trien khai mot so dich vu dua tren ca

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 1

I. Gi i thi uNgày nay, vi c giao ti p qua m ng Internet ang tr thành m t nhu c u c p thi t.

Các thông tin truy n trên m ng u r t quan tr ng, nh mã s tài kho n, thông tint... Tuy nhiên, v i các th n tinh vi, nguy c b n c p thông tin qua m ng c ng

ngày càng gia t ng. Hi n giao ti p qua Internet ch y u s d ng giao th c TCP/IP.ây là giao th c cho phép các thông tin c g i t máy tính này t i máy tính khác

thông qua m t lo t các máy trung gian ho c các m ng riêng bi t. Chính u này ão c h i cho nh ng ''k tr m'' công ngh cao có th th c hi n các hành ng phi

pháp. Các thông tin truy n trên m ng u có th b nghe tr m (Eavesdropping), gio (Tampering), o danh (Impersonation) .v.v. Các bi n pháp b o m t hi n nay,

ch ng h n nh dùng m t kh u, u không m b o vì có th b nghe tr m ho c b dòra nhanh chóng. Do v y, b o m t, các thông tin truy n trên Internet ngày nay u có xu h ng

c mã hoá. Tr c khi truy n qua m ng Internet, ng i g i mã hoá thông tin, trongquá trình truy n, dù có ''ch n'' c các thông tin này, k tr m c ng không th c

c vì b mã hoá. Khi t i ích, ng i nh n s s d ng m t công c c bi t gi imã. Ph ng pháp mã hoá và b o m t ph bi n nh t ang c th gi i áp d ng làch ng ch s (Digital Certificate). V i ch ng ch s , ng i s d ng có th mã hoáthông tin t cách hi u qu , ch ng gi m o (cho phép ng i nh n ki m tra thông tincó b thay i không), xác th c danh tính c a ng i g i. Ngoài ra ch ng ch s còn là

ng ch ng giúp ch ng ch i cãi ngu n g c, ng n ch n ng i g i ch i cãi ngu n g ctài li u mình ã g i.

M t cách mã hóa d li u m b o an toàn ó là mã hóa khóa công khai. d ng c cách mã hóa này, c n ph i có m t ch ng ch s t t ch c qu n tr ci là nhà cung c p ch ng ch s ( certification authority – CA).

II. C s h t ng khóa công khai

II.1 Khái ni mt PKI (public key infrastructure) cho phép ng i s d ng c a m t m ng công

ng không b o m t, ch ng h n nh Internet, có th trao i d li u và ti n m t cáchan toàn thông qua vi c s d ng m t c p mã khoá công khai và cá nhân c c p phátvà s d ng qua m t nhà cung c p ch ng th c c tín nhi m. N n t ng khoá côngkhai cung c p m t ch ng ch s , dùng xác minh m t cá nhân ho c t ch c, và các

ch v danh m c có th l u tr và khi c n có th thu h i các ch ng ch s . M c dùcác thành ph n c b n c a PKI u c ph bi n, nh ng m t s nhà cung c p angmu n a ra nh ng chu n PKI riêng khác bi t. M t tiêu chu n chung v PKI trênInternet c ng ang trong quá trình xây d ng.

t c s h t ng khoá công khai bao g m:


Trang 2

• t Nhà cung c p ch ng th c s (CA) chuyên cung c p và xác minh cácch ng ch s . M t ch ng ch bao g m khoá công khai ho c thông tin vkhoá công khai.

• t nhà qu n lý ng ký (Registration Authority (RA)) óng vai trò nhng i th m tra cho CA tr c khi m t ch ng ch s c c p phát t i ng iyêu c u.

• t ho c nhi u danh m c n i các ch ng ch s (v i khoá công khai c a nó)c l u gi , ph c v cho các nhu c u tra c u, l y khoá công khai c a i

tác c n th c hi n giao d ch ch ng th c s .• t h th ng qu n lý ch ng ch .

II.2 Nhà cung c p ch ng th c s CA (Certificate Authority)Trong các h th ng qu n lý ch ng th c s ang ho t ng trên th gi i, Nhà cung

p ch ng th c s (Certificate authority - CA) là m t t ch c chuyên a ra và qu nlý các n i dung xác th c b o m t trên m t m ng máy tính, cùng các khoá công khai

mã hoá thông tin. Là m t ph n trong C s h t ng khoá công khai (public keyinfrastructure - PKI), m t CA s ki m soát cùng v i m t nhà qu n lý ng ký(Registration authority - RA) xác minh thông tin v m t ch ng ch s mà ng iyêu c u xác th c a ra. N u RA xác nh n thông tin c a ng i c n xác th c, CA sauó s a ra m t ch ng ch .

Tu thu c vào vi c tri n khai c s h t ng khoá công khai, ch ng ch s s baom khoá công khai c a ng i s h u, th i h n h t hi u l c c a ch ng ch , tên ch su và các thông tin khác v ch khoá công khai.

II.3 Ch ng ch s

II.3.1 Khái ni mCh ng ch s là m t t p tin n t dùng xác minh danh tính m t cá nhân, m t

máy ch , m t công ty... trên Internet. Nó gi ng nh b ng lái xe, h chi u, ch ng minhth hay nh ng gi y t xác minh cá nhân.

có ch ng minh th , b n ph i c c quan Công An s t i c p. Ch ng ch sng v y, ph i do m t t ch c ng ra ch ng nh n nh ng thông tin c a b n là chính

xác, c g i là Nhà cung c p ch ng th c s (Certificate Authority, vi t t t là CA).CA ph i m b o v tin c y, ch u trách nhi m v chính xác c a ch ng ch smà mình c p.

Trong ch ng ch s có ba thành ph n chính:• Thông tin cá nhân c a ng i c c p.• Khoá công khai (Public key) c a ng i c c p.• Ch ký s c a CA c p ch ng ch .• Th i gian h p l .

Thông tin cá nhân


Trang 3

ây là các thông tin c a i t ng c c p ch ng ch s , g m tên, qu c t ch, ach , n tho i, email, tên t ch c .v.v. Ph n này gi ng nh các thông tin trên ch ngminh th c a m i ng i.

Khoá công khaiTrong khái ni m m t mã, khoá công khai là m t giá tr c nhà cung c p ch ng

ch a ra nh m t khoá mã hoá, k t h p cùng v i m t khoá cá nhân duy nh t co ra t khoá công khai t o thành c p mã khoá b t i x ng.

Nguyên lý ho t ng c a khoá công khai trong ch ng ch s là hai bên giao d chph i bi t khoá công khai c a nhau. Bên A mu n g i cho bên B thì ph i dùng khoácông khai c a bên B mã hoá thông tin. Bên B s dùng khoá cá nhân c a mình

thông tin ó ra. Tính b t i x ng trong mã hoá th hi n ch khoá cá nhân cóth gi i mã d li u c mã hoá b ng khoá công khai (trong cùng m t c p khoá duynh t mà m t cá nhân s h u), nh ng khoá công khai không có kh n ng gi i mã l ithông tin, k c nh ng thông tin do chính khoá công khai ó ã mã hoá. ây là ctính c n thi t vì có th nhi u cá nhân B,C, D... cùng th c hi n giao d ch và có khoácông khai c a A, nh ng C,D... không th gi i mã c các thông tin mà B g i cho Adù cho ã ch n b t c các gói thông tin g i i trên m ng.

t cách hi u nôm na, n u ch ng ch s là m t ch ng minh th nhân dân, thìkhoá công khai óng vai trò nh danh tính c a b n trên gi y ch ng minh th (g m tên

a ch , nh...), còn khoá cá nhân là g ng m t và d u vân tay c a b n. N u coi m tu ph m là thông tin truy n i, c "mã hoá" b ng a ch và tên ng i nh n c an, thì dù ai ó có dùng ch ng minh th c a b n v i m c ich l y b u ph m này, hng không c nhân viên b u n giao b u ki n vì nh m t và d u vân tay không

gi ng.Ch ký s c a CA c p ch ng chCòn g i là ch ng ch g c. ây chính là s xác nh n c a CA, b o m tính chính

xác và h p l c a ch ng ch . Mu n ki m tra m t ch ng ch s , tr c tiên ph i ki mtra ch ký s c a CA có h p l hay không. Trên ch ng minh th , ây chính là con

u xác nh n c a Công An T nh ho c Thành ph mà b n tr c thu c. V nguyên t c,khi ki m tra ch ng minh th , úng ra u tiên ph i là xem con d u này, bi t ch ngminh th có b làm gi hay không.

II.3.2 L i ích c a ch ng ch sa) Mã hoá

L i ích u tiên c a ch ng ch s là tính b o m t thông tin. Khi ng i g i ã mãhoá thông tin b ng khoá công khai c a b n, ch c ch n ch có b n m i gi i mã cthông tin c. Trong quá trình truy n thông tin qua Internet, dù có c c cácgói tin ã mã hoá này, k x u c ng không th bi t c trong gói tin có thông tingì. ây là m t tính n ng r t quan tr ng, giúp ng i s d ng hoàn toàn tin c y v kh

ng b o m t thông tin. Nh ng trao i thông tin c n b o m t cao, ch ng h n giaoch liên ngân hàng, ngân hàng n t , thanh toán b ng th tín d ng, u c n ph i có

ch ng ch s m b o an toàn.


Trang 4

b) Ch ng gi m o

Khi b n g i i m t thông tin, có th là m t d li u ho c m t email, có s d ngch ng ch s , ng i nh n s ki m tra c thông tin c a b n có b thay i haykhông. B t k m t s s a i hay thay th n i dung c a thông p g c u s b pháthi n. a ch mail, tên domain... u có th b k x u làm gi ánh l a ng i nh n

lây lan virus, n c p thông tin quan tr ng. Tuy nhiên, ch ng ch s thì không thlàm gi , nên vi c trao i thông tin có kèm ch ng ch s luôn m b o an toàn.

c) Xác th c

Khi g i m t thông tin kèm ch ng ch s , ng i nh n - có th là i tác kinh doanh, ch c ho c c quan chính quy n - s xác nh rõ c danh tính c a b n. Có ngh a

là dù không nhìn th y b n, nh ng qua h th ng ch ng ch s mà b n và ng i nh ncùng s d ng, ng i nh n s bi t ch c ch n ó là b n ch không ph i là m t ng ikhác. Xác th c là m t tính n ng r t quan tr ng trong vi c th c hi n các giao d ch n

qua m ng, c ng nh các th t c hành chính v i c quan pháp quy n. Các ho t ngnày c n ph i xác minh rõ ng i g i thông tin s d ng t cách pháp nhân. âychính là n n t ng c a m t Chính ph n t , môi tr ng cho phép công dân có thgiao ti p, th c hi n các công vi c hành chính v i c quan nhà n c hoàn toàn qua

ng. Có th nói, ch ng ch s là m t ph n không th thi u, là ph n c t lõi c a Chínhph n t .

d) Ch ng ch i cãi ngu n g c

Khi s d ng m t ch ng ch s , b n ph i ch u trách nhi m hoàn toàn v nh ngthông tin mà ch ng ch s i kèm. Trong tr ng h p ng i g i ch i cãi, ph nh n m tthông tin nào ó không ph i do mình g i (ch ng h n m t n t hàng qua m ng),ch ng ch s mà ng i nh n có c s là b ng ch ng kh ng nh ng i g i là tác gi

a thông tin ó. Trong tr ng h p ch i cãi, CA cung c p ch ng ch s cho hai bên sch u trách nhi m xác minh ngu n g c thông tin, ch ng t ngu n g c thông tin c

i.e) Ch ký n t

Email óng m t vai trò khá quan tr ng trong trao i thông tin hàng ngày c achúng ta vì u m nhanh, r và d s d ng. Nh ng thông p có th g i i nhanhchóng, qua Internet, n nh ng khách hàng, ng nghi p, nhà cung c p và các i tác.Tuy nhiên, email r t d b c b i các hacker. Nh ng thông p có th b c hay bgi m o tr c khi n ng i nh n.

ng vi c s d ng ch ng ch s cá nhân, b n s ng n ng a c các nguy c nàymà v n không làm gi m nh ng l i th c a email. V i ch ng ch s cá nhân, b n cóth t o thêm m t ch ký n t vào email nh m t b ng ch ng xác nh n c a mình.Ch ký n t c ng có các tính n ng xác th c thông tin, toàn v n d li u và ch ngch i cãi ngu n g c.

Ngoài ra, ch ng ch s cá nhân còn cho phép ng i dùng có th ch ng th c mìnhi m t web server thông qua giao th c b o m t SSL. Ph ng pháp ch ng th c d a


Trang 5

trên ch ng ch s c ánh giá là t t, an toàn và b o m t h n ph ng pháp ch ngth c truy n th ng d a trên m t kh u.

f) o m t WebsiteKhi Website c a b n s d ng cho m c ích th ng m i n t hay cho nh ngc ích quan tr ng khác, nh ng thông tin trao i gi a b n và khách hàng c a b n

có th b l . tránh nguy c này, b n có th dùng ch ng ch s SSL Server b ot cho Website c a mình.Ch ng ch s SSL Server s cho phép b n l p c u hình Website c a mình theo

giao th c b o m t SSL (Secure Sockets Layer). Lo i ch ng ch s này s cung c pcho Website c a b n m t nh danh duy nh t nh m m b o v i khách hàng c a b n

tính xác th c và tính h p pháp c a Website. Ch ng ch s SSL Server c ng chophép trao i thông tin an toàn và b o m t gi a Website v i khách hàng, nhân viên và

i tác c a b n thông qua công ngh SSL mà n i b t là các tính n ng:+ Th c hi n mua bán b ng th tín d ng.+ B o v nh ng thông tin cá nhân nh y c m c a khách hàng.+ m b o hacker không th dò tìm c m t kh u.

g) m b o ph n m mu b n là m t nhà s n xu t ph n m m, ch c ch n b n s c n nh ng ''con tem

ch ng hàng gi '' cho s n ph m c a mình. ây là m t công c không th thi u trongvi c áp d ng hình th c s h u b n quy n. Ch ng ch s Nhà phát tri n ph n m m scho phép b n ký vào các applet, script, Java software, ActiveX control, các file d ngEXE, CAB, DLL... Nh v y, thông qua ch ng ch s , b n s m b o tính h p pháp

ng nh ngu n g c xu t x c a s n ph m. H n n a ng i dùng s n ph m có th xácth c c b n là nhà cung c p, phát hi n c s thay i c a ch ng trình (do vôtình h ng hay do virus phá, b crack và bán l u...).

i nh ng l i ích v b o m t và xác th c, ch ng ch s hi n ã c s d ng r ngrãi trên th gi i nh m t công c xác minh danh tính c a các bên trong giao d chth ng m i n t . ây là m t n n t ng công ngh mang tính tiêu chu n trên toàn

u, m c dù m i n c có m t s chính sách qu n lý ch ng th c s khác nhau. M iqu c gia u c n có nh ng CA b n a ch ng v các ho t ng ch ng th c strong n c. Nh ng ngoài ra, n u mu n th c hi n TM T v t ra ngoài biên gi i, cácqu c gia c ng ph i tuân theo các chu n công ngh chung, và th c hi n ch ng th cchéo, trao i và công nh n các CA c a nhau.

III. Tri n khai d ch v CA trên môi tr ng Window Server 2003Trên môi tr ng h u hành Windows Server 2003, CA là m t ph n m m c

tích h p s n.

III.1Cài t d ch v CAng nh p vào Windows Server 2003 v i quy n Administrator.

1. Click vào Startà Control Panelà Add Or Remove Programs. H p tho i Add OrRemove Programs xu t hi n.


Trang 6

2. Click Add/Remove Windows Components. H p tho i Add/Remove WindowsComponents xu t hi nà ch n Certificate Services.

3. Click ch nà ch n Details. H p tho i Certificate Services xu t hi n.4. p tho i c nh báo v thành viên domain và ràng bu c i tên máy tính xu t hi nà

click Yes.


Trang 7

5. Trong trang lo i CA, click ch n Enterprise Root CAà click Next.

6. Trên trang thông tin nh n ra CA, trong h p Common name, ánh tên c a serverà clicknext.


Trang 8

7. Trên trang Certificate Database Settings, ng d n m c nh trong h p Certificatedatabase box và Certificate database logà click Next.

8. i nh c d ng Internet Information Services xu t hi nà click Yes.9. Enable Active Server Pages (ASPs)à click Yes.10. Khi quá trình cài t hoàn t tà click Finish.

III.2Các d ch v ch ng ch CA Windows Server 2003 cung c pCh ký n t : d ng xác nh n ng i g i thông p, file ho c d li u

khác. Ch ký n t không h tr b o v d li u khi truy n.Ch ng th c internet: Có th s d ng PKI ch ng th c client và server c

thi t l p n i k t trên internet, vì v y server có th nh n d ng máy client n i k t n nóvà client có th xác nh n ã n i k t úng server.

o m t IP ( IP Security - IPSec): m r ng IPSec cho phép mã hóa và truy nch ký s , nh m ng n ch n d li u b l khi truy n trên m ng. Tri n khai IPSec trênWindows Server 2003 không ph i dùng PKI có c khóa mã hóa c a nó, nh ngcó th dùng PKI v i m c ích này.

Secure e-mail: Giao th c e-mail trên internet truy n thông p mail ch b nrõ, vì v y n i dung mail d dàng c c khi truy n. V i PKI, ng i g i có th b o

t e-mail khi truy n b ng cách mã hóa n i dung mail dùng khóa công khai c ang i nh n. Ngoài ra, ng i g i có th ký lên thông p b ng khóa riêng c a mình.

Smart card logon: Smart card là m t lo i th tín d ng. Windows Server 2003 cóth dùng smart card nh là m t thi t b ch ng th c. Smart card ch a ch ng ch c a


Trang 9

user và khóa riêng, cho phép ng i dùng logon t i b t k máy nào trong doanhnghi p v i an toàn cao.

Software code signing: K thu t Authenticode c a Microsoft dùng ch ng chch ng th c nh ng ph n m m ng i dùng download và cài t chính xác là c a tác givà không c ch nh s a.

Wireless network authentication: Khi cài t m t LAN wireless, ph i ch c ch nng ch ng i dùng ch ng th c úng thì m i c n i k t m ng và không có ai có

th nghe lén khi giao ti p trên wireless. Có th s d ng Windows Server 2003 PKI o v m ng wireless b ng cách nh n d ng và ch ng th c ng i dùng tr c khi h

truy c p m ng.

III.3 Các lo i CA trên Windows Server 2003Trên windows Server 2003 có hai lo i CA:Enterprise: Enterprise CAs c tích h p trong d ch v Active Directory. Chúng

d ng m u ch ng ch , xu t b n (publish) ch ng ch và CRLs n Active Directory, d ng thông tin trong c s d li u Active Directory ch p nh n ho c t ch i yêuu c p phát ch ng ch t ng. B i v y client c a t ch c CA ph i truy xu t n

Active Directory nh n ch ng ch , nhi u t ch c CA không thích h p cho vi c c pphát ch ng ch cho các client bên ngoài t ch c.

Stand-alone Stand-alone CAs không dùng m u ch ng ch hay Active Directory;chúng l u tr thông tin c c b c a nó. H n n a, m c nh, stand-alone CAs không t

ng áp l i yêu c u c p phát ch ng ch s gi ng nh enterprise CAs làm. Yêu c uch trong hàng i cho ng i qu n tr ch p nh n ho c t ch i b ng tay.

Dù ng i dùng ch n t o ra m t enterprise CA hay là m t stand-alone CA, uph i ch rõ CA là g c (root) hay c p d i (subordinate).

III.4C p phát và qu n lí các ch ng ch s

III.4.1C p phát t ng (Auto-Enrollment)

Auto-Enrollment cho phép client yêu c u t ng và nh n ch ng ch s t CA màkhông c n s can thi p c a ng i qu n tr . dùng Auto-Enrollment thì ph i códomain ch y Windows Server 2003, m t enterprise CA ch y trên Windows Server2003 và client có th ch y Windows XP Professional. u khi n ti n trình Auto-Enrollment b ng s ph i h p c a group policy và m u ch ng ch s .

c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho t t c cácng i dùng và máy tính n m trong domain. cài t, b n m chính sách cài tAuto-Enrollment, n m trong th m c Windows Settings\ Sercurity Settings\PublicKey Policies trong c 2 node Computer Configuration và User Configuration c aGroup Policy Object Editor. H p tho i Autoenrollment Settings Properties xu t hi n,

n có th c m hoàn toàn auto-enrollment cho các i t ng s d ng GPO này. B nng có th cho phép các i t ng thay i ho c c p nh t ch ng ch s c a chúngt cách t ng.


Trang 10

t k thu t khác b n có th dùng u khi n auto-enrollment là xây d ng m uch ng ch có xác nh c tính c a ki u ch ng ch s rõ ràng. qu n lý m u ch ngch s , b n dùng m u ch ng ch s có s n ( Certificate Templates snap-in), nh hình

i. S d ng công c này, b n có th ch rõ th i gian hi u l c và th i gian gia h na lo i ch ng ch s ã ch n, ch n d ch v mã hóa (cryptographic) cung c p cho

chúng. Dùng tab Security, b n c ng có th ch rõ nh ng user và group c phép yêuu ch ng ch s dùng m u này.


Trang 11

Khi client yêu c u m t ch ng ch s , CA ki m tra c tính i t ng ActiveDirectory c a client quy t nh li u client có quy n t i thi u c nh n ch ng chkhông?. N u client có quy n thích h p thì CA s c p phát ch ng ch s m t cách t

ng.

III.4.2C p phát không t ng (Manual Enrollment)

Stand-alone CAs không th dùng auto-enrollment, vì v y khi m t stand-alone CAnh n yêu c u v ch ng ch s t client, nó s l u tr nh ng yêu c u ó vào trong m thàng i cho t i khi ng i qu n tr quy t nh li u có c p phát ch ng ch s haykhông?. giám sát và x lý các yêu c u vào, ng i qu n tr dùng CertificationAuthority console, nh hình sau:

Trong Certification Authority console, t t c yêu c u c p phát ch ng ch s xu thi n trong th m c Pending Request. Sau khi ánh giá thông tin trong m i yêu c u,ng i qu n tr có th ch n ch p nh n (issue) hay t ch i yêu c u. Ng i qu n tr

ng có th xem c tính c a vi c c p phát ch ng ch và thu h i ch ng ch khi c n.

III.4.3Các cách yêu c u c p phát CA

III.4.3.1 S d ng Certificates Snap-in:Certificate Snap-in là m t công c dùng xem và qu n lý ch ng ch c a m t user

ho c computer c th . Màn hình chính c a snap-in bao g m nhi u th m c ch a t t cng m c ch ng ch s c ch nh cho user ho c computer. N u t ch c c a ng i

dùng s d ng enterprise CAs, Certificate Snap-in c ng cho phép ng i dùng yêu c uvà thay i ch ng ch s b ng cách dùng Certificate Request Wizard và CertificateRenewal Wizard.


Trang 12

III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment)Khi b n cài t Certificate Services trên máy tính ch y Windows Server 2003,

ng i dùng có th ch n cài t module Certificate Services Web Enrollment Support. ho t ng m t cách úng n, module này yêu c u ng i dùng ph i cài t IIS

trên máy tính tr c. Ch n module này trong quá trình cài t Certificate Services t ora trang Web trên máy tính ch y CA, nh ng trang Web này cho phép ng i dùng g iyêu c u c p ch ng ch s yêu c u mà h ch n.


Trang 13

Giao di n Web Enrollment Support c dùng cho ng i s d ng bên ngoài ho cbên trong m ng truy xu t n stand-alone CAs. Vì stand-alone server không dùng

u ch ng ch s , client g i yêu c u bao g m t t c các thông tin c n thi t v ch ngch s và thông tin v ng i s d ng ch ng ch s .

Khi client yêu c u ch ng ch s dùng giao di n Web Enrollment Support, chúngcó th ch n t danh sách lo i ch ng ch ã c nh ngh a tr c ho c t o ra ch ngch cao c p b ng cách ch rõ t t c các thông tin yêu c u trong form Web-based.


Trang 14

III.4.4Thu h i ch ng ch s Có vài nguyên nhân c nh báo cho ng i qu n tr thu h i ch ng ch . N u nh khóa

riêng ( private key) b l , ho c ng i dùng trái phép l i d ng truy xu t n CA, th mchí n u b n mu n c p phát ch ng ch dùng tham s khác nh là khóa dài h n, b nph i c thu h i ch ng ch tr c ó. M t CA duy trì m t CRL (CertificateRevocation List). Enterprise CAs xu t b n CRLs c a chúng trong c s d li uActive Directory, vì v y client có th truy xu t chúng dùng giao th c truy n thôngActive directory chu n, g i là Lightweight Directory Access Protocol (LDAP). M tstand-alone CA l u tr CRL c a nó nh là m t file trên a c c b c a server, vì v yclient truy xu t dùng giao th c truy n thông Internet nh Hypertext Transfer Protocol(HTTP) or File Transfer Protocol (FTP).

i ch ng ch s ch a ng d n t i m phân ph i c a CA cho CRLs. Có tha i ng d n này trong Certification Authority console b ng cách hi n th h p

tho i Properties cho CA, click vào tab Extension. Khi m t ng d ng ch ng th c clientang dùng ch ng ch s , nó ki m tra m phân ph i CRL ã nh rõ trong ch ng ch, ch c ch n r ng ch ng ch s không b thu h i. N u CRL không có t i m

phân ph i ã nh rõ c a nó, ng d ng t ch i ch ng ch .ng cách ch n th m c Revoked Certificates trong Certification Authority

console và sau ó hi n th h p tho i Properties c a nó, b n có th ch rõ bao lâu thìCA nên xu t b n m t CRL m i, và c ng c u hình CA xu t b n delta CRLs.M t


Trang 15

delta CRL là m t danh sách t t c các ch ng ch ã thu h i t khi CRL cu i cùng xu tn. Trong t ch c v i s l ng ch ng ch s l n, s d ng CRLs thay vì CRLs c b n

có th l u m t s l n.

IV. Tri n khai m t s d ch v m ng s d ng CA

IV.1 D ch v Web s d ng SSLSSL-Sercue Socket Layer, là m t giao th c mã hóa cung c p s truy n thông an

toàn trên Internet nh web browsing, e-mail.SSL cung c p s ch ng th c t i các mcu i c a k t n i, kênh truy n thông riêng t trên Internet b ng cách mã hóa. Thôngth ng ch có Server là c ch ng th c, có ngh a là ch có ng i dùng cu i (ng i

d ng, ng d ng, …) bi t rõ mình ang “nói chuy n” v i ai. m c b o m t caon, c hai phía u ph i bi t nhau, ch ng th c l n nhau. Ch ng th c l n nhau yêuu dùng h t ng khóa công khai-PKI.

1) Mô hình d ch v :

Máy Web Server c c u hình d ch v web s d ng SSL b ng cách nh n ch ngch t CA service.

2) u hình d ch v :i Web server yêu c u c p phát ch ng ch :


Trang 16

c 1: M IIS, click chu t ph i vào website c n c u hình SSL, ch n tabDirectory Security, ch n Server Certificate

c 2: Ch n t o m i m t ch ng ch


Trang 17

Nh n Next, ch n Prepare for Request now, but send it later và l u yêu c u c pphát xu ng file


Trang 18

c 3: M Internet Explorer, gõ vào c ch c a CA Service yêu c u c p phátch ng ch qua web


Trang 19

Ch n Request a Certificate và ch n Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file:

file yêu c u trên và copy n i dung và dán vào ô Saved Request:

u CA Service không c p phát t ng thì vào máy CA c p phát(Issue) choch ng ch v a yêu c u.


Trang 20

Vào l i trang web yêu c u CA, ch n Download Certificate t i ch ng ch v ac c p phát v .

c 4: Quay tr l i IIS, ch n Process the pending request and install thecertificate Import ch ng ch v a có c trên.

Ch n Edit, ch n Require secure channel(SSL) c u hình cho web site dùng SSLkhi có yêu c u k t n i.


Trang 21

3) Minh h a k t qu :Gi s ta có trang web v i n i dung sau c t t i web server và client s k t

i b ng giao th c HTTP xem trang web này.


Trang 22

Khi không dùng SSL, n u dùng các công c b t gói d li u ta có th xem c n idung, còn khi dùng SSL d li u s c mã hóa và không xem c dù b t c góitin.


Trang 23

IV.2 D ch v IPSecIPSec-Internet Protocol Security, là m t giao th c c thi t k b o v d li u

ng ch kí n t và mã hóa tr c khi truy n i.IPSec mã hóa các thông tin tronggói tin IP theo cách óng gói nó, nên ngay c khi b t c các gói tin s không c

c n i dung bên trong.Do IPSec ho t ng t ng m ng nên IPSec t o m t kênh mã hóa liên t c gi a cácm k t n i(end-to-end), ngh a là khi d li u c mã hóa máy g i thì ch c

gi i mã khi t i máy nh n.IPSec Protocol:

a) IP Authentication Header-AH: không mã hóa d li u trong gói tin IP, màch mã hóa ph n header. AH cung c p các d ch v b o m t c b n, d li ucó th c c khi b t gói tin, nh ng n i dung thì không th thay i


Trang 24

b) IP Encapsulating Security Payload-ESP: mã hóa toàn b n i dung gói tinIP, ng n không cho ng i nghe lén có th c c n i dung khi gói tin dichuy n trên m ng. ESP cung c p các d ch v ch ng th c, m b o toàn v nvà mã hóa d li u.



Trang 25

Trong mô hình trên, FTP server là máy tính cung c p các d ch v truy n file trongng, client s k t n i vào server này download và upload các file d li u.Tr c

khi các client t o k t n i thì ph i qua m t quá trình ch ng th c, m b o an toàntrong quá trình này, c ng nh cho n i dung c a các file d li u, ta s tích h p v i d ch

CA.Máy CA Service s cung c p các ch ng ch th c hi n ch ng th c gi a FTPserver và các client.

làm c u này thì máy cung c p d ch v CA c ng óng vai trò là DomainControler, c p các ch ng ch t ng cho các máy khi có yêu c u.

2) Tri n khai d ch v :Ph n này trình bày m t s b c thi t l p chính sách IPSec có s d ng CA cho

mô hình bên trên. Chính sách này t o t i m i máy có yêu c u truy n thông b ngIPSec.

c 1: Trong c a s ch ng trình IP Security Policy, t o m t chính sách m i

c 2: Ch n Next thêm m t lu t m i, trong tab Rule ch n Add thêm m tdanh sách các yêu c u l c trên giao th c IP(IP Filter List)


Trang 26

c 3: Ch n Add thêm các lu t theo yêu c u c n l c. Gi s ây ta thi t l plu t l c giao th c FTP khi ch ng th c gi a máy hi n t i v i t t các máy khác


Trang 27

Trong ô From this port, nh p giá tr 21, ây là c ng mà FTP s dùng ch ngth c ng i dùng.

c 4: Nh n oK n c a s Filter Action, ch n Require Security yêu c u d ng IPSec b t c khi nào c n ch ng th c FTP.


Trang 28

c 5: Ch n ph ng pháp ch ng th c, ch n cách ch ng th c b ng CA, nh n nútBrowse d n CA c a mô hình m ng trên.

c 6: V i chính sách v a t o, ch n Assign chính sách c áp d ng.3) Minh h a k t qu :Gi s t client1 k t n i vào FTP Server, khi không dùng IPSec ta s bi t c

username và password khi ng i dùng ch ng th c n u b t c các gói d li u này.


Trang 29

Khi s d ng IPSec, các gói tin s c mã hóa và không c c n i dung.

IV.3 D ch v VPNVPN-Virtual Private Network, là m t m ng riêng dùng m ng công c ng(Internet)

k t n i các m ho c ng i s d ng t i m ng LAN trung tâm.VPN cho phép truy n d li u gi a hai máy tính s d ng môi tr ng m ng công

ng gi ng nh cách có m t ng k t n i riêng gi a hai máy này. t o m t k t n im m(point-to-point), d li u c óng gói(encapsulate), bao b c(wrap) v it header cung c p các thông tin nh tuy n. gi l p m t kênh truy n riêng, d

li u s c mã hóa.


Trang 30


Trong mô hình này, d ch v VPN s c tri n khai t i v n phòng à L t, ng idùng n i khác nh Hà N i Tp H Chí Minh có th k t n i, truy c p các tài nguyênbên trong m ng LAN t i à L t. Giao th c VPN s d ng L2TP/IPSec, ch ng th c

ng ch ng ch s do CA.2) Tri n khai d ch v :Ph n này s gi i thích ch c n ng và trình bày m t s c u hình quan tr ng m t các

máy tính trong mô hình trên.a. Domain Controller: ho t ng nh m t trung tâm u khi n, cung các d ch v

phân gi i tên mi n(DNS-Domain Name System), c p phát a ch IP ng(DHCP-Dyamic Host Configuration Protocol). ng th i ây c ng là CAserver n i c p phát các ch ng ch theo yêu c u.

b. Web Server: cung c p d ch v Website cho ng i dùng.c. IAS: là máy qu n lý ng i s d ng truy c p t xa, RADIUS (Remote Access

Dial-in User Service). s d ng d ch v ph i c cài t tr c. cài t IAS ch n Control

Panel->Add and Remove Program->Window Component->Network Services ->Internet Authentication Serivce.


Trang 31

ch ng trình IAS, t o m i m t RADIUS client và m t chính sách ch nhnhóm ho c ng i dùng nào c phép truy c p t xa.

_ Thêm RADIUS client:

_ Thêm chính sách m i, qui nh cho nh ng ng i dùng trong nhómVPNUsers c truy c p.


Trang 32

d. VPN Server: là máy ch VPN, nh n yêu c u k t n i t bên ngoài.


Trang 33

t s c u hình chính:c 1:M ch ng trình Routing and Remote Acces, ch n Configure and Enable

Routing and Remote Access.c 2:Ch n Remote Access(dial-up or VPN)

c 3: Ch n VPN


Trang 34

c 4: Nh p a ch RADIUS server

c 6:Trong ph n DHCP Relay Agent, nh p a ch c a máy cung c p d ch vDHCP


Trang 35

3) o k t n i t các máy ng i dùng ngoài m ngc 1: t o k t n i m ng lo i VPN

c 2: M k t n i, nh p username và password c a ng i dùng c phép truyp

c 3: Ch n Properties, ch n lo i VPN là L2TP/IPSec. Nh n OK v ch nConnect.


Trang 36

V. K t qu và h ng phát tri n

V.1 K t quThông qua vi c th c hi n tài, nhóm ã tìm hi u các ki n th c c b n v c s

t ng khóa công khai-PKI, m t mô hình ang c s d ng r t nhi u cho vi ctruy n thông trên m ng hi n nay. Tìm hi u và tri n khai d ch v CA, m t thành ph nquan tr ng c a PKI, trên môi tr ng Windows Server 2003. Cu i cùng là ã tích h p

c d ch v CA vào m t s d ch v m ng khác t o nên các d ch v có tính b ot cao.

V.2 H ng phát tri nCác mô hình d ch v trên c th c hi n gi l p trong môi tr ng m ng LAN.u c s h t ng m ng t t h n, s có th tri n khai trên ph m vi l n h n v i môi

tr ng Internet th t. Ngoài ra, có th tìm hi u thêm tích h p các d ch v trên trongmôi tr ng Linux.


Trang 37

C L CI. Gi i thi u............................................................................................................. 1II. s h t ng khóa công khai............................................................................ 1

II.1 Khái ni m .................................................................................................. 1II.2 Nhà cung c p ch ng th c s CA (Certificate Authority) ............................ 2II.3 Ch ng ch s .............................................................................................. 2

II.3.1 Khái ni m ........................................................................................... 2II.3.2 i ích c a ch ng ch s ..................................................................... 3

III. Tri n khai d ch v CA trên môi tr ng Window Server 2003............................ 5III.1 Cài t d ch v CA..................................................................................... 5III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p ....................... 8III.3 Các lo i CA trên Windows Server 2003 ..................................................... 9III.4 p phát và qu n lí các ch ng ch s .......................................................... 9

III.4.1 p phát t ng (Auto-Enrollment) ................................................... 9III.4.2 p phát không t ng (Manual Enrollment) .................................. 11III.4.3 Các cách yêu c u c p phát CA .......................................................... 11

III.4.3.1 d ng Certificates Snap-in: ....................................................... 11III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment) .................... 12

III.4.4 Thu h i ch ng ch s ......................................................................... 14IV. Tri n khai m t s d ch v m ng s d ng CA................................................... 15

IV.1 ch v Web s d ng SSL ....................................................................... 15IV.2 ch v IPSec .......................................................................................... 23IV.3 ch v VPN............................................................................................ 29

V. t qu và h ng phát tri n ............................................................................ 36V.1 t qu ..................................................................................................... 36V.2 ng phát tri n ...................................................................................... 36

trien khai mot so dich vu dua tren ca

Documents