AD CS là một công nghệ nhận dạng trong Windows Server cho phép bạn triển khai PKI, bạn có thể dễ dàng cấp và quản lý certificates đáp ứng yêu cầu của tổ chức của bạn.
Để sử dụng certificates trong môi trường Active Directory Domain Services (AD DS), bạn phải sử dụng certificates do bên ngoài cung cấp hoặc triển khai và đặt cấu hình ít nhất một CA.
CA đầu tiên bạn triển khai gọi là Root CA. Sau khi cài đặt Root CA, bạn có thể cài đặt subordinate CA để áp dụng các chính sách và cấp certificates. Bạn cũng có thể sử dụng file CAPolicy.inf để tự động cài đặt Root CA và cung cấp các hình bổ sung không có sẵn khi các cài đặt trên GUI tiêu chuẩn.
Trong bài học này, bạn sẽ tìm hiểu về cách triển khai CA trong môi trường Windows Server 2019/2022.
INTERNET INFORMATION SERVICES (IIS) – SECURE SOCKET LAYER (SSL) – KEY RECOVERY AGENT
CÁC BƯỚC TRIỂN KHAI
Phần 1: IIS
1. Cài đặt Web Server IIS
2. Cấu hình Web Server IIS
3. Virtual Directory
Phần 2: SSL
4. Cài đặt Enterprise CA
5. Cấu hình SSL cho Website
Phần 3: CA Templates – key Recovery Agent
6. Tạo và cấp phát Key Recovery Agent
7. Tạo và cấp phát Archive User
8. User xin Certificate
9. Giả lập user bị mất certificate.
10. Admin khôi phục certificate cho user
A- CHUẨN BỊ
Mô hình bài lab bao gồm 02 máy:
– PC01: Windows Server 2019/2022 Data Center DC (domain DOM01.LOCAL)
– PC02: Windows 10 Professional đã join domain
– PC01 tạo thư mục C:\Web\home.htm và C:\Web\diendan\forum.htm
B- THỰC HIỆN INTERNET INFORMATION SERVICES (IIS) – SECURE SOCKET LAYER (SSL) – KEY RECOVERY AGENT
1. Cài đặt Web Server IIS
B1 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features
B2 – Cửa sổ Before You Begin, chọn Next 3 lần
B3 – Trong cửa sổ Select server roles, đánh dấu chọn Web Server (IIS), chọn Next 4 lần
B4 – Cửa sổ Confirm installation selections, chọn Install, sau đó chọn Close
2. Cấu hình Web Server IIS
B1 – Mở Server Manager, vào menu Tools, chọn Internet Information Services (IIS) Manager
B2 – Chuột phải Sites, chọn Add Website
B3 – Khai báo các thông tin:
+ Site name: Cong Ty NN
+ Physical path: C:\Web
+ Host name: www.dom01.local
Chọn OK
B4 – Ở khung bên trái chọn Cong Ty NN vừa tạo, double click vào mục Default Document
B5 – Ở khung Actions nằm ở góc phải, chọn Add. Cửa sổ Add Default Document, mục Name, nhập: home.htm, chọn OK
B6 – Mở DNS, tạo host www trỏ về PC01
B7 – Qua máy PC02, truy cập trang http://www.dom01.local. Truy cập thành công
3. Virtual Directory
B1 – Trên PC01, quay lại IIS Manager, chuột phải Cong Ty NN, chọn Add Virtual Directory
B2 – Khai báo thông tin như bên dưới
+ Alias: forum
+ Physical path: C:\Web\diendan
Chọn OK
B3 – Ở khung bên trái chọn forum vừa tạo, double click vào mục Default Document
B4 – Ở khung Actions nằm ở góc phải, chọn Add. Cửa sổ Add Default Document, mục Name, nhập: forum.htm, chọn OK
B5 – Qua máy PC02, truy cập trang www.dom01.local/forum. Truy cập thành công
5. Cấu hình SSL cho Website
B1 – Quay lại IIS Manager, khung bên trái chọn PC01, double click Server Certificates
B2 – Khung Actions nằm ở góc bên phải, chọn Create Domain Certificate
B3 – Khai báo các thông tin như bên dưới, sau đó chọn Next
B4 – Mục Specify Online Certification Authority, chọn Select, sau đó chọn đúng tên CA: DOM01-PC01-CA. Mục Friendly name, đặt tên web, sau đó chọn Finish
B5 – Quan sát Domain Certificate vừa tạo
B6 – Tiếp theo khung bên trái chọn Cong Ty NN, sau đó chọn Bindings nằm ở khung Actions bên phải
B7 – Chọn Add. Khai báo các thông tin sau:
+ Type: https
+ Host name: www.dom01.local
+ SSL certificate: web
Chọn OK, sau đó chọn Close
B8 – Qua máy PC02, truy cập trang https://www.dom01.local. Truy cập thành công
6. Tạo và cấp phát Key Recovery Agent
B1 – Mở Server Manager, vào menu Tools, chọn Certification Authority
B2 – Chuột phải Certificate Templates, chọn Manage
B3 – Chuột phải Key Recovery Agent , chọn Properties
B4 – Bỏ chọn ô CA certificate manager approval, chọn Apply. Đóng cửa sổ Certificate Template
B5 – Chuột phải Ceritifcate Templates, chọn New, sau đó chọn Certificate Template to Issue
B6 – Chọn Key Recovery Agent, sau đó chọn OK
B7 – Nhấn tổ hợp phím + R, gõ MMC
B8 – Vào menu File, chọn Add/Remove Snap In, chọn Certificates, chọn Add và chọn OK. Tiếp theo chọn My User Account, và chọn Finish, chọn OK
B9 – Bung mục Personal, chuột phải Certificates, chọn All Tasks, sau đó chọn Request New Certificate
B10 – Màn hình Before You Begin, chọn Next 2 lần
B11 – Màn hình Request Certificates, đánh dấu check ô Key Recovery Agent, chọn Enroll
B12 – Màn hình Certificate Installation Results, chọn Finish
B13 – Quan sát Certificate vừa yêu cầu. Đóng cửa sổ này lại
B14 – Quay lại Certification Authority, chuột phải DOM01-CA, chọn Properties
B15 – Qua tab Recovery Agents, chọn Add
B16 – Chọn OK 2 lần
B17 – Chọn Yes để restart service
7. Tạo và cấp phát Archive User
B1 – Chuột phải Certificate Templates, chọn Manage
B2 – Chuột phải vào User, chọn Duplicate Template
B3 – Qua tab General, ở mục Template display name và Template name, đặt tên: ArchiveUser, chọn Apply
B4 – Qua tab Request Handling, đánh dấu check ô Archive subject’s encryption private key, chọn OK
B5 – Chuột phải Certificate Templates, chọn New, sau đó chọn Certificate Template to Issue
B6 – Chọn ArchiveUser, sau đó chọn OK
B7 – Quan sát thấy Template ArchiveUser vừa tạo
8. User xin Certificate (Thực hiện trên máy PC02)
B1 – Sign In user U1. Nhấn tổ hợp phím + R, gõ MMC
B2 – Vào menu File, chọn Add/Remove Snap-in. Ở cột bên trái chọn Certificates, sau đó chọn Add
B3 – Chuột phải vào Personal, chọn All Tasks, chọn Request New Certificate
B4 – Màn hình Before you begin, chọn Next 2 lần
B5 – Màn hình Request Certificates, đánh dấu check ô ArchiveUser, chọn Enroll
B6 – Màn hình Certificate Installation Results, chọn Finish
B7 – Quan sát Certificate vừa yêu cầu. Đóng cửa sổ này lại
B8 – Mở Microsoft Outlook, gửi mail có Sign và Encrypt cho chính mình (nếu không thể gửi mail, bạn có thể thực hiện Encrypt file hay folder)
9. Giả lập user bị mất certificate
B1 – Trên máy PC02, chuột phải vào certificate của U1, chọn Delete, chọn Yes
B2 – Sign Out/Sign In U1, mở Microsoft Outlook quan sát thấy U1 không đọc được mail mã hóa (hay không đọc file đã Encrypt)
10. Admin khôi phục certificate cho user (Thực hiện trên máy PC01)
B1 – Mở CA, ở khung bên trái chọn Issued Certificates. Chuột phải vào certificate U1, chọn Open
B2 – Qua tab Details, chọn Serial Number. Quét chọn dãy số Serial và Copy
B3 – Dán dãy số vào notepad, xóa khoảng trắng. Copy thêm lần nữa
B4 – Mở Windows PowerShell gõ lệnh:
Certutil -getkey [số serial] outputblob
B5 – Gõ lệnh:
Certutil -recoverkey outputblob u1.pfx
B6 – Gõ lệnh:
Copy .\u1.pfx \\pc02\C$
B7 – Trên máy PC02, log on U1. mở File Explorer. Quan sát thấy có file u1.pfx nằm trong ổ C:. Chuột phải file u1.pfx, chọn Install PFX
B8 – Màn hình Welcome, chọn Current User, chọn Next
B9 – Màn hình File to Import, chọn Browse, trỏ đường dẫn đến C:\u1.pfx, chọn Next
B10 – Màn hình Private key protection, nhập vào mật khẩu, chọn Next
B11 – Màn hình Certificate Store, giữ nguyên như mặc định, chọn Next
B12 – Màn hình Completing the Certificate Import Wizard, chọn Finish
B13 – Quan sát certificate đã được khôi phục
B14 – Mở Microsoft Outlook. Kiểm tra U1 đã đọc được mail có sign và mã hóa
Hoàn Tất Bài Lab