Site icon VNSEOLAB.com

Lab Windows Server 2022 – Module 14 Active Directory Certificate Services

active-directory-certificate-services

AD CS là một công nghệ nhận dạng trong Windows Server cho phép bạn triển khai PKI, bạn có thể dễ dàng cấp và quản lý certificates đáp ứng yêu cầu của tổ chức của bạn.

Để sử dụng certificates trong môi trường Active Directory Domain Services (AD DS), bạn phải sử dụng certificates do bên ngoài cung cấp hoặc triển khai và đặt cấu hình ít nhất một CA.

CA đầu tiên bạn triển khai gọi là Root CA. Sau khi cài đặt Root CA, bạn có thể cài đặt subordinate CA để áp dụng các chính sách và cấp certificates. Bạn cũng có thể sử dụng file CAPolicy.inf để tự động cài đặt Root CA và cung cấp các hình bổ sung không có sẵn khi các cài đặt trên GUI tiêu chuẩn.

Trong bài học này, bạn sẽ tìm hiểu về cách triển khai CA trong môi trường Windows Server 2019/2022.

INTERNET INFORMATION SERVICES (IIS) – SECURE SOCKET LAYER (SSL) – KEY RECOVERY AGENT

CÁC BƯỚC TRIỂN KHAI

Phần 1: IIS

1. Cài đặt Web Server IIS

2. Cấu hình Web Server IIS

3. Virtual Directory

Phần 2: SSL

4. Cài đặt Enterprise CA

5. Cấu hình SSL cho Website

Phần 3: CA Templates – key Recovery Agent

6. Tạo và cấp phát Key Recovery Agent

7. Tạo và cấp phát Archive User

8. User xin Certificate

9. Giả lập user bị mất certificate.

10. Admin khôi phục certificate cho user

A- CHUẨN BỊ

Mô hình bài lab bao gồm 02 máy:

– PC01: Windows Server 2019/2022 Data Center DC (domain DOM01.LOCAL)

– PC02: Windows 10 Professional đã join domain

– PC01 tạo thư mục C:\Web\home.htm và C:\Web\diendan\forum.htm

B- THỰC HIỆN INTERNET INFORMATION SERVICES (IIS) – SECURE SOCKET LAYER (SSL) – KEY RECOVERY AGENT

1. Cài đặt Web Server IIS

1. Cài đặt Web Server IIS

B1 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features

B2 – Cửa sổ Before You Begin, chọn Next 3 lần

B3 – Trong cửa sổ Select server roles, đánh dấu chọn Web Server (IIS), chọn Next 4 lần

B4 – Cửa sổ Confirm installation selections, chọn Install, sau đó chọn Close

2. Cấu hình Web Server IIS

2. Cấu hình Web Server IIS

B1 – Mở Server Manager, vào menu Tools, chọn Internet Information Services (IIS) Manager

B2 – Chuột phải Sites, chọn Add Website

B3 – Khai báo các thông tin:

+ Site name: Cong Ty NN

+ Physical path: C:\Web

+ Host name: www.dom01.local

Chọn OK

B4 – Ở khung bên trái chọn Cong Ty NN vừa tạo, double click vào mục Default Document

B5 – Ở khung Actions nằm ở góc phải, chọn Add. Cửa sổ Add Default Document, mục Name, nhập: home.htm, chọn OK

B6 – Mở DNS, tạo host www trỏ về PC01

B7 – Qua máy PC02, truy cập trang http://www.dom01.local. Truy cập thành công

3. Virtual Directory

3. Virtual Directory

B1 – Trên PC01, quay lại IIS Manager, chuột phải Cong Ty NN, chọn Add Virtual Directory

B2 – Khai báo thông tin như bên dưới

+ Alias: forum

+ Physical path: C:\Web\diendan

Chọn OK

B3 – Ở khung bên trái chọn forum vừa tạo, double click vào mục Default Document

B4 – Ở khung Actions nằm ở góc phải, chọn Add. Cửa sổ Add Default Document, mục Name, nhập: forum.htm, chọn OK

B5 – Qua máy PC02, truy cập trang www.dom01.local/forum. Truy cập thành công

4. Cài đặt Enterprise CA

4. Cài đặt Enterprise CA

Thực hiện cài đặt Enterprice CA (xem lại bài Enterprise CA). Chú ý đặt tên CA: DOM01-PC01-CA

5. Cấu hình SSL cho Website

5. Cấu hình SSL cho Website

B1 – Quay lại IIS Manager, khung bên trái chọn PC01, double click Server Certificates

B2 – Khung Actions nằm ở góc bên phải, chọn Create Domain Certificate

B3 – Khai báo các thông tin như bên dưới, sau đó chọn Next

B4 – Mục Specify Online Certification Authority, chọn Select, sau đó chọn đúng tên CA: DOM01-PC01-CA. Mục Friendly name, đặt tên web, sau đó chọn Finish

B5 – Quan sát Domain Certificate vừa tạo

B6 – Tiếp theo khung bên trái chọn Cong Ty NN, sau đó chọn Bindings nằm ở khung Actions bên phải

B7 – Chọn Add. Khai báo các thông tin sau:

+ Type: https

+ Host name: www.dom01.local

+ SSL certificate: web

Chọn OK, sau đó chọn Close

B8 – Qua máy PC02, truy cập trang https://www.dom01.local. Truy cập thành công

6. Tạo và cấp phát Key Recovery Agent

6. Tạo và cấp phát Key Recovery Agent

B1 – Mở Server Manager, vào menu Tools, chọn Certification Authority

B2 – Chuột phải Certificate Templates, chọn Manage

B3 – Chuột phải Key Recovery Agent , chọn Properties

B4 – Bỏ chọn ô CA certificate manager approval, chọn Apply. Đóng cửa sổ Certificate Template

B5 – Chuột phải Ceritifcate Templates, chọn New, sau đó chọn Certificate Template to Issue

B6 – Chọn Key Recovery Agent, sau đó chọn OK

B7 – Nhấn tổ hợp phím + R, gõ MMC

B8 – Vào menu File, chọn Add/Remove Snap In, chọn Certificates, chọn Add và chọn OK. Tiếp theo chọn My User Account, và chọn Finish, chọn OK

B9 – Bung mục Personal, chuột phải Certificates, chọn All Tasks, sau đó chọn Request New Certificate

B10 – Màn hình Before You Begin, chọn Next 2 lần

B11 – Màn hình Request Certificates, đánh dấu check ô Key Recovery Agent, chọn Enroll

B12 – Màn hình Certificate Installation Results, chọn Finish

B13 – Quan sát Certificate vừa yêu cầu. Đóng cửa sổ này lại

B14 – Quay lại Certification Authority, chuột phải DOM01-CA, chọn Properties

B15 – Qua tab Recovery Agents, chọn Add

B16 – Chọn OK 2 lần

B17 – Chọn Yes để restart service

7. Tạo và cấp phát Archive User

7. Tạo và cấp phát Archive User

B1 – Chuột phải Certificate Templates, chọn Manage

B2 – Chuột phải vào User, chọn Duplicate Template

B3 – Qua tab General, ở mục Template display name và Template name, đặt tên: ArchiveUser, chọn Apply

B4 – Qua tab Request Handling, đánh dấu check ô Archive subject’s encryption private key, chọn OK

B5 – Chuột phải Certificate Templates, chọn New, sau đó chọn Certificate Template to Issue

B6 – Chọn ArchiveUser, sau đó chọn OK

B7 – Quan sát thấy Template ArchiveUser vừa tạo

8. User xin Certificate

8. User xin Certificate (Thực hiện trên máy PC02)

B1 – Sign In user U1. Nhấn tổ hợp phím + R, gõ MMC

B2 – Vào menu File, chọn Add/Remove Snap-in. Ở cột bên trái chọn Certificates, sau đó chọn Add

B3 – Chuột phải vào Personal, chọn All Tasks, chọn Request New Certificate

B4 – Màn hình Before you begin, chọn Next 2 lần

B5 – Màn hình Request Certificates, đánh dấu check ô ArchiveUser, chọn Enroll

B6 – Màn hình Certificate Installation Results, chọn Finish

B7 – Quan sát Certificate vừa yêu cầu. Đóng cửa sổ này lại

B8 – Mở Microsoft Outlook, gửi mail có Sign và Encrypt cho chính mình (nếu không thể gửi mail, bạn có thể thực hiện Encrypt file hay folder)

9. Giả lập user bị mất certificate

9. Giả lập user bị mất certificate

B1 – Trên máy PC02, chuột phải vào certificate của U1, chọn Delete, chọn Yes

B2 – Sign Out/Sign In U1, mở Microsoft Outlook quan sát thấy U1 không đọc được mail mã hóa (hay không đọc file đã Encrypt)

10. Admin khôi phục certificate cho user

10. Admin khôi phục certificate cho user (Thực hiện trên máy PC01)

B1 – Mở CA, ở khung bên trái chọn Issued Certificates. Chuột phải vào certificate U1, chọn Open

B2 – Qua tab Details, chọn Serial Number. Quét chọn dãy số Serial và Copy

B3 – Dán dãy số vào notepad, xóa khoảng trắng. Copy thêm lần nữa

B4 – Mở Windows PowerShell gõ lệnh:

Certutil -getkey [số serial] outputblob

B5 – Gõ lệnh:

Certutil -recoverkey outputblob u1.pfx

B6 – Gõ lệnh:

Copy .\u1.pfx \\pc02\C$

B7 – Trên máy PC02, log on U1. mở File Explorer. Quan sát thấy có file u1.pfx nằm trong ổ C:. Chuột phải file u1.pfx, chọn Install PFX

B8 – Màn hình Welcome, chọn Current User, chọn Next

B9 – Màn hình File to Import, chọn Browse, trỏ đường dẫn đến C:\u1.pfx, chọn Next

B10 – Màn hình Private key protection, nhập vào mật khẩu, chọn Next

B11 – Màn hình Certificate Store, giữ nguyên như mặc định, chọn Next

B12 – Màn hình Completing the Certificate Import Wizard, chọn Finish

B13 – Quan sát certificate đã được khôi phục

B14 – Mở Microsoft Outlook. Kiểm tra U1 đã đọc được mail có sign và mã hóa

Hoàn Tất Bài Lab

Lab Windows Server Hybrid

Exit mobile version