kerio

Bảo Mật Email với Digital Certificate và Digital Signature – Phần II: Triển khai Certification Authority (CA)

Trong Phần I: Cài đặt và cấu hình hệ thống Mail Server, các bạn đã thấy rõ trong một hệ thống mail thông thường, e-mail được gởi bằng chế độ cleartext nên không bảo mật được nội dung bên trong. Và khi ta nhận một e-mail thông thường, chúng ta sẽ không có đặc điểm nào để phân biệt được e-mail giả mạo hoặc giả danh

Trong phần II, chúng ta sẽ triển khai hệ thống Certification Authority (CA) để ứng dụng phương pháp mã hóa Public Key Infrastructure (PKI) và chữ ký điện tử (Digital Signature) nhằm bảo mật cho hệ thống E-mail.

 

 

I. Giới thiệu

Bài lab bao gồm các bước:

1. Tạo User Account

2. Cài đặt Mail Server Kerio

3. Cấu hình Mail Server Kerio

4. Cài đặt Desktop Experience

5. Cấu hình Windows Mail cho User

6. Capture và thay đổi nội dung e-mail

7. Cài đặt Enterprise CA

8. Xin Certificate cho User

9. Trao đổi Public Key

10. Kiểm tra Digital Signature

11. Kiểm tra E-mail có mã hóa

 

II. Thực hiện (tiếp theo Phần I: Cài đặt và cấu hình hệ thống Mail Server Kerio)

7. Cài đặt Enterprise CA

-        -  Logon MSOPENLABAdministrator. Mở Server Manager từ Administrative Tools, chuột phải Roles chọn Add Roles

 

 

 

-        -  Hộp thoại Before You Begin, chọn Next

-        -  Hộp thoại Select Server Roles, đánh dấu chọn Active Directory Certificate Services, chọn Next

 

 

 

-        -  Hộp thoại Introdution to Active Directory Certificate Services, chọn Next

-        -  Trong hộp thoại Select Role Services, đánh dấu chọn ô Certification Authority Web Enrollment, Hộp thoại Add role services required for Certification Authority Web Enrollment, chọn Add Required Role Services

 

 

 

-        -  Hộp thoại Specify Setup Type, chọn Enterprise, chọn Next

 

 

 

-        -  Hộp thoại Specify CA Type, chọn Root CA, chọn Next

 

 

-        -  Trong hộp thoại Setup Private Key, chọn Create a new private key, chọn Next

 

 

-        -  Hộp thoại Configure Cryptography for CA, chọn Next

-        – Trong hộp thoại Configure CA Name, nhập MSOpenLab-CA vào ô Common name for this CA, chọn Next

 

 

 

 

-         – Hộp thoại Set Validity Period, chọn Next. Hộp thoại Configure Certificate Database, chọn Next

-        -  Hộp thoại Web Server (IIS), chọn Next, Trong hộp thoại Select Role Services, giữ nguyên các lựa chọn mặc định, chọn Next

 

 

 

-         – Hộp thoại Confirm Installation Selections, chọn Install. Hộp thoại  Installation Results, chọn Close

 

 

 

-        – Mở Certification Authoity từ Administrative Tools, kiểm tra CA đã được cài đặt thành công.

 

 

 

8. Xin Certificate cho User

 

-        -  Logon MSOPENLABHieu, vào StartRun, gõ mmc, chọn OK. Trong cửa sổ Console1, bung File, chọn Add/Remove Snap-in

 

 

 

-        -  Trong cửa sổ Add or Remove Snap-in, chọn Certificates, chọn Add, chọn OK

 

 

 

-        -  Trong cửa sổ Console1, chuột phải Personal, chọn All tasks, chọn Request New Certificate

 

 

-        -  Hộp thoại Before You Begin, chọn Next

 

 

 

-         – Trong hộp thoại Request Certificates, đánh dấu chọn User, chọn Enroll

 

 

-        -  Hộp thoại Certificate Installation Results, chọn Finish

 

 

-        -  Trong cửa sổ Console1, bung PersonalCertificate, mở certificate tên Hieu

 

 

-        -  Kiểm tra xin certificate cho Hieu thành công

 

 

 

-        -  Logon MSOPENLABTrong, tương tự các bước trên, thực hiện xin User Certificate cho Trong

 

9. Trao đổi Public Key

-        -  Logon MSOPENLABHieu, mở Windows Mail, chọn Create Mail, nhập trong@msopenlab.com vào ô To, Subject và Body như hình bên dưới. Chọn nút Sign

 

 

 

-        -  Logon MSOPENLABTrong, mở Windows Mail, vào Inbox, mở mail gởi từ Hieu, chọn Continue

 

 

-        -  Kiểm tra xem được nội dung mail (Lúc này Trong đã có Public Key của Hieu), chọn Reply, nhập nội dung mail như hình bên dưới, chọn nút Encrypt, chọn Send

 

 

 

-         -  Logon MSOPENLABHieu, mở Windows Mail, mở mail gởi từ Trong, chọn Continue để xem nội dung.

 

 

 

-        -  Lúc này, 2 user đã trao đổi Public Key thành công.

 

 

 

10.  Kiểm tra Digital Signature

-        -  Logon MSOPENLABHieu, mở Windows Mail, chọn Create Mail, nhập trong@msopenlab.com vào ô To, Subject và Body như trong hình bên dưới, chọn nút Sign, chọn Send

 

 

 

-        – Logon MSOPENLABAdministrator, vào đường dẫn C:Program FilesKerioMailServerstoremailMSOpenLab.comhieuINBOX#msgs, chuột phải file .eml, chọn Open With, chọn Notepad

 

 

 

-         – Trong Notepad, sửa nội dung mail tùy ý

*E-mail khi chưa sửa nội dung

 

 

*E-mail sau khi sửa nội dung

 

 

-         -  Logon MSOPENLABTrong, mở Windows Mail, mở e-mail gởi từ Hieu, chọn Continue

 

 

 

-          – Kiểm tra nhận được cảnh báo Security Warning, chọn Open Message để xem nội dung

 

 

-          – Lúc này ta biết e-mail đã bị thay đổi nội dung

 

 

 

11.  Kiểm tra E-mail có mã hóa

- Logon MSOPENLABTrong, mở Windows Mail, chọn Create Mail, nhập Hieu@msopenlab.com vào ô To, Subject và Body như trong hình bên dưới, chọn nút Encrypt, chọn Send

 

 

 

-      -  Logon MSOPENLABAdministrator, vào đường dẫn C:Program FilesKerioMailServerstoremailMSOpenLab.comhieuINBOX#msgs, chuột phải file .eml, chọn Open With, chọn Notepad

 

 

 

       – Kiểm tra không xem được nội dung e-mail vì nội dung đã được mã hóa 64bit

 

 

-        – Logon MSOPENLABHieu, mở Windows Mail, mở e-mail gởi từ Trong, chọn Continue để xem nội dung

 

 

 

-        – Kiểm tra giải mã được nội dung e-mail (E-mail được mã hóa bằng Public key của Hieu nên được giải mã thành công bằng Private key của Hieu)

 

 

 

 

 

 

Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>