ĈӅ tài khoa hӑc cҩp trѭӡng Trin khai các dch vda trên CA Trang 1 I. Giӟi thi Ӌu Ngày nay, viӋc giao tiӃp qua mҥng Internet ÿang trӣ thành mӝt nhu cҫu cҩp thiӃt. Các thông tin truyӅn trên mҥng ÿӅu rҩt quan trӑng, nhѭ mã sӕ tài khoҧn, thông tin Pұt... Tuy nhiên, vӟi các thӫ ÿRҥn tinh vi, nguy cѫ bӏăn cҳp thông tin qua mҥng cNJng ngày càng gia tăng. HiӋn giao tiӃp qua Internet chӫ yӃu sӱ dөng giao thӭc TCP/IP. Ĉây là giao thӭc cho phép các thông tin ÿѭӧc gӱi tӯ máy tính này tӟi máy tính khác thông qua mӝt loҥt các máy trung gian hoһc các mҥng riêng biӋt. Chính ÿLӅu này ÿã Wҥo cѫ hӝi cho nhӳng ''kҿ trӝm'' công nghӋ cao có thӇ thӵc hiӋn các hành ÿӝng phi pháp. Các thông tin truyӅn trên mҥng ÿӅu có thӇ bӏ nghe trm (Eavesdropping), giPo (Tampering), Po danh (Impersonation) .v.v. Các biӋn pháp bҧo mұt hiӋn nay, chҷng hҥn nhѭ dùng mұt khҭu, ÿӅu không ÿҧm bҧo vì có thӇ bӏ nghe trӝm hoһc bӏ dò ra nhanh chóng. Do vұy, ÿӇ bҧo mұt, các thông tin truyӅn trên Internet ngày nay ÿӅu có xu hѭӟng ÿѭӧc mã hoá. Trѭӟc khi truyӅn qua mҥng Internet, ngѭӡi gӱi mã hoá thông tin, trong quá trình truyӅn, dù có ''chһn'' ÿѭӧc các thông tin này, kҿ trӝm cNJng không thӇ ÿӑc ÿѭӧc vì bӏ mã hoá. Khi tӟi ÿích, ngѭӡi nhұn sӁ sӱ dөng mӝt công cө ÿһc biӋt ÿӇ giҧi mã. Phѭѫng pháp mã hoá và bҧo mұt phә biӃn nhҩt ÿang ÿѭӧc thӃ giӟi áp dөng là chӭng chӍ sӕ (Digital Certificate). Vӟi chӭng chӍ sӕ, ngѭӡi sӱ dөng có thӇ mã hoá thông tin Pӝt cách hiӋu quҧ, chӕng giҧ mҥo (cho phép ngѭӡi nhұn kiӇm tra thông tin có bӏ thay ÿәi không), xác thӵc danh tính cӫa ngѭӡi gӱi. Ngoài ra chӭng chӍ sӕ còn là Eҵng chӭng giúp chӕng chӕi cãi nguӗn gӕc, ngăn chһn ngѭӡi gӱi chӕi cãi nguӗn gӕc tài liӋu mình ÿã gӱi. Mӝt cách mã hóa dӳ liӋu ÿҧm bҧo an toàn ÿó là mã hóa khóa công khai. ĈӇ Vӱ dөng ÿѭӧc cách mã hóa này, cҫn phҧi có mӝt chӭng chӍ sӕ tӯ tә chӭc quҧn trӏ ÿѭӧc Jӑi là nhà cung cҩp chӭng chӍ sӕ ( certification authority – CA). II. Cѫ sӣ hҥ tҫng khóa công khai II.1 Khái niӋm 0ӝt PKI (public key infrastructure) cho phép ngѭӡi sӱ dөng cӫa mӝt mҥng công Fӝng không bҧo mұt, chҷng hҥn nhѭ Internet, có thӇ trao ÿәi dӳ liӋu và tiӅn mӝt cách an toàn thông qua viӋc sӱ dөng mӝt cһp mã khoá công khai và cá nhân ÿѭӧc cҩp phát và sӱ dөng qua mӝt nhà cung cҩp chӭng thӵc ÿѭӧc tín nhiӋm. NӅn tҧng khoá công khai cung cҩp mӝt chӭng chӍ sӕ, dùng ÿӇ xác minh mӝt cá nhân hoһc tә chӭc, và các Gӏch vө danh mөc có thӇ lѭu trӳ và khi cҫn có thӇ thu hӗi các chӭng chӍ sӕ. Mһc dù các thành phҫn cѫ bҧn cӫa PKI ÿӅu ÿѭӧc phә biӃn, nhѭng mӝt sӕ nhà cung cҩp ÿang muӕn ÿѭa ra nhӳng chuҭn PKI riêng khác biӋt. Mӝt tiêu chuҭn chung vӅ PKI trên Internet cNJng ÿang trong quá trình xây dӵng. 0ӝt cѫ sӣ hҥ tҫng khoá công khai bao gӗm:
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 1
I. Gi i thi uNgày nay, vi c giao ti p qua m ng Internet ang tr thành m t nhu c u c p thi t.
Các thông tin truy n trên m ng u r t quan tr ng, nh mã s tài kho n, thông tint... Tuy nhiên, v i các th n tinh vi, nguy c b n c p thông tin qua m ng c ng
ngày càng gia t ng. Hi n giao ti p qua Internet ch y u s d ng giao th c TCP/IP.ây là giao th c cho phép các thông tin c g i t máy tính này t i máy tính khác
thông qua m t lo t các máy trung gian ho c các m ng riêng bi t. Chính u này ão c h i cho nh ng ''k tr m'' công ngh cao có th th c hi n các hành ng phi
pháp. Các thông tin truy n trên m ng u có th b nghe tr m (Eavesdropping), gio (Tampering), o danh (Impersonation) .v.v. Các bi n pháp b o m t hi n nay,
ch ng h n nh dùng m t kh u, u không m b o vì có th b nghe tr m ho c b dòra nhanh chóng. Do v y, b o m t, các thông tin truy n trên Internet ngày nay u có xu h ng
c mã hoá. Tr c khi truy n qua m ng Internet, ng i g i mã hoá thông tin, trongquá trình truy n, dù có ''ch n'' c các thông tin này, k tr m c ng không th c
c vì b mã hoá. Khi t i ích, ng i nh n s s d ng m t công c c bi t gi imã. Ph ng pháp mã hoá và b o m t ph bi n nh t ang c th gi i áp d ng làch ng ch s (Digital Certificate). V i ch ng ch s , ng i s d ng có th mã hoáthông tin t cách hi u qu , ch ng gi m o (cho phép ng i nh n ki m tra thông tincó b thay i không), xác th c danh tính c a ng i g i. Ngoài ra ch ng ch s còn là
ng ch ng giúp ch ng ch i cãi ngu n g c, ng n ch n ng i g i ch i cãi ngu n g ctài li u mình ã g i.
M t cách mã hóa d li u m b o an toàn ó là mã hóa khóa công khai. d ng c cách mã hóa này, c n ph i có m t ch ng ch s t t ch c qu n tr ci là nhà cung c p ch ng ch s ( certification authority – CA).
II. C s h t ng khóa công khai
II.1 Khái ni mt PKI (public key infrastructure) cho phép ng i s d ng c a m t m ng công
ng không b o m t, ch ng h n nh Internet, có th trao i d li u và ti n m t cáchan toàn thông qua vi c s d ng m t c p mã khoá công khai và cá nhân c c p phátvà s d ng qua m t nhà cung c p ch ng th c c tín nhi m. N n t ng khoá côngkhai cung c p m t ch ng ch s , dùng xác minh m t cá nhân ho c t ch c, và các
ch v danh m c có th l u tr và khi c n có th thu h i các ch ng ch s . M c dùcác thành ph n c b n c a PKI u c ph bi n, nh ng m t s nhà cung c p angmu n a ra nh ng chu n PKI riêng khác bi t. M t tiêu chu n chung v PKI trênInternet c ng ang trong quá trình xây d ng.
t c s h t ng khoá công khai bao g m:
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 2
• t Nhà cung c p ch ng th c s (CA) chuyên cung c p và xác minh cácch ng ch s . M t ch ng ch bao g m khoá công khai ho c thông tin vkhoá công khai.
• t nhà qu n lý ng ký (Registration Authority (RA)) óng vai trò nhng i th m tra cho CA tr c khi m t ch ng ch s c c p phát t i ng iyêu c u.
• t ho c nhi u danh m c n i các ch ng ch s (v i khoá công khai c a nó)c l u gi , ph c v cho các nhu c u tra c u, l y khoá công khai c a i
tác c n th c hi n giao d ch ch ng th c s .• t h th ng qu n lý ch ng ch .
II.2 Nhà cung c p ch ng th c s CA (Certificate Authority)Trong các h th ng qu n lý ch ng th c s ang ho t ng trên th gi i, Nhà cung
p ch ng th c s (Certificate authority - CA) là m t t ch c chuyên a ra và qu nlý các n i dung xác th c b o m t trên m t m ng máy tính, cùng các khoá công khai
mã hoá thông tin. Là m t ph n trong C s h t ng khoá công khai (public keyinfrastructure - PKI), m t CA s ki m soát cùng v i m t nhà qu n lý ng ký(Registration authority - RA) xác minh thông tin v m t ch ng ch s mà ng iyêu c u xác th c a ra. N u RA xác nh n thông tin c a ng i c n xác th c, CA sauó s a ra m t ch ng ch .
Tu thu c vào vi c tri n khai c s h t ng khoá công khai, ch ng ch s s baom khoá công khai c a ng i s h u, th i h n h t hi u l c c a ch ng ch , tên ch su và các thông tin khác v ch khoá công khai.
II.3 Ch ng ch s
II.3.1 Khái ni mCh ng ch s là m t t p tin n t dùng xác minh danh tính m t cá nhân, m t
máy ch , m t công ty... trên Internet. Nó gi ng nh b ng lái xe, h chi u, ch ng minhth hay nh ng gi y t xác minh cá nhân.
có ch ng minh th , b n ph i c c quan Công An s t i c p. Ch ng ch sng v y, ph i do m t t ch c ng ra ch ng nh n nh ng thông tin c a b n là chính
xác, c g i là Nhà cung c p ch ng th c s (Certificate Authority, vi t t t là CA).CA ph i m b o v tin c y, ch u trách nhi m v chính xác c a ch ng ch smà mình c p.
Trong ch ng ch s có ba thành ph n chính:• Thông tin cá nhân c a ng i c c p.• Khoá công khai (Public key) c a ng i c c p.• Ch ký s c a CA c p ch ng ch .• Th i gian h p l .
Thông tin cá nhân
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 3
ây là các thông tin c a i t ng c c p ch ng ch s , g m tên, qu c t ch, ach , n tho i, email, tên t ch c .v.v. Ph n này gi ng nh các thông tin trên ch ngminh th c a m i ng i.
Khoá công khaiTrong khái ni m m t mã, khoá công khai là m t giá tr c nhà cung c p ch ng
ch a ra nh m t khoá mã hoá, k t h p cùng v i m t khoá cá nhân duy nh t co ra t khoá công khai t o thành c p mã khoá b t i x ng.
Nguyên lý ho t ng c a khoá công khai trong ch ng ch s là hai bên giao d chph i bi t khoá công khai c a nhau. Bên A mu n g i cho bên B thì ph i dùng khoácông khai c a bên B mã hoá thông tin. Bên B s dùng khoá cá nhân c a mình
thông tin ó ra. Tính b t i x ng trong mã hoá th hi n ch khoá cá nhân cóth gi i mã d li u c mã hoá b ng khoá công khai (trong cùng m t c p khoá duynh t mà m t cá nhân s h u), nh ng khoá công khai không có kh n ng gi i mã l ithông tin, k c nh ng thông tin do chính khoá công khai ó ã mã hoá. ây là ctính c n thi t vì có th nhi u cá nhân B,C, D... cùng th c hi n giao d ch và có khoácông khai c a A, nh ng C,D... không th gi i mã c các thông tin mà B g i cho Adù cho ã ch n b t c các gói thông tin g i i trên m ng.
t cách hi u nôm na, n u ch ng ch s là m t ch ng minh th nhân dân, thìkhoá công khai óng vai trò nh danh tính c a b n trên gi y ch ng minh th (g m tên
a ch , nh...), còn khoá cá nhân là g ng m t và d u vân tay c a b n. N u coi m tu ph m là thông tin truy n i, c "mã hoá" b ng a ch và tên ng i nh n c an, thì dù ai ó có dùng ch ng minh th c a b n v i m c ich l y b u ph m này, hng không c nhân viên b u n giao b u ki n vì nh m t và d u vân tay không
gi ng.Ch ký s c a CA c p ch ng chCòn g i là ch ng ch g c. ây chính là s xác nh n c a CA, b o m tính chính
xác và h p l c a ch ng ch . Mu n ki m tra m t ch ng ch s , tr c tiên ph i ki mtra ch ký s c a CA có h p l hay không. Trên ch ng minh th , ây chính là con
u xác nh n c a Công An T nh ho c Thành ph mà b n tr c thu c. V nguyên t c,khi ki m tra ch ng minh th , úng ra u tiên ph i là xem con d u này, bi t ch ngminh th có b làm gi hay không.
II.3.2 L i ích c a ch ng ch sa) Mã hoá
L i ích u tiên c a ch ng ch s là tính b o m t thông tin. Khi ng i g i ã mãhoá thông tin b ng khoá công khai c a b n, ch c ch n ch có b n m i gi i mã cthông tin c. Trong quá trình truy n thông tin qua Internet, dù có c c cácgói tin ã mã hoá này, k x u c ng không th bi t c trong gói tin có thông tingì. ây là m t tính n ng r t quan tr ng, giúp ng i s d ng hoàn toàn tin c y v kh
ng b o m t thông tin. Nh ng trao i thông tin c n b o m t cao, ch ng h n giaoch liên ngân hàng, ngân hàng n t , thanh toán b ng th tín d ng, u c n ph i có
ch ng ch s m b o an toàn.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 4
b) Ch ng gi m o
Khi b n g i i m t thông tin, có th là m t d li u ho c m t email, có s d ngch ng ch s , ng i nh n s ki m tra c thông tin c a b n có b thay i haykhông. B t k m t s s a i hay thay th n i dung c a thông p g c u s b pháthi n. a ch mail, tên domain... u có th b k x u làm gi ánh l a ng i nh n
lây lan virus, n c p thông tin quan tr ng. Tuy nhiên, ch ng ch s thì không thlàm gi , nên vi c trao i thông tin có kèm ch ng ch s luôn m b o an toàn.
c) Xác th c
Khi g i m t thông tin kèm ch ng ch s , ng i nh n - có th là i tác kinh doanh, ch c ho c c quan chính quy n - s xác nh rõ c danh tính c a b n. Có ngh a
là dù không nhìn th y b n, nh ng qua h th ng ch ng ch s mà b n và ng i nh ncùng s d ng, ng i nh n s bi t ch c ch n ó là b n ch không ph i là m t ng ikhác. Xác th c là m t tính n ng r t quan tr ng trong vi c th c hi n các giao d ch n
qua m ng, c ng nh các th t c hành chính v i c quan pháp quy n. Các ho t ngnày c n ph i xác minh rõ ng i g i thông tin s d ng t cách pháp nhân. âychính là n n t ng c a m t Chính ph n t , môi tr ng cho phép công dân có thgiao ti p, th c hi n các công vi c hành chính v i c quan nhà n c hoàn toàn qua
ng. Có th nói, ch ng ch s là m t ph n không th thi u, là ph n c t lõi c a Chínhph n t .
d) Ch ng ch i cãi ngu n g c
Khi s d ng m t ch ng ch s , b n ph i ch u trách nhi m hoàn toàn v nh ngthông tin mà ch ng ch s i kèm. Trong tr ng h p ng i g i ch i cãi, ph nh n m tthông tin nào ó không ph i do mình g i (ch ng h n m t n t hàng qua m ng),ch ng ch s mà ng i nh n có c s là b ng ch ng kh ng nh ng i g i là tác gi
a thông tin ó. Trong tr ng h p ch i cãi, CA cung c p ch ng ch s cho hai bên sch u trách nhi m xác minh ngu n g c thông tin, ch ng t ngu n g c thông tin c
i.e) Ch ký n t
Email óng m t vai trò khá quan tr ng trong trao i thông tin hàng ngày c achúng ta vì u m nhanh, r và d s d ng. Nh ng thông p có th g i i nhanhchóng, qua Internet, n nh ng khách hàng, ng nghi p, nhà cung c p và các i tác.Tuy nhiên, email r t d b c b i các hacker. Nh ng thông p có th b c hay bgi m o tr c khi n ng i nh n.
ng vi c s d ng ch ng ch s cá nhân, b n s ng n ng a c các nguy c nàymà v n không làm gi m nh ng l i th c a email. V i ch ng ch s cá nhân, b n cóth t o thêm m t ch ký n t vào email nh m t b ng ch ng xác nh n c a mình.Ch ký n t c ng có các tính n ng xác th c thông tin, toàn v n d li u và ch ngch i cãi ngu n g c.
Ngoài ra, ch ng ch s cá nhân còn cho phép ng i dùng có th ch ng th c mìnhi m t web server thông qua giao th c b o m t SSL. Ph ng pháp ch ng th c d a
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 5
trên ch ng ch s c ánh giá là t t, an toàn và b o m t h n ph ng pháp ch ngth c truy n th ng d a trên m t kh u.
f) o m t WebsiteKhi Website c a b n s d ng cho m c ích th ng m i n t hay cho nh ngc ích quan tr ng khác, nh ng thông tin trao i gi a b n và khách hàng c a b n
có th b l . tránh nguy c này, b n có th dùng ch ng ch s SSL Server b ot cho Website c a mình.Ch ng ch s SSL Server s cho phép b n l p c u hình Website c a mình theo
giao th c b o m t SSL (Secure Sockets Layer). Lo i ch ng ch s này s cung c pcho Website c a b n m t nh danh duy nh t nh m m b o v i khách hàng c a b n
tính xác th c và tính h p pháp c a Website. Ch ng ch s SSL Server c ng chophép trao i thông tin an toàn và b o m t gi a Website v i khách hàng, nhân viên và
i tác c a b n thông qua công ngh SSL mà n i b t là các tính n ng:+ Th c hi n mua bán b ng th tín d ng.+ B o v nh ng thông tin cá nhân nh y c m c a khách hàng.+ m b o hacker không th dò tìm c m t kh u.
g) m b o ph n m mu b n là m t nhà s n xu t ph n m m, ch c ch n b n s c n nh ng ''con tem
ch ng hàng gi '' cho s n ph m c a mình. ây là m t công c không th thi u trongvi c áp d ng hình th c s h u b n quy n. Ch ng ch s Nhà phát tri n ph n m m scho phép b n ký vào các applet, script, Java software, ActiveX control, các file d ngEXE, CAB, DLL... Nh v y, thông qua ch ng ch s , b n s m b o tính h p pháp
ng nh ngu n g c xu t x c a s n ph m. H n n a ng i dùng s n ph m có th xácth c c b n là nhà cung c p, phát hi n c s thay i c a ch ng trình (do vôtình h ng hay do virus phá, b crack và bán l u...).
i nh ng l i ích v b o m t và xác th c, ch ng ch s hi n ã c s d ng r ngrãi trên th gi i nh m t công c xác minh danh tính c a các bên trong giao d chth ng m i n t . ây là m t n n t ng công ngh mang tính tiêu chu n trên toàn
u, m c dù m i n c có m t s chính sách qu n lý ch ng th c s khác nhau. M iqu c gia u c n có nh ng CA b n a ch ng v các ho t ng ch ng th c strong n c. Nh ng ngoài ra, n u mu n th c hi n TM T v t ra ngoài biên gi i, cácqu c gia c ng ph i tuân theo các chu n công ngh chung, và th c hi n ch ng th cchéo, trao i và công nh n các CA c a nhau.
III. Tri n khai d ch v CA trên môi tr ng Window Server 2003Trên môi tr ng h u hành Windows Server 2003, CA là m t ph n m m c
tích h p s n.
III.1Cài t d ch v CAng nh p vào Windows Server 2003 v i quy n Administrator.
1. Click vào Startà Control Panelà Add Or Remove Programs. H p tho i Add OrRemove Programs xu t hi n.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 6
2. Click Add/Remove Windows Components. H p tho i Add/Remove WindowsComponents xu t hi nà ch n Certificate Services.
3. Click ch nà ch n Details. H p tho i Certificate Services xu t hi n.4. p tho i c nh báo v thành viên domain và ràng bu c i tên máy tính xu t hi nà
click Yes.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 7
5. Trong trang lo i CA, click ch n Enterprise Root CAà click Next.
6. Trên trang thông tin nh n ra CA, trong h p Common name, ánh tên c a serverà clicknext.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 8
7. Trên trang Certificate Database Settings, ng d n m c nh trong h p Certificatedatabase box và Certificate database logà click Next.
8. i nh c d ng Internet Information Services xu t hi nà click Yes.9. Enable Active Server Pages (ASPs)à click Yes.10. Khi quá trình cài t hoàn t tà click Finish.
III.2Các d ch v ch ng ch CA Windows Server 2003 cung c pCh ký n t : d ng xác nh n ng i g i thông p, file ho c d li u
khác. Ch ký n t không h tr b o v d li u khi truy n.Ch ng th c internet: Có th s d ng PKI ch ng th c client và server c
thi t l p n i k t trên internet, vì v y server có th nh n d ng máy client n i k t n nóvà client có th xác nh n ã n i k t úng server.
o m t IP ( IP Security - IPSec): m r ng IPSec cho phép mã hóa và truy nch ký s , nh m ng n ch n d li u b l khi truy n trên m ng. Tri n khai IPSec trênWindows Server 2003 không ph i dùng PKI có c khóa mã hóa c a nó, nh ngcó th dùng PKI v i m c ích này.
Secure e-mail: Giao th c e-mail trên internet truy n thông p mail ch b nrõ, vì v y n i dung mail d dàng c c khi truy n. V i PKI, ng i g i có th b o
t e-mail khi truy n b ng cách mã hóa n i dung mail dùng khóa công khai c ang i nh n. Ngoài ra, ng i g i có th ký lên thông p b ng khóa riêng c a mình.
Smart card logon: Smart card là m t lo i th tín d ng. Windows Server 2003 cóth dùng smart card nh là m t thi t b ch ng th c. Smart card ch a ch ng ch c a
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 9
user và khóa riêng, cho phép ng i dùng logon t i b t k máy nào trong doanhnghi p v i an toàn cao.
Software code signing: K thu t Authenticode c a Microsoft dùng ch ng chch ng th c nh ng ph n m m ng i dùng download và cài t chính xác là c a tác givà không c ch nh s a.
Wireless network authentication: Khi cài t m t LAN wireless, ph i ch c ch nng ch ng i dùng ch ng th c úng thì m i c n i k t m ng và không có ai có
th nghe lén khi giao ti p trên wireless. Có th s d ng Windows Server 2003 PKI o v m ng wireless b ng cách nh n d ng và ch ng th c ng i dùng tr c khi h
truy c p m ng.
III.3 Các lo i CA trên Windows Server 2003Trên windows Server 2003 có hai lo i CA:Enterprise: Enterprise CAs c tích h p trong d ch v Active Directory. Chúng
d ng m u ch ng ch , xu t b n (publish) ch ng ch và CRLs n Active Directory, d ng thông tin trong c s d li u Active Directory ch p nh n ho c t ch i yêuu c p phát ch ng ch t ng. B i v y client c a t ch c CA ph i truy xu t n
Active Directory nh n ch ng ch , nhi u t ch c CA không thích h p cho vi c c pphát ch ng ch cho các client bên ngoài t ch c.
Stand-alone Stand-alone CAs không dùng m u ch ng ch hay Active Directory;chúng l u tr thông tin c c b c a nó. H n n a, m c nh, stand-alone CAs không t
ng áp l i yêu c u c p phát ch ng ch s gi ng nh enterprise CAs làm. Yêu c uch trong hàng i cho ng i qu n tr ch p nh n ho c t ch i b ng tay.
Dù ng i dùng ch n t o ra m t enterprise CA hay là m t stand-alone CA, uph i ch rõ CA là g c (root) hay c p d i (subordinate).
III.4C p phát và qu n lí các ch ng ch s
III.4.1C p phát t ng (Auto-Enrollment)
Auto-Enrollment cho phép client yêu c u t ng và nh n ch ng ch s t CA màkhông c n s can thi p c a ng i qu n tr . dùng Auto-Enrollment thì ph i códomain ch y Windows Server 2003, m t enterprise CA ch y trên Windows Server2003 và client có th ch y Windows XP Professional. u khi n ti n trình Auto-Enrollment b ng s ph i h p c a group policy và m u ch ng ch s .
c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho t t c cácng i dùng và máy tính n m trong domain. cài t, b n m chính sách cài tAuto-Enrollment, n m trong th m c Windows Settings\ Sercurity Settings\PublicKey Policies trong c 2 node Computer Configuration và User Configuration c aGroup Policy Object Editor. H p tho i Autoenrollment Settings Properties xu t hi n,
n có th c m hoàn toàn auto-enrollment cho các i t ng s d ng GPO này. B nng có th cho phép các i t ng thay i ho c c p nh t ch ng ch s c a chúngt cách t ng.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 10
t k thu t khác b n có th dùng u khi n auto-enrollment là xây d ng m uch ng ch có xác nh c tính c a ki u ch ng ch s rõ ràng. qu n lý m u ch ngch s , b n dùng m u ch ng ch s có s n ( Certificate Templates snap-in), nh hình
i. S d ng công c này, b n có th ch rõ th i gian hi u l c và th i gian gia h na lo i ch ng ch s ã ch n, ch n d ch v mã hóa (cryptographic) cung c p cho
chúng. Dùng tab Security, b n c ng có th ch rõ nh ng user và group c phép yêuu ch ng ch s dùng m u này.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 11
Khi client yêu c u m t ch ng ch s , CA ki m tra c tính i t ng ActiveDirectory c a client quy t nh li u client có quy n t i thi u c nh n ch ng chkhông?. N u client có quy n thích h p thì CA s c p phát ch ng ch s m t cách t
ng.
III.4.2C p phát không t ng (Manual Enrollment)
Stand-alone CAs không th dùng auto-enrollment, vì v y khi m t stand-alone CAnh n yêu c u v ch ng ch s t client, nó s l u tr nh ng yêu c u ó vào trong m thàng i cho t i khi ng i qu n tr quy t nh li u có c p phát ch ng ch s haykhông?. giám sát và x lý các yêu c u vào, ng i qu n tr dùng CertificationAuthority console, nh hình sau:
Trong Certification Authority console, t t c yêu c u c p phát ch ng ch s xu thi n trong th m c Pending Request. Sau khi ánh giá thông tin trong m i yêu c u,ng i qu n tr có th ch n ch p nh n (issue) hay t ch i yêu c u. Ng i qu n tr
ng có th xem c tính c a vi c c p phát ch ng ch và thu h i ch ng ch khi c n.
III.4.3Các cách yêu c u c p phát CA
III.4.3.1 S d ng Certificates Snap-in:Certificate Snap-in là m t công c dùng xem và qu n lý ch ng ch c a m t user
ho c computer c th . Màn hình chính c a snap-in bao g m nhi u th m c ch a t t cng m c ch ng ch s c ch nh cho user ho c computer. N u t ch c c a ng i
dùng s d ng enterprise CAs, Certificate Snap-in c ng cho phép ng i dùng yêu c uvà thay i ch ng ch s b ng cách dùng Certificate Request Wizard và CertificateRenewal Wizard.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 12
III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment)Khi b n cài t Certificate Services trên máy tính ch y Windows Server 2003,
ng i dùng có th ch n cài t module Certificate Services Web Enrollment Support. ho t ng m t cách úng n, module này yêu c u ng i dùng ph i cài t IIS
trên máy tính tr c. Ch n module này trong quá trình cài t Certificate Services t ora trang Web trên máy tính ch y CA, nh ng trang Web này cho phép ng i dùng g iyêu c u c p ch ng ch s yêu c u mà h ch n.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 13
Giao di n Web Enrollment Support c dùng cho ng i s d ng bên ngoài ho cbên trong m ng truy xu t n stand-alone CAs. Vì stand-alone server không dùng
u ch ng ch s , client g i yêu c u bao g m t t c các thông tin c n thi t v ch ngch s và thông tin v ng i s d ng ch ng ch s .
Khi client yêu c u ch ng ch s dùng giao di n Web Enrollment Support, chúngcó th ch n t danh sách lo i ch ng ch ã c nh ngh a tr c ho c t o ra ch ngch cao c p b ng cách ch rõ t t c các thông tin yêu c u trong form Web-based.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 14
III.4.4Thu h i ch ng ch s Có vài nguyên nhân c nh báo cho ng i qu n tr thu h i ch ng ch . N u nh khóa
riêng ( private key) b l , ho c ng i dùng trái phép l i d ng truy xu t n CA, th mchí n u b n mu n c p phát ch ng ch dùng tham s khác nh là khóa dài h n, b nph i c thu h i ch ng ch tr c ó. M t CA duy trì m t CRL (CertificateRevocation List). Enterprise CAs xu t b n CRLs c a chúng trong c s d li uActive Directory, vì v y client có th truy xu t chúng dùng giao th c truy n thôngActive directory chu n, g i là Lightweight Directory Access Protocol (LDAP). M tstand-alone CA l u tr CRL c a nó nh là m t file trên a c c b c a server, vì v yclient truy xu t dùng giao th c truy n thông Internet nh Hypertext Transfer Protocol(HTTP) or File Transfer Protocol (FTP).
i ch ng ch s ch a ng d n t i m phân ph i c a CA cho CRLs. Có tha i ng d n này trong Certification Authority console b ng cách hi n th h p
tho i Properties cho CA, click vào tab Extension. Khi m t ng d ng ch ng th c clientang dùng ch ng ch s , nó ki m tra m phân ph i CRL ã nh rõ trong ch ng ch, ch c ch n r ng ch ng ch s không b thu h i. N u CRL không có t i m
phân ph i ã nh rõ c a nó, ng d ng t ch i ch ng ch .ng cách ch n th m c Revoked Certificates trong Certification Authority
console và sau ó hi n th h p tho i Properties c a nó, b n có th ch rõ bao lâu thìCA nên xu t b n m t CRL m i, và c ng c u hình CA xu t b n delta CRLs.M t
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 15
delta CRL là m t danh sách t t c các ch ng ch ã thu h i t khi CRL cu i cùng xu tn. Trong t ch c v i s l ng ch ng ch s l n, s d ng CRLs thay vì CRLs c b n
có th l u m t s l n.
IV. Tri n khai m t s d ch v m ng s d ng CA
IV.1 D ch v Web s d ng SSLSSL-Sercue Socket Layer, là m t giao th c mã hóa cung c p s truy n thông an
toàn trên Internet nh web browsing, e-mail.SSL cung c p s ch ng th c t i các mcu i c a k t n i, kênh truy n thông riêng t trên Internet b ng cách mã hóa. Thôngth ng ch có Server là c ch ng th c, có ngh a là ch có ng i dùng cu i (ng i
d ng, ng d ng, …) bi t rõ mình ang “nói chuy n” v i ai. m c b o m t caon, c hai phía u ph i bi t nhau, ch ng th c l n nhau. Ch ng th c l n nhau yêuu dùng h t ng khóa công khai-PKI.
1) Mô hình d ch v :
Máy Web Server c c u hình d ch v web s d ng SSL b ng cách nh n ch ngch t CA service.
2) u hình d ch v :i Web server yêu c u c p phát ch ng ch :
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 16
c 1: M IIS, click chu t ph i vào website c n c u hình SSL, ch n tabDirectory Security, ch n Server Certificate
c 2: Ch n t o m i m t ch ng ch
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 17
Nh n Next, ch n Prepare for Request now, but send it later và l u yêu c u c pphát xu ng file
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 18
c 3: M Internet Explorer, gõ vào c ch c a CA Service yêu c u c p phátch ng ch qua web
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 19
Ch n Request a Certificate và ch n Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file:
file yêu c u trên và copy n i dung và dán vào ô Saved Request:
u CA Service không c p phát t ng thì vào máy CA c p phát(Issue) choch ng ch v a yêu c u.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 20
Vào l i trang web yêu c u CA, ch n Download Certificate t i ch ng ch v ac c p phát v .
c 4: Quay tr l i IIS, ch n Process the pending request and install thecertificate Import ch ng ch v a có c trên.
Ch n Edit, ch n Require secure channel(SSL) c u hình cho web site dùng SSLkhi có yêu c u k t n i.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 21
3) Minh h a k t qu :Gi s ta có trang web v i n i dung sau c t t i web server và client s k t
i b ng giao th c HTTP xem trang web này.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 22
Khi không dùng SSL, n u dùng các công c b t gói d li u ta có th xem c n idung, còn khi dùng SSL d li u s c mã hóa và không xem c dù b t c góitin.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 23
IV.2 D ch v IPSecIPSec-Internet Protocol Security, là m t giao th c c thi t k b o v d li u
ng ch kí n t và mã hóa tr c khi truy n i.IPSec mã hóa các thông tin tronggói tin IP theo cách óng gói nó, nên ngay c khi b t c các gói tin s không c
c n i dung bên trong.Do IPSec ho t ng t ng m ng nên IPSec t o m t kênh mã hóa liên t c gi a cácm k t n i(end-to-end), ngh a là khi d li u c mã hóa máy g i thì ch c
gi i mã khi t i máy nh n.IPSec Protocol:
a) IP Authentication Header-AH: không mã hóa d li u trong gói tin IP, màch mã hóa ph n header. AH cung c p các d ch v b o m t c b n, d li ucó th c c khi b t gói tin, nh ng n i dung thì không th thay i
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 24
b) IP Encapsulating Security Payload-ESP: mã hóa toàn b n i dung gói tinIP, ng n không cho ng i nghe lén có th c c n i dung khi gói tin dichuy n trên m ng. ESP cung c p các d ch v ch ng th c, m b o toàn v nvà mã hóa d li u.
1) Mô hình d ch v :
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 25
Trong mô hình trên, FTP server là máy tính cung c p các d ch v truy n file trongng, client s k t n i vào server này download và upload các file d li u.Tr c
khi các client t o k t n i thì ph i qua m t quá trình ch ng th c, m b o an toàntrong quá trình này, c ng nh cho n i dung c a các file d li u, ta s tích h p v i d ch
CA.Máy CA Service s cung c p các ch ng ch th c hi n ch ng th c gi a FTPserver và các client.
làm c u này thì máy cung c p d ch v CA c ng óng vai trò là DomainControler, c p các ch ng ch t ng cho các máy khi có yêu c u.
2) Tri n khai d ch v :Ph n này trình bày m t s b c thi t l p chính sách IPSec có s d ng CA cho
mô hình bên trên. Chính sách này t o t i m i máy có yêu c u truy n thông b ngIPSec.
c 1: Trong c a s ch ng trình IP Security Policy, t o m t chính sách m i
c 2: Ch n Next thêm m t lu t m i, trong tab Rule ch n Add thêm m tdanh sách các yêu c u l c trên giao th c IP(IP Filter List)
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 26
c 3: Ch n Add thêm các lu t theo yêu c u c n l c. Gi s ây ta thi t l plu t l c giao th c FTP khi ch ng th c gi a máy hi n t i v i t t các máy khác
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 27
Trong ô From this port, nh p giá tr 21, ây là c ng mà FTP s dùng ch ngth c ng i dùng.
c 4: Nh n oK n c a s Filter Action, ch n Require Security yêu c u d ng IPSec b t c khi nào c n ch ng th c FTP.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 28
c 5: Ch n ph ng pháp ch ng th c, ch n cách ch ng th c b ng CA, nh n nútBrowse d n CA c a mô hình m ng trên.
c 6: V i chính sách v a t o, ch n Assign chính sách c áp d ng.3) Minh h a k t qu :Gi s t client1 k t n i vào FTP Server, khi không dùng IPSec ta s bi t c
username và password khi ng i dùng ch ng th c n u b t c các gói d li u này.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 29
Khi s d ng IPSec, các gói tin s c mã hóa và không c c n i dung.
IV.3 D ch v VPNVPN-Virtual Private Network, là m t m ng riêng dùng m ng công c ng(Internet)
k t n i các m ho c ng i s d ng t i m ng LAN trung tâm.VPN cho phép truy n d li u gi a hai máy tính s d ng môi tr ng m ng công
ng gi ng nh cách có m t ng k t n i riêng gi a hai máy này. t o m t k t n im m(point-to-point), d li u c óng gói(encapsulate), bao b c(wrap) v it header cung c p các thông tin nh tuy n. gi l p m t kênh truy n riêng, d
li u s c mã hóa.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 30
1) Mô hình d ch v :
Trong mô hình này, d ch v VPN s c tri n khai t i v n phòng à L t, ng idùng n i khác nh Hà N i Tp H Chí Minh có th k t n i, truy c p các tài nguyênbên trong m ng LAN t i à L t. Giao th c VPN s d ng L2TP/IPSec, ch ng th c
ng ch ng ch s do CA.2) Tri n khai d ch v :Ph n này s gi i thích ch c n ng và trình bày m t s c u hình quan tr ng m t các
máy tính trong mô hình trên.a. Domain Controller: ho t ng nh m t trung tâm u khi n, cung các d ch v
phân gi i tên mi n(DNS-Domain Name System), c p phát a ch IP ng(DHCP-Dyamic Host Configuration Protocol). ng th i ây c ng là CAserver n i c p phát các ch ng ch theo yêu c u.
b. Web Server: cung c p d ch v Website cho ng i dùng.c. IAS: là máy qu n lý ng i s d ng truy c p t xa, RADIUS (Remote Access
Dial-in User Service). s d ng d ch v ph i c cài t tr c. cài t IAS ch n Control
Panel->Add and Remove Program->Window Component->Network Services ->Internet Authentication Serivce.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 31
ch ng trình IAS, t o m i m t RADIUS client và m t chính sách ch nhnhóm ho c ng i dùng nào c phép truy c p t xa.
_ Thêm RADIUS client:
_ Thêm chính sách m i, qui nh cho nh ng ng i dùng trong nhómVPNUsers c truy c p.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 32
d. VPN Server: là máy ch VPN, nh n yêu c u k t n i t bên ngoài.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 33
t s c u hình chính:c 1:M ch ng trình Routing and Remote Acces, ch n Configure and Enable
Routing and Remote Access.c 2:Ch n Remote Access(dial-up or VPN)
c 3: Ch n VPN
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 34
c 4: Nh p a ch RADIUS server
c 6:Trong ph n DHCP Relay Agent, nh p a ch c a máy cung c p d ch vDHCP
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 35
3) o k t n i t các máy ng i dùng ngoài m ngc 1: t o k t n i m ng lo i VPN
c 2: M k t n i, nh p username và password c a ng i dùng c phép truyp
c 3: Ch n Properties, ch n lo i VPN là L2TP/IPSec. Nh n OK v ch nConnect.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 36
V. K t qu và h ng phát tri n
V.1 K t quThông qua vi c th c hi n tài, nhóm ã tìm hi u các ki n th c c b n v c s
t ng khóa công khai-PKI, m t mô hình ang c s d ng r t nhi u cho vi ctruy n thông trên m ng hi n nay. Tìm hi u và tri n khai d ch v CA, m t thành ph nquan tr ng c a PKI, trên môi tr ng Windows Server 2003. Cu i cùng là ã tích h p
c d ch v CA vào m t s d ch v m ng khác t o nên các d ch v có tính b ot cao.
V.2 H ng phát tri nCác mô hình d ch v trên c th c hi n gi l p trong môi tr ng m ng LAN.u c s h t ng m ng t t h n, s có th tri n khai trên ph m vi l n h n v i môi
tr ng Internet th t. Ngoài ra, có th tìm hi u thêm tích h p các d ch v trên trongmôi tr ng Linux.
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 37
C L CI. Gi i thi u............................................................................................................. 1II. s h t ng khóa công khai............................................................................ 1
II.1 Khái ni m .................................................................................................. 1II.2 Nhà cung c p ch ng th c s CA (Certificate Authority) ............................ 2II.3 Ch ng ch s .............................................................................................. 2
II.3.1 Khái ni m ........................................................................................... 2II.3.2 i ích c a ch ng ch s ..................................................................... 3
III. Tri n khai d ch v CA trên môi tr ng Window Server 2003............................ 5III.1 Cài t d ch v CA..................................................................................... 5III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p ....................... 8III.3 Các lo i CA trên Windows Server 2003 ..................................................... 9III.4 p phát và qu n lí các ch ng ch s .......................................................... 9
III.4.1 p phát t ng (Auto-Enrollment) ................................................... 9III.4.2 p phát không t ng (Manual Enrollment) .................................. 11III.4.3 Các cách yêu c u c p phát CA .......................................................... 11
III.4.3.1 d ng Certificates Snap-in: ....................................................... 11III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment) .................... 12
III.4.4 Thu h i ch ng ch s ......................................................................... 14IV. Tri n khai m t s d ch v m ng s d ng CA................................................... 15
IV.1 ch v Web s d ng SSL ....................................................................... 15IV.2 ch v IPSec .......................................................................................... 23IV.3 ch v VPN............................................................................................ 29
V. t qu và h ng phát tri n ............................................................................ 36V.1 t qu ..................................................................................................... 36V.2 ng phát tri n ...................................................................................... 36