Enterprise certificate authority
Enterprise certificate authority
& key recovery agent
& key recovery agent
PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY
I - Nội dung:
- Cài đặt Enterprise Root CA.
- Cấp Certificate cho user. User dùng certificate để signing và encrypt mail.
- User export key.
- Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt.
- User import key. Khả năng đọc và mã hóa dữ liệu của user được phục hồi như cũ.
II - Chuẩn bị:
Yêu cầu hệ thống: 01 máy Windows Sever 2003 làm Domain Controller
1. Tạo các object trong Active Directory: Log
on Administrator
a. Chỉnh Password Policy.
b. Tạo OU TestCA. Trong OU TestCA,
tạo user U1 (display name: Cu Ti,
password: 123)
c. Khai báo Email address trong properties của U1:
d. Cho user U1 làm thành viên của group Print Operators (để U1 có quyền log on locally
vào domain controller)
2. Cài đặt và cấu hình mail server:
a. Cài MDaemon 6.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
9
b. Khai báo domain: Trong cửa sổ MDaemon 6  menu Setup  Primary domain 
Nhập domain name và HELO domain. (VD: NhatNghe.com)
c. Tạo mail box cho user U1: Trong cửa sổ MDaemon 6  Menu Accounts  New
account  Nhập Full name: “Cu Ti”, Mailbox name: “U1”, Password “123”.
3. Tạo, kiểm tra và cấu hình mail account của U1: Log on U1.

console trên desktop với tên
“U1_Cert.msc”
c. Log on U1,
gửi mail có
signing và
encrypt (cho
chính mình)
3. User export key: Mở Console “U1_Cert.msc” đã lưu ở bước 2b. Click chuột phải trên
Certificate của U1 chọn Export
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
12
Trong hộp thọai Certificate Export Wizard, chọn “Yes, Export Private key”  Next  chọn
“Personal Info…” và “Enable strong…”  Next  nhập password 123, confirm password 123 
Next  nhấn nút Browse, tạo folder C:\CertKey, đặt tên file là “CuTi.pfx”  Next  chọn “Place
all certifictaes…”: Personal  Next  Finish
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
13
4. Giả lập key bị thất lạc:
a. Log on administrator. Xóa profile của user U1.
b. Log on U1 xem lại mail đã signing và encrypt trước đó.
5. User import key:
a. Log on U1, tạo lại console U1_Cert (xem 2b), dùng console certificate để import key
từ file pfx.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
14
b. Xem lại mail đã signing và encrypt trước đó.
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
15
PHẦN 2: KEY RECOVERY AGENT
I - Nội dung:

Cấp Certificate cho KRA:
Start  Programs  Administrative
Tools  Certification Authority
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
19
d. KRA install certificate: Mở chương trình IE, nhập địa chỉ: http://localhost/certsrv 
View the status of a pending certificate request  Key Recovery Agent Certificate…
 Install this certificate  Yes
e.
e.
e.
e.
e.
e. Cấu hình thuộc tính archive the
key cho KRA: Start 
Programs 
Administrative Tools  Certification
Authority  Properties của root CA
 trong tab Recovery Agents, chọn
option “Archive the key”, chọn
nút Add  chọn KRA certificate 
OK  Yes để restart
Certificate Services
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
20
Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
21
3. User dùng certificate để sign & encrypt mail:
a. User xin enterprise certificate: Log on U1, thực hiện tương tự phần 1 nhưng chọn
certificate template UserVersion2 do Admin mới tạo.