I.
TẠO SERVER CA
Bài này tôi cùng các bạn dựng Server CA –
quen thuộc gọi là Active Directory Certificate Services
Theo ví dụ từ đầu của tôi thì DC của chúng
ta đã có, được gọi là máy chủ DC, Tên miền là: d3plus.com, IP: 10.10.0.10/16
Đề xây dựng được máy chủ AD CA, tôi gọi là DC.
Tôi sẽ bỏ qua các bước cài đặt thế nào với Windows Server 2008 R2 này. Giả sử
đã cài xong DC, đã nâng lên AD, và là một máy chủ mới tinh.
Các lưu ý với bài này:
+ Máy chủ này đã nâng lên DC.
+ Đặt IP của DC này như sau: 10.10.0.100/16
– DNS: 10.10.0.10 (chính là địa chỉ máy chủ DC chính)
+ Một máy Windows Server 2008 R2 khác, tôi
đặt tên là EX, đã được Joined miền vào máy chủ DC 10.10.0.10/16
Chúng ta bắt đầu tiến hành các bước cài đặt:
STEP
1: Cài đặt CA
R-C vào Add Roles
Ấn Next để tiếp tục:
Sau đó chọn Active Directory Certificate
Services.
Ấn Next tiếp tới khi gặp màn hình dưới đây:
Ta chọn tick vào Certification Authority
Web Endrollment. Sau khi bạn ấn vào dấu tick sẽ xuất hiện cửa sổ nhắc cài dịch
vụ liên quan đến việc xin Chứng thực qua giao diện WEBSITE.
Ấn vào Add Required Role Services để tiếp tục
. Tiếp theo bạn ấn NEXT
Bạn chọn Enterprises rồi ấn Next, tiếp tục
chọn Root rồi ấn NEXT
Chọn tiếp Create a new private key như hình
dưới:
Chọn Next tiếp:
Tại cửa sổ dưới đây, bạn chọn đặt tên cho
tên CA root của bạn. Ở đây tôi sẽ đặt là
D3PLUS-CA.
Chọn Next và thay đổi hạn dùng của CA, tôi
sẽ để mặc định là 5 năm.
Tiếp tục ấn NEXT cho đến khi gặp nút
INSTALL, bạn ấn vào và đợi trong giây lát để hoàn thành việc cài đặt Dịch vụ
CA. Sau khi dịch vụ được cài đặt thành công, bạn ấn nút CLOSE.
Vậy là ta bước đầu đã hoàn thành việc cài
máy chủ dịch vụ CA. Ta bắt đầu cài chạy thử trên máy thứ 2. Xem cách xin chứng
thực dịch vụ như thế nào:
STEP
2: Cài trên máy trạm đã JOINED và miền của máy DC
Mặc định ta coi như đã JOINED thành công
máy này (gọi là máy EX) vào miền d3plus.com rồi nhé.
Ấn nút ADD
Ấn Computer Account và chọn NEXT, ấn Finish
và OK. Sau đó sẽ xuất hiện màn hình dưới đây.
Bạn ấn vào dấu Cộng (+) chuyển xuống tìm đến
Trusted Root Certification Authorities , bạn sẽ nhìn thấy d3plus-CA, chính là bạn
đã cài xong phần chứng thực từ máy chủ CA.
Bây giờ đến bước xin chứng thực cho từng dịch
vụ:
Bạn ấn R-C vào Personal như dưới đây , chọn
All Task > Request New Certificate : để tiến hành xin chứng thực số.
Sau khi ấn, bạn sẽ nhìn thấy những hình dưới
đây:
Chọn NEXT
Bạn sẽ nhìn thấy trong máy bạn đã có sẵn Chứng
thực cấp phép dành cho COMPUTER, như ở bước ban đầu bạn tạo CA cho Computer tại
máy DC CA. Bạn ấn ENROLL và đợi cuối cùng ấn FINISH:
Bây giờ bạn đã hoàn thành việc xin cấp chứng
chỉ số phục vụ vào các mục đích của bạn. Như trong hình, tại Personal > Certificates
, bạn đã nhìn thấy file chứng chỉ số EX.d3plus.com
Để kiểm tra bạn sẽ đi đến bước STEP 3
STEP
3: Kiểm tra việc chứng thực
Giả sử bạn đã cài IIS. Bây giờ bạn thử chức
năng chứng chỉ số áp dụng với website nhé.
Nếu bạn sử dụng website, bạn sẽ thấy https://
… đó chính là giao thức có sử dụng CA cho việc chứng thực số.
Bây giờ ta tiến hành tạo ra 1 https như
sau:
Bạn mở IIS, chọn website bạn cần triển khai
dưới dạng https. R-C > Edit Bindings như hình trên
Bạn ấn vào nút Add
Bạn chọn HTTPS như hình trên và sẽ thấy xuất
hiện cửa sổ dưới đây
Bạn chọn SSL certificate và chọn chứng chỉ
của bạn mà Server đã cấp (EX.d3plus.com)
Chọn OK và Close
Bây giờ kiểm chứng hoạt động nhé:
Bạn mở cửa sổ Explorer
Tại đây bạn tạo 1 file tên là index.html ,
với nội dung là TEST
Bạn mở Internet Explorer và gõ : http://localhost/ bạn sẽ nhận được hiển thị với chứ
TEST. Như vậy bạn đã thành công trong việc tạo trang website với nội dung TEST
rồi.
Bây giờ bạn quay lại với con DC CA và vào
như hình vẽ dứơi để tạo ra môi trường thử nghiệm trang website mà bạn vừa làm ở
trên đây
Bạn chọn New Host (A or AAAA) và gõ như hiển
thị dưới đây.
ở đây ip: 10.10.0.20 là địa chỉ của máy EX
nhé.
Mục tiêu làm việc trên là để khi trên IE,
sau khi bạn gõ www.d3plus.com sẽ xuất hiện
trang website bên máy EX bạn đã tạo với giao thức HTTPS nhé.
Ở thanh Address Bar : bạn sửa lại là https://www.d3plus.com sẽ thấy cửa sổ dưới
đây đòi bạn xem lại website này có nên mở hay không vì bạn hiện tại chưa có chứng
thực địa chỉ số mà bạn đã đưa vào website:
Bạn ấn vào Continue to this website (not
recommended) > bạn sẽ nhìn thấy cửa số dưới
Bạn thấy Certificate Error màu ĐỎ cạnh hộp
Address Bar không ? Bạn ấn vào đó.
Bạn ấn tiếp vào VIEW Certificates
Cửa sổ này thông báo, bạn đang mở trang
website mà có yêu cầu chứng chỉ số của d3plus-CA , được phát từ nguồn máy EX.d3plus.com
Bạn ấn Instal Certificates
Như vậy là bạn đã hoàn thành việc xin cấp và
cấp chứng chỉ số cho một ứng dụng , cụ thể ở đây là WEBSITE
TRÊN ĐÂY LÀ PHẦN CƠ BẢN CÁCH LÀM. TÔI SẼ GIỚI THIỆU NHỮNG VẤN ĐỀ CHUYÊN SÂU
HƠN VỀ CA SAU.
Nhận xét
Đăng nhận xét