You are on page 1of 165

ĐỒ ÁN TỐT NGHIỆP

Tên đề tài:

An Toàn Thông Tin Mạng Doanh Nghiệp

Với Windows Server 2012 - PKI

GVHD: ThS. DƯƠNG TRỌNG KHANG
SVTH:
1. CHÂU NGUYÊN HỮU TRỌNG MSSV: 99510230083
2. CAO HOÀI BẢO MSSV: 99510230074
3. LÊ NHÂN THIỆN MSSV: 92510020006
4. NGÔ CHIÊU YAU MSSV:

Mã lớp: 24CCAN02

Khóa: 24

Hồ Chí Minh, Năm 2016

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Lời nói đầu

Chúng ta đang sống trong thời đại bùng nổ thông tin, chưa bao giờ trong lịch sử nhân
loại, con người lại có cơ hội tiếp xúc với những nguồn thông tin phong phú và có giá trị đến như
vậy. Cùng với sự tiến bộ vượt bậc trong công nghệ truyền thông và viễn thông, người ta không
thể phủ nhận rằng Internet là một trong những nguyên nhân đem lại sự bùng nổ đó.

Kể từ lúc Internet được tách ra từ phòng nghiên cứu của bộ quốc phòng Mĩ cho mục đích
sử dụng công cộng, chỉ có một vài trường đại học, một vài cơ quan, tổ chức tham gia, cho đến
nay đã có hàng triệu thuê bao cá nhân, hàng triệu cơ quan, tổ chức kết nối mạng của mình vào
Internet và số lượng kết nối tiếp tục tăng không ngừng theo thời gian. Internet ở một khía cạnh
nào đó đã trở thành cộng đồng chung cho người sử dụng trên toàn thế giới.

Với Internet chúng ta có thể trao đổi thông tin, trao đổi dữ liệu, tìm kiếm và học tập. Và
cho đến ngày hôm nay việc mua sắm, đặt hàng,.. thông qua Internet đã trở thành quen thuộc.
với rất nhiều vùng trên thế giới.

Như vậy, một cách rõ ràng là Internet đã và đang tác động lên nhiều mặt của đời sống
chúng ta. Sự tác động đó càng trở nên mạnh mẽ khi mà các nhà doanh nghiệp nhận ra rằng
Internet là một mảnh đất màu mỡ cho hoạt động kinh doanh, là cơ hội để họ khuếch trương, mở
rộng hoạt động kinh doanh và giữ được ưu thế cạnh tranh trên thương trường. Các doanh nghiệp
đầu tư vào Internet và thương mại điện tử ra đời.

Cùng với sự ra đời của thương mại điện tử, chính phủ điện tử cũng xuất hiện đáp ứng nhu cầu
thông tin ngày càng lớn của xã hội. Với chính phủ điện tử, mọi công dân thông qua Internet có
thể tiếp cận nguồn thông tin, các dịch vụ cơ bản cũng như các cơ hội kinh doanh do chính phủ
mang lại.

Ngày nay hầu hết các doanh nghiệp, dù lớn hay nhỏ, dù hoạt động trong lĩnh vực nào
cũng hướng hoạt động kinh doanh của mình vào Internet. Và ngày càng nhiều doanh nghiệp kết
nối hệ thống mạng LAN, WAN của họ vào cộng đồng Internet.

Tuy nhiên Internet không phải là một thiên đường cho các hoạt động kinh doanh, bởi nó luôn
chứa đựng những hiểm họa đe dọa ảnh hưởng đến việc triển khai các hoạt động của các doanh
nghiệp. Các mối đe dọa đó có thể kể ra:

 Sự mạo danh để truy cập bất hợp pháp một nguồn thông tin bên trong doanh nghiệp.

 Sự tấn công của các hacker vào bên trong một doanh nghiệp với mục đích phá hoại hay
cạnh tranh không lành mạnh.

 Bị “nghe trộm”: thông tin quan trọng trao đổi trên mạng có thể bị chặn và phân tích.

Thêm vào đó là việc đăng nhập hệ thống dựa trên mật mã truyền thống đã lỗi thời và
không đảm bảo tính an toàn.

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 1

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Do đó trước khi đưa các hoạt động kinh doanh của mình lên Internet, vấn đề hàng đầu
doanh nghiệp phải đặt ra đó là đảm bảo an ninh cho hệ thống mạng của mình và đảm bảo an
toàn cho những giao dịch mà họ tham gia. Điều này có thể thực hiện bằng cách áp dụng một
chính sách bảo mật hợp lý, sử dụng các công nghệ phù hợp.

Xuất phát từ nhu cầu bảo mật của các doanh nghiệp trước khi tham gia hoạt động
thương mại điện tử, đề tài “An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows
Server 2012 - PKI” nhằm mục đích nghiên cứu và áp dụng nền tảng khóa công khai-Public
Key Infrastructure (PKI) được xây dựng trong hệ điều hành Windows 2008 vào môi trường
doanh nghiệp để đáp ứng các nhu cầu về bảo mật cho doanh nghiệp, giúp doanh nghiệp có thể
đáp ứng được các mục tiêu kinh doanh.

TRƯỜNG CAO ĐẲNG NGHỀ CNTT Ispace

137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 2

TpHCM Website: www.vn Tel: (848) 6267 8999 . Quý thầy cô giáo bộ môn Khoa An Ninh Mạng cùng với các thầy cô trong hộ i đồng châm ́ ̣ n văn đã cho chúng tôi những đóng góp quý báu đê luâ ̉ hoà n chỉnh đồ án nà y. Một lần nữa chúng tôi xin chân thành cảm ơn. P. Với lò ng ki ́nh tro ̣ ng và biêt́ ơn sâu sắc chúng tôi xin đươ ̣ c bà y to ̉ lới cả m ơn chân thà nh tới: Ban giám hiê ̣ u. rất mong nhận được những đóng góp quí báu của quí thầy cô và các bạn.ispace.edu. tuy nhiên không thể tránh khỏi những thiếu sót. Thầy ThS.9. giúp đỡ quý báu cu ̉ a các thầy cô giáo bộ môn. độ ng viên và ̣ o mo ta ̣ i điều kiê ̣ n thuâ ̣ i cho chúng tôi trong suốt quá trình ho ̣ n lơ ̣ c tâ ̣ p và hoà n thà nh luâ ̣ n ́ văn tôt nghiê ̣ p. TRƯỜNG CAO ĐẲNG NGHỀ CNTT Ispace 137C Nguyễn Chí Thanh. Quận 5. gia đình và bạn bè. Quận 5. chúng tôi đã nhâ ̣ n đượ c sự hướng dẫn. Dương Trọng Khang. TpHCM Website: www. chúc tất cả mọi người sức khỏe và thành đạt.edu.vn Tel: (848) 6267 8999 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 3 . Mặc dù chúng tôi đã có nhiều cố gắng để hoàn thiện bằng tất cả sự nhiệt tình và năng lực của mình.vn Email: ispace@ispace. da ̣ y ba ̉ o.Fax: (848) 6283 7867 Lời cảm ơn Trong suốt quá trình ho ̣ c tâ ̣ p và hoà n thà nh đồ án nà y.edu.edu.ispace. Phò ng đà o tạ o trường Cao Đẳng Nghề CNTT iSPACE đã ta ̣ o mo ̣ i điều kiệ n thuậ n lơ ̣ i giúp đỡ chúng tôi trong quá trình ho ̣ c tậ p và hoà n thà nh đồ án này. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Email: ispace@ispace. người thầy kính mến đã hêt́ lò ng giúp đỡ. ban giám hiệu.

................................................. ....................................................................................................................................................... ......................................................................................................................................................... ..........................................................................Fax: (848) 6283 7867 NHẬN XÉT CỦA DOANH NGHIỆP ............................................................................................................................................................................................... .......................................................................................... ....................................................................................................................................................... Phường 9......................................................................... Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 4 .............................................................................................................................................................................. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh............................................................................................................................................................. ...................... ......................vn Email: ispace@ispace.................................................................... .............. ...................................................................................................................................ispace.......................................................................... Quận 5........ .............vn Tel: (848) 6267 8999 ...................... .............................................................................................................................................................................................................. ...........................edu............................................................................................................................. ......................................................................................................edu..................... ................................................. ........................................................................... TpHCM Website: www................................................................................................ ..................

.......... ............................ ..................................................... .....................................vn Email: ispace@ispace.................................. ................................................................................................................. .................................................................................................................................................................. .........................................................................edu.................................................................................................................................................................................................................................................................................................. .............................................................................................. ................................................................................................................................................................................................................................................................................. ....................................................... Phường 9........................ TpHCM Website: www................... Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 5 ...................................................................................................vn Tel: (848) 6267 8999 ........................................................................................................................... ...............................................................Fax: (848) 6283 7867 NHẬN XÉT CỦA GIẢNG VIÊN ..........................................................edu..... ......................................................................................................................................................................................................................... ......................................................................... Quận 5...................................................................................................................................................................................................................... TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh...................... ..........................................................................................ispace..................................................................... ............................ . .............................

..............................................1..............................edu.....................................1..............4 1. Thuật toán và khóa.................................................3 3......3 3.1......7..................................... Giới thiệu…………………………………………………………………………………..................... Phường 9................... Quy trình mã hóa đối xứng ....................................................................................... Bảo mật website………………………………………………………………………………………....5... ………..2 3......................................................2 3..............2 3...1 3................................. Mã hóa thông tin trên máy tính ..1.........1....... Chống chối cãi nguồn gốc.......1 1...........4 2.... Quận 5.......4 Chương II..........................1...2....................5 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 6 .................................. Xác thực.................. Chữ kí điện tử……………………………………………………………………………………………3 3........................................................................1 2.................... Đảm bảo phần mềm………………………………………………………………………………….................................... TpHCM Website: www....................2.............................................................................. Các loại mã hóa ................. Mã hóa thông tin trên đường truyền .................................................4 2.............................................................vn Email: ispace@ispace.......................2 3............................... Khái niệm chứng chỉ số ... Hệ thống mã hóa thông tin ..............................................4 1. Chống giả mạo .1 2........................... Mã hóa đối xứng (Symmetric encryption) ................... Ứng dụng của chứng chỉ số............ Giới thiệu mã hóa ......................................ispace... Thuật toán (Algorithm) ..........2....................................... Giới thiệu mã hóa ..........2.........................1................................................... Khóa (Key) ..............4 1........2...........1................................................................... TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh......................................................2...........Fax: (848) 6283 7867 MỤC LỤC Chương I..............................................edu........................................ Giới thiệu chứng chỉ số.......................2.........1 1............................. Tổng quan về hệ mật mã ...........................1..............................6.........................2 3.1....................2 3..................................................................................2........................................................................vn Tel: (848) 6267 8999 ...................................................... Các thuật toán đối xứng (Symmetric Algorithms).....................4 2... Khái niệm...........................................3...............2.................................4 2.........................2........4...................1 2............................ Mã hóa – bảo mật .........................2.....4 2....................................2.............3............................

......................... 13 1........................................................................................... Nhà cung cấp chứng chỉ số (Certification Authorities) ..2........................ Kết hợp giữa mã hóa đối xứng và bất đối xứng ..................509 version 3 .....1..509 version 2 ...........4.......................vn Email: ispace@ispace............................................6 2..........................................................1....................................................................................... 22 3........8 2.....................4...................................................................... Chứng chỉ X.................. Khái niệm............................................ 19 2..............4...................... Các thuật toán băm (Hash Algorithms) ............2.........................9 2..2..... 22 4............................7 2........edu.......................... Ký số bất đối xứng (Asymmetric Signing) ...................................................................2........................................ Các mô hình PKI...........................1....... Single CA ...........................................2........................................................ Quy trình mã hóa bất đối xứng... Các phiên bản chứng chỉ số ..................................... Trust List.................... Phường 9.....................................Fax: (848) 6283 7867 2............2..................... 13 1......................................edu.............1.... 11 2.. 19 2..................................................................................................... Mã hóa bất đối xứng (Asymmetric encryption) ..........................3........................................... 23 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 7 ........................................................................................4......................4........................ 11 Chương III.........................................................................2.......... 21 3......................3............................. 16 2..............................1.... 14 1..................2.............................. 21 3...........8 2................. 10 2..... 11 2....509 version 1 .................4...........2.................................. Mesh PKI ..................................... Các thành phần của PKI........ Chứng chỉ số là gì?.................................... Chữ ký số (Digital signature).............................2.................................3.....ispace.........................2..................... Hạ tầng khóa công khai PKI .................... Giới thiệu về PKI........................................................................3..........................................2......... TpHCM Website: www.......................................... 13 1...........................1..........................................................................2............. 10 2............................................................. Quận 5... Quy trình ký số ....4......... 13 1. Khái niệm.................. PKI là gì? .................................................. Quy trình băm.........................6 2........4.....2........ Hierarchical PKI ..... 21 3.................................................................................. 20 3......................vn Tel: (848) 6267 8999 ........................ Các thuật toán bất đối xứng (Asymmetric Algorithms) .......... TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh... Chứng chỉ số (Certificates) .........................3.. Chứng chỉ X...... 13 1.............................................................................................. Chứng chỉ X.......

............................. Policy CA .................................................................... Cấu hình dịch vụ.................. Cấu hình dịch vụ VPN sử dụng giao thức SSTP..... 128 2............................2................................................................................................................. Cấu hình dịch vụ.....2............3.......... Intermediate CA .......2....... 116 2.Fax: (848) 6283 7867 4............2...........................................................................2........................ 26 5...............................3....................................... 30 Chương IV: Triển khai hạ tầng khóa công khai PKI trên nền Windows server 2012 31 1... Cấu hình dịch vụ. Giới thiệu IPSEC ............................................... Issuing CA ...........2.............edu............vn Tel: (848) 6267 8999 . Xây dựng Domain Controller (DC) ........ Giới thiệu Certification Authority (CA)..................................3.............................1................. Kết luận ............ Triển khai các dịch vụ............edu..........................4............ Cấu hình dịch vụ IPSEC ...............................3...... 67 2......2..................1............................................................................... Online Certificate Status Protocol (OCSP) .................................................... 93 2............................................ 31 1... TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh...........2................... 26 5......................... 128 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 8 ........ 28 5................1............. 49 2................................2...............ispace.........1.........1................................................. 26 5............................................................................ 23 4.............................................................. TpHCM Website: www....................................................... 116 2....................... Certificate Revocation List (CRL) ..........4......... Thu hồi chứng chỉ số ..................1...........................................2................... 128 2...................................... Mô hình phân cấp CA ........3........................ 25 4...................................................................................................................................... 31 1.......... 116 2..........................................................................................4....... 24 4................................2.... 27 5............................................................................................ Certificate Revocation . Triển khai hạ tầng mạng với CA đơn tầng ..........................................2...............4............1. Cấu hình dịch vụ Web sử dụng SSL ............................................. Quận 5....................... 92 2.................. Root CA ........................ 24 4...................................... Giới thiệu SSTP ..................................................................2..............vn Email: ispace@ispace. Phường 9......................................................................1................... 25 4.. 92 2.................................................. 67 2........... Xây dựng CA server ...................................................................................2................................4.. Cấu hình dịch vụ MAIL áp dụng chữ ký số và mã hóa nội dung ...................... Giới thiệu SSL ....................

...... Hướng Phát Triển………………........... TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh...ispace..edu.... TpHCM Website: www.........Fax: (848) 6283 7867 Chương V: Kết luận............................ V.....vn Tel: (848) 6267 8999 ......154 V.edu.......2....... Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 2 .... Phường 9..........vn Email: ispace@ispace....1............. Kết Quả….................. Quận 5.....

TpHCM Website: www. Chỉ những ai có chìa khóa hoặc biết tổ hợp khóa (một chìa khóa mật mã hay một mật khẩu. Đặc điểm chung trên đặc biệt phù hợp cho TrueCrypt (là công cụ mã hóa dữ liệu cho mã nguồn mỡ và nó là miễn phí) và các công cụ tương tự. mật khẩu đăng nhập của Windows rất dễ dàng bị phá. thì chắc chắn rằng chúng có tính bảo mật còn kém hơn việc gửi thư tín hay điện thoại thông thường. anh cũng không thể tin cậy các mật khẩu. Không may rằng những giải pháp thay thế các phương tiện liên lạc truyền thống này lúc không phải lúc nào cũng đáng tin cậy để có thể giữ bí mật thông tin nhạy cảm. mô-dul Không lưu Dấu vết (OTR) cho chương trình chát qua mạng Pidgin.) từ định dạng bình thường sang dạng thông tin không thể hiểu được nếu không có phương tiện giải mã. quá trình ngược của mã hóa.edu. Không chỉ mỗi mật khẩu đăng nhập của Windows có thể bị phá.2. Giới thiệu mã hóa 1. Mozilla Firefox. mã hóa là phương pháp để biến thông tin (phim ảnh. Thư tín. bạn nên luôn biết rằng mức độ riêng tư của những cuộc Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 1 . văn bản..1. Giới thiệu mã hóa Trong mật mã học. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 . tin nhắn. một ngành toán học ứng dụng cho công nghệ thông tin. trong khi sử dụng chúng. Bằng cách thực hiện theo những hướng dẫn và tìm hiểu những phần mềm được thảo luận trong chương này. tạo ra các không gian chứa được mã hóa gọi là các ‘vùng được mã hóa’ hơn là chỉ bảo vệ từng tệp một. Hệ thống mã hóa thông tin 2. đặt biệt là đối với những người sử dụng đang bị theo dõi bởi các cơ quan chức năng. anh còn có thể gặp nhiều rắc rối hơn nữa. các cuộc gọi điện hay tin nhắn đều không an toàn. Giới thiệụ 1.vn Email: ispace@ispace. Dịch vụ thư điện tử Riseup. Mã hóa thông tin trên máy tính Thực tế.edu.1.Fax: (848) 6283 7867 Chương I. Mã hóa thông tin trên đường truyền Với sự tiện lợi và giá thành rẻ tính linh hoạt cao của thư điện tử và việc nhắn tin qua mạng thực sự hữu ích cho các cá nhân và tổ chức. trong trường hợp này) mới có thể mở được. hay đàm thoại qua mạng sử dụng các phương thức không đảm bảo an ninh. Quận 5. Tất nhiên đây không phải là điều gì mới mẻ. hình ảnh.. bạn sẽ gia tăng khả năng bảo mật cho việc truyền thông của mình. Mã hóa thông tin của bạn giống như việc cất chúng trong các két an toàn được khóa lại. và môdul bổ sung Enigmail cho chương trình quản lý thư điện tử phía người dùng Mozilla Thunderbird đều là những công cụ hữu hiệu. Nếu bạn gữi thư điện tử. 2. Bạn có thể đưa một số lượng lớn các tệp vào trong một vùng được mã hóa. 2. Phường 9. nhưng những công cụ này sẽ không bảo vệ những dữ liệu được lưu trữ ở những nơi khác trên máy tính hay thẻ nhớ USB của bạn.ispace. Tuy nhiên. Giải mã là phương pháp để đưa từ dạng thông tin đã được mã hóa về dạng thông tin ban đầu. Trong trường hợp họ có thể mang máy tính đi một khoảng thời gian nhất định. Thêm nữa là bất kỳ ai có thể sử dụng máy tính của anh đủ lâu để khởi động hệ thống từ một đĩa CD đều có thể sao chép toàn bộ dữ liệu trên máy của anh mà không cần đến bất kỳ một mật khẩu nào.

Địa chỉ mail của bạn. một kẻ nghe lén ngoài cửa sồ. Giới thiệu chứng chỉ số 3.2.1. phải do một tổ chức đứng ra chứng nhận những thông tin của bạn là chính xác.2. một công ty. trên Internet. giúp người sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin. bạn phải được cơ quan Công An sở tại cấp. một máy chủ. 3.edu. Lợi ích của chứng chỉ số 3. Luôn có những mối nguy cơ mà bạn không lường trước. Mã hóa – bảo mật Khi người gửi đã mã hoá thông tin bằng khoá công khai của bạn. chắc chắn chỉ có bạn mới giải mã được thông tin để đọc.vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. 3. được gọi là Nhà cung cấp chứng thực số (CA . dù có đọc được các gói tin đã mã hoá này. có thể là một chương trình ghi lại những phím được gõ nằm trên máy của bạn.Fax: (848) 6283 7867 liên lạc không bao giờ được đảm bảo trăm phần trăm. CA phải đảm bảo về độ tin cậy. đều có thể bị kẻ xấu làm giả để đánh lừa người nhận để lây lan virus.  Chữ ký số của CA cấp chứng chỉ. có sử dụng chứng chỉ số. thanh toán bằng thẻ tín dụng. Chống giả mạo Khi bạn gửi đi một thông tin..Certificate Authority). hộ chiếu. Bất kỳ một sự sửa đổi hay thay thế nội dung của thông điệp gốc đều sẽ bị phát hiện.ispace.edu. Nó giống như bằng lái xe.. một thư điện tử phúc đáp bất cẩn hay những điều đại loại như vậy.  Khóa công khai (Public key) của người được cấp. ngân hàng điện tử.vn Email: ispace@ispace.2.2.. 3. Xác thực Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 2 . có thể là một dữ liệu hoặc một email. Chứng chỉ số cũng vậy. chịu trách nhiệm về độ chính xác của chứng chỉ số mà mình cấp. Đây là một tính năng rất quan trọng. Trong quá trình truyền qua Internet. Phường 9. người nhận sẽ kiểm tra được thông tin của bạn có bị thay đổi hay không. Chứng chỉ số có ba thành phần chính:  Dữ liệu cá nhân của người được cấp. chẳng hạn giao dịch liên ngân hàng.. tên domain. TpHCM Website: www. kẻ xấu cũng không thể biết được trong gói tin có thông tin gì. đều cần phải có chứng chỉ số để đảm bảo an toàn. Để có chứng minh thư. 3. nên việc trao đổi thông tin có kèm chứng chỉ số luôn đảm bảo an toàn. chứng minh thư hay những giấy tờ xác minh cá nhân. ăn cắp thông tin quan trọng. Những dữ liệu cần bảo mật cao.2.3. Chứng chỉ số thì không thể làm giả. Quận 5. Khái niệm chứng chỉ số Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân.1.

3.7. Trong trường hợp chối cãi.2. CA cung cấp chứng chỉ số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin. Quận 5.2.ispace.vn Email: ispace@ispace.Ngoài ra.2.  Đảm bảo hacker không thể dò tìm được mật khẩu.6. TpHCM Website: www.edu. Chứng chỉ số này sẽ cung cấp cho website một định danh duy nhất nhằm đảm bảo với khách hàng về tính xác thực và tính hợp pháp của Website và đồng thời cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng.Chứng chỉ số Nhà phát triển Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 3 . Có nghĩa là dù không nhìn thấy bạn. chứng chỉ số cá nhân còn cho phép người dùng có thể chứng thực mình với một webserver thông qua giao thức bảo mật SSL (Secure Sockets Layer). bạn sẽ ngăn ngừa được nguy cơ này mà không lo bị lộ nội dung của email. bạn phải chịu trách nhiệm hoàn toàn về những thông tin mà chứng chỉ số đi kèm. Trong trường hợp người gửi chối cãi. Các hoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân. Chống chối cãi nguồn gốc Khi sử dụng chứng chỉ số. 3. Đây chính là nền tảng của một Chính phủ điện tử.2. Chữ kí điện tử Email đã và đang đóng một vai trò rất quan trọng trong trao đổi thông tin hằng ngày của chúng ta.nhân viên.5.4. Phường 9. môi trường cho phép công dân có thể giao tiếp.edu. chắc chắn bạn sẽ cần những “con tem chống hàng giả” cho sản phẩm của mình. chứng chỉ số mà người nhận có được sẽ là bằng chứng khẳng định người gửi là tác giả của thông tin đó. nhưng qua hệ thống chứng chỉ số mà bạn và người nhận cùng sử dụng.Những thông điệp có thể bị đọc hay bị giả mạo bởi các hacker trước khi tới tay người nhận.vn Tel: (848) 6267 8999 . phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn một đơn đặt hàng qua mạng). Bảo mật website Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer). 3. chứng chỉ số là một phần không thể thiếu. thực hiện các công việc hành chính với cơ quan nhà nước hoàn toàn qua mạng. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. là phần cốt lõi của Chính phủ điện tử.đối tác thông qua công nghệ SSL mà nổi bật là các tính năng:  Thực hiện mua bán bằng thẻ tín dụng  Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng. Bằng việc sử dụng chứng chỉ số cá nhân . cũng như các thủ tục hành chính với cơ quan pháp quyền.Tuy nhiên nó rất dễ bị đọc bởi các hacker. Xác thực là một tính năng rất quan trọng trong việc thực hiện các giao dịch điện tử qua mạng.Fax: (848) 6283 7867 Khi bạn gửi một thông tin kèm chứng chỉ số. 3. Có thể nói. người nhận sẽ biết chắc chắn đó là bạn chứ không phải là một người khác. Đảm bảo phần mềm Nếu bạn là một nhà sản xuất phần mềm. người nhận sẽ xác định rõ được danh tính của bạn. chứng tỏ nguồn gốc thông tin được gửi.

Mã hóa đối xứng (Symmetric encryption) 2. TpHCM Website: www.CAB.1. Chìa khóa phải được trao đổi để cả người gửi và người nhận dữ liệu có thể truy cập. Quy trình mã hóa đối xứng Các thuật toán kết hợp với mã hóa đối xứng chỉ sử dụng một khóa duy nhất nên có thể mã hóa một lượng lớn dữ liệu trong một thời gian ngắn.1.Active X control.Fax: (848) 6283 7867 phần mềm sẽ cho phép bạn ký vào các applet. Quận 5.1. 1.vn Email: ispace@ispace. 2. 2.2. Khóa (Key) Khóa mã hóa là một thành phần thông tin đặc biệt kết hợp với thuật toán để mã hóa và giãi mã dữ liệu. Tổng quan về hệ mật mã 1.người dùng có thể xác thực được bạn là nhà cung cấp. Phường 9. nếu khóa bị đánh cắp người đánh cắp có thể giải mã được các dữ liệu được gửi nên độ an toàn cũng kém hơn. nếu không có khóa chính xác thì không thể giãi mã cho dù biết thuật toán mã hóa.edu. Các thuật toán đối xứng đơn giản hơn nhiều so với thuật toán bất đối xứng.1. hai yếu tố đầu vào cần thiết cho việc mã hóa là: một thuật toán và một khóa. Thuật toán (Algorithm) Một thuật toán xác định cách dữ liệu được chuyển đổi từ các bản rõ ban đầu thành mã và cách các bản mã trở lại thành bản gốc.ispace.các file định dạng EXE. Khái niệm Mã hóa đối xứng sử dụng một khóa bí mật (private key) cho cả quá trình mã hóa và giải mã. 2. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 4 . Thuật toán và khóa Khi dữ liệu được mã hóa.2.phát hiện được sự thay đổi của chương trình (do vô tình hỏng hay do virus phá hoại hoặc crack…) Chương II.edu.script. Các loại mã hóa Trong mật mã học có hai loại mã hóa: mã hóa đối xứng và bất đối xứng.vn Tel: (848) 6267 8999 .1.Java software.Mặt khác. 1. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.DLL…Nhờ đó bạn sẽ đảm bảo được tính hợp pháp cũng như nguồn gốc xuất xứ của sản phẩm. Cả hai quá trình mã hóa và giải mã phải sử dụng cùng một thuật toán. Mỗi khóa khác nhau có thể tạo ra các dữ liệu mã hóa khác nhau.

vn Tel: (848) 6267 8999 . 2. Thuật toán đối xứng được chia làm hai dạng:  Block cipher Block cipher là một giải pháp hoạt dộng chống lại sự hạn chế của dữ liệu tĩnh. Một vùng đệm.edu.3. TpHCM Website: www. Chiều dài của khóa thường được biểu diễn bằng số lượng các bit và được quy định bởi thuật toán và ứng dụng sử dụng thuật toán đó. hệ thống sẽ tạo khóa có giá trị ngẫu nhiên.edu.ispace. Các bản mã này được gửi tới người nhận dữ liệu. Các khóa đối xứng này được chuyển giao bí mật giữa hai đối tượng giao tiếp. Dưới đây liệt kê một số thuật toán mã hóa đối xứng thường gặp: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 5 . và có hiệu quả khác nhau trong vấn đề mã hóa và giải mã. Các thuật toán đối xứng sử dụng các kỹ thuật khác nhau để mã hóa dữ liệu. Người gửi sẽ dùng khóa đối xứng để mã hóa các dữ liệu ban đầu – bản rõ (Plain Text) thành một trạng thái mã hóa – bản mã (Cipher Text).Fax: (848) 6283 7867 Hình 2.1. do đó chúng khác nhau ở khả năng bị tấn công. Lưu ý là khóa đối xứng này phải được bảo vệ kỹ càng trong quá trình khởi tạo.vn Email: ispace@ispace. Quận 5. Người nhận dữ liệu đã mã hóa dùng khóa đối xứng để giải mã dữ liệu thành bản rõ. Một sự khác nhau cơ bản giữa dữ liệu được truyền và dữ liệu nguyên bản. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. lưu trữ hay truyền đi vì nếu nó bị lộ thì kẻ tấn công có thể dễ dàng giải mã tất cả các dữ liệu được mã hóa bằng khóa này. ít nhất bằng một block. Không như giải pháp sử dụng mật mã đối xứng là mỗi block được sử dụng một key khác nhau trong quá trình truyền thông tin. Các thuật toán đối xứng (Symmetric Algorithms) Các thuật toán đối xứng được sử dụng rất phổ biến nhờ khả năng mã hóa một lượng lớn dữ liệu trong thời gian ngắn. Khi dữ liệu được mã hóa bằng thuật toán đối xứng. Dữ liệu được chia ra thành các blocks với size cụ thể và mỗi blocks được mã hoá một cách khác nhau. Các thuật toán này cũng sử dụng các khóa có độ dài khác nhau. đợi cho toàn bộ thông tin của block đó được chứa trong vùng đệm sau đó block đó sẽ được mã hoá rồi truyền cho người nhận.1: Quy trình mã hóa đối xứng. Phường 9.  Stream cipher Stream cipher là giải pháp hoạt động chống lại dữ liệu luôn luôn sử dụng một phương thức để truyền.

 Rivest’s Cipher version 2 (RC2) (40 bit): là thuật toán mã khối có chiều dài khóa thay đổi. Khái niệm Mã hóa bất đối xứng sử dụng một khóa công khai (public key) và một khóa bí mật (private key) có liên hệ về mặt toán học cho quá trình mã hóa và giải mã.  Triple DES (3DES): là một biến thể của thuật toán DES trong đó DES được áp dụng ba lần đối trên cùng một bản rõ. Thuật toán RC4 dựa trên cơ chế hoán vị ngẫu nhiên và thường được dùng để mã hóa các lưu lượng đến và đi từ các website có áp dụng giao thức SSL. Thay vì dùng khóa chỉ dài 56 bit như DES. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 6 .vn Email: ispace@ispace. Giá trị salt này được gắn vào khóa mã hóa. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. 192 bit hoặc 256 bit. thì đầu tiên bản rõ được xử lý thông qua một hàm XOR (Exclusive Or) sử dụng một khóa phụ thêm có chiều dài 64 bit. Khối đầu tiên có kích thước 64 bit sử dụng thêm một chuỗi 40 bit được gọi là salt.edu.vn Tel: (848) 6267 8999 . khóa mã hóa mới này sau đó được dùng để mã hóa bản rõ. được giải mã bằng khóa B và được mã hóa lại bằng khóa A. Quận 5.2. đầu ra của thuật toán DES lại được biến đối thông qua một hàm XOR với một khóa có chiều dài 64 bit khác.ispace. AES có thể dùng khóa có chiều dài 128 bit. Mã hóa bất đối xứng còn gọi là mã hóa công khai.  RC2 (128 bit): là một biến thể của RC2 (40 bit) với chiều dài của salt được tăng thêm 88 bit. Một hình thức phổ biến của 3DES là chỉ dùng hai khóa: bản rõ được mã hóa bằng khóa A. Mã hóa bất đối xứng (Asymmetric encryption) 2.  RC4: là thuật toán mã dòng (stream cipher) có chiều dài khóa thay đổi. TpHCM Website: www. Điều này giúp bảo vệ dữ liệu chống lại kiểu tấn công dò tìm khóa dựa trên chiều dài tương đối ngắn của khóa DES (56 bit). AES sử dụng thuật toán Rijndael và có thể mã hóa dữ liệu chỉ với một lần thay vì ba lần như 3DES.2. được giải mã bằng khóa B. Đầu tiên bản rõ được mã hóa bằng khóa A. Dữ liệu nhận được sau đó được mã hóa bằng thuật toán DES.  Data Encryption Standard XORed (DESX): là một biến thể của DES và mạnh hơn DES.Fax: (848) 6283 7867  Data Encryption Standard (DES): là thuật toán mã khối (block cipher) nhận vào một khối bản rõ có kích thước 64 bit và một khóa có chiều dài 56 bit. Mã hóa bất đối xứng có thể sử dụng public key để mã hóa và private key để giải mã hoặc ngược lại. Khác với các thuật toán mã khối. và được mã hóa tiếp bằng khóa C. hoạt động của mã dòng tác động lên từng byte. Thay vì trực tiếp mã hóa bản rõ.1.edu.  Advanced Encryption Standard (AES): được phát triển để thay thế cho DES. Phường 9. 2. rồi xuất ra một khối bản mã có kích thước 64 bit. Tiếp tục.

vn Tel: (848) 6267 8999 .Fax: (848) 6283 7867 2.2. Bản mã sau đó được chuyển tới cho bên nhận. 4. người gửi sẽ lấy khóa công khai của người nhận đễ mã hóa dữ liệu và chỉ có người nhận mới có khóa bí mật để giãi mã nên an toàn hơn so với mã hóa đối xứng.edu.2. Quận 5. TpHCM Website: www. 2. 1. Thuật toán của mã hóa bất đối xứng toán phức tạp nên xử lí chậm hơn so với mã hóa đối xứng. Quy trình mã hóa bất đối xứng Mã hóa bất đối xứng tăng cường bảo mật trong quá trình mã hóa bằng cách sử dụng hai khóa khác nhau là một khóa công khai và một khóa riêng. Bên gửi dữ liệu nhận được khóa công khai của bên nhận. Phường 9.edu. Bên nhận giải mã bản mã sử dụng khóa bí mật của họ để được bản rõ gốc được tạo bởi bên gửi dữ liệu. Sẽ không cần gửi khóa nào vì bên nhận đã có sẵn khóa bí mật cần thiết để giải mã bản mã. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 7 . 3. Hiếm khi người ta chỉ dùng một thuật toán mã hóa bất đối xứng mà thường thì dữ liệu được mã hóa bằng một thuật toán đối xứng và sau đó khóa mã hóa đối xứng được mã hóa.vn Email: ispace@ispace. Khóa này có thể được lấy từ dịch vụ như Active Directory Domain Services. Bản rõ của dữ liệu được truyền vào cho thuật toán mã hóa bất đối xứng và sử dụng khóa công khai của bên nhận làm khóa mã hóa để tạo ra bản mã của dữ liệu.2: Quy trình mã hóa bất đối xứng sử dụng public key. Sự kết hợp giữa hai kiểu mã hóa này sẽ được đề cập chi tiết ở phần sau. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. bảo vệ bởi thuật toán mã hóa bất đối xứng.ispace. Hình dưới đây thể hiện hoạt động của mật mã bất đối xứng: Hình 2.

2.2. khi áp dụng thuật toán này thì hai bên sẽ thỏa thuận cùng một giá trị công khai (v) và một số nguyên tố lớn (p). Hình dưới đây thể hiện quá trình ký bất đối xứng giúp xác minh nhận dạng của bên gửi dữ liệu và phát hiện dữ liệu bị chỉnh sửa như thế nào: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 8 .  Rivest Shamir Adleman (RSA): thuật toán này được dùng để mã hóa và ký lên dữ liệu.  Digital Signature Algorithm (DSA): thuật toán này chỉ có thể được dùng để ký số dữ liệu. Ngoài ra.edu. Hai giá trị công khai này được dùng để tính toán ra một khóa bí mật dùng chung được cả hai bên dùng để mã hóa dữ liệu gửi cho nhau. 2. Lưu trữ khóa bí mật trên các thiết bị phần cứng như thẻ thông minh giúp đảm bảo an toàn hơn là lưu trữ nó trong kho chứa chứng chỉ thông thường. Ba giá trị này sẽ được mỗi bên dùng để tạo một giá trị công khai khác mà được gửi qua cho đối phương. Mặc dù dụng ý ban đầu chiều dài tối đa của khóa là 1024 bit nhưng giờ đây DSA đã hỗ trợ chiều dài khóa dài hơn.edu. Dĩ nhiên. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5. Các thuật toán bất đối xứng (Asymmetric Algorithms) Ba thuật toán phổ biến được dùng trong mã hóa bất đối xứng là:  Diffie-Hellman: thuật toán này không dựa trên việc mã hóa và giải mã mà dựa vào các hàm toán học để tạo ra một khóa bí mật mà bên gửi và nhận sẽ dùng chung để trao đổi thông tin bí mật cho nhau. điều này sẽ làm quá trình ký và mã hóa bị chậm đi. Độ an toàn của RSA có thể được tăng cường khi sử dụng khóa có độ dài lớn từ 1024 bit trở lên. điều này nảy sinh thêm vấn đề là làm sao bảo vệ cho khóa bí mật.4.vn Tel: (848) 6267 8999 . vai trò của khóa công khai và khóa bí mật được hoán đổi: dùng khóa bí mật để mã hóa dữ liệu (nói chính xác hơn là tạo chữ ký) và dùng công khai giải mã dữ liệu (nói chính xác hơn là kiểm tra chữ ký) Việc chứng minh nhận dạng của người tạo ra dữ liệu đạt được là vì chỉ có người đó mới truy cập được tới khóa bí mật. Về cơ bản. Phường 9.vn Email: ispace@ispace. Các quá trình mã hóa và ký số được thực hiện thông qua một loạt các bước chia lấy dư. Trong trường hợp này.ispace.3. mỗi bên còn chọn một giá trị bí mật cho riêng mình. Tất nhiên. Quá trình ký bằng DSA được thực hiện thông qua một loạt các bước tính toán dựa trên một số nguyên tố được chọn. TpHCM Website: www. nó không thể được dùng để mã hóa.Fax: (848) 6283 7867 2. Ký số bất đối xứng (Asymmetric Signing) Các thuật toán bất đối xứng có thể được dùng để kiểm tra dữ liệu có bị thay đổi hay không và xác minh nhận dạng của bên đã tạo ra dữ liệu đó.

ispace. 2.Fax: (848) 6283 7867 Hình 2. Khóa công khai có thể được phân phát ở dạng bản rõ. Quận 5. Kết hợp giữa mã hóa đối xứng và bất đối xứng Thực tế là hầu hết các hệ thống đều ứng dụng kết hợp giữa mã hóa đối xứng và bất đối xứng để khai thác những điểm mạnh của mỗi phương pháp. Bên nhận giải mã bản mã sử dụng khóa công khai của bên gửi. Hình dưới đây thể hiện quá trình các bước xảy ra khi sử dụng phương pháp kết hợp này: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 9 . Phường 9.  Mã hóa bất đối xứng được dùng để trao đổi khóa đối xứng được dùng để mã hóa ở trên.vn Tel: (848) 6267 8999 . Bên nhận dữ liệu lấy về khóa công khai của bên gửi. Khi được kết hợp thì:  Mã hóa đối xứng được dùng để chuyển bản rõ sang bản mã vì ưu điểm của nó là tốc độ xử lý nhanh với một khối dữ liệu lớn. Kết quả là bản rõ ban đầu của dữ liệu được tạo bởi bên gửi.edu. 4.edu. Việc giải mã thành công bằng khóa công khai của bên gửi xác minh rằng dữ liệu được tạo bởi chính bên gửi đó chứ không phải ai khác.3: Quy trình ký số bất đối xứng. TpHCM Website: www. Nó cũng chứng minh rằng dữ liệu không bị chỉnh sửa trong quá trình truyền nhận vì nếu có bất kỳ thay đổi nào sẽ dẫn tới quá trình giải mã bị thất bại. 2. 3. Điều này lợi dụng ưu điểm tính an toàn cao của mã hóa bất đối xứng khi đảm bảo rằng chỉ có người nhận thích hợp sở hữu khóa bí mật mới có thể giải mã ra khóa đối xứng. Kết quả tạo ra là bản mã của dữ liệu gốc. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Dữ liệu ở dạng bản rõ được truyền vào cho thuật toán mã hóa bất đối xứng sử dụng khóa bí mật của bên gửi làm khóa mã hóa.3.vn Email: ispace@ispace. Bản mã được gửi tới bên nhận. 1.

Bên nhận sử dụng khóa bí mật của họ để giải mã ra khóa đối xứng. Khóa đối xứng được mã hóa bằng khóa công khai của bên nhận để bảo vệ nó khỏi bị đọc trộm trong quá trình truyền đi. phát hiện nếu dữ liệu bị chỉnh sửa. 4. Bên gửi nhận được khóa công khai của bên nhận. và chứng minh nguồn gốc của dữ liệu.4. Việc ký số giúp bảo vệ dữ liệu theo cách sau: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 10 . 6. Bên gửi tạo một khóa đối xứng và sử dụng nó để mã hóa dữ liệu gốc ở dạng bản rõ. Khóa đối xứng được mã hóa và dữ liệu ở dạng bản mã được gửi tới bên nhận thích hợp. Phường 9.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.4.Fax: (848) 6283 7867 Hình 2.1. TpHCM Website: www. Mặc dù mã hóa có thể giúp đảm bảo bí mật và bảo vệ dữ liệu khỏi bị chỉnh sửa nhưng chỉ có áp dụng ký số mới xác minh được nguồn gốc của dữ liệu.ispace. 3.4: Kết hợp giữa mã hóa đối xứng và bất đối xứng. 1. 2.edu. Chữ ký số (Digital signature) 2. Khái niệm Ba mục đích để sử dụng mật mã là: giữ bí mật cho dữ liệu. Bản mã sẽ được giải mã bằng khóa đối xứng để bên nhận có được dữ liệu gốc ở dạng bản rõ do bên gửi tạo ra. 5. Ngoài ra.vn Tel: (848) 6267 8999 . việc ký số còn giúp nhận dạng xem dữ liệu có bị chỉnh sửa hay không. Quận 5. 2.edu.

Fax: (848) 6283 7867  Quá trình ký số sử dụng một thuật toán băm (hash) để xác định xem dữ liệu gốc có bị chỉnh sửa hay không.  Secure Hash Algorithm (SHA1): thuật toán này nhận vào dữ liệu có kích thước nhỏ hơn 2­64 bit và tạo ra giá trị băm dài 160 bit. Trên thực tế. Quy trình băm Một thuật toán băm nhận một tài liệu hay thông điệp ở dạng bản rõ làm đầu vào và tạo ra kết quả là một giá trị có kích thước cố định được gọi là giá trị băm (hash value. 2.edu. TpHCM Website: www.4. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Thuật ngữ chống chối bỏ (non-repudiation) nhằm ám chỉ việc người ký không thể từ chối chữ ký là của họ. Dẫu vậy thì về mặt toán học thì chuyện này là không thể. message digest.4.vn Email: ispace@ispace.ispace.4.  Một chữ ký số sẽ được áp dụng lên chuỗi kết quả của hàm băm (hay giá trị băm) để giúp nhận diện xem ai đã ký lên giá trị băm đó. Các thuật toán băm (Hash Algorithms) Dưới đây là các thuật toán băm được dùng phổ biến:  Message Digest 5 (MD5): thuật toán này nhận vào thông điệp có kích thước bất kỳ và tạo ra giá trị băm dài 128 bit.vn Tel: (848) 6267 8999 . Quy trình ký số Hầu hết các ứng dụng đều thực hiện ký số bằng cách kết hợp giữa ký bất đối xứng và thuật toán băm như được thể hiện trong hình dưới đây: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 11 .3.4.edu. Điều này khiến người đã ký lên giá trị băm không thể chối bỏ việc làm đó của họ vì chỉ có họ mới truy cập được vào khóa bí mật được dùng để ký lên giá trị băm. Phường 9. 2. Mặc dù SHA1 chậm hơn chút so với MD5 nhưng lại an toàn hơn khi rất khó để tìm được hai nguồn dữ liệu đầu vào khác nhau nếu đi qua thuật toán SHA1 lại có cùng giá trị băm. 2. digest hoặc thumbprint).2. vẫn có kỹ thuật để tạo ra cùng một giá trị băm từ hai nguồn dữ liệu đầu vào khác nhau.

7. Bên B sử dụng khóa công khai của bên A để giải mã giá trị băm đã mã hóa.vn Email: ispace@ispace. 6.vn Tel: (848) 6267 8999 . 2. 1. 5. Tiến hành so sánh hai giá trị băm a’ và b’. Giá trị băm a’ được mã hóa sử dụng khóa bí mật của bên A. 4.ispace. Ngược lại nếu chúng giống nhau thì bên B có thể tin cậy là dữ liệu gốc không bị thay đổi và rằng nguồn gốc của dữ liệu là do bên A gửi. Nếu chúng khác nhau thì chứng tỏ bản rõ M hoặc giá trị băm a’ đã bị thay đổi trong quá trình truyền nhận. Phường 9. Bên B chạy cùng thuật toán băm mà bên A sử dụng ở bước 2 để tạo ra giá trị băm b’ từ bản rõ M.5: Quy trình ký số. 3. Bên A chạy một thuật toán băm xuyên qua bản rõ M để ra được một giá trị băm a’.Fax: (848) 6283 7867 Hình 2.edu. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 12 . Bên A có nguồn dữ liệu ở dạng bản rõ (M). Quận 5. TpHCM Website: www. Bản rõ M cùng với giá trị băm a’ đã mã hóa được gửi tới bên B. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.

edu.  Tên của các thuật toán để mã hóa và thuật toán tạo chữ ký số cho chứng chỉ.  Thông tin giúp xác định trạng thái thu hồi (revocation) và tính hiệu lực của chứng chỉ (như ngày phát hành và ngày hết hạn). TpHCM Website: www. đảm bảo khóa công khai là thuộc về chủ thể của chứng chỉ và giúp phát hiện những thay đổi. Chứng chỉ số (Certificates) 1.vn Email: ispace@ispace. 1. mà nắm giữ khóa bí mật tương ứng với chứng chỉ được cấp phát. Hạ tầng khóa công khai PKI (Public Key Infrastructure) 1..509 version 1 giờ đây hầu như không còn được sử dụng nữa.1.509 version 3. Chữ ký số này cho biết nguồn gốc của chứng chỉ (do CA nào cấp). Các phiên bản chứng chỉ số 1. Nó là tài liệu điện tử giúp nhận dạng và đại diện cho người dùng. Định dạng của loại chứng chỉ này được thể hiện như hình dưới đây: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 13 . thiết bị mạng. Chứng chỉ X. Nó được phát hành bởi một Certification Authority (CA) và được liên kết với một cặp khóa công khai và khóa bí mật. giả mạo nếu có trong nội dung của chứng chỉ.  Thông tin về CA phát hành chứng chỉ. v. CA sẽ cấp chứng chỉ được ký số bởi khóa bí mật của nó cho họ.2. có kích thước từ 2KB đến 4KB và thường bao gồm các thông tin cơ bản sau:  Thông tin về người dùng. X.ispace.v.  Khóa công khai tương ứng với khóa bí mật được liên kết với chứng chỉ. Người dùng.vn Tel: (848) 6267 8999 . Quận 5.1. Chứng chỉ số là gì? Chứng chỉ số là thành phần làm nền tảng cho hoạt động của PKI. máy tính hoặc thiết bị mạng này được nhắc tới như là chủ thể (subject) của chứng chỉ.edu.509 version 1 Được định nghĩa vào năm 1988. tổ chức.2. Sau khi nhận dạng được kiểm chứng là hợp lệ. máy tính. máy tính.Fax: (848) 6283 7867 Chương III.  Một danh sách các phần mở rộng (extension) cho loại chứng chỉ X. Một chứng chỉ là một tập tin được ký số.  CA phải bảo đảm nhận dạng của đối tượng yêu cầu là xác thực trước khi cấp chứng chỉ. thiết bị mạng hoặc dịch vụ nào đó. Việc xác minh nhận dạng có thể được thực hiện dựa trên các giấy phép an ninh (security credential) của đối tượng hoặc thông qua cuộc gặp mặt và trao đổi trực tiếp với người yêu cầu. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

Phường 9. thiết bị mạng sở hữu chứng chỉ. TpHCM Website: www. Các trường Issuer Name và Subject Name được cấu trúc để các chứng chỉ có thể được tổ chức thành một chuỗi các chứng chỉ mà bắt đầu bằng chứng chỉ được cấp cho người dùng.509 version 2 Mặc dù chứng chỉ X. Trường này cũng chứa nhận dạng của thuật toán được dùng để tạo cặp khóa công khai và khóa bí mật được liên kết với chứng chỉ.2.  Issuer Name: tên phân biệt (distinguished name) của CA phát hành chứng chỉ. thiết bị mạng. nhưng cũng có thể bao gồm các định dạng tên khác như được mô tả trong RFC 822.509 version 1 cung cấp khá đầy đủ những thông tin cơ bản về người nắm giữa chứng chỉ nhưng nó lại có ít thông tin về tổ chức cấp phát Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 14 . máy tính.1: Chứng chỉ X. Thường thì tên chủ thể này được biểu diễn theo chuẩn X.509 version 1 bao gồm các trường sau:  Version: chứa giá trị cho biết đây là chứng chỉ X.  Validity Period: khoảng thời gian mà chứng chỉ được xem là còn hiệu lực.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Chứng chỉ X.  Signature Value: chứa giá trị của chữ ký.509. Quận 5. Thường thì tên phân biệt này được biểu diễn theo chuẩn X.edu. hoặc dịch vụ và kết thúc bằng chứng chỉ gốc của CA.509 version 1 Một chứng chỉ X. Khóa công khai này được gửi tới CA trong một thông điệp yêu cầu cấp chứng chỉ (certificate request) và cũng được bao gồm trong nội dung của chứng chỉ được phát hành sau đó.Fax: (848) 6283 7867 Hình 3. người dùng.ispace.509 version 1  Serial Number: cung cấp một mã số nhận dạng duy nhất cho mỗi chứng chỉ được phát hành bởi CA  CA Signature Algorithm: tên của thuật toán mà CA sử dụng để ký lên nội dung của chứng chỉ số.  Subject Name: tên của máy tính.500 hoặc định dạng theo đặc tả của X.2.vn Tel: (848) 6267 8999 .edu.509 và RFC 3280.500 hoặc định dạng theo đặc tả của X.  Subject Public Key Info: khóa công khai của đối tượng nắm giữ chứng chỉ. bao gồm 2 trường là: Valid From và Valid To. 1.

một Issuer Unique ID mới được khởi tạo cho chứng chỉ đó. Ngoài việc đưa vào 2 trường mới ở trên thì trường Version trong chứng chỉ X. Khi CA thay mới chứng chỉ của chính nó. mang tính duy nhất và dùng để nhận dạng chủ thể của chứng chỉ.ispace.Fax: (848) 6283 7867 chứng chỉ khi chỉ bao gồm Issuer Name. Quận 5. TpHCM Website: www. Tương tự. Phường 9.  Subject Unique ID: là một trường không bắt buộc. CA Signature Algorithm và Signature Value. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.509 version 2 Hai trường mới được bổ sung là:  Issuer Unique ID: là một trường không bắt buộc. Giờ đây việc tìm kiếm chứng chỉ của của CA sẽ là so khớp Issuer Name trong chứng chỉ được cấp phát với Subject Name trong chứng chỉ của CA và thực hiện thêm một bước kiểm tra thứ hai là so khớp Issuer Unique ID trong chứng chỉ được cấp phát với Subject Unique ID trong chứng chỉ của CA.vn Email: ispace@ispace. Trong định dạng của nó có thêm 2 trường mới như được thể hiện trong hình dưới đây: Hình 3.2: Chứng chỉ X.vn Tel: (848) 6267 8999 . Nếu chủ thể này cũng chính là CA thì trường này sẽ giống với Issuer Unique ID. chứa chuỗi giá trị ở hệ 16. Các trường Issuer Unique ID và Subject Unique ID đã cải tiến quá trình xâu chuỗi chứng chỉ.edu. mang tính duy nhất và dành để nhận dạng CA. có thể có một tổ chức khác muốn tạo một CA có trường Issuer Name trong chứng chỉ giống như vậy. trường Issuer Name trong cả 2 chứng chỉ mới và cũ đều như nhau. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 15 . Khi chứng chỉ của CA được thay mới.509 version 2 có giá trị là 2 để chỉ ra phiên bản của chứng chỉ. Điều này không giúp dự phòng trong trường hợp CA được thay mới. chứa chuỗi giá trị ở hệ 16. Giải quyết vấn đề này để có thể sử dụng lại Issuer Name thì chứng chỉ X.edu.509 version 2 đã được giới thiệu vào năm 1993.

509 version 3 co thể chứa một hoặc nhiều extension. Phường 9. TpHCM Website: www.509 version 2 do lo ngại có thể có sự xung đột xảy ra nếu như hai chứng chỉ có cùng Subject Name và Subject Unique ID.edu.edu.509 version 2 có cải tiến hơn version 1 nhưng chuẩn này cũng không còn được áp dụng rộng rãi.ispace. Chứng chỉ X.2. Và thực tế thì trong RFC 3280 đã khuyến cáo là bỏ qua việc sử dụng 2 trường mới trên của X. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Cách này cũng giúp phân biệt giữa các CA khác nhau nhưng trùng Subject Name. 1.vn Email: ispace@ispace. Mặc dù định dạng X.509 version 3. Mỗi extension trong chứng chỉ X.509 version 3 Được ra đời vào năm 1996. như được thể hiện trong hình dưới đây: Hình 3.3. Một chứng chỉ X. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 16 .509 version 3 được bổ sung thêm các phần mở rộng (extension) để khắc phục các vấn đề liên quan tới việc so khớp Issuer Unique ID và Subject Unique ID cũng như là các vấn đề về xác thực chứng chỉ.Fax: (848) 6283 7867 Bước so khớp thứ hai này cho phép phân biệt giữa các chứng chỉ của cùng một CA khi CA đó làm mới lại chứng chỉ của chính nó. Quận 5. định dạng X.3: Chứng chỉ X.vn Tel: (848) 6267 8999 .509 version 3 gồm 3 phần:  Extension Identifier: là một mã nhận dạng đối tượng (Object Identifier – OID) cho biết kiểu định dạng và các định nghĩa của extension.

 Key Cert Sign: khóa công khai có thể được dùng để kiểm tra chữ ký của chứng chỉ số. Kết quả là khóa đối xứng chỉ có thể được dùng để mã hóa dữ liệu. Quận 5. Nếu một ứng dụng không thể nhận diện được trạng thái critical của extension hoặc extension không hề chứa giá trị nào thì chứng chỉ đó không thể được chấp nhận hoặc được sử dụng.ispace. Phường 9. TpHCM Website: www. Trong một chứng chỉ X.  Subject Key Identifier: extension này chứa giá trị băm của khóa công khai của chứng chỉ. ngăn chặn người ký này từ chối rằng họ không hề ký lên thông điệp hoặc đối tượng nào đó. Giá trị này được dùng khi một khóa RSA được dùng cho việc quản lý khóa.edu. các extension sau có thể có là:  Authority Key Identifier: extension này có thể chứa một hoặc hai giá trị.  Key Agreement: khóa công khai có thể được dùng để trao đổi khóa.Fax: (848) 6283 7867  Criticality Flag: là một dấu hiệu cho biết thông tin trong extension có quan trọng (critical) hay không. Nếu mục criticality flag này không được thiết lập thì một có thể sử dụng chứng chỉ ngay cả khi ứng dụng đó không nhận diện được extension. Giá trị này được dùng khi một khóa Diffie- Hellman được dùng cho việc quản lý khóa. chúng có thể là:  Subject Name của CA và Serial Number của chứng chỉ của CA mà đã cấp phát chứng chỉ này. máy tính.  CRL Sign: khóa công khai có thể được dùng để kiểm tra chữ ký của CRL (danh sách chứa các chứng chỉ bị thu hồi).  Encipher Only: giá trị này được dùng kết hợp với các extension Key Agreement và Key Usage. thiết bị mạng hoặc dịch vụ có thể sở hữu nhiều hơn một chứng chỉ.  Key Usage: một CA. vú dụ như đối xứng (hoặc khóa phiên). Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 17 .  Extension Value: là giá trị được gán cho extension.vn Email: ispace@ispace. ví dự như khóa đối xứng.  Non-Repudiation: khóa công khai có thể được dùng để xác minh nhận dạng của người ký. Nó phụ thuộc vào từng extension cụ thể.  Giá trị băm của khóa công khai của chứng chỉ của CA mà đã cấp phát chứng chỉ này.vn Tel: (848) 6267 8999 .edu.509 version 3. Khóa này cũng được sử dụng để xác thực máy khách và xác minh nguồn gốc của dữ liệu. người dùng.  Key Encipherment: khóa công khai có thể được dùng để trao đổi khóa.  Data Encipherment: khóa công khai có thể được dùng để mã hóa dữ liệu một cách trực tiếp thay vì phải trao đổi một khóa đối xứng (hay khóa phiên) để mã hóa dữ liệu. Extension này định nghĩa các dịch vụ bảo mật mà một chứng chỉ có thể cung cấp như:  Digital Signature: khóa công khai có thể được dùng để kiểm tra chữ ký. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

Khi đó. Kết quả là khóa đối xứng chỉ có thể được dùng để mã hóa dữ liệu. Điều này giúp khóa bí mật có thể được dùng để ký lên các tài liệu trong một khoảng thời gian ngắn (ví dụ. Extension này có thể chứa nhiều thuộc tinh và với mỗi thuộc tính phải gồm OID và giá trị tương ứng của nó. thuộc tính country.  Policy Mappings: extension này cho phép chuyển dịch thông tin về chính sách giữa hai tổ chức.  Name Constraints: extension này cho phép một tổ chức chỉ định không gian tên (namespace) nào được phép hoặc không được phép sử dụng trong chứng chỉ.vn Tel: (848) 6267 8999 . một năm) trong khi khóa công khai có thể được dùng để xác minh chữ ký trong khoảng thời gian hiệu lực của chứng chỉ là 5 năm. Policy Mapping cho phép hai chính sách chứng chỉ này được đánh giá ngang nhau. TpHCM Website: www. địa chỉ email. thiết bị. Ví dụ.  Subject Alternative Name: extension này cung cấp một danh sách các tên thay thế cho chủ thể của chứng chỉ. Ngoài ra.edu.  Issuer Alternative Name: extension này cung cấp một danh sách các tên thay thế cho CA. dịch vụ. thử tưởng tượng rằng một tổ chức định nghĩa một chính sách chứng chỉ có tên là Management Signing mà trong đó các chứng chỉ được dùng để ký lên một lượng lớn các đơn đặt hàng. Phường 9. một chính sách chứng chỉ có thể bao gồm một đường dẫn (URL) tới trang web mô tả nội dung của chính sách và thủ tục. ví dụ.500 thì Subject Alternative Name cho phép thể hiện theo các dạng khác như User Principal Name (UPN). máy tính. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 18 . extension này còn bao gồm một rằng buộc về độ dài của đường dẫn mà giới hạn số lượng các CA thứ cấp (subordinate CA) có thể tồn tại bên dưới CA mà cấp phát chứng chỉ này.  Subject Dir Attribute: extension này có thể bao gồm bất kỳ thuộc tính nào từ danh mục LDAP hoặc X.500 của tổ chức.  Basic Constraints: extension này cho biết chứng chỉ có phải của CA hay của các chủ thể như người dùng.edu.  Certificate Policies: extension này mô tả các chính sách và thủ tục được dùng để xác minh chủ thể của chứng chỉ trước khi chứng chỉ được cấp phát.Fax: (848) 6283 7867  Decipher Only: giá trị này được dùng kết hợp với các extension Key Agreement và Key Usage. địa chỉ IP hoặc tên miền (DNS). Mặc dù thường không được áp dụng nhưng extension này có thể chứa địa chỉ email của CA. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.vn Email: ispace@ispace. Trong khi định dạng cho Subject Name thường tuân theo chuẩn X. Các chính sách chứng chỉ được đại diện bởi các OID.ispace. Giá trị này có thể được đặt ngắn hơn so với khoảng thời gian hiệu lực của chứng chỉ. Ngoài ra. Một tổ chức khác có thể có một chính sách chứng chỉ tên là Large Orders mà cũng được dùng để ký lên một lượng lớn các đơn đặt hàng.  Private Key Usage Period: extension này cho phép khóa bí mật có khoảng thời gian hiệu lực khác so với khoảng thời gian hiệu lực của chứng chỉ.

File. FTP. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 19 . LDAP. Các URL có thể sử dụng một trong các giao thức như HTTP.5.6.3. tin cậy cho các phiên truyền thông. TpHCM Website: www.5.3. chính sách để giúp đảm bảo an toàn. File.5. Ví dụ.vn Tel: (848) 6267 8999 . Server Authentication (có OID là 1. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.2). Nếu chứng chỉ được cấp cho người dùng. thiết bị mạng.6.7. toàn vẹn. Nó có thể ngăn cấm Policy Mapping giữa các CA hoặc yêu cầu mỗi chứng chỉ trong chuỗi chứng chỉ phải bao gồm một OID của chính sách chứng chỉ. Nếu việc kiểm tra trạng thái thu hồi của chứng chỉ được cho phép thì một ứng dụng sẽ sử dụng các URL này để tải về phiên bản cập nhật của CRL.edu.3. chuẩn định dạng.509 version 3 sẽ có giá trị là 3 để cho biết phiên bản của chứng chỉ.ispace.1. PKI là một hệ thống bao gồm phần mềm. hoặc dịch vụ thì extension này có thể chứa thông tin về các dịch vụ được các chủ thể này cung cấp và cách thức để truy cập tới các dịch vụ đó. và Secure E-mail (có OID là 1.4).  Authority Information Access: extension này có thể chứa một hoặc nhiều URL dẫn tới chứng chỉ của CA. máy tính. bảo mật. dịch vụ. LDAP.1). Delta CRL chỉ chứa các chứng chỉ bị thu hồi kể từ lần cuối base CRl được phát hành. giao thức.7. nó có thể yêu cầu sự có mặt của một OID trong các OID kể trên. chống chối từ cho các thông điệp được trao đổi.6.5.1.3.3. quy trình.  Freshest CRL: extension này chứa một hoặc nhiều URL dẫn tới delta CRL do CA phát hành.5.5.3.  CRL Distribution Points: extension này chứa một hoặc nhiều URL dẫn tới tập tin chứa danh sách các chứng chỉ đã bị thu hồi (CRL) được phát hành bởi CA. Các URL có thể sử dụng một trong các giao thức như HTTP.1. PKI đáp ứng các yêu cầu về xác thực. Nếu đây là chứng chỉ của CA thì thông tin này có thể bao gồm các chi tiết về các dịch vụ xác minh chứng chỉ hay chính sách của CA.1. FTP.  Subject Information Access: extension này chứa thông tin cho biết cách thức để truy cập tới các các chi tiết khác về chủ thể của chứng chỉ.vn Email: ispace@ispace. 2. Một ứng dụng sử dụng URL này để tải về chứng chỉ của CA khi xây dựng chuỗi chứng chỉ nếu như nó không có sẵn trong bộ nhớ đệm của ứng dụng.edu. Giới thiệu về PKI 2. Quận 5.7. Những cái này không có trong extension Key Usage. Nếu việc kiểm tra trạng thái thu hồi của chứng chỉ được cho phép thì một ứng dụng sẽ sử dụng các URL này để tải về phiên bản cập nhật của delta CRL. Khi ứng dụng nhận được một chứng chỉ.  Enhanced Key Usage: extension này cho biết khóa công khai của chứng chỉ có thể được sử dụng như thế nào. Client Authentication (có OID là 1.Fax: (848) 6283 7867  Policy Constraints: extension này có thể có trong các chứng chỉ của CA. Phường 9. Ngoài việc giới thiệu thêm các extension như đã nêu ở trên thì trường Version của chứng chỉ X. PKI là gì? Dựa trên nền tảng của mật mã khóa công khai.

Online Certificate Status Protocol (OCSP) là một lựa chọn để CRL sử dụng. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 20 . chữ ký số và mật mã. PKI còn được tạo nên bởi các thành phần chức năng chuyên biệt sau:  Certificate Authority  End-entity  Certificate Signing Request (CSR)  Public Digital Certificate and Certificate Path  Certificate Revocation List (CRL)  Registration Authority (RA)  Certificate Repository và Archive  Security Server  PKI-enabled applications và PKI users  Certificate Authority (CA):một tổ chức tin cậy có nhiệm vụ quản lý chứng chỉ số (digital certificates).  Public Digital Certificate and Certificate Path: Chứng chi số là một thành phần công khai của PKI. TpHCM Website: www. Một CA có nhiệm vụ cấp chứng chỉ. nó có thể là người hay máy.vn Email: ispace@ispace.Fax: (848) 6283 7867 2. Danh sách này được kiểm tra trong quá trình chứng thực các chứng chỉ bởi những người nắm giữ certificate nhằm xác minh tình trạng của các chứng chỉ được cấp. CA là trung tâm của PKI.  Certificate Revocation List (CRL): là một danh sách các chứng chỉ bị thu hồi. Danh sách các chứng chỉ được thu hồi đó gọi là Certificate Revocation List (CRL). tính toàn vẹn của thông tin (integrity of information và tính không bác bỏ (non-repudiation). Các thành phần của PKI Ngoài các thành phần cơ bản chứng chỉ số.CA sẽ nhận các yêu cầu cấp chứng chỉ số và chỉ cấp cho những ai đã xác minh được nhận dạng của họ. Một chứng chỉ công khai (public certificate được chứng nhận cho một end-entity bởi việc gắn thực thể đó với một public key chuyên biệt. End-entity có nhiệm vụ giữ private key phù hợp với chứng chỉ đó.vn Tel: (848) 6267 8999 . Quận 5.  End-entity: những end-user của dịch vụ PKI.edu.ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Những yêu cầu đó bao thông về user như distinguished name và public key (signature). Phường 9. duy trì tính pháp lý.2.edu. Chứng chỉ có thể được sử dụng cho nhiều phương thức bảo mật khác nhau như là chứng chỉ số để xác thực nguồn gốc (verify the origin). quản lý các chứng chỉ bị thu hồi và công khai danh sách các chứng chỉ bị thu hồi đó.  Certificate Signing Request (CSR): là một tập được sinh ra bởi các end-entity user để xin chứng chỉ.

Mọi thực thể muốn tham gia vào PKI và xin cấp chứng chỉ đều phải thông qua CA duy nhất này. Cái thứ 2 là một cơ sở dữ liệu được CA dùng để sao lưu các khóa hiện đang sử dụng và lưu trữ các khóa hết hạn. Phường 9.ispace.  Certificate Repository và Archive: có 2 kho chứa quan trọng trong kiến trúc của PKI. lập báo cáo và nhiều dịch vụ khác. Các CA mới về sau có thể dễ dàng được thêm vào danh sách. Phương thức này tuy Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 21 . các ứng dụng email chạy phía máy khách. Lúc này các người dùng sẽ duy trì một danh sách các CA mà họ tin cậy.Fax: (848) 6283 7867  Registration Authority (RA): đóng vai trò trung gian giữa CA và người dùng. Thứ nhất là ở khả năng co giãn – khi quy mô tổ chức được mở rộng.vn Tel: (848) 6267 8999 . các chính sách bảo mật chứng chỉ số.  Security Server: là một máy chủ cung cấp các dịch vụ quản lý tập trung tất cả các tài khoản người dùng. Hạn chế thứ hai là CA này sẽ là điểm chịu lỗi duy nhất. Cuối cùng. nếu nó bị xâm hại thì nguy hại tới độ tin cậy của toàn bộ hệ thống và tất cả các chứng chỉ số phải được cấp lại một khi CA này được phục hồi. 3. 3.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. chỉ một CA thì khó mà quản lý và đáp ứng tốt các dịch vụ. Đầu tiên là kho công khai lưu trữ và phân phối các chứng chỉ và CRL (chứa danh sách các chứng chỉ không còn hiệu lực). Quận 5. Single CA Hình 3. nếu nó ngưng hoạt động thì dịch vụ bị ngưng trệ. kho này cần được bảo vệ an toàn như chính CA. các mối quan hệ tin cậy (trusted relationship) giữa các CA trong PKI.1. Mô hình này dễ thiết kế và triển khai nhưng cũng có các hạn chế riêng. họ gửi yêu cầu tới RA và RA sẽ xác nhận tất cả các thông tin nhận dạng cần thiết trước khi chuyển tiếp yêu cầu đó tới CA để CA thực hiện tạo và ký số lên chứng chỉ rồi gửi về cho RA hoặc gửi trực tiếp cho người dùng.edu. TpHCM Website: www. Các mô hình PKI 3.  PKI-enabled applications và PKI users: bao gồm các người dùng sử dụng các dịch vụ của PKI và các phần mềm có hỗ trợ cài đặt và sử dụng các chứng chỉ số như các trình duyệt web. Khi người dùng cần chứng chỉ số mới. Trust List Nếu có nhiều CA đơn lẻ trong tổ chức nhưng lại không có các trust relationship giữa các CA được tạo ra thì bằng cách sử dụng trust list người dùng vẫn có thể tương tác với tất cả các CA.2.4: Single CA Đây là mô hình PKI cơ bản nhất phù hợp với các tổ chức nhỏ trong đó chỉ có một CA cung cấp dịch vụ cho toàn hệ thống và tất cả người dùng đặt sự tin cậy vào CA này.edu.

vn Email: ispace@ispace.edu.Fax: (848) 6283 7867 đơn giản nhưng cũng sẽ tốn thời gian để cập nhật hết các CA cho một lượng lớn người dùng.vn Tel: (848) 6267 8999 . Hình 3. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. CA và cấp trên của chúng thông qua việc CA cấp trên sẽ cấp các chứng chỉ cho các sub.ispace. CA ngay bên dưới nó. tất cả các CA còn lại là các Subordinate CA (gọi tắt là sub. Cuối cùng. CA bị thỏa hiệp thì CA cấp trên của nó sẽ thu hồi chứng chỉ đã cấp cho nó và chỉ khi sub. CA đó được khôi phục thì nó mới có thể cấp lại các chứng chỉ mới cho người dùng của nó. Nếu root CA bị xâm hại thì đó là một vấn đề hoàn toàn khác. cũng như single CA. Sau đó các trust relationship được thiết lập giữa các sub. Tất cả các thực thể (như người dùng. mặt khác nếu một CA nào đó bị thỏa hiệp thì không có một hệ thống cảnh báo nào báo cho những người dùng mà tin cậy CA đó biết được sự cố này. Mesh PKI Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 22 . root CA phải được bảo vệ an toàn ở mức cao nhất để đảm bảo điều đó không xảy ra và thậm chí root CA có thể ở trạng thái offline – bị tắt và không được kết nối vào mạng. CA) và hoạt động bên dưới root CA. Hệ thống tên miền DNS trên Internet cũng có cấu trúc tương tự mô hình này. Lưu ý. Hierarchical PKI Đây là mô hình PKI được áp dụng rộng rãi trong các tổ chức lớn.4. Trường hợp một sub. CA cấp thấp hơn để phù hợp với sự thay đổi trong cấu trúc của tổ chức. 3. Khi đó tất cả các thực thể cần được thông báo về sự cố và cho đến khi root CA được phục hồi và các chứng chỉ mới được cấp lại thì không một phiên truyền thông nào là an toàn cả. Phường 9. Có một CA nằm ở cấp trên cùng gọi là root CA. máy tính) trong tổ chức đều phải tin cậy cùng một root CA. 3. Vì thế. Các CA mới có thể được thêm ngay dưới root CA hoặc các sub.edu. CA cấp trên sẽ cấp lại cho nó một chứng chỉ mới. CA. root CA không trực tiếp cấp chứng chỉ số cho các thực thể mà chúng sẽ được cấp bởi các sub. Ngoại trừ root CA thì các CA còn lại trong đều có duy nhất một CA khác là cấp trên của nó. Quận 5. toàn bộ hệ thống PKI sẽ chịu ảnh hưởng. Sẽ có các mức độ tổn thương khác nhau nếu một CA nào đó trong mô hình này bị xâm hại. TpHCM Website: www.3.5: Hierarchical PKI.

Hệ thống PKI không thể bị đánh sập khi chỉ một CA bị thỏa hiệp.) trước khi cấp chứng chỉ cho họ. Đối với giải pháp PKI của Microsoft thì một CA là máy tính chạy hệ điều hành Windows Server được cài đặt dịch vụ Certificate Services. CA cấp loại chứng chỉ được yêu cầu cho đối tượng đó. không nhất thiết hai hay nhiều người dùng phải cùng tin một CA nào đó và người dùng tin cậy CA nào thì sẽ nhận chứng chỉ do CA đó cấp Hình 3. Vì không có một CA duy nhất làm cấp cao nhất nên sự tổn hại khi tấn công vào mô hình này có khác so với hai mô hình trước đó. máy tính.Fax: (848) 6283 7867 Nổi lên như một sự thay thế chính cho mô hình Hierarchical PKI truyền thống.edu.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Điều này giúp đảm bảo đối tượng phải có đủ các quyền hạn cần thiết mới có thể yêu cầu CA cấp cho một loại chứng chỉ nào đó.1. Giới thiệu Certification Authority (CA) CA là một thành phần thiết yếu trong bất cứ thiết kế PKI nào. nếu yêu cầu cấp chứng chỉ Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 23 . tổ chức quản lý chứng chỉ có thể gặp mặt và phỏng vấn trực tiếp người yêu cầu.ispace. thiết kế của Mesh PKI giống với kiến trúc Web-of-Trust trong đó không có một CA nào làm root CA và các CA sẽ có vai trò ngang nhau trong việc cung cấp dịch vụ. Tất cả người dùng trong mạng lưới có thể tin cậy chỉ một CA bất kỳ..v. Ngoài ra. Phường 9. dịch vụ.  Cấp phát chứng chỉ cho đối tượng yêu cầu: sau khi xác minh được nhận dạng của đối tượng. Ví dụ.edu. v. Các CA còn lại sẽ thu hồi chứng chỉ mà chúng đã cấp cho CA bị xâm hại và chỉ khi CA đó khôi phục hoạt động thì nó mới có khả năng cấp mới các chứng chỉ cho người dùng rồi thiết lập trust với các CA còn lại trong mạng lưới. 4. Nó thực thi các nhiệm vụ sau:  Xác minh nhận dạng của đối tượng yêu cầu chứng chỉ: CA phải thẩm định nhận dạng của đối tượng đầu cuối (như người dùng.6: Mesh PKI Các CA trong mô hình này sau đó sẽ cấp các chứng chỉ cho nhau. Mỗi loại chứng chỉ sẽ có nội dung và mục đích sử dụng khác nhau. thiết bị mạng. Quận 5.vn Tel: (848) 6267 8999 . Khi hai CA cấp chứng chỉ cho nhau thì một sự tin cậy hai chiều được thiết lập giữa hai CA đó. TpHCM Website: www. Nhà cung cấp chứng chỉ số (Certification Authorities) 4. Các CA mới có thể được thêm vào bằng cách tạo các mối tin cậy hai chiều giữa chúng với các CA còn lại trong mạng lưới.

Đây là mô hình rất phổ biến và được áp dụng bởi tất cả các nhà cung cấp dịch vụ chứng chỉ số hàng đầu thế giới như RSA. Phường 9. TpHCM Website: www. Thawte. Nó cũng được hỗ trợ bởi hầu hết các ứng dụng và thiết bị mạng.edu. 4.edu.ispace. là các CA không trực tiếp cấp chứng chỉ cho các đối tượng đầu cuối thường sẽ không được kết nối vào mạng.2.7: Mô hình phân cấp CA Mô hình CA phân cấp (hay Hierarchical PKI) này có khả năng mở rộng cao và an toàn hơn khi mà các non-issuing CA (ở đây là Root CA và các Intermediate CA). Các CA được tổ chức thành một cấu trúc phân cấp bao gồm duy nhất một Root CA và một vài Subordinate CA như được thể hiện trong hình dưới đây: Hình 3.vn Email: ispace@ispace.Fax: (848) 6283 7867 cho IPSec thì kết quả là chứng chỉ này chỉ có thể được dùng bởi máy chủ hoặc máy khách để xác thực các điểm đầu cuối trên kênh truyền thông được bảo vệ bởi IPSec. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Root CA Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 24 . CRL chứa danh sách số thứ tự (serial number) của các chứng chỉ đã bị thu hồi và các mã số lý do (reason code) cho việc thu hồi. Quận 5. Vì vậy mà chúng được bảo vệ trước các cuộc tấn công thông qua môi trường mạng. 4.  Quản lý việc thu hồi chứng chỉ: CA sẽ định kỳ phát hành CRL sau một khoảng thời gian định trước.2. Ngoài ra thì mô hình này cũng cho phép việc ủy quyền. VeriSign.1.vn Tel: (848) 6267 8999 . Mô hình phân cấp CA Ở các tổ chức lớn thì PKI thường được triển khai với nhiều CA. phân tách vai trò quản lý các CA cho các bộ phận khác nhau trong tổ chức.

Nếu tổ chức phải triển khai nhiều chính sách và thủ tục khác nhau cho việc cấp chứng chỉ thì cần thiết phải có nhiều Policy CA tồn tại như được thể hiện trong hình dưới đây: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 25 .ispace. Nó sẽ cấp chứng chỉ cho các CA là cấp dưới của nó. Root CA là điểm tin cậy cho tất cả các chứng chỉ được cấp bởi các CA khác trong mô hình. Cách duy nhất để xác minh chứng chỉ của Root CA có hợp lệ hay không là kiểm tra xem chứng chỉ đó có nằm trong Trusted Root Store hay không.edu. CA mà cấp chứng chỉ cho một CA khác thường được gọi là parent CA và Intermediate CA cũng được gọi là Subordinate CA. Root CA có thể cấp chứng chỉ cho các đối tượng đầu cuối nhưng thường nó chỉ cấp cho các CA khác. Khi thực hiện cấp chứng chỉ cho các thực thể. Policy CA Là một dạng đặc biệt của Intermediate CA. Điều này có nghĩa là một chứng chỉ được coi là tin cậy chỉ khi nó đó được kiểm chứng xuyên qua chuỗi chứng chỉ với điểm kết thúc tại Root CA.3.Fax: (848) 6283 7867 Nằm ở đỉnh cao nhất trong mô hình CA phân cấp. Root CA tự cấp chứng chỉ cho chính nó và lúc này các trường Issuer Name và Subject Name trong chứng chỉ có cùng tên phân biệt (distinguished name).vn Tel: (848) 6267 8999 .2. Intermediate CA Trong mô hình CA phân cấp thì một Intermediate CA là CA cấp dưới của một CA khác. Root CA sẽ sử dụng khóa bí mật của nó để ký lên các chứng chỉ đó để chống lại các hành động thay đổi nội dung và chỉ ra rằng chứng chỉ được cấp bởi Root CA. Quận 5.vn Email: ispace@ispace. Tất cả các CA (ngoại trừ Root CA) sẽ là cấp dưới của Policy CA và tuân theo các chính sách và thủ tục được định nghĩa tại Policy CA. 4. Một Policy CA sẽ chỉ cấp chứng chỉ cho các CA khác trông mô hình phân cấp. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Intermediate CA có thể nằm tại bất kỳ cấp độ nào trong mô hình phân cấp ngoại trừ vị trí của Root CA.edu. 4. TpHCM Website: www. Policy CA mô tả các chính sách và thủ tục mà tổ chức cần triển khai để xác minh nhận dạng của chủ thể nắm giữ chứng chỉ và bảo đảm an toàn cho các CA.2. Phường 9.2.

Thu hồi chứng chỉ số 5. 4. 5. sẽ được hai Issuing CA (America CA và Europe CA) là nằm ngay dưới nó tuân theo.ispace.vn Tel: (848) 6267 8999 . Issuing CA Thường nằm tại bậc thứ 3 trong mô hình phân cấp. Certificate Revocation Mỗi một certificate được tạo ra đều có một khoảng thời gian hiệu lực (validity period) nhất định và thường từ 1 hoặc 2 năm. Issuing CA cần tuân theo bất kỳ chính sách và thủ tục nào được định nghĩa bởi một Policy CA mà nằm giữa nó và Root CA.4.edu.2. Issuing CA cũng có thể nằm ở bậc thứ 2 trong mô hình phân cấp và khi đó nó đóng vai trò của cả Policy CA và Issuing CA thông thường.1.edu.Fax: (848) 6283 7867 Hình 3. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 26 . Một Internal Policy CA định nghĩa các chính sách và thủ tục được dùng để xác minh nhận dạng của các đối tượng yêu cầu cấp chứng chỉ. Như đã nói ở trên. Thông tin này được chứa trong bản thân certificate (giá trị valid from và valid to) và cần được kiểm tra trước khi quyết định có nên tin dùng nó hay không. Phường 9. một Issuing CA sẽ cấp chứng chỉ cho các đối tượng đầu cuối.8: Ví dụ Policy CA Trong ví dụ này. Một External Policy CA định nghĩa các chính sách và thủ tục được dùng để xác minh nhận dạng và bảo đảm an toàn cho quá trình cấp chứng chỉ cho các đối tượng không nằm trong nội bộ của tổ chức. TpHCM Website: www. Khi vượt ra khỏi khoảng thời gian này thì nó bị hết hạn và không còn giá trị nữa. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. có hai Policy CA. sẽ được Customer CA nằm ngay dưới nó tuân theo. Nó sẽ tự thẩm định và tuân theo các chính sách và thủ tục của chính nó.vn Email: ispace@ispace.

Các CA sẽ Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 27 .v. Sự cố liên quan tới các CA Comodo.edu.ispace. Ví dụ. Certificate Revocation List (CRL) Là danh sách các certificate bị thu hồi và không còn được tin dùng nữa. Mỗi một mục (entry) trong CRL tương ứng với một certificate và thường gồm 3 thông tin sau:  Serial number của certificate  Thời điểm bị thu hồi  Lý do thu hồi (là 1 trong 11 lý do kể trên) Một CRL được tạo và phát hành (publish) định kỳ sau 1 khoảng thời gian nào đó do người quản trị CA chỉ định. v.edu.  CA phát hiện ra là đã cấp phát sai certificate. TpHCM Website: www. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. DigiNotar xảy ra gần đây là một ví dụ. 1 tuần. Một CRL cũng có thể được cập nhật và phát hành ngay sau khi một certificate nào đó bị thu hồi.vn Tel: (848) 6267 8999 . ví dụ: 1 giờ.2. Có 2 trạng thái revocation được quy định trong RFC 3280 là:  Revoked: một khi certificate đã bị thu hồi thì không thể khôi phục lại và sử dụng tiếp được nữa.  Private key bị lộ hoặc thiết bị chứa private key bị mất hoặc bị đánh cắp.Fax: (848) 6283 7867 Tuy nhiên. 1 ngày.  Hold: certificate chỉ tạm thời bị mất hiệu lực. Quận 5. có những trường hợp mà một certificate cũng cần bị thu hồi (revoke) dù rằng thời gian hiệu lực vẫn còn như:  Người sở hữu certificate không còn làm trong tổ chức nữa. nếu người dùng không chắc là private key đã bị mất hay chưa thì CA có thể đưa certificate vào trạng thái hold. Nếu sau đó tìm thấy private key và chắc rằng không ai đã đọc được nó thì trạng thái hold được gỡ bỏ và certificate có hiệu lực trở lại. Theo RFC 5280 thì khi thu hồi một certificate phải chỉ định một trong 11 lý do sau:  unspecified (0)  keyCompromise (1)  cACompromise (2)  affiliationChanged (3)  superseded (4)  cessationOfOperation (5)  certificateHold (6)  (value 7 is not used)  removeFromCRL (8)  privilegeWithdrawn (9)  aACompromise (10) 5.  Công việc thu hồi certificate này được gọi là certificate revocation và do CA thực hiện.vn Email: ispace@ispace.

thì kích thước của file . giảm hiệu suất mạng. Và để xác thực chữ ký này trước khi có thể tin dùng CRL thì cần đến certificate của CA đã thực hiện việc ký trên.  Nếu certificate mà client cần kiểm tra đã bị thu hồi nhưng chưa được cập nhật vào CRL thì khi phân tích file . nói cách khác nếu serial number không có trong CRL thì certificate đó có thể được tin dùng. các CRL đều có một chữ ký số được ký bởi CA đã phát hành nó. Sau đó ứng dụng PKI phải phân tích (parse) file . Nhưng để kiểm tra trạng thái revocation. Thông thường certificate của các CA phổ biến đều được nạp sẵn bên trong các ứng dụng có hỗ trợ PKI như các trình duyệt web.vn Tel: (848) 6267 8999 . Có thể thấy. Vậy có phương thức nào hiệu quả hơn CRL trong việc kiểm tra xem certificate có bị thu hồi chưa không? Câu trả lời đến từ OCSP. dẫn đến certificate không được tin dùng.crl xong client vẫn chấp nhận certificate không còn hiệu lực đó!  Mặc định. Và nếu không thể kết nối tới kho chứa CRL do thì client không thể kiểm tra tính hiệu lực của certificate.edu. ứng dụng PKI vẫn cần phải có đủ cả base CRL và các delta CRL gần đây nhất. còn có các delta CRL chứa thông tin revocation cho các certificate bị thu hồi kể từ khi base CRL mới nhất được phát hành. Cơ bản nó làm việc như sau: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 28 .3. TpHCM Website: www. các thông điệp OCSP (request.vn Email: ispace@ispace. đọc email hay hệ điều hành. Ngoài ra.Fax: (848) 6283 7867 đẩy CRL chứa các certificate do nó cấp phát và quản lý tới kho chứa là LDAP server hoặc Web server. CRL mắc phải một số hạn chế sau:  Nếu nhiều client cùng để tải về CRL từ kho chứa thì có nguy cơ làm tắc nghẽn. các máy Windows có timeout là 15 giây khi cố gắng tải về CRL.edu. Dẫu vậy. response) được mã hóa theo chuẩn ANS. cho biết địa chỉ URL của CRL (là file có đuôi . cách này cũng sẽ giúp tiết kiệm thời gian và băng thông mạng vì nếu client đã có sẵn base CRL rồi thì nó chỉ cần tải thêm các delta CRL thôi.1 và được truyền qua giao thức HTTP. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9. Online Certificate Status Protocol (OCSP) Như được mô tả trong RFC 2560. thì bản thân certificate không chứa nội dung của CRL mà nó có một extension là CRL Distribution Points (CDP).crl) mà nó cần tải về.  Qua thời gian.crl cũng tăng theo (thường từ 200KB đến 20MB). Quận 5. Hoạt động theo mô hình client/server. Để ngăn chặn nguy cơ CRL có thể bị làm giả dẫn đến certificate nào đó bị cố ý đưa vào hoặc bị loại bỏ khỏi CRL. OCSP là một giao thức được sử dụng để nhận về trạng thái revocation của một certificate có chuẩn định dạng là X. 5.509.ispace. khi số lượng các certificate được cấp phát cũng như thu hồi ngày một tăng dần. Ứng dụng PKI phải tốn thời gian tải về và phân tích file . Khi ứng dụng PKI nhận được một certificate.crl này để xác định xem certificate đã bị thu hồi hay chưa. Server cũng thường được gọi là OCSP responder. trong khi nó chỉ cần xác định trạng thái revocation của một (vài) certificate mà thôi.crl thường chứa một lượng rất lớn các certificate bị thu hồi.

nếu có thì nó sẽ dò tìm trong CRL cho serial number của certifcate rồi trả về kết quả cho client. nó không phải là “viên đạn bạc” cho vấn đề certificate validation.ispace.  Hệ thống certificate validation với OCSP có thể dễ dàng được mở rộng. Quận 5.edu.  Một OCSP server có thể phục vụ công tác certificate validation cho nhiều CA. bản thân nó cũng phải đối mặt với các nguy cơ khác nhau như: Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 29 .  Nếu có sẵn một response được cache cho request trên thì server sẽ gửi ngay cho client.vn Tel: (848) 6267 8999 . Nếu chưa có file CRL. trong an toàn thông tin thì không có một giải pháp nào giải quyết được mọi khía cạnh rủi ro cả.  Nếu server không thể xử lý request. client sẽ nhận được response không được ký.  Nếu thông tin revocation có sẵn trong cache tại client và server thì tiết kiệm được được cả thời gian lẫn băng thông. TpHCM Website: www. Điều này giúp client tránh phải lưu nhiều CRL.edu. server sẽ tải về từ các vị trí CDP đã được cấu hình trước.  Client nhận được kết quả và cache lại để lần sau không cần gửi request lên server để kiểm tra certificate đó nữa. Còn không thì server sẽ kiểm tra xem có sẵn một CRL được cache chưa.  Trusted Responder mà public key của nó đã được client tin tưởng  CA Designated Responder (Authorized Responder) có certificate được cấp bởi CA mà OCSP server đang phục vụ cho nó. chứa thông báo lỗi.crl.Fax: (848) 6283 7867  Client gửi một request chứa serial number của certificate mà nó cần kiểm tra tới server. Phường 9.  Response trả về cho client cho biết 1 trong 3 trạng thái có thể của certificate là:  “good”: không có trong CRL  “revoked”: bị thu hồi vĩnh viễn hoặc tạm thời (hold)  “unknown”: server không biết tới serial number có trong request  Response cũng được ký số bởi server sử dụng private key của một trong các thành phần:  CA đã cấp phát certificate có trong request. OCSP đã giải quyết được các vấn đề gặp phải với CRL là:  Tiết kiệm băng thông do các request và response có kích thước nhỏ hơn nhiều (thường chỉ 4KB) so với file . độ sẵn sàng cao khi cần xử lý một lượng lớn các request.vn Email: ispace@ispace.  OCSP responder đảm bảo luôn sử dụng các phiên bản CRL mới nhất làm cơ sở cho việc kiểm tra tính hiệu lực của certificate cũng như là khả năng phản hồi gần như lập tức (real-time) khi nó nhận được yêu cầu từ client. OCSP không nằm ngoài quy luật đó. Tuy nhiên. Rõ ràng.  Tiết kiệm thời gian vì chỉ phải kiểm tra trạng thái của 1 certificate thay vì phải phân tích file .crl. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

Và chìa khóa cho sự thành công của một hệ thống PKI nằm ở chỗ việc cấp phát.4.  Privacy: các thông điệp OCSP đều không được mã hóa nên việc phải gửi request tới OCSP server để kiểm tra certificate cho một domain nào đó khiến bộc lộ địa chỉ IP của client cũng như website mà client muốn ghé thăm. Việc server phải mất thời gian và năng lực để ký số cho mỗi response cũng khiến tình huống này thêm trầm trọng. Kết luận Việc cần sử dụng các certificate còn hiệu lực để đảm bảo an toàn. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 30 . tin cậy cho truyền thông luôn là yêu cầu căn bản và cần thiết. 5.vn Tel: (848) 6267 8999 . khi đó client có thể được cấu hình để quay lại cơ chế CRL. kiểm tra hiệu lực certificate phải được tiến hành một cách chính xác và nhanh chóng. thu hồi. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Email: ispace@ispace. việc các thông báo lỗi không được ký số cũng bị lợi dụng. Quận 5.Fax: (848) 6283 7867  Availability: Nếu vì lý do nào đó mà client không thể liên lạc với OCSP server thì quá trình validation bị đổ vỡ. chờ đến khi certificate bị thu hồi nhưng validity period vẫn còn hiệu lực thì hắn gửi lại response đó cho client.  DoS/DDoS: kẻ tấn công cố gắng làm đầy khả năng xử lý của OCSP server bằng cách gửi request với tần suất lớn và liên tục.edu.edu. CRL có thể phục vụ cho một môi trường nhỏ dưới 1000 certificate nhưng nếu số lượng certificate bị thu hồi lên tới hàng chục ngàn thì việc triển khai OCSP với độ sẵn sàng và tin cậy cao là điều nên làm. kẻ tấn công sẽ gửi các thông báo lỗi giả này cho client và ngăn chặn các good response đến từ server khiến cho client không thể dùng được certificate này.ispace. Phường 9.  Replay attack: kẻ tấn công chụp lại các good response. TpHCM Website: www. Ngoài ra.  Compatibility: Một số ứng dụng và hệ điều hành cũ như Windows XP không hỗ trợ giao thức OCSP.

Phường 9.edu.vn Tel: (848) 6267 8999 . Quận 5.vn Email: ispace@ispace. TpHCM Website: www. Triển khai hạ tầng mạng với CA đơn tầng 1.1. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu. Xây dựng Domain Controller (DC) Đặt tên và địa chỉ IP cho máy DC Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 31 .ispace.Fax: (848) 6283 7867 Chương IV: Triển khai hạ tầng khóa công khai PKI trên nền Windows server 2012 1.

edu.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . thay vào đó ta phải cài role “Active Directory Domain Service” mới có thể nâng cấp máy lên thành máy DC Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 32 . TpHCM Website: www.ispace. Phường 9.exe.Fax: (848) 6283 7867 Từ Windows Server 2012 đã bỏ cơ chế dcpromo. Quận 5.

vn Email: ispace@ispace. Quận 5.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Cửa sổ Add roles and features wizard hiện ra. TpHCM Website: www. Phường 9.vn Tel: (848) 6267 8999 .ispace. chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 33 .edu.

Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.edu.edu.ispace.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . TpHCM Website: www.Fax: (848) 6283 7867 Tren trang installation type chon Role-based or feature-based installation va chon Next Muc Server Selection check vao muc select a server from the server pool Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 34 .

vn Email: ispace@ispace. Quận 5. Phường 9.ispace.edu. TpHCM Website: www.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 .Fax: (848) 6283 7867 Muc Server roles check vao Active Directory Domain Services Chon Add Features Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 35 .

TpHCM Website: www.edu. Quận 5.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.Nhan Next de tiep tuc Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 36 .Fax: (848) 6283 7867 Sau do ban se nhin thay muc Group Policy Management and Remote Server Administrator Tools tu dong duoc check. Phường 9.ispace.

neu ban muon may tu dong khoi dong lai sau khi cai dat hoan tat thi check vao muc Restart the destination server automatically if required.Chon No Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 37 . TpHCM Website: www.ispace.edu. Phường 9.vn Email: ispace@ispace.Fax: (848) 6283 7867 Tren trang Confirmation . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Nhan Install Bang xac nhan ban dong y de may tu dong khoi dong lai sau khi cai dat hoan tat hien ra.vn Tel: (848) 6267 8999 .edu. Quận 5.

ispace. TpHCM Website: www.Fax: (848) 6283 7867 Qua trinh cai dat hoan tat .edu. click vao Notifications va sau do chon Promote this server to a domain controller Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 38 . Phường 9.tu muc Dashboard trong Server Manager.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. chon Close Sau khi cai xong Role Active Directory Domain Services.edu. Quận 5.

vn Tel: (848) 6267 8999 . TpHCM Website: www.edu.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace.Fax: (848) 6283 7867 Khai bao ten Forest Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 39 . Phường 9. Quận 5.vn Email: ispace@ispace.

Quận 5.Fax: (848) 6283 7867 Đặt password cho Enterprise Admin và chọn cấp độ schema cho Forest functional level và Domain Functional Level Tren trang DNS Options chon Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 40 .ispace.vn Email: ispace@ispace. TpHCM Website: www.edu.edu. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 .

ispace.vn Email: ispace@ispace.edu.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.vn Tel: (848) 6267 8999 . Phường 9.Fax: (848) 6283 7867 Tiep tuc chon Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 41 . TpHCM Website: www.

vn Tel: (848) 6267 8999 . TpHCM Website: www. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Ban co the thay doi noi chua cac thu muc nay o buoc nay . Click Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 42 . Neu khong co gi thay doi thi nen de mac dinh.edu.vn Email: ispace@ispace. Phường 9.ispace.Fax: (848) 6283 7867 Duong dan chua cac thu muc Database. logs and SYSVOL se duoc hien ra .edu.

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www. Phường 9.edu. Quận 5.Fax: (848) 6283 7867 Kiem tra lai thong tin cai dat va click Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 43 .edu.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 .ispace.

vn Tel: (848) 6267 8999 . Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 44 .edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace. xem bạn có đầy đủ thông số phù hợp để nâng cấp lên AD hay không. Phường 9.Fax: (848) 6283 7867 Hệ thống sẽ tiến hành kiểm tra một cách chi tiết và an toàn. Chon Install Sau khi nâng cấp thì hệ thống sẽ restart lại và lúc này chúng ta dùng tài khoản Enterprise Admin để logon vào máy. Quận 5.vn Email: ispace@ispace. TpHCM Website: www.edu.

ispace. Quận 5.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 45 .vn Email: ispace@ispace. Phường 9. TpHCM Website: www.edu.vn Tel: (848) 6267 8999 .

vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace. Phường 9.vn Tel: (848) 6267 8999 .edu. TpHCM Website: www. Quận 5.edu.Fax: (848) 6283 7867 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 46 .

Quận 5.Fax: (848) 6283 7867 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 47 .ispace.edu.edu. TpHCM Website: www. Phường 9.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 .

vn Email: ispace@ispace. TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.edu.vn Tel: (848) 6267 8999 . Phường 9.ispace. Quận 5.Fax: (848) 6283 7867 Luc nay ban se nhin thay cac dich vu ma ban da cai dat xuat hien o man hinh khoi dong (Start Screen): Group Policy Management Active Directory Module for Windows PowerShell ADSI Edit Active Directory Domains and Trusts Active Directory Users and Computers Active Directory Administrative Center Active Directory Sites and Services DNS Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 48 .

2.ispace.edu.Fax: (848) 6283 7867 1.vn Email: ispace@ispace. Xây dựng CA server Vào Server Manager  Dashboard  Add Roles Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 49 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9. Quận 5.vn Tel: (848) 6267 8999 . TpHCM Website: www.edu.

Fax: (848) 6283 7867 Chọn Next Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 50 .ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.vn Tel: (848) 6267 8999 .edu. TpHCM Website: www.vn Email: ispace@ispace. Phường 9.edu.

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Check vào Active Directory Certificate Services  Add Features

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 51

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Check tiep vao o Web Server (IIS)  Add Features

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 52

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Next

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 53

edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9.ispace.vn Tel: (848) 6267 8999 .edu.Fax: (848) 6283 7867 Next Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 54 .vn Email: ispace@ispace. TpHCM Website: www. Quận 5.

vn Tel: (848) 6267 8999 . TpHCM Website: www. Phường 9.vn Email: ispace@ispace.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace.Fax: (848) 6283 7867 Check vào Certification Authority Web Enrollment  Add Features Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 55 .edu. Quận 5.

ispace.Fax: (848) 6283 7867 Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 56 . Quận 5.vn Email: ispace@ispace. Phường 9.vn Tel: (848) 6267 8999 . TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.edu.

TpHCM Website: www.Fax: (848) 6283 7867 Next Check vao o Basic Authencation  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 57 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 .ispace.edu.edu. Quận 5.

Phường 9.ispace.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 .edu.Fax: (848) 6283 7867 Install Qua trinh cai dat hoan tat  Close Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 58 .edu. Quận 5. TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.edu.Fax: (848) 6283 7867 click vao Notifications va sau do chon Configure Active Directory Certificate Services Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 59 .edu.ispace.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . Phường 9. TpHCM Website: www.

vn Email: ispace@ispace. Quận 5.Fax: (848) 6283 7867 Check vao o Certification Authority va o Certification Authority Web Enrollment  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 60 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 .edu. Phường 9.edu. TpHCM Website: www.ispace.

vn Email: ispace@ispace.Fax: (848) 6283 7867 Chọn mục Enterprise  Next Chọn Root CA  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 61 .vn Tel: (848) 6267 8999 . Phường 9. TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.edu.edu.ispace.

ispace. Quận 5.vn Email: ispace@ispace. Phường 9. TpHCM Website: www.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 .edu.Fax: (848) 6283 7867 Chọn Create a new private key  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 62 .

Fax: (848) 6283 7867 Chọn Next Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 63 .edu.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.vn Tel: (848) 6267 8999 .edu. Phường 9.ispace. TpHCM Website: www.

Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 .vn Email: ispace@ispace.edu.Fax: (848) 6283 7867 Chọn Next Chọn đường dẫn để lưu database của CA sau đó click Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 64 . TpHCM Website: www.edu. Quận 5.ispace.

Quận 5. TpHCM Website: www.Fax: (848) 6283 7867 Chọn Configure Quá trình cài đặt đã hoàn tất  Close Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 65 .edu.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . Phường 9.ispace.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

Quận 5.ispace.vn Tel: (848) 6267 8999 . TpHCM Website: www.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9.Fax: (848) 6283 7867 Vào Start  Administive Tools  Certification Authority Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 66 .edu.edu.

vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . Cấu hình dịch vụ MAIL áp dụng chữ ký số và mã hóa nội dung Cài đặt dịch vụ mail Kerio Chọn Next Chọn vào I accept the terms in the licence agreement  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 67 .1. TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5. Phường 9.edu.edu.Fax: (848) 6283 7867 2.ispace. Triển khai các dịch vụ 2.

vn Email: ispace@ispace. TpHCM Website: www.Fax: (848) 6283 7867 Chọn mục Complete  Next Chọn nơi để cài đặt mail  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 68 . Quận 5.ispace.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Tel: (848) 6267 8999 . Phường 9.

vn Email: ispace@ispace.edu. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.ispace.Fax: (848) 6283 7867 Chọn Install Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 69 .edu.vn Tel: (848) 6267 8999 . Quận 5.

vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Email: ispace@ispace. Quận 5.Fax: (848) 6283 7867 Đặt tên Domain vào ô Domain  Next Đặt Password cho Admin  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 70 .ispace.edu. TpHCM Website: www.edu. Phường 9.

ispace.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.vn Tel: (848) 6267 8999 .edu. Phường 9.edu.Fax: (848) 6283 7867 Chọn Finish để hoàn tất việc cấu hình Chọn Finish để kết thúc Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 71 . Quận 5.

Phường 9.edu.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace.vn Tel: (848) 6267 8999 .edu. TpHCM Website: www.Fax: (848) 6283 7867 Tiến hành log on vào mail Kerio Giao diện mail kerio Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 72 . Quận 5.

Phường 9.edu.Fax: (848) 6283 7867 Tiến hành Stop 2 dịch vụ http và https của mail Vào Configuration  Services Tiến hành tạo User trên máy DC Vào Start  Administrative Tools  Active Directory Users and Computers Chọn Users  New  User Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 73 .edu. TpHCM Website: www.ispace.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

ispace. Quận 5. TpHCM Website: www. user logon name  Next Tạo password cho User  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 74 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Email: ispace@ispace.Fax: (848) 6283 7867 Điền first name. Phường 9.vn Tel: (848) 6267 8999 .edu.

Phường 9.Fax: (848) 6283 7867 User vừa tạo Click phải chọn Properties.vn Tel: (848) 6267 8999 . điền thông tin cho User đó Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 75 . TpHCM Website: www.ispace. Quận 5.edu.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.

edu.vn Tel: (848) 6267 8999 .ispace. Phường 9.vn Email: ispace@ispace. Quận 5. TpHCM Website: www.Fax: (848) 6283 7867 Chuyển qua thẻ Dial-in chọn vào Allow access  OK Tạo thêm một User tương tự user vừa mới tạo Chuyển qua máy mail tiến hành Import user vào Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 76 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.

Phường 9. Quận 5.edu.Fax: (848) 6283 7867 Chọn Domain Settings  Users  click phải chọn Import  Import form directory services Đăng nhập vào DC  OK Ta chọn 2 Users vừa mới tạo  OK Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 77 .vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace.vn Email: ispace@ispace.edu. TpHCM Website: www.

Phường 9.edu. Quận 5.vn Tel: (848) 6267 8999 .edu.ispace.Fax: (848) 6283 7867 Chúng ta qua máy trạm (đã join Domain) tiến hành logon vào bằng một trong 2 user trên Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 78 .vn Email: ispace@ispace. TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

TpHCM Website: www.ispace.edu.vn Tel: (848) 6267 8999 .Fax: (848) 6283 7867 Tiến hành cấu hình outlook Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 79 . Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Email: ispace@ispace. Phường 9.

vn Tel: (848) 6267 8999 .edu. TpHCM Website: www.ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Check vào Manually configure server settings or additional sererver types  Next Chọn Internet E-mail  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 80 . Quận 5. Phường 9.edu.vn Email: ispace@ispace.

Phường 9.vn Tel: (848) 6267 8999 . Quận 5.ispace.vn Email: ispace@ispace.Fax: (848) 6283 7867 Điền đầy đủ thông tin của user  chọn Test Account Settings … Click close (ở bước này nếu không Complete được thì chúng ta qua máy Mail server tắt FireWall) Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 81 . TpHCM Website: www.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.

TpHCM Website: www.ispace. Sau đó gửi mail qua lại ok thì chúng ta tiến hành tới bước tiếp theo Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 82 .vn Tel: (848) 6267 8999 . Phường 9.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.edu. Quận 5.Fax: (848) 6283 7867 Chọn Next  Finish User còn lại cũng cấu hình tương tự.

Phường 9.vn Tel: (848) 6267 8999 .edu.Fax: (848) 6283 7867 User đã nhận được mail từ user kia gửi cho Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 83 . Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Email: ispace@ispace.ispace. TpHCM Website: www.

vn Tel: (848) 6267 8999 ..Fax: (848) 6283 7867 Tiến hành xin CA Vào Start  Run  Gõ mmc Chọn File  Add/Remove snap-in.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.vn Email: ispace@ispace. Phường 9. Quận 5.ispace. (có thể sử dụng phím tắt Ctrl + M) Chọn Certificates  Add >  OK Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 84 .edu.

vn Tel: (848) 6267 8999 .edu. Quận 5.edu. Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 85 .vn Email: ispace@ispace. TpHCM Website: www.Fax: (848) 6283 7867 Chọn Personal  All Tasks  Request New Certifecate….ispace. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

TpHCM Website: www.vn Tel: (848) 6267 8999 .edu.Fax: (848) 6283 7867 Chọn Next Chọn mục User  Enroll Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 86 . Quận 5.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Email: ispace@ispace. Phường 9.ispace.

vn Tel: (848) 6267 8999 .vn Email: ispace@ispace. Quận 5.Fax: (848) 6283 7867 Chọn Finish User kia cũng Request Certificate tương tự Sau khi hoàn tất các bước này.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace. ta tiến hành kiểm tra trên CA Server sẽ thấy trong mục Issued Certificates xuất hiện 2 Digital Certificate mà CA Server đã cấp cho 2 người dùng trongcnh và bao Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 87 . TpHCM Website: www.edu. Phường 9.

Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Email: ispace@ispace. TpHCM Website: www. Phường 9.edu.vào Tools  Trust Center  E-mail Security (Chọn theo hình)  OK Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 88 .vn Tel: (848) 6267 8999 .Fax: (848) 6283 7867 Tiến hành gữi mail trao đỗi Public Key giữu 2 User trongcnh & bao Mở outook lên .ispace.

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

User còn lại cũng tương tự cấu hình như trên.

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 89

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Vào soạn mail gửi thì nhận được thông báo như vậy thì chúng ta chọn Send Unentrypted

Mail bên kia nhận được đã có chữ ký số

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 90

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chúng ta sẽ Relay mail này, Sẽ nhận được mail mã hóa nội dung và kèm chữ ký số.

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 91

1. TCP. IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu. sau đó dùng những thông tin lấy được để truy cập hợp pháp vào một ngày nào đó. các công cụ bắt và phân tích gói được xây dựng với tính năng mạnh và phát hành rộng rãi. do đó. Phường 9. có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP.2. Vào thời điểm thiết kế giao thức này. Giới thiệu IPSEC Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay. người nhận không hề hay biết và vẫn tin rằng đấy là thông tin hợp pháp.UDP và cả các giao thức ứng dụng) được mô tả công khai. Về nguyên tắc.  Cả hai loại ESP và AH đều kiểm tra tính tích hợp của các thông tin chuyển giao.Fax: (848) 6283 7867 2. nhưng không mã hóa. TpHCM Website: www. và được gửi đi sau đó đến đúng địa chỉ người nhận. bắt đầu từ giao thức IP là một nhu cầu cấp bách.edu. ai cũng có thể phân tích gói để đọc phần dữ liệu chứa bên trong.  Tich hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào bị chỉnh sửa.… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet. vấn đề bảo mật thông tin chưa thật sự được quan tâm. NetBEUI.  ESP cũng mã hóa địa chỉ nguồn và địa chỉ đích như một phần của việc mã hóa thông tinchuyển giao. bắt được gói IP trên mạng. đó là chưa kể hiện nay.ispace.vn Tel: (848) 6267 8999 . Apple talk. IPSEC quy định cho cả hai bên tham gia giao tiếp phải xác định chính mình trong suốt quy trình giao tiếp.edu. IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP. và xác nhận số các Packet.  Tạo sự tin cậy qua việc mã hóa. các giao thức trong bộ TCP/IP hầu như không được trang bị bất cứ giao thức nào. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Cấu hình dịch vụ IPSEC 2. IPSEC có khả năng cung cấp:  Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp. IPSEC có 2 chẽ độ  Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóa dùng nhiều thuật toán  khác nhau. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 92 . Hay nói cách khác. nhằm làm cho attacker không thể sử dụng lại các dữ liệu đã chặn được. với ý đồ bất hợp pháp. Việc bổ sung các cơ chế bảo mật vào mô hình TCP/IP. Nếu mộtgói tin đã chỉnh sửa.2. kết quả gói tin sẽ bị loại. Cấu trúc gói dữ liệu (IP. IPSEC dùng kĩ thuật đánh số liên tiếp cho các Packet Data của mình (Sequence numbers). TPX/SPX.vn Email: ispace@ispace. và Authentication Header (AH) xác nhận các thông tin chuyển giao. thì các xác nhận số sẽ không trùng khớp. chỉnh sữa. Quận 5. đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng. Dùng Sequence numbers còn giúp bảo vệ chống việc chặn và đánh cắp dữ liệu.  Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ bị attacker  chặn.

vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 93 . Chuyển qua máy trạm vào mục Trust CA ta thấy Certificate anninhmang-AD-CA.Fax: (848) 6283 7867 2.2.vn Email: ispace@ispace.2. Cấu hình dịch vụ Request Certificate lên CA Server Trên máy Domain Controller  Start  Run  mmc  add Certificate (Computer) Nếu chưa có ta tiến hành Request Certificate lên CA Server để xin CA. Điều này chứng tỏ máy trạm member đã tin tưởng CA Server. Phường 9.edu.ispace. Quận 5. TpHCM Website: www. Nếu không có thì Restart lại máy.

vn Tel: (848) 6267 8999 .edu. TpHCM Website: www. Phường 9.Fax: (848) 6283 7867 Lúc này ta tiến hành xin Certificate cho máy trạm (thực hiện trên máy trạm) chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 94 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace.edu. Quận 5.vn Email: ispace@ispace.

vn Email: ispace@ispace. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Tel: (848) 6267 8999 .edu. TpHCM Website: www. Phường 9.Fax: (848) 6283 7867 Chọn Next Chọn vào mục Computer  Enroll Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 95 .ispace.

Quận 5.vn Tel: (848) 6267 8999 .ispace. TpHCM Website: www.vn Email: ispace@ispace. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 96 .edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Chọn Finish Lúc này ta thấy xuất hiện Certificate cho máy trạm này.edu. Phường 9.

vn Email: ispace@ispace. Phường 9.Fax: (848) 6283 7867 Tạo và cấu hình IPSEC trên máy trạm. TpHCM Website: www.edu. Vào Programs Local Security Policy Chọn IP Secutrity Policies on Local Computer click phải chọn Manage IP filter lists and filter actions… Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 97 .ispace. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 .edu.

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chọn Add

Đặt tên cho IP Filter List  Add

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 98

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chọn Next

Chọn Next

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 99

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chọn giao thức cho IP Traffic Source là Any Next

Chọn giao thức cho IP Traffic Destination là Any  Next

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 100

ispace. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 IP Protocol Type  Next Chọn Finish Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 101 .vn Email: ispace@ispace. TpHCM Website: www.edu.vn Tel: (848) 6267 8999 . Quận 5.edu.

vn Email: ispace@ispace.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu. TpHCM Website: www.ispace. Quận 5.vn Tel: (848) 6267 8999 . Phường 9.Fax: (848) 6283 7867 Chuyển qua thẻ Manage Filter Actions  Add Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 102 .

Fax: (848) 6283 7867 Đặt tên cho Filter Actions Name  Next Chọn Negotiate security  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 103 .vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Tel: (848) 6267 8999 . Quận 5. TpHCM Website: www.edu. Phường 9.ispace.

edu.vn Email: ispace@ispace.Fax: (848) 6283 7867 Chọn do not allow unsecured communication  Next Chọn Integrity and encryption  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 104 .vn Tel: (848) 6267 8999 .ispace. Phường 9. Quận 5. TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.

Fax: (848) 6283 7867 Chọn finish Hoàn thành tạo một Action Tạo một IP Security Click phải chọn Create IP Security Policy… Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 105 .vn Email: ispace@ispace. Quận 5. Phường 9.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Tel: (848) 6267 8999 . TpHCM Website: www.ispace.

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.vn Email: ispace@ispace. Quận 5.Fax: (848) 6283 7867 Chọn Next Đặt tên cho IP Security Policy Name  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 106 .vn Tel: (848) 6267 8999 .edu.ispace.edu. Phường 9.

vn Email: ispace@ispace.ispace.vn Tel: (848) 6267 8999 .Fax: (848) 6283 7867 Chọn Next Chọn Finish Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 107 .edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5. Phường 9.edu. TpHCM Website: www.

vn Tel: (848) 6267 8999 .Fax: (848) 6283 7867 Chọn Add Để tạo Rule Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 108 .vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.edu.ispace. TpHCM Website: www. Phường 9.edu.

Quận 5.vn Email: ispace@ispace. TpHCM Website: www.ispace.Fax: (848) 6283 7867 Chọn Next Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 109 .edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9.edu.vn Tel: (848) 6267 8999 .

Quận 5. Phường 9.edu.ispace. TpHCM Website: www.vn Tel: (848) 6267 8999 .vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.Fax: (848) 6283 7867 Chọn Next Chọn Use a certificate from this certification authority (CA)  Browse Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 110 .

edu.vn Email: ispace@ispace.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9. TpHCM Website: www. Quận 5.ispace.Fax: (848) 6283 7867 Chọn OK Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 111 .vn Tel: (848) 6267 8999 .

Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.Fax: (848) 6283 7867 Chọn Next Chọn Finish để hoàn thành Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 112 .edu.vn Tel: (848) 6267 8999 .edu.ispace.vn Email: ispace@ispace. Quận 5.

Fax: (848) 6283 7867 Tạo và cấu hình IPSec trên máy DC tương tự như máy trạm này.edu. Quận 5. Phường 9. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 113 .vn Email: ispace@ispace.ispace.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.vn Tel: (848) 6267 8999 .

Thì ta tiến hành Assign và ping test. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Sau khi cấu hình xong cho 2 máy trên.vn Email: ispace@ispace. TpHCM Website: www. Phường 9.ispace.edu. Nếu Relay là thành công. Trước khi tiến hành Assign Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 114 .vn Tel: (848) 6267 8999 .edu.

edu. Quận 5. Phường 9. TpHCM Website: www.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Sau khi tiến hành Assign Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 115 .ispace.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 .

tránh nguy cơ bị can thiệp. Chứng chì số SSL cài trên Website của doanh nghiệp cho phép khách hàng khi truy cập có thể xác minh được tính xác thực. TpHCM Website: www. Giới thiệu SSL SSL – Secure Sockets Layer là một tiêu chuẩn an ninh công nghệ toàn cầu giúp tạo ra một kết nối được mã hóa an toàn giữa Web Server và Web Browser.Fax: (848) 6283 7867 2.edu.1.3. Phường 9. Cấu hình dịch vụ Cài dịch vụ IIS Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 116 .edu.3. Kết nối này giúp đảm bảo tất cả các dữ liệu trao đổi giữa Web Server và Web Browser luôn được bảo mật và an toàn. thông tin trao đổi giữa Website và khách hàng được mã hóa.3.ispace. đảm bảo mọi dữ liệu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.vn Tel: (848) 6267 8999 . độ tin cậy của Website. 2.2.vn Email: ispace@ispace. Cấu hình dịch vụ Web sử dụng SSL 2.

Fax: (848) 6283 7867 Chọn Install Cấu hình xin Certificate trên IIS Chọn Server Certificates trong IIS Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 117 .ispace. TpHCM Website: www.vn Tel: (848) 6267 8999 .vn Email: ispace@ispace.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.edu. Phường 9.

TpHCM Website: www.ispace. Nhập thông tin cần thiết  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 118 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.edu.Fax: (848) 6283 7867 Chọn Create Certificate Request…. Phường 9. Quận 5.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 .

vn Email: ispace@ispace.ispace.txt Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 119 .edu.Fax: (848) 6283 7867 Chọn  Next Lưu file thành C:\Users\Administrator\Documents\recer.vn Tel: (848) 6267 8999 . TpHCM Website: www. Quận 5.edu. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

TpHCM Website: www.vn Tel: (848) 6267 8999 .edu.edu. Phường 9.ispace.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.Fax: (848) 6283 7867 Kết nối lên CA Server để Request a Certificate Chọn Advanced certificate request Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 120 .

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.txt Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 121 .Fax: (848) 6283 7867 Chọn Submit a certificate request by using a base… Mở file recer. Quận 5. Phường 9. TpHCM Website: www.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 .edu.edu.ispace.

edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.Fax: (848) 6283 7867 Copy nội dung rồi paste vào mục Saved Request Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 122 .ispace.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . Quận 5. Phường 9.edu.

edu. Phường 9. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5. TpHCM Website: www.vn Tel: (848) 6267 8999 .vn Email: ispace@ispace.Fax: (848) 6283 7867 Mục Certificate Template chọn Web Server ---> Submit Chọn Download certificate chain Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 123 .ispace.edu.

Phường 9.edu. TpHCM Website: www.Fax: (848) 6283 7867 Save file Vào lại giao diện IIS Server Certificates Chọn vào mục Complete Certificates Request Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 124 .vn Email: ispace@ispace.vn Tel: (848) 6267 8999 .ispace. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.

TpHCM Website: www.ispace.edu. Quận 5. Phường 9.vn Tel: (848) 6267 8999 .vn Email: ispace@ispace.Fax: (848) 6283 7867 Chọn …. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu. chỉ tới file vừa save lúc nãy  Next Vào Site Bindings  Add Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 125 .

vn Email: ispace@ispace. Phường 9.Fax: (848) 6283 7867 Chọn theo hình Tiến hành test Web  chọn Continue to this website Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 126 .vn Tel: (848) 6267 8999 . TpHCM Website: www.edu. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.ispace. Quận 5.

Quận 5. Phường 9. TpHCM Website: www.edu.Fax: (848) 6283 7867 Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 127 .vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 .ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

edu. Giới thiệu SSTP Secure Socket Tunneling Protocol (SSTP) là một dạng mới của kết nối VPN với những tính năng cho phép dữ liệu đi qua các firewalls mà những firewalls đó chặn PPTP và L2TP/IPsec.1. Quận 5. SSTP cung cấp cơ chế đóng gói lưu lượng PPP qua kênh SSL của giao thức HTTPS. Sử dụng HTTPS nghĩa là lưu lượng sẽ được luân chuyển thông qua TCP port 443.vn Email: ispace@ispace. Sử dụng HTTPS cho phép hỗ trợ các phương thức chứng thực mạnh mẽ như EAP- TLS.vn Tel: (848) 6267 8999 . TpHCM Website: www. Cấu hình dịch vụ Cài dịch vụ Web Server (IIS) Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 128 .Fax: (848) 6283 7867 2.4.ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9. 2.2.edu. một port thường được sử dụng cho việc truy cập web.4.4. mã hóa và kiểm tra tính toàn vẹn. Secure Sockets Layer (SSL) cung cấp cơ chế bảo mật ở tầng transport với trao đổi khóa nâng cao. Cấu hình dịch vụ VPN sử dụng giao thức SSTP 2.

edu.vn Email: ispace@ispace. Phường 9.ispace.vn Tel: (848) 6267 8999 . TpHCM Website: www.edu. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 chọn Close Chúng ta vào Web Server (IIS)  chọn Server Certificates Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 129 .

vn Email: ispace@ispace. Quận 5.Fax: (848) 6283 7867 Chọn Create Domain Certificate …. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.edu.ispace. Phường 9.edu.com  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 130 . Quan trọng nhất là Common name ở đây tôi đặt là ad.anninhmang. Điền những thông tin cần thiết.vn Tel: (848) 6267 8999 .

Chọn OK Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 131 . Quận 5.vn Tel: (848) 6267 8999 . TpHCM Website: www..edu..vn Email: ispace@ispace.edu. Phường 9.ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Mục này chọn Select.

Fax: (848) 6283 7867 Đặt tên cho Friendly name  Finish Tiến hành cài Role Remote Access  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 132 .ispace. Phường 9.vn Tel: (848) 6267 8999 .edu. TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.vn Email: ispace@ispace.edu.

TpHCM Website: www.vn Tel: (848) 6267 8999 .edu.vn Email: ispace@ispace.ispace. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Chọn mục Routing và DirectAccess and VPN (RAS)  Next Chọn Restart  Yes  Install Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 133 .edu. Phường 9.

vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9.edu.ispace. TpHCM Website: www. Quận 5.edu.vn Tel: (848) 6267 8999 .Fax: (848) 6283 7867 Chọn Close Làm theo như hình bên dưới Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 134 .

Quận 5. chọn Configure and Enable Routing and Remote Access Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 135 .Fax: (848) 6283 7867 Bảng Configure Remote Access hiện ra . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.edu. chọn Deploy VPN only Chuột phải AD . TpHCM Website: www.vn Tel: (848) 6267 8999 .ispace.vn Email: ispace@ispace. Phường 9.

vn Email: ispace@ispace. Quận 5.Fax: (848) 6283 7867 Chọn Next Chọn Vitual Private Network (VPN) access and NAT  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 136 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu. Phường 9.ispace.edu. TpHCM Website: www.vn Tel: (848) 6267 8999 .

vn Email: ispace@ispace.edu. Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.edu.vn Tel: (848) 6267 8999 . Phường 9.ispace. TpHCM Website: www.Fax: (848) 6283 7867 Chọn interface của đường mạng ngoài (External) sau đó click Next Ở mục này nếu Server có cấu hình DHCP thì chọn Automatically nếu không có cấu hình DHCP thì chọn theo hình sau đó Click Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 137 .

edu. Phường 9. Quận 5.edu.Fax: (848) 6283 7867 Sau đó chọn New đặt ip khởi đầu và kết thúc (tùy vào nhu cầu của hệ thống mà đặt ip này cho phù hợp)  OK Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 138 .vn Tel: (848) 6267 8999 .vn Email: ispace@ispace. TpHCM Website: www.ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

Fax: (848) 6283 7867 Chọn Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 139 .edu.ispace. Quận 5. Phường 9.vn Email: ispace@ispace. TpHCM Website: www.edu.vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.

TpHCM Website: www.Fax: (848) 6283 7867 Chọn Finish Chọn OK Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 140 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9. Quận 5.ispace.edu.vn Tel: (848) 6267 8999 .edu.vn Email: ispace@ispace.

edu. TpHCM Website: www.vn Tel: (848) 6267 8999 .edu.Fax: (848) 6283 7867 Chọn IPv4  NAT Nhấp đúp vào card mạng ở ngoài (External) Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 141 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Email: ispace@ispace. Quận 5. Phường 9.ispace.

ispace.edu. Phường 9.edu.vn Email: ispace@ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 . Quận 5.Fax: (848) 6283 7867 Chuyển sang tab Services and Ports  Chọn Web Server (HTTP) Điền IP máy CA Server vào đây  OK Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 142 . TpHCM Website: www.

edu.ispace. Quận 5. Phường 9.Fax: (848) 6283 7867 Chọn OK Ta chuyển qua máy DC để tạo 1 user kết nối VPN Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 143 .edu. TpHCM Website: www.vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Email: ispace@ispace.

Fax: (848) 6283 7867 Ta chuyển sang máy Client . Tạo một kết nối.edu. Chọn Connect to a workplace  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 144 . chọn vào đường dẫn C:\Windows\System32\drivers\etc để mở file host .ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. TpHCM Website: www.edu. Phường 9. Sau khi điền xong thì ta SAVE lại. rồi xuống dòng dưới cùng điền IP card mạng ngoài và tên máy.vn Tel: (848) 6267 8999 .vn Email: ispace@ispace. Quận 5.

Phường 9. TpHCM Website: www. Quận 5.ispace.edu.vn Tel: (848) 6267 8999 . TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Email: ispace@ispace.Fax: (848) 6283 7867 Chọn Use my Internet connection (VPN) Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 145 .edu.

vn Email: ispace@ispace. TpHCM Website: www. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Quận 5.edu.Fax: (848) 6283 7867 Ta chọn dòng dưới Điền thông tin  Next Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 146 .edu.ispace. Phường 9.vn Tel: (848) 6267 8999 .

vn Email: ispace@ispace. Password. và Domain  Create Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 147 .edu. Quận 5.edu.ispace. TpHCM Website: www.vn Tel: (848) 6267 8999 .Fax: (848) 6283 7867 Điền User name. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9.

ispace.edu. Phường 9.edu. TpHCM Website: www.vn Email: ispace@ispace.vn Tel: (848) 6267 8999 . Quận 5. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.Fax: (848) 6283 7867 Tiến hành kết nối VPN Chọn Connect Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 148 .

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.ispace.vn Email: ispace@ispace.edu. Phường 9.vn Tel: (848) 6267 8999 .edu.Fax: (848) 6283 7867 Bây giờ ta tiến hành lên Web xin Certificate Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 149 . TpHCM Website: www. Quận 5.

vn Email: ispace@ispace. Quận 5. TpHCM Website: www.Fax: (848) 6283 7867 Download a CA…. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh. Phường 9.ispace.edu.edu. Download CA certificate Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 150 .vn Tel: (848) 6267 8999 .

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Lưu Certificate mới xin

Vào Start  Run  mmc  chọn Computer account
Vào mục Trusted Root… kiểm tra và Import CA lúc nãy ta xin ở trên vào sẻ được như trong hình.

Quay trở lại giao diện kết nối VPN  Disconnect
Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 151

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Sau đó Properties

Chọn thẻ Security Type of VPN: Secure Socket Tunneling Protocol (SSTP)  OK

Chọn Connect

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 152

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
137C Nguyễn Chí Thanh, Phường 9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Click phải chọn Status thẻ Details

Thấy hiện đường mạng ảo mà ta đặt lúc này bên trong là cấu hình thành công.

Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 153

nhằm tăng hiệu quả và độ an toàn. Ứng dụng hạ tầng khóa công khai PKI trong thương mại điện tử.  Về mô phỏng và kết quả thử nghiệm: Đã hoàn thành việc mô phỏng hoạt động cơ bản của một hệ thống khóa PKI. Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 154 .1 Kết quả : Đề tài “An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 - PKI” là một đề tài khó và mở rộng. Quận 5. định nghĩa về hàm băm (hàm băm. cũng như mức độ phức tạp của đề tài.  Về lý thuyết: đồ án trình bày những khái niệm. Cải thiện việc gửi dữ liệu client và xử lý tại server để thời gian hoạt động của cả hệ thống là nhanh nhất và hiệu quả của hệ thống là tốt nhất có thể. CA. V. đặc điểm cơ bản của một hệ thống PKI.DSA.edu. Cấp phát khóa và kiểm tra chữ ký số (RSA.Fax: (848) 6283 7867 Chương V: Kết luận V. Phường 9. xác thực và thu hồi chứng chỉ số.2 Hướng phát triển của đề tài: Tiếp tục hoàn thiện các chức năng.….…) về ưu nhược điểm của từng thuật toán.  Mặc dù đã hết sức cố gắn nhưng trình dộ chuyên môn và thời gian thực hiện đồ án còn hạn hẹp. MD5. tìm hiểu. Ngoài ra.ispace. xây dựng ứng dụng đồ án đã hoàn thành các nhiệm vụ được đặt ra. có thể tìm hiểu thêm để tích hợp các dịch vụ trên trong môi trường Linux.vn Email: ispace@ispace. nên kết quả đặt được còn gặp phải một số khiếm khuyết. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.vn Tel: (848) 6267 8999 . Cấp phát.edu. TpHCM Website: www. Trong thời gian nghiên cứu.).

Fax: (848) 6283 7867  Tài liệu tham khảo (1) Windows Server 2012 PKI and Certificate Security . network security symmetric encryption . DANH MỤC TỪ VIẾT TẮT AES Advanced Encryption Standard CA Certificate Authority CLR Certificate Revocation List DC Domain Controller DES Data Encryption Standard DESX Data Encryption Standard XORed DSA Digital Signature Algorithm IPSEC IP Security MD5 Message Digest 5 OCSP Online Certificate Status Protocol PKI Public Key Infrastructure RC2 Rivest’s Cipher version 2 RA Registration Authority RSA Rivest Shamir Adleman SHA Secure Hash Algorithm SSL Secure Sockets Layer SSTP Secure Socket Tunneling Protocol Đề tài: An Toàn Thông Tin Mạng Doanh Nghiệp Với Windows Server 2012 – PKI 155 .net (10) Và tham khảo một số nguồn khác trên Internet.com (7) https://www.com (6) http://johncuongit.wordpress.edu.Khoa Khoa học và Kỹ thuật Máy tính Đại học Bách Khoa Tp.com (5) https://manthang.ispace. TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 137C Nguyễn Chí Thanh.wikipedia.Brian Komar (2) Network security symmetric encryption.wordpress. Phường 9.Mai Xuân Phú (3) Mã hóa và các giao thức trao đổi khóa .microsoft. TpHCM Website: www.edu.vn Tel: (848) 6267 8999 .HCM (4) https://www.org (8) http://quantrimang.vn Email: ispace@ispace. Quận 5.com (9) http://anninhmang.