm. Tìm Hiểu Hệ Thống PKI Trang102