trien khai mot so dich vu dua tren ca

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

I. Gi i thi uNgày nay, vi c giao ti p qua m ng Internet ang tr thành m t nhu c u c p thi t.

Các thông tin truy n trên m ng u r t quan tr ng, nh mã s tài kho n, thông tint... Tuy nhiên, v i các th n tinh vi, nguy c b n c p thông tin qua m ng c ng

ngày càng gia t ng. Hi n giao ti p qua Internet ch y u s d ng giao th c TCP/IP.ây là giao th c cho phép các thông tin c g i t máy tính này t i máy tính khác

thông qua m t lo t các máy trung gian ho c các m ng riêng bi t. Chính u này ão c h i cho nh ng ''k tr m'' công ngh cao có th th c hi n các hành ng phi

pháp. Các thông tin truy n trên m ng u có th b nghe tr m (Eavesdropping), gio (Tampering), o danh (Impersonation) .v.v. Các bi n pháp b o m t hi n nay,

ch ng h n nh dùng m t kh u, u không m b o vì có th b nghe tr m ho c b dòra nhanh chóng. Do v y, b o m t, các thông tin truy n trên Internet ngày nay u có xu h ng

c mã hoá. Tr c khi truy n qua m ng Internet, ng i g i mã hoá thông tin, trongquá trình truy n, dù có ''ch n'' c các thông tin này, k tr m c ng không th c

c vì b mã hoá. Khi t i ích, ng i nh n s s d ng m t công c c bi t gi imã. Ph ng pháp mã hoá và b o m t ph bi n nh t ang c th gi i áp d ng làch ng ch s (Digital Certificate). V i ch ng ch s , ng i s d ng có th mã hoáthông tin t cách hi u qu , ch ng gi m o (cho phép ng i nh n ki m tra thông tincó b thay i không), xác th c danh tính c a ng i g i. Ngoài ra ch ng ch s còn là

ng ch ng giúp ch ng ch i cãi ngu n g c, ng n ch n ng i g i ch i cãi ngu n g ctài li u mình ã g i.

M t cách mã hóa d li u m b o an toàn ó là mã hóa khóa công khai. d ng c cách mã hóa này, c n ph i có m t ch ng ch s t t ch c qu n tr ci là nhà cung c p ch ng ch s ( certification authority – CA).

II. C s h t ng khóa công khai

II.1 Khái ni mt PKI (public key infrastructure) cho phép ng i s d ng c a m t m ng công

ng không b o m t, ch ng h n nh Internet, có th trao i d li u và ti n m t cáchan toàn thông qua vi c s d ng m t c p mã khoá công khai và cá nhân c c p phátvà s d ng qua m t nhà cung c p ch ng th c c tín nhi m. N n t ng khoá côngkhai cung c p m t ch ng ch s , dùng xác minh m t cá nhân ho c t ch c, và các

ch v danh m c có th l u tr và khi c n có th thu h i các ch ng ch s . M c dùcác thành ph n c b n c a PKI u c ph bi n, nh ng m t s nhà cung c p angmu n a ra nh ng chu n PKI riêng khác bi t. M t tiêu chu n chung v PKI trênInternet c ng ang trong quá trình xây d ng.

t c s h t ng khoá công khai bao g m:

• t Nhà cung c p ch ng th c s (CA) chuyên cung c p và xác minh cácch ng ch s . M t ch ng ch bao g m khoá công khai ho c thông tin vkhoá công khai.

• t nhà qu n lý ng ký (Registration Authority (RA)) óng vai trò nhng i th m tra cho CA tr c khi m t ch ng ch s c c p phát t i ng iyêu c u.

• t ho c nhi u danh m c n i các ch ng ch s (v i khoá công khai c a nó)c l u gi , ph c v cho các nhu c u tra c u, l y khoá công khai c a i

tác c n th c hi n giao d ch ch ng th c s .• t h th ng qu n lý ch ng ch .

II.2 Nhà cung c p ch ng th c s CA (Certificate Authority)Trong các h th ng qu n lý ch ng th c s ang ho t ng trên th gi i, Nhà cung

p ch ng th c s (Certificate authority - CA) là m t t ch c chuyên a ra và qu nlý các n i dung xác th c b o m t trên m t m ng máy tính, cùng các khoá công khai

mã hoá thông tin. Là m t ph n trong C s h t ng khoá công khai (public keyinfrastructure - PKI), m t CA s ki m soát cùng v i m t nhà qu n lý ng ký(Registration authority - RA) xác minh thông tin v m t ch ng ch s mà ng iyêu c u xác th c a ra. N u RA xác nh n thông tin c a ng i c n xác th c, CA sauó s a ra m t ch ng ch .

Tu thu c vào vi c tri n khai c s h t ng khoá công khai, ch ng ch s s baom khoá công khai c a ng i s h u, th i h n h t hi u l c c a ch ng ch , tên ch su và các thông tin khác v ch khoá công khai.

II.3 Ch ng ch s

II.3.1 Khái ni mCh ng ch s là m t t p tin n t dùng xác minh danh tính m t cá nhân, m t

máy ch , m t công ty... trên Internet. Nó gi ng nh b ng lái xe, h chi u, ch ng minhth hay nh ng gi y t xác minh cá nhân.

có ch ng minh th , b n ph i c c quan Công An s t i c p. Ch ng ch sng v y, ph i do m t t ch c ng ra ch ng nh n nh ng thông tin c a b n là chính

xác, c g i là Nhà cung c p ch ng th c s (Certificate Authority, vi t t t là CA).CA ph i m b o v tin c y, ch u trách nhi m v chính xác c a ch ng ch smà mình c p.

Trong ch ng ch s có ba thành ph n chính:• Thông tin cá nhân c a ng i c c p.• Khoá công khai (Public key) c a ng i c c p.• Ch ký s c a CA c p ch ng ch .• Th i gian h p l .

Thông tin cá nhân

ây là các thông tin c a i t ng c c p ch ng ch s , g m tên, qu c t ch, ach , n tho i, email, tên t ch c .v.v. Ph n này gi ng nh các thông tin trên ch ngminh th c a m i ng i.

Khoá công khaiTrong khái ni m m t mã, khoá công khai là m t giá tr c nhà cung c p ch ng

ch a ra nh m t khoá mã hoá, k t h p cùng v i m t khoá cá nhân duy nh t co ra t khoá công khai t o thành c p mã khoá b t i x ng.

Nguyên lý ho t ng c a khoá công khai trong ch ng ch s là hai bên giao d chph i bi t khoá công khai c a nhau. Bên A mu n g i cho bên B thì ph i dùng khoácông khai c a bên B mã hoá thông tin. Bên B s dùng khoá cá nhân c a mình

thông tin ó ra. Tính b t i x ng trong mã hoá th hi n ch khoá cá nhân cóth gi i mã d li u c mã hoá b ng khoá công khai (trong cùng m t c p khoá duynh t mà m t cá nhân s h u), nh ng khoá công khai không có kh n ng gi i mã l ithông tin, k c nh ng thông tin do chính khoá công khai ó ã mã hoá. ây là ctính c n thi t vì có th nhi u cá nhân B,C, D... cùng th c hi n giao d ch và có khoácông khai c a A, nh ng C,D... không th gi i mã c các thông tin mà B g i cho Adù cho ã ch n b t c các gói thông tin g i i trên m ng.

t cách hi u nôm na, n u ch ng ch s là m t ch ng minh th nhân dân, thìkhoá công khai óng vai trò nh danh tính c a b n trên gi y ch ng minh th (g m tên

a ch , nh...), còn khoá cá nhân là g ng m t và d u vân tay c a b n. N u coi m tu ph m là thông tin truy n i, c "mã hoá" b ng a ch và tên ng i nh n c an, thì dù ai ó có dùng ch ng minh th c a b n v i m c ich l y b u ph m này, hng không c nhân viên b u n giao b u ki n vì nh m t và d u vân tay không

gi ng.Ch ký s c a CA c p ch ng chCòn g i là ch ng ch g c. ây chính là s xác nh n c a CA, b o m tính chính

xác và h p l c a ch ng ch . Mu n ki m tra m t ch ng ch s , tr c tiên ph i ki mtra ch ký s c a CA có h p l hay không. Trên ch ng minh th , ây chính là con

u xác nh n c a Công An T nh ho c Thành ph mà b n tr c thu c. V nguyên t c,khi ki m tra ch ng minh th , úng ra u tiên ph i là xem con d u này, bi t ch ngminh th có b làm gi hay không.

II.3.2 L i ích c a ch ng ch sa) Mã hoá

L i ích u tiên c a ch ng ch s là tính b o m t thông tin. Khi ng i g i ã mãhoá thông tin b ng khoá công khai c a b n, ch c ch n ch có b n m i gi i mã cthông tin c. Trong quá trình truy n thông tin qua Internet, dù có c c cácgói tin ã mã hoá này, k x u c ng không th bi t c trong gói tin có thông tingì. ây là m t tính n ng r t quan tr ng, giúp ng i s d ng hoàn toàn tin c y v kh

ng b o m t thông tin. Nh ng trao i thông tin c n b o m t cao, ch ng h n giaoch liên ngân hàng, ngân hàng n t , thanh toán b ng th tín d ng, u c n ph i có

ch ng ch s m b o an toàn.

b) Ch ng gi m o

Khi b n g i i m t thông tin, có th là m t d li u ho c m t email, có s d ngch ng ch s , ng i nh n s ki m tra c thông tin c a b n có b thay i haykhông. B t k m t s s a i hay thay th n i dung c a thông p g c u s b pháthi n. a ch mail, tên domain... u có th b k x u làm gi ánh l a ng i nh n

lây lan virus, n c p thông tin quan tr ng. Tuy nhiên, ch ng ch s thì không thlàm gi , nên vi c trao i thông tin có kèm ch ng ch s luôn m b o an toàn.

c) Xác th c

Khi g i m t thông tin kèm ch ng ch s , ng i nh n - có th là i tác kinh doanh, ch c ho c c quan chính quy n - s xác nh rõ c danh tính c a b n. Có ngh a

là dù không nhìn th y b n, nh ng qua h th ng ch ng ch s mà b n và ng i nh ncùng s d ng, ng i nh n s bi t ch c ch n ó là b n ch không ph i là m t ng ikhác. Xác th c là m t tính n ng r t quan tr ng trong vi c th c hi n các giao d ch n

qua m ng, c ng nh các th t c hành chính v i c quan pháp quy n. Các ho t ngnày c n ph i xác minh rõ ng i g i thông tin s d ng t cách pháp nhân. âychính là n n t ng c a m t Chính ph n t , môi tr ng cho phép công dân có thgiao ti p, th c hi n các công vi c hành chính v i c quan nhà n c hoàn toàn qua

ng. Có th nói, ch ng ch s là m t ph n không th thi u, là ph n c t lõi c a Chínhph n t .

d) Ch ng ch i cãi ngu n g c

Khi s d ng m t ch ng ch s , b n ph i ch u trách nhi m hoàn toàn v nh ngthông tin mà ch ng ch s i kèm. Trong tr ng h p ng i g i ch i cãi, ph nh n m tthông tin nào ó không ph i do mình g i (ch ng h n m t n t hàng qua m ng),ch ng ch s mà ng i nh n có c s là b ng ch ng kh ng nh ng i g i là tác gi

a thông tin ó. Trong tr ng h p ch i cãi, CA cung c p ch ng ch s cho hai bên sch u trách nhi m xác minh ngu n g c thông tin, ch ng t ngu n g c thông tin c

i.e) Ch ký n t

Email óng m t vai trò khá quan tr ng trong trao i thông tin hàng ngày c achúng ta vì u m nhanh, r và d s d ng. Nh ng thông p có th g i i nhanhchóng, qua Internet, n nh ng khách hàng, ng nghi p, nhà cung c p và các i tác.Tuy nhiên, email r t d b c b i các hacker. Nh ng thông p có th b c hay bgi m o tr c khi n ng i nh n.

ng vi c s d ng ch ng ch s cá nhân, b n s ng n ng a c các nguy c nàymà v n không làm gi m nh ng l i th c a email. V i ch ng ch s cá nhân, b n cóth t o thêm m t ch ký n t vào email nh m t b ng ch ng xác nh n c a mình.Ch ký n t c ng có các tính n ng xác th c thông tin, toàn v n d li u và ch ngch i cãi ngu n g c.

Ngoài ra, ch ng ch s cá nhân còn cho phép ng i dùng có th ch ng th c mìnhi m t web server thông qua giao th c b o m t SSL. Ph ng pháp ch ng th c d a

trên ch ng ch s c ánh giá là t t, an toàn và b o m t h n ph ng pháp ch ngth c truy n th ng d a trên m t kh u.

f) o m t WebsiteKhi Website c a b n s d ng cho m c ích th ng m i n t hay cho nh ngc ích quan tr ng khác, nh ng thông tin trao i gi a b n và khách hàng c a b n

có th b l . tránh nguy c này, b n có th dùng ch ng ch s SSL Server b ot cho Website c a mình.Ch ng ch s SSL Server s cho phép b n l p c u hình Website c a mình theo

giao th c b o m t SSL (Secure Sockets Layer). Lo i ch ng ch s này s cung c pcho Website c a b n m t nh danh duy nh t nh m m b o v i khách hàng c a b n

tính xác th c và tính h p pháp c a Website. Ch ng ch s SSL Server c ng chophép trao i thông tin an toàn và b o m t gi a Website v i khách hàng, nhân viên và

i tác c a b n thông qua công ngh SSL mà n i b t là các tính n ng:+ Th c hi n mua bán b ng th tín d ng.+ B o v nh ng thông tin cá nhân nh y c m c a khách hàng.+ m b o hacker không th dò tìm c m t kh u.

g) m b o ph n m mu b n là m t nhà s n xu t ph n m m, ch c ch n b n s c n nh ng ''con tem

ch ng hàng gi '' cho s n ph m c a mình. ây là m t công c không th thi u trongvi c áp d ng hình th c s h u b n quy n. Ch ng ch s Nhà phát tri n ph n m m scho phép b n ký vào các applet, script, Java software, ActiveX control, các file d ngEXE, CAB, DLL... Nh v y, thông qua ch ng ch s , b n s m b o tính h p pháp

ng nh ngu n g c xu t x c a s n ph m. H n n a ng i dùng s n ph m có th xácth c c b n là nhà cung c p, phát hi n c s thay i c a ch ng trình (do vôtình h ng hay do virus phá, b crack và bán l u...).

i nh ng l i ích v b o m t và xác th c, ch ng ch s hi n ã c s d ng r ngrãi trên th gi i nh m t công c xác minh danh tính c a các bên trong giao d chth ng m i n t . ây là m t n n t ng công ngh mang tính tiêu chu n trên toàn

u, m c dù m i n c có m t s chính sách qu n lý ch ng th c s khác nhau. M iqu c gia u c n có nh ng CA b n a ch ng v các ho t ng ch ng th c strong n c. Nh ng ngoài ra, n u mu n th c hi n TM T v t ra ngoài biên gi i, cácqu c gia c ng ph i tuân theo các chu n công ngh chung, và th c hi n ch ng th cchéo, trao i và công nh n các CA c a nhau.

III. Tri n khai d ch v CA trên môi tr ng Window Server 2003Trên môi tr ng h u hành Windows Server 2003, CA là m t ph n m m c

tích h p s n.

III.1Cài t d ch v CAng nh p vào Windows Server 2003 v i quy n Administrator.

1. Click vào Startà Control Panelà Add Or Remove Programs. H p tho i Add OrRemove Programs xu t hi n.

2. Click Add/Remove Windows Components. H p tho i Add/Remove WindowsComponents xu t hi nà ch n Certificate Services.

3. Click ch nà ch n Details. H p tho i Certificate Services xu t hi n.4. p tho i c nh báo v thành viên domain và ràng bu c i tên máy tính xu t hi nà

click Yes.

5. Trong trang lo i CA, click ch n Enterprise Root CAà click Next.

6. Trên trang thông tin nh n ra CA, trong h p Common name, ánh tên c a serverà clicknext.

7. Trên trang Certificate Database Settings, ng d n m c nh trong h p Certificatedatabase box và Certificate database logà click Next.

8. i nh c d ng Internet Information Services xu t hi nà click Yes.9. Enable Active Server Pages (ASPs)à click Yes.10. Khi quá trình cài t hoàn t tà click Finish.

III.2Các d ch v ch ng ch CA Windows Server 2003 cung c pCh ký n t : d ng xác nh n ng i g i thông p, file ho c d li u

khác. Ch ký n t không h tr b o v d li u khi truy n.Ch ng th c internet: Có th s d ng PKI ch ng th c client và server c

thi t l p n i k t trên internet, vì v y server có th nh n d ng máy client n i k t n nóvà client có th xác nh n ã n i k t úng server.

o m t IP ( IP Security - IPSec): m r ng IPSec cho phép mã hóa và truy nch ký s , nh m ng n ch n d li u b l khi truy n trên m ng. Tri n khai IPSec trênWindows Server 2003 không ph i dùng PKI có c khóa mã hóa c a nó, nh ngcó th dùng PKI v i m c ích này.

Secure e-mail: Giao th c e-mail trên internet truy n thông p mail ch b nrõ, vì v y n i dung mail d dàng c c khi truy n. V i PKI, ng i g i có th b o

t e-mail khi truy n b ng cách mã hóa n i dung mail dùng khóa công khai c ang i nh n. Ngoài ra, ng i g i có th ký lên thông p b ng khóa riêng c a mình.

Smart card logon: Smart card là m t lo i th tín d ng. Windows Server 2003 cóth dùng smart card nh là m t thi t b ch ng th c. Smart card ch a ch ng ch c a

user và khóa riêng, cho phép ng i dùng logon t i b t k máy nào trong doanhnghi p v i an toàn cao.

Software code signing: K thu t Authenticode c a Microsoft dùng ch ng chch ng th c nh ng ph n m m ng i dùng download và cài t chính xác là c a tác givà không c ch nh s a.

Wireless network authentication: Khi cài t m t LAN wireless, ph i ch c ch nng ch ng i dùng ch ng th c úng thì m i c n i k t m ng và không có ai có

th nghe lén khi giao ti p trên wireless. Có th s d ng Windows Server 2003 PKI o v m ng wireless b ng cách nh n d ng và ch ng th c ng i dùng tr c khi h

truy c p m ng.

III.3 Các lo i CA trên Windows Server 2003Trên windows Server 2003 có hai lo i CA:Enterprise: Enterprise CAs c tích h p trong d ch v Active Directory. Chúng

d ng m u ch ng ch , xu t b n (publish) ch ng ch và CRLs n Active Directory, d ng thông tin trong c s d li u Active Directory ch p nh n ho c t ch i yêuu c p phát ch ng ch t ng. B i v y client c a t ch c CA ph i truy xu t n

Active Directory nh n ch ng ch , nhi u t ch c CA không thích h p cho vi c c pphát ch ng ch cho các client bên ngoài t ch c.

Stand-alone Stand-alone CAs không dùng m u ch ng ch hay Active Directory;chúng l u tr thông tin c c b c a nó. H n n a, m c nh, stand-alone CAs không t

ng áp l i yêu c u c p phát ch ng ch s gi ng nh enterprise CAs làm. Yêu c uch trong hàng i cho ng i qu n tr ch p nh n ho c t ch i b ng tay.

Dù ng i dùng ch n t o ra m t enterprise CA hay là m t stand-alone CA, uph i ch rõ CA là g c (root) hay c p d i (subordinate).

III.4C p phát và qu n lí các ch ng ch s

III.4.1C p phát t ng (Auto-Enrollment)

Auto-Enrollment cho phép client yêu c u t ng và nh n ch ng ch s t CA màkhông c n s can thi p c a ng i qu n tr . dùng Auto-Enrollment thì ph i códomain ch y Windows Server 2003, m t enterprise CA ch y trên Windows Server2003 và client có th ch y Windows XP Professional. u khi n ti n trình Auto-Enrollment b ng s ph i h p c a group policy và m u ch ng ch s .

c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho t t c cácng i dùng và máy tính n m trong domain. cài t, b n m chính sách cài tAuto-Enrollment, n m trong th m c Windows Settings\ Sercurity Settings\PublicKey Policies trong c 2 node Computer Configuration và User Configuration c aGroup Policy Object Editor. H p tho i Autoenrollment Settings Properties xu t hi n,

n có th c m hoàn toàn auto-enrollment cho các i t ng s d ng GPO này. B nng có th cho phép các i t ng thay i ho c c p nh t ch ng ch s c a chúngt cách t ng.

t k thu t khác b n có th dùng u khi n auto-enrollment là xây d ng m uch ng ch có xác nh c tính c a ki u ch ng ch s rõ ràng. qu n lý m u ch ngch s , b n dùng m u ch ng ch s có s n ( Certificate Templates snap-in), nh hình

i. S d ng công c này, b n có th ch rõ th i gian hi u l c và th i gian gia h na lo i ch ng ch s ã ch n, ch n d ch v mã hóa (cryptographic) cung c p cho

chúng. Dùng tab Security, b n c ng có th ch rõ nh ng user và group c phép yêuu ch ng ch s dùng m u này.

Khi client yêu c u m t ch ng ch s , CA ki m tra c tính i t ng ActiveDirectory c a client quy t nh li u client có quy n t i thi u c nh n ch ng chkhông?. N u client có quy n thích h p thì CA s c p phát ch ng ch s m t cách t

III.4.2C p phát không t ng (Manual Enrollment)

Stand-alone CAs không th dùng auto-enrollment, vì v y khi m t stand-alone CAnh n yêu c u v ch ng ch s t client, nó s l u tr nh ng yêu c u ó vào trong m thàng i cho t i khi ng i qu n tr quy t nh li u có c p phát ch ng ch s haykhông?. giám sát và x lý các yêu c u vào, ng i qu n tr dùng CertificationAuthority console, nh hình sau:

Trong Certification Authority console, t t c yêu c u c p phát ch ng ch s xu thi n trong th m c Pending Request. Sau khi ánh giá thông tin trong m i yêu c u,ng i qu n tr có th ch n ch p nh n (issue) hay t ch i yêu c u. Ng i qu n tr

ng có th xem c tính c a vi c c p phát ch ng ch và thu h i ch ng ch khi c n.

III.4.3Các cách yêu c u c p phát CA

III.4.3.1 S d ng Certificates Snap-in:Certificate Snap-in là m t công c dùng xem và qu n lý ch ng ch c a m t user

ho c computer c th . Màn hình chính c a snap-in bao g m nhi u th m c ch a t t cng m c ch ng ch s c ch nh cho user ho c computer. N u t ch c c a ng i

dùng s d ng enterprise CAs, Certificate Snap-in c ng cho phép ng i dùng yêu c uvà thay i ch ng ch s b ng cách dùng Certificate Request Wizard và CertificateRenewal Wizard.

III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment)Khi b n cài t Certificate Services trên máy tính ch y Windows Server 2003,

ng i dùng có th ch n cài t module Certificate Services Web Enrollment Support. ho t ng m t cách úng n, module này yêu c u ng i dùng ph i cài t IIS

trên máy tính tr c. Ch n module này trong quá trình cài t Certificate Services t ora trang Web trên máy tính ch y CA, nh ng trang Web này cho phép ng i dùng g iyêu c u c p ch ng ch s yêu c u mà h ch n.

Giao di n Web Enrollment Support c dùng cho ng i s d ng bên ngoài ho cbên trong m ng truy xu t n stand-alone CAs. Vì stand-alone server không dùng

u ch ng ch s , client g i yêu c u bao g m t t c các thông tin c n thi t v ch ngch s và thông tin v ng i s d ng ch ng ch s .

Khi client yêu c u ch ng ch s dùng giao di n Web Enrollment Support, chúngcó th ch n t danh sách lo i ch ng ch ã c nh ngh a tr c ho c t o ra ch ngch cao c p b ng cách ch rõ t t c các thông tin yêu c u trong form Web-based.

III.4.4Thu h i ch ng ch s Có vài nguyên nhân c nh báo cho ng i qu n tr thu h i ch ng ch . N u nh khóa

riêng ( private key) b l , ho c ng i dùng trái phép l i d ng truy xu t n CA, th mchí n u b n mu n c p phát ch ng ch dùng tham s khác nh là khóa dài h n, b nph i c thu h i ch ng ch tr c ó. M t CA duy trì m t CRL (CertificateRevocation List). Enterprise CAs xu t b n CRLs c a chúng trong c s d li uActive Directory, vì v y client có th truy xu t chúng dùng giao th c truy n thôngActive directory chu n, g i là Lightweight Directory Access Protocol (LDAP). M tstand-alone CA l u tr CRL c a nó nh là m t file trên a c c b c a server, vì v yclient truy xu t dùng giao th c truy n thông Internet nh Hypertext Transfer Protocol(HTTP) or File Transfer Protocol (FTP).

i ch ng ch s ch a ng d n t i m phân ph i c a CA cho CRLs. Có tha i ng d n này trong Certification Authority console b ng cách hi n th h p

tho i Properties cho CA, click vào tab Extension. Khi m t ng d ng ch ng th c clientang dùng ch ng ch s , nó ki m tra m phân ph i CRL ã nh rõ trong ch ng ch, ch c ch n r ng ch ng ch s không b thu h i. N u CRL không có t i m

phân ph i ã nh rõ c a nó, ng d ng t ch i ch ng ch .ng cách ch n th m c Revoked Certificates trong Certification Authority

console và sau ó hi n th h p tho i Properties c a nó, b n có th ch rõ bao lâu thìCA nên xu t b n m t CRL m i, và c ng c u hình CA xu t b n delta CRLs.M t

delta CRL là m t danh sách t t c các ch ng ch ã thu h i t khi CRL cu i cùng xu tn. Trong t ch c v i s l ng ch ng ch s l n, s d ng CRLs thay vì CRLs c b n

có th l u m t s l n.

IV. Tri n khai m t s d ch v m ng s d ng CA

IV.1 D ch v Web s d ng SSLSSL-Sercue Socket Layer, là m t giao th c mã hóa cung c p s truy n thông an

toàn trên Internet nh web browsing, e-mail.SSL cung c p s ch ng th c t i các mcu i c a k t n i, kênh truy n thông riêng t trên Internet b ng cách mã hóa. Thôngth ng ch có Server là c ch ng th c, có ngh a là ch có ng i dùng cu i (ng i

d ng, ng d ng, …) bi t rõ mình ang “nói chuy n” v i ai. m c b o m t caon, c hai phía u ph i bi t nhau, ch ng th c l n nhau. Ch ng th c l n nhau yêuu dùng h t ng khóa công khai-PKI.

1) Mô hình d ch v :

Máy Web Server c c u hình d ch v web s d ng SSL b ng cách nh n ch ngch t CA service.

2) u hình d ch v :i Web server yêu c u c p phát ch ng ch :

c 1: M IIS, click chu t ph i vào website c n c u hình SSL, ch n tabDirectory Security, ch n Server Certificate

c 2: Ch n t o m i m t ch ng ch

Nh n Next, ch n Prepare for Request now, but send it later và l u yêu c u c pphát xu ng file

c 3: M Internet Explorer, gõ vào c ch c a CA Service yêu c u c p phátch ng ch qua web

Ch n Request a Certificate và ch n Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file:

file yêu c u trên và copy n i dung và dán vào ô Saved Request:

u CA Service không c p phát t ng thì vào máy CA c p phát(Issue) choch ng ch v a yêu c u.

Vào l i trang web yêu c u CA, ch n Download Certificate t i ch ng ch v ac c p phát v .

c 4: Quay tr l i IIS, ch n Process the pending request and install thecertificate Import ch ng ch v a có c trên.

Ch n Edit, ch n Require secure channel(SSL) c u hình cho web site dùng SSLkhi có yêu c u k t n i.

3) Minh h a k t qu :Gi s ta có trang web v i n i dung sau c t t i web server và client s k t

i b ng giao th c HTTP xem trang web này.

Khi không dùng SSL, n u dùng các công c b t gói d li u ta có th xem c n idung, còn khi dùng SSL d li u s c mã hóa và không xem c dù b t c góitin.

IV.2 D ch v IPSecIPSec-Internet Protocol Security, là m t giao th c c thi t k b o v d li u

ng ch kí n t và mã hóa tr c khi truy n i.IPSec mã hóa các thông tin tronggói tin IP theo cách óng gói nó, nên ngay c khi b t c các gói tin s không c

c n i dung bên trong.Do IPSec ho t ng t ng m ng nên IPSec t o m t kênh mã hóa liên t c gi a cácm k t n i(end-to-end), ngh a là khi d li u c mã hóa máy g i thì ch c

gi i mã khi t i máy nh n.IPSec Protocol:

a) IP Authentication Header-AH: không mã hóa d li u trong gói tin IP, màch mã hóa ph n header. AH cung c p các d ch v b o m t c b n, d li ucó th c c khi b t gói tin, nh ng n i dung thì không th thay i

b) IP Encapsulating Security Payload-ESP: mã hóa toàn b n i dung gói tinIP, ng n không cho ng i nghe lén có th c c n i dung khi gói tin dichuy n trên m ng. ESP cung c p các d ch v ch ng th c, m b o toàn v nvà mã hóa d li u.

Trong mô hình trên, FTP server là máy tính cung c p các d ch v truy n file trongng, client s k t n i vào server này download và upload các file d li u.Tr c

khi các client t o k t n i thì ph i qua m t quá trình ch ng th c, m b o an toàntrong quá trình này, c ng nh cho n i dung c a các file d li u, ta s tích h p v i d ch

CA.Máy CA Service s cung c p các ch ng ch th c hi n ch ng th c gi a FTPserver và các client.

làm c u này thì máy cung c p d ch v CA c ng óng vai trò là DomainControler, c p các ch ng ch t ng cho các máy khi có yêu c u.

2) Tri n khai d ch v :Ph n này trình bày m t s b c thi t l p chính sách IPSec có s d ng CA cho

mô hình bên trên. Chính sách này t o t i m i máy có yêu c u truy n thông b ngIPSec.

c 1: Trong c a s ch ng trình IP Security Policy, t o m t chính sách m i

c 2: Ch n Next thêm m t lu t m i, trong tab Rule ch n Add thêm m tdanh sách các yêu c u l c trên giao th c IP(IP Filter List)

c 3: Ch n Add thêm các lu t theo yêu c u c n l c. Gi s ây ta thi t l plu t l c giao th c FTP khi ch ng th c gi a máy hi n t i v i t t các máy khác

Trong ô From this port, nh p giá tr 21, ây là c ng mà FTP s dùng ch ngth c ng i dùng.

c 4: Nh n oK n c a s Filter Action, ch n Require Security yêu c u d ng IPSec b t c khi nào c n ch ng th c FTP.

c 5: Ch n ph ng pháp ch ng th c, ch n cách ch ng th c b ng CA, nh n nútBrowse d n CA c a mô hình m ng trên.

c 6: V i chính sách v a t o, ch n Assign chính sách c áp d ng.3) Minh h a k t qu :Gi s t client1 k t n i vào FTP Server, khi không dùng IPSec ta s bi t c

username và password khi ng i dùng ch ng th c n u b t c các gói d li u này.

Khi s d ng IPSec, các gói tin s c mã hóa và không c c n i dung.

IV.3 D ch v VPNVPN-Virtual Private Network, là m t m ng riêng dùng m ng công c ng(Internet)

k t n i các m ho c ng i s d ng t i m ng LAN trung tâm.VPN cho phép truy n d li u gi a hai máy tính s d ng môi tr ng m ng công

ng gi ng nh cách có m t ng k t n i riêng gi a hai máy này. t o m t k t n im m(point-to-point), d li u c óng gói(encapsulate), bao b c(wrap) v it header cung c p các thông tin nh tuy n. gi l p m t kênh truy n riêng, d

li u s c mã hóa.

Trong mô hình này, d ch v VPN s c tri n khai t i v n phòng à L t, ng idùng n i khác nh Hà N i Tp H Chí Minh có th k t n i, truy c p các tài nguyênbên trong m ng LAN t i à L t. Giao th c VPN s d ng L2TP/IPSec, ch ng th c

ng ch ng ch s do CA.2) Tri n khai d ch v :Ph n này s gi i thích ch c n ng và trình bày m t s c u hình quan tr ng m t các

máy tính trong mô hình trên.a. Domain Controller: ho t ng nh m t trung tâm u khi n, cung các d ch v

phân gi i tên mi n(DNS-Domain Name System), c p phát a ch IP ng(DHCP-Dyamic Host Configuration Protocol). ng th i ây c ng là CAserver n i c p phát các ch ng ch theo yêu c u.

b. Web Server: cung c p d ch v Website cho ng i dùng.c. IAS: là máy qu n lý ng i s d ng truy c p t xa, RADIUS (Remote Access

Dial-in User Service). s d ng d ch v ph i c cài t tr c. cài t IAS ch n Control

Panel->Add and Remove Program->Window Component->Network Services ->Internet Authentication Serivce.

ch ng trình IAS, t o m i m t RADIUS client và m t chính sách ch nhnhóm ho c ng i dùng nào c phép truy c p t xa.

_ Thêm RADIUS client:

_ Thêm chính sách m i, qui nh cho nh ng ng i dùng trong nhómVPNUsers c truy c p.

d. VPN Server: là máy ch VPN, nh n yêu c u k t n i t bên ngoài.

t s c u hình chính:c 1:M ch ng trình Routing and Remote Acces, ch n Configure and Enable

Routing and Remote Access.c 2:Ch n Remote Access(dial-up or VPN)

c 3: Ch n VPN

c 4: Nh p a ch RADIUS server

c 6:Trong ph n DHCP Relay Agent, nh p a ch c a máy cung c p d ch vDHCP

3) o k t n i t các máy ng i dùng ngoài m ngc 1: t o k t n i m ng lo i VPN

c 2: M k t n i, nh p username và password c a ng i dùng c phép truyp

c 3: Ch n Properties, ch n lo i VPN là L2TP/IPSec. Nh n OK v ch nConnect.

V. K t qu và h ng phát tri n

V.1 K t quThông qua vi c th c hi n tài, nhóm ã tìm hi u các ki n th c c b n v c s

t ng khóa công khai-PKI, m t mô hình ang c s d ng r t nhi u cho vi ctruy n thông trên m ng hi n nay. Tìm hi u và tri n khai d ch v CA, m t thành ph nquan tr ng c a PKI, trên môi tr ng Windows Server 2003. Cu i cùng là ã tích h p

c d ch v CA vào m t s d ch v m ng khác t o nên các d ch v có tính b ot cao.

V.2 H ng phát tri nCác mô hình d ch v trên c th c hi n gi l p trong môi tr ng m ng LAN.u c s h t ng m ng t t h n, s có th tri n khai trên ph m vi l n h n v i môi

tr ng Internet th t. Ngoài ra, có th tìm hi u thêm tích h p các d ch v trên trongmôi tr ng Linux.

C L CI. Gi i thi u............................................................................................................. 1II. s h t ng khóa công khai............................................................................ 1

II.1 Khái ni m .................................................................................................. 1II.2 Nhà cung c p ch ng th c s CA (Certificate Authority) ............................ 2II.3 Ch ng ch s .............................................................................................. 2

II.3.1 Khái ni m ........................................................................................... 2II.3.2 i ích c a ch ng ch s ..................................................................... 3

III. Tri n khai d ch v CA trên môi tr ng Window Server 2003............................ 5III.1 Cài t d ch v CA..................................................................................... 5III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p ....................... 8III.3 Các lo i CA trên Windows Server 2003 ..................................................... 9III.4 p phát và qu n lí các ch ng ch s .......................................................... 9

III.4.1 p phát t ng (Auto-Enrollment) ................................................... 9III.4.2 p phát không t ng (Manual Enrollment) .................................. 11III.4.3 Các cách yêu c u c p phát CA .......................................................... 11

III.4.3.1 d ng Certificates Snap-in: ....................................................... 11III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment) .................... 12

III.4.4 Thu h i ch ng ch s ......................................................................... 14IV. Tri n khai m t s d ch v m ng s d ng CA................................................... 15

IV.1 ch v Web s d ng SSL ....................................................................... 15IV.2 ch v IPSec .......................................................................................... 23IV.3 ch v VPN............................................................................................ 29

V. t qu và h ng phát tri n ............................................................................ 36V.1 t qu ..................................................................................................... 36V.2 ng phát tri n ...................................................................................... 36

trien khai mot so dich vu dua tren ca

Documents

trien khai structureal detailing theo tcvn 3331 2

82760277 datn trien khai iptv tren wimax 2281

ke hoach trien khai khoa hoc (e-learning)

trien khai nagios - c mars

trien khai theo tcvn 3331

trien khai quan tri tren ubutun

trien khai giai thuong khkt (1)

trien khai he thong doanh nghiep erp cung workbook

do an trien khai vpn 715

huong dan trien khai nettv tren ftth

tailieutonghop.com---do an bao mat thong tin ipsec va trien...

nghien cuu va trien khai vpn

ipv6 trien khai

qua - omard.gov.vn · pdf filebq da t~p trung chi dao cac...

de cuong mon khai trien th

tu van trien khai internet marketing

eqvn kinh nghiem trien khai b2b

[123doc.vn] nghien cuu dich vu iptv tren nen ims va de xuat...

tim he so trong khai trien newton

khai trien taylor