atbmhttt-th_httt

5/17/2018 ATBMHTTT-TH_HTTT - slidepdf.com

http://slidepdf.com/reader/full/atbmhttt-thhttt 1/45

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-------***-------

DƢƠNG TRẦN ĐỨ C

BÀI THỰ C HÀNH

AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

09/2011



1

MỤC LỤC

Bài thực hành số 1 ………………………………………………………………………. 1

Bài thực hành số 2 ………………………………………………………………………. 6

Bài thực hành số 3 ………………………………………………………………………. 19

Bài thực hành số 4 ………………………………………………………………………. 34



2

BÀI THỰ C HÀNH SỐ 1

MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

1. TÊN BÀI: Bắt giữ và đọc nội dung gói tin vớ i phần mềm Network Monitor

2. MỤC ĐÍCH CỦA BÀI THỰ C HÀNH : Giúp cho SV nắm đƣợ c cách các phần mềm cóthể bắt giữ và phân tích nội dung các gói tin trên mạng.

3. THỜI LƢỢNG: 45 phút

4. YÊU CẦU TRANG THIẾT BỊ & PHẦN MỀM: Hệ thống mạng LAN, các máy tính càiđặt phần mềm Microsoft Network Monitor.

5. KIẾN THỨ C CHUẨN BỊ TRƢỚC:

6. NỘI DUNG THỰ C HÀNH:

Bướ c 1:Chạy phần mềm Microsoft Network Monitor đã cài đặt sẵn trên máy.

Trong Start Page, lựa chọn mạng muốn thực hiện bắt giữ gói tin trong số các mạng mà máytính có kết nối tớ i (chẳng hạn các mạng đƣợ c nối tớ i qua giao diện mạng Ethernet LANhoặc mạng Wireless LAN). Sau đó chọn New Capture trên thanh công cụ.



3

Bướ c 2:

Trong cửa sổ Capture hiện ra, tiến hành lựa chọn bộ lọc các gói tin sẽ đƣợ c bắt giữ.

Bộ lọc sẽ cho phép ngƣờ i dùng bắt giữ các gói tin theo yêu cầu, chẳng hạn lựa chọn bắt cácgói tin trao đổi giữa 2 máy bất kỳ hoặc, các gói tin đi hoặc đến 1 máy bất kỳ, hoặc lọc cácgói tin cần bắt theo giao thức, theo số hiệu cổng .v.v

Trong bài thực hành này, để đơn giản chúng ta lựa chọn việc bắt các gói tin đƣợ c gửi bở ilệnh Ping giữa máy chúng ta và các máy khác, do vậy chúng ta sẽ thêm một dòng lệnhFilter theo cú pháp vào của sổ Filter nhƣ sau:

ICMP

Bướ c 3:

Tiếp theo, bấm vào nút Apply để áp dụng Filter và bấm nút Start trên thanh công cụ để bắt

đầu tiến hành bắt giữ gói tin.

Sau bƣớ c này, tất cả các gói tin đi đến máy tính hiện tại sẽ bị phần mềm bắt giữ và phântích nội dung

Để kiểm chứng việc bắt và đọc nội dung gói tin, tiến hành thực hiện lệnh Ping tớ i một máybất kỳ trong mạng.



4

Bướ c 4:

Kiểm tra trong cửa số các gói tin bắt giữ đƣợ c có gói tin ICMP (giao thức của lệnh Ping)giữa máy cục bộ và máy đƣợ c Ping.



5

Kiểm tra phần chi tiết của gói tin bắt giữ đƣợ c trong phần Frame Details và Hex Details.Frame Details cho biết các tham số của gói tin và Hex Details cho biết nội dung gói tin.

Nhƣ vậy, gói tin Ping đã đƣợ c bắt giữ và bị xem hoàn toàn nội dung gốc.

7. BÁO CÁO:

Hãy cho biết:

- Mỗi lần thực hiện lệnh Ping có bao nhiêu gói tin ICPM đƣợc trao đổi giữa 2 máy: …......

- Nội dung các gói tin ICMP có đặc điểm gì? ……………………………………………

8. SINH VIÊN TỰ THỰ C HÀNH:

Tiến hành tạo các bộ lọc để bắt gói tin theo nhiều hình thức lọc

- Lọc theo địa chỉ nguồn/đích

- Lọc theo giao thức- Lọc theo các tham số khác của gói tin



6



1. TÊN BÀI: Thiết lập Giao thứ c IP Security trên máy tính cá nhân

2. MỤC ĐÍCH CỦA BÀI THỰ C HÀNH : Giúp cho SV nắm đƣợ c cách thiết lập giao thứcIP Security trên máy tính nhằm bảo vệ dữ liệu khi trao đổi vớ i máy tính khác qua mạng.


4. YÊU CẦU TRANG THIẾT BỊ & PHẦN MỀM: Hệ thống mạng LAN, các máy tính càiđặt phần mềm Microsoft Network Monitor.



Bướ c 1:Chạy tiện ích Microsoft Management Console bằng cách gõ mmc vào cửa sổ Run trongWindows.

Trong cửa sổ Console 1, chọn File -> Add/Remove Snap-in

Bướ c 2:

Trong cửa số Add or Remove Snap-ins, chọn 2 mục Snap-in là IP Security Policy



7

Management và IP Security Policy Monitor rồi rồi bấm Add.

Do chúng ta đang thực hiện trên máy cục bộ nên chọn Local và bấm Finish.



8

Cửa sổ Console 1 sau khi kết thúc việc Add các Snap-ins ở trên.

Bướ c 3:

Tiếp theo, chúng ta sẽ tạo ra các IP Security Policy bằng cách kích chuột phải vào khoảngtrắng để bật meny Pop up và chọn Create New IP Security Policy.



9

Bướ c 4:

Cửa sổ tạo IP Security Policy hiện ra, click Next, rồi gõ tên cho Policy đang tạo, chẳng hạnđặt tên là Test Policy. Rồi tiếp tục chọn Next. Sau đó bấm Finish để kết thúc và chuyểnsang bƣớ c chỉnh sửa các thuộc tính của Policy.

Bướ c 5:

Trong cửa sổ thuộc tính của Policy, có một Rule (luật) mặc định là Default, nhƣng chúng takhông sử dụng mà tạo Rule mớ i bằng cách bấm nút Add.



10

Bướ c 6:

Trong cửa sổ tạo Rule hiện ra, bấm Next để tiếp tục. Trong cửa sổ Tunel Endpoint, chọnlựa chọn This rule does not specify a tunnel vì chúng ta đang thiết lập IP Security trongchế độ Transport.

Trong cửa sổ Network Type, chọn các mạng muốn áp dụng Rule, ở đây chúng ta chọn Allnetwork connections



11

Bướ c 7:

Cửa sổ IP Filter list hiện ra. Bấm nút Add để thêm Filter list.

Cửa sổ IP Filter List hiện ra. Gõ tên của Filter List vào ô Name, chẳng hạn đặt tên là ICMPFilter. Rồi bấm Add.



12

Bướ c 8:

Cửa sổ tạo IP Filter mớ i hiện ra. Bấm nút Next để tiếp tục. Thêm mô tả nếu cần thiết, đồngthờ i chọn lựa chọn Mirror nếu muốn luật đƣợ c áp dụng cả cho 2 chiều, rồi bấm Next.

Trong cửa sổ IP Traffic Source hiện ra, chọn địa chỉ nút nguồn muốn áp dụng luật. Chẳnghạn chọn My IP Address. Tiếp tục bấm Next.



13

Tƣơng tự vớ i IP Traffict Destination, chẳng hạn chọn Any IP Address.

Trong cửa sổ IP Protocol Type, lựa chọn giao thức tƣơng ứng muốn áp dụng luật. Chẳnghạn chọn ICMP vì chúng muốn dùng lệnh Ping để kiểm tra việc áp dụng IP Security. Chúý là nếu chọn TCP hoặc UDP thì sẽ phải chọn thêm cổng (Port).



14

Bấm Finish để kết thúc việc tạo Filter. Tiếp theo bấm OK để kết thúc cập nhật Filter List.

Ở cửa sổ tạo Rule, chọn Filter vừa tạo là ICMP Filter và bấm Next.

Bướ c 9:

Tiếp theo, chúng ta cần tạo Action cho Rule này. Ở cửa sổ Filter Action, chọn ICMP Filtervà bấm Edit.



15

Trong cửa sổ Filter properties hiện ra, chọn Negotiate security rồi bấm OK.

Ở cửa sổ Filter Action tiếp tục bấm Next. Trong cửa sổ Authentication Method, chúng talựa chọn phƣơng pháp chứng thực là preshared key và đƣa khóa chia sẻ vào ô bên dƣớ i,chẳng hạn khóa là 12345. Sau đó tiếp tục bấm Next.



16

Đến đây kết thúc việc tạo Rule cho IP Secuirty Policy. Bấm Finish, rồi OK để quay về cửasổ Console 1.

Tại cửa sổ Console 1, click chuột phải lên Test Policy và chọn Assign để chính thức ápdụng luật.

Kể từ đây, tất cả các gói tin Ping đi hoặc đến máy cục bộ sẽ bị mã hóa.

Chúng ta hãy kiểm tra bằng cách thực hiện Ping và bắt lại gói tin Ping để xem nội dung đãđƣợc mã hóa hay chƣa?

Bướ c 10:

Chạy phần mềm Network Monitor và tiến hành các bƣớc để bắt giữ gói tin Ping nhƣ đãlàm ở bài trƣớc. Lƣu ý lần này ngoài bắt gói tin Ping chúng ta muốn bắt giữ thêm các góitin trong quá trình trao đổi khóa của IP Security nên tạo bộ lọc để lọc các gói tin của 2 giaothức này bằng cách gõ câu lệnh Filter vào cửa sổ Filter nhƣ sau:

ICMP or IKE



17

Thực hiện lệnh Ping:

Lệnh Ping không thành công?

Bây giờ chúng ta xem trong cửa sổ bắt giữ gói tin của Network Monitor xem chúng ta đãbắt giữ đƣợ c các gói tin gì và nội dung của gói tin Ping đã đƣợc mã hóa hay chƣa?.



18

7. BÁO CÁO:

Hãy cho biết:

- Tại sao lệnh Ping lại không thành công? …....................................................................

……………………………………………………………………………………………… - Để lệnh Ping thành công thì cần làm gì? ……………………………………………….

.............................................................................................................................................

- Trong các gói tin bắt đƣợ c, ngoài các gói tin ICMP thì còn các gói tin IKE, tại sao lại cócác gói tin này? ……………………………………………………………………………

- Quan sát nội dung các gói tin ICMP và so sánh vớ i nội dung gói tin ICMP khi chƣa ápdụng IP Security xem có thay đổi nhƣ thế nào? …………………………………………

……………………………………………………………………………………………….8. SINH VIÊN TỰ THỰ C HÀNH:

Tạo các Rule để áp dụng IP Security lên các giao thức khác nhƣ HTTP, DNS, v.v. để kiểmtra.



19



1. TÊN BÀI: Thiết lập hệ thống luật cho Firewall ISA Server

2. MỤC ĐÍCH CỦA BÀI THỰ C HÀNH : Giúp cho SV nắm đƣợ c cách thiết lập các luậtkiểm soát truy cập qua phần mềm ISA Server.


4. YÊU CẦU TRANG THIẾT BỊ & PHẦN MỀM: Hệ thống mạng LAN, máy chủ càiWindows Server 2003, máy Gateway cài ISA Server 2006, kết nối tớ i Internet.



Giả sử hệ thống mạng đã đƣợ c thiết lập cấu hình và cài đặt các phần mầm theo mô hình

nhƣ hình vẽ bên dƣớ i.

Mặc định ISA cấm tất cả mọi traffic ra/vào hệ thống (Default Rule). Muốn hệ thống hoạtđộng ta phải tạo các rule tƣơng ứng.

Bài thự c hành gồm nhữ ng thao tác chính sau: 1. Tạo rule cho phép traffic DNS Query để phân giải tên miền2. Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )3. Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ

làm việc4. Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế

5. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao

6. Cấm xem trang www.tuoitre.com.vn

Các bướ c thự c hiện: 1 - Tạo rule cho phép traffic DNS Query để phân giải tên miền B1: ISA Management -> Firewall Policy -> New -> Access Rule

http://www.tuoitre.com.vn/




20

B2: Gõ “DNS Query” vào ô Access Rule Name. Bấm Next

B3: Action chọn “Allow”, rồi bấm Next



21

B4: Trong “This Rule Apply to:” chọn “Selected Protocols” -> Add -> Common Protocol -> DNS -> OK -> Next

B5: Trong “Access Rule Source” -> Add -> Networks -> Internal -> add -> Close -> Next

B6: Trong “Access Rule Destination” -> add -> Networks -> External -> close -> Next



22

B7: Trong “User Sets” chọn giá trị mặc định “All Users” -> Next -> Finish

Chọn nút “apply” (phía trước có dấu chấm than)

Thực hiện tại máy chẳn

B8: dùng lện NSLOOKUP để phân giải thử một tên miền bất kỳ

2 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )



23

B1: Tạo Access rule theo các thông số sau:

Rule Name: Allow Mail (SMTP + POP3)Action: AllowProtocols: POP3 + SMTP

Source: InternalDestination: ExternalUser: All User

Các thao tác làm tƣơng tự nhƣ phần 1

B2: Kiểm tra - Thực hiện tại máy chẳn

Setup Outlook theo các thông số email của mình và thử gửi/nhận mail

3 - Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.nettrong giờ làm việc

a – Định nghĩa nhóm “Nhan Vien” b – Định nghĩa URL Set chứa trang vnexpress.net c – Định nghĩa “giờ làm việc” d – Tạo rule e – Kiểm tra a – Định nghĩa nhóm “Nhan Vien”:

B1: Dùng chƣơng trình “Active Directory User and Computer” tạo 2 user u1, u2 (password123)

Tạo Group “Nhan Vien”

Đƣa 2 user u1, u2 vào Group “Nhan Vien”



24

B2: ISA Server Management -> Firewall Policy -> Toolbox -> Users -> New

B3: Nhập chuỗi “Nhan Vien ” vào ô User set name -> Next



25

B4: Add -> Windows User and Group

B5: Chọn Group “Nhan Vien”

Next -> Finish



26

b – Định nghĩa URL Set chứa trang vnexpress.net

B1: ISA Server Management -> Firewall Policy -> Toolbox -> Network Objects -> New ->URL Set

B2: Dòng name đặt tên “vnexpress”

Chọn New, khai 2 dòng

http://vnexpress.net

http://vnexpress.net/





27

http://*.vnexpress.net Bấm OK

c – Định nghĩa “giờ làm việc””

B1: ISA Server Management -> Firewall Policy -> Toolbox -> Schedule -> New

Name: Gio Lam Viec

Chọn Active từ 8am -6 pm

Bấm OK


http://%2A.vnexpress.net/





28

d – Tạo rule:

B1: Tạo Access rule theo các thông số sau:

Rule Name: Nhan Vien – Trong GioAction: AllowProtocols: HTTP + HTTPSSource: InternalDestination: URL Set -> vnexpress

User: Nhan VienCác thao tác làm tƣơng tự nhƣ phần 1

B2: click nút phải chuột trên rule vừa tạo và chọn Properties



29

B3: Chọn Schedule -> Gio Lam Viec

Bấm OK

Bấm Apply Rule



30

e – Kiểm tra:

Logon U1, kiểm tra giờ của máy: 8am-6pm, mở thử vnexpress, mở thử google

Logon User khác (không phải U1, U2), mở thử vnexpress, mở thử google

4 - Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế

a- Định nghĩa nhóm “Sếp” b- Tạo rule c- Kiểm tra

a - Định nghĩa nhóm “Sếp”:

Dùng chƣơng trình “Active Directory User and Computer” tạo 2 user U3, U4 (password123)



31

Tạo Group “Sep”

Đƣa 2 user U3, U4 vào Group “Sep”

Các bƣớc còn lại làm tƣơng tự phần 3a

b - Tạo rule:

Tạo Access rule theo các thông số sau:

Rule Name: SepAction: AllowProtocols: All Outbound TrafficSource: InternalDestination: External

User: Sep

Các thao tác làm tƣơng tự nhƣ phần 1

c – Kiểm tra: Logon U4, thử truy cập internet ….

5 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao a - Định nghĩa giờ giải lao b - Tạo rule c - Kiểm tra

a – Định nghĩa giờ giải lao:

Làm tƣơng tự 3c

b - Tạo rule:


Rule Name: Giai Lao

Action: AllowProtocols: All Outbound TrafficSource: InternalDestination: ExternalUser: All Users



32

Các thao tác làm tƣơng tự nhƣ phần 1 Sau khi tạo rule xong, chọn properties của rule vừa tạo -> Schedule -> Giai Lao

c – Kiểm tra: Logon U1, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet

6 - Cấm xem trang www.tuoitre.com.vn:

a - Định nghĩa các trang web muốn cấm b - Tạo Rule

c - Kiểm tra

a - Định nghĩa các trang web muốn cấm:

Tạo URL Set tƣơng tự phần 3b, đặt tên là “Nhung Trang Web Bi Cam”, trong URL Setkhai báo:







33

http://*.tuoitre.com.vn http://tuoitre.com.vn b – Tạo rule:


Rule Name: Web bi camAction: DenyProtocols: All Outbound TrafficSource: InternalDestination: URL Set -> Nhung Trang Web Bi CamUser: All UsersCác thao tác làm tƣơng tự nhƣ phần 1

Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1

c – kiểm tra:

Logon U3 (sep), mở thử trang tuoitre.com.vn 7. BÁO CÁO

Kiểm tra lại các nội dung thiết lập để xem các luật có đƣợ c áp dụng đúng theo yêu cầu haykhông?

6. SINH VIÊN TỰ THỰ C HÀNHĐƣa ra các quy tắc mới để tạo ra các luật khác áp dụng thỏa mãn các quy tắc này.

http://%2A.tuoitre.com.vn/


http://tuoitre.com.vn/






34



1. TÊN BÀI: Thiết lập SSL cho Web Server IIS

2. MỤC ĐÍCH CỦA BÀI THỰ C HÀNH : Giúp cho SV nắm đƣợ c cách thiết lập giao thứcSSL trên Web Server Micrcosoft Interner Information Server để bảo vệ các giao dịch Web.


4. YÊU CẦU TRANG THIẾT BỊ & PHẦN MỀM: Máy tính cài đặt MS IIS 7.0 trênWindows 7 hoặc Windows Server 2003 có kết nối tớ i Internet.



Bướ c 1: Tạo vào cài đặt certificate cho Web ServerMở chƣơng trình quản lý Web Server Internet Information Services Manager, rồi click vàoServer Certificates.



35

Cửa sổ hiện ra liệt kê các Certificates đã cài đặt cho Web Server trƣớc đây. Nếu chƣa cócertificate nào thì danh sách certificate để trống.

Để tạo certificate cho Web Server, có thể dùng các cách sau:

- Xin certificate từ một nhà cung cấp dịch vụ CA.

- Xin certificate từ một CA Server đã cài đặt và cấu hình trong Domain.

- Tự tạo 1 certificate (tự ký).

Trong bài thực hành này, chúng ta sẽ dùng cách thứ nhất. Trên thực tế, đây là cách tốt nhấtvà tin cậy nhất để tạo và cài đặt certificate cho Web server.

Để xin certificate từ một nhà cung cấp dịch vụ CA, đầu tiên chúng ta phải tạo một yêu cầucấp certificate bằng cách chọn Create Certificate Request trên cửa sổ Action bên phải.

Cửa sổ Request Certificate hiện ra, đƣa vào các thông tin cần thiết:



36

Trong cửa sổ này, thông tin quan trọng nhất cần chú ý là Common name. Cần đƣa vàođúng tên miền của Web site cần xin certificate, chẳng hạn ta đang xin certificate cho Webserver trên máy cục bộ hiện tại nên đặt là localhost. Các thông tin khác đặt tùy ý.

Bấm Next để tiếp tục.

Trong cửa sổ hiện ra chọn kiểu mã hóa và kích thƣớ c khóa rồi bấm Next.

Cuối cùng, đƣa vào đƣờ ng dẫn và tên file đƣợc dùng để lƣu yêu cầu cấp certificate rồi bấmFinish.



37

Sau bƣớc này, chúng ta đã tạo đƣợ c 1 yêu cầu cấp certificate và yêu cầu này đƣợc lƣu trong1 file TestCertRequest.txt lƣu trên máy của chúng ta. File này có dạng:



38

Sau khi tạo xong yêu cầu cấp certificate cho Web server này, chúng ta sẽ tiến hành xin cấptừ một nhà cung cấp dịch vụ CA. Có một số nhà cung cấp dịch vụ CA nổi tiếng và đƣợ c tincậy trên thế giớ i, chúng ta có thể chọn một trong số đó. Chẳng hạn chúng ta lựa chọn nhàcung cấp dịch vụ CA rất phổ biến là VeriSign.

Việc xin cấp certificate cũng đƣợ c thực hiện khá thuận tiện, chủ yếu thông qua Web sitecủa nhà cung cấp dịch vụ. Để xin cấp certificate của VeriSign, chúng ta vào web sitewww.verisign.com.

Trên web site này, có thể thấy rằng để xin cấp certificate chính thức, chúng ta phải đăng kýmua. Tuy nhiên, để thử nghiệm, chúng ta có thể xin cấp certificate thử nghiệm. Khi đóchúng ta chọn mục Free Trial trên web site và chọn thử dùng SSL Test Certificate, sau đótheo các bƣớc hƣớ ng dẫn. Khi hệ thống yêu cầu điền thông tin liên hệ của ngƣờ i xin cấp,

lƣu ý ghi đúng địa chỉ email để sau này certificate sẽ đƣợ c gửi về email này (phần ZipCode gõ 10000).

Cuối cùng, trong cửa sổ điền thông tin yêu cầu cấp certificate, chúng ta phải copy yêu cầucấp certificate đã tạo và lƣu trong file ở bƣớc trƣớ c, rồi paste vào ô Paste CertificateSigning Request. Chú ý chọn Server platform là Microsoft và phiên bản IIS 7.0

http://www.verisign.com/





39

Bấm Continue để tiếp tục và cuối cùng bấm Submit để gửi yêu cầu cấp certificate đi.

Sau khi Submit, gần nhƣ ngay lập tức, nhà cung cấp dịch vụ sẽ gửi mail lại, cung cấp thôngtin về certificate và hƣớ ng dẫn cài đặt.



40

Certificate đƣợ c gửi kèm ngay trong email, và chúng ta có thể copy rồi mở một chƣơngtrình soạn thảo văn bản thông thƣờng (Notepad) để paste vào và ghi lại.

Chẳng hạn chúng ta ghi lại vớ i tên TestCert.txt. Lƣu ý phải xóa hết các dấu cách trống ở

phía cuối của file trƣớ c khi ghi lại vớ i tên trên.

Đến bây giờ, chúng ta đã có certificate và đã có thể tiến hành cài đặt vào Web Server. Tuynhiên, do đây chỉ là Test Certificate, do vậy loại certificate này chƣa đƣợ c tin cậy bở i Webserver. Khi đó, bạn phải tiến hành cài đặt thêm các certificate của Test Root CA vàIntermediate CA trƣớ c.

Để lấy về certificate của Test Root CA và Intermediate CA, click vào các link đƣợ c gửi về trong email đã nói ở trên, rồi tiến hành copy và ghi lại các certificate nhƣ hƣớ ng dẫn ở trên.Giả sử các certificates này đƣợc lƣu trong các file TestRootCert.txt và

IntermediateRootCert.txt.Tiến hành cài đặt lên máy nhƣ sau:

Từ cửa sổ run, gõ mmc để chạy chƣơng trình Management Console.

Trên cửa sổ này, chọn File > Add/Remove Snap-in



41

Trong cửa sổ snap-in hiện ra, chọn certificates rồi chọn Add. Tiếp theo chọn ComputerAccount và chọn Local Computer, rồi click Finish và cuối cùng chọn OK.

Khi đó, cửa sổ Console sẽ có dạng nhƣ bên dƣớ i:



42

Clich chuột phải vào Trusted Root Certificate và chọn All Task > Import. Cửa sổ Importhiện ra. Click Next để tiếp tục.

Tiếp theo, click Browse và chọn file TestRootCert.txt đã tạo ở bƣớc trƣớ c, rồi chọn Next.Cửa sổ tiếp theo chọn Place all certificates in the following store rồi click Next và cuốicùng click Finish.

Sau bƣớ c này, certificate của Test Root CA đã đƣợc cài đặt vào máy. Làm tƣơng tự vớ iIntermediate CA.

Đóng cửa sổ Console và quay lại cửa sổ IIS Manager.

Để hoàn thành việc cài đặt certificate, chọn Complete Certificate Reqquest ở bên dƣớ i củamục Create Certificate Request.

Trong cửa sổ hiện ra, chọn file certificate đã tạo trƣớc đó (TestCert.txt) và gõ 1 tên chocertificate này (chẳng hạn TestCert), rồi bấm OK.



43

Nhƣ vậy là certificate đã đƣợc cài đặt vào Web server. Chúng ta có thể xem thông tin về certificate bằng cách click đúp chuột vào certificate tƣơng ứng trong danh sách.

Bướ c 2: Cài đặt SSL cho Web server sử dụng certificate vừ a tạo.

Đầu tiên, chọn Web site cần cài đặt SSL, giả sử là Default Web Site. Chọn mục Bindings bên dƣớ i Edit Sites trên cửa sổ Action ở bên phải.

Cửa sổ Site Bindings hiện ra. Mặc định chúng ta thấy chỉ có 1 binding là http.



44

Để thêm tùy chọn sử dụng SSL cho site, chọn Add. Cửa sổ Add Site Binding hiện ra.

Trong ô Type chọn https, và trong ô SSL certificate chọn certificate vừa tạo ra, rồi bấmOK. Trên cửa sổ Site Bindings, bấm Close để kết thúc.

Nhƣ vậy, Web server đã đƣợc cài đặt SSL vớ i certificate vừa tạo ra.

Để kiểm tra, chúng ta bật Web Browser và gõ https://localhost và ô địa chỉ. Trang web hiệnra.

Bên cạnh ô địa chỉ, có biểu tƣợ ng chiếc khóa, chứng tỏ giao dịch Web đã đƣợ c bảo vệ, vàkhi click vào biểu tƣợng này, thông tin certificate đƣợ c hiện ra.

https://localhost/

https://localhost/

https://localhost/

https://localhost/

atbmhttt-th_httt

Documents