Trien khai mot so dich vu dua tren ca

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

I. Gi i thi u
Ngày nay, vi c giao ti p qua m ng Internet ang tr thành m t nhu c u c p thi t.
Các thông tin truy n trên m ng u r t quan tr ng, nh mã s tài kho n, thông tin
t... Tuy nhiên, v i các th n tinh vi, nguy c b n c p thông tin qua m ng c ng
ngày càng gia t ng. Hi n giao ti p qua Internet ch y u s d ng giao th c TCP/IP.
ây là giao th c cho phép các thông tin c g i t máy tính này t i máy tính khác
thông qua m t lo t các máy trung gian ho c các m ng riêng bi t. Chính u này ã
o c h i cho nh ng ''k tr m'' công ngh cao có th th c hi n các hành ng phi
pháp. Các thông tin truy n trên m ng u có th b nghe tr m (Eavesdropping), gi
o (Tampering), o danh (Impersonation) .v.v. Các bi n pháp b o m t hi n nay,
ch ng h n nh dùng m t kh u, u không m b o vì có th b nghe tr m ho c b dò
ra nhanh chóng.
Do v y, b o m t, các thông tin truy n trên Internet ngày nay u có xu h ng
c mã hoá. Tr c khi truy n qua m ng Internet, ng i g i mã hoá thông tin, trong
quá trình truy n, dù có ''ch n'' c các thông tin này, k tr m c ng không th c
c vì b mã hoá. Khi t i ích, ng i nh n s s d ng m t công c c bi t gi i
mã. Ph ng pháp mã hoá và b o m t ph bi n nh t ang c th gi i áp d ng là
ch ng ch s (Digital Certificate). V i ch ng ch s , ng i s d ng có th mã hoá
thông tin t cách hi u qu , ch ng gi m o (cho phép ng i nh n ki m tra thông tin
có b thay i không), xác th c danh tính c a ng i g i. Ngoài ra ch ng ch s còn là
ng ch ng giúp ch ng ch i cãi ngu n g c, ng n ch n ng i g i ch i cãi ngu n g c
tài li u mình ã g i.
M t cách mã hóa d li u m b o an toàn ó là mã hóa khóa công khai.
d ng c cách mã hóa này, c n ph i có m t ch ng ch s t t ch c qu n tr c
i là nhà cung c p ch ng ch s ( certification authority – CA).

II. C s h t ng khóa công khai
II.1 Khái ni m
t PKI (public key infrastructure) cho phép ng i s d ng c a m t m ng công
ng không b o m t, ch ng h n nh Internet, có th trao i d li u và ti n m t cách
an toàn thông qua vi c s d ng m t c p mã khoá công khai và cá nhân c c p phát
và s d ng qua m t nhà cung c p ch ng th c c tín nhi m. N n t ng khoá công
khai cung c p m t ch ng ch s , dùng xác minh m t cá nhân ho c t ch c, và các
ch v danh m c có th l u tr và khi c n có th thu h i các ch ng ch s . M c dù
các thành ph n c b n c a PKI u c ph bi n, nh ng m t s nhà cung c p ang
mu n a ra nh ng chu n PKI riêng khác bi t. M t tiêu chu n chung v PKI trên
Internet c ng ang trong quá trình xây d ng.
t c s h t ng khoá công khai bao g m:

Trang 1


• t Nhà cung c p ch ng th c s (CA) chuyên cung c p và xác minh các
ch ng ch s . M t ch ng ch bao g m khoá công khai ho c thông tin v
khoá công khai.
• t nhà qu n lý ng ký (Registration Authority (RA)) óng vai trò nh
ng i th m tra cho CA tr c khi m t ch ng ch s c c p phát t i ng i
yêu c u.
• t ho c nhi u danh m c n i các ch ng ch s (v i khoá công khai c a nó)
c l u gi , ph c v cho các nhu c u tra c u, l y khoá công khai c a i
tác c n th c hi n giao d ch ch ng th c s .
• t h th ng qu n lý ch ng ch .

II.2 Nhà cung c p ch ng th c s CA (Certificate Authority)
Trong các h th ng qu n lý ch ng th c s ang ho t ng trên th gi i, Nhà cung
p ch ng th c s (Certificate authority - CA) là m t t ch c chuyên a ra và qu n
lý các n i dung xác th c b o m t trên m t m ng máy tính, cùng các khoá công khai
mã hoá thông tin. Là m t ph n trong C s h t ng khoá công khai (public key
infrastructure - PKI), m t CA s ki m soát cùng v i m t nhà qu n lý ng ký
(Registration authority - RA) xác minh thông tin v m t ch ng ch s mà ng i
yêu c u xác th c a ra. N u RA xác nh n thông tin c a ng i c n xác th c, CA sau
ós a ra m t ch ng ch .
Tu thu c vào vi c tri n khai c s h t ng khoá công khai, ch ng ch s s bao
m khoá công khai c a ng i s h u, th i h n h t hi u l c c a ch ng ch , tên ch s
u và các thông tin khác v ch khoá công khai.

II.3 Ch ng ch s
II.3.1 Khái ni m
Ch ng ch s là m t t p tin n t dùng xác minh danh tính m t cá nhân, m t
máy ch , m t công ty... trên Internet. Nó gi ng nh b ng lái xe, h chi u, ch ng minh
th hay nh ng gi y t xác minh cá nhân.
có ch ng minh th , b n ph i c c quan Công An s t i c p. Ch ng ch s
ng v y, ph i do m t t ch c ng ra ch ng nh n nh ng thông tin c a b n là chính
xác, c g i là Nhà cung c p ch ng th c s (Certificate Authority, vi t t t là CA).
CA ph i m b o v tin c y, ch u trách nhi m v chính xác c a ch ng ch s
mà mình c p.
Trong ch ng ch s có ba thành ph n chính:
• Thông tin cá nhân c a ng i c c p.
• Khoá công khai (Public key) c a ng i c c p.
• Ch ký s c a CA c p ch ng ch .
• Th i gian h p l .
Thông tin cá nhân

Trang 2


ây là các thông tin c a i t ng c c p ch ng ch s , g m tên, qu c t ch, a
ch , n tho i, email, tên t ch c .v.v. Ph n này gi ng nh các thông tin trên ch ng
minh th c a m i ng i.
Khoá công khai
Trong khái ni m m t mã, khoá công khai là m t giá tr c nhà cung c p ch ng
ch a ra nh m t khoá mã hoá, k t h p cùng v i m t khoá cá nhân duy nh t c
o ra t khoá công khai t o thành c p mã khoá b t i x ng.
Nguyên lý ho t ng c a khoá công khai trong ch ng ch s là hai bên giao d ch
ph i bi t khoá công khai c a nhau. Bên A mu n g i cho bên B thì ph i dùng khoá
công khai c a bên B mã hoá thông tin. Bên B s dùng khoá cá nhân c a mình
thông tin ó ra. Tính b t i x ng trong mã hoá th hi n ch khoá cá nhân có
th gi i mã d li u c mã hoá b ng khoá công khai (trong cùng m t c p khoá duy
nh t mà m t cá nhân s h u), nh ng khoá công khai không có kh n ng gi i mã l i
thông tin, k c nh ng thông tin do chính khoá công khai ó ã mã hoá. ây là c
tính c n thi t vì có th nhi u cá nhân B,C, D... cùng th c hi n giao d ch và có khoá
công khai c a A, nh ng C,D... không th gi i mã c các thông tin mà B g i cho A
dù cho ã ch n b t c các gói thông tin g i i trên m ng.
t cách hi u nôm na, n u ch ng ch s là m t ch ng minh th nhân dân, thì
khoá công khai óng vai trò nh danh tính c a b n trên gi y ch ng minh th (g m tên
a ch , nh...), còn khoá cá nhân là g ng m t và d u vân tay c a b n. N u coi m t
u ph m là thông tin truy n i, c "mã hoá" b ng a ch và tên ng i nh n c a
n, thì dù ai ó có dùng ch ng minh th c a b n v i m c ich l y b u ph m này, h
ng không c nhân viên b u n giao b u ki n vì nh m t và d u vân tay không
gi ng.
Ch ký s c a CA c p ch ng ch
Còn g i là ch ng ch g c. ây chính là s xác nh n c a CA, b o m tính chính
xác và h p l c a ch ng ch . Mu n ki m tra m t ch ng ch s , tr c tiên ph i ki m
tra ch ký s c a CA có h p l hay không. Trên ch ng minh th , ây chính là con
u xác nh n c a Công An T nh ho c Thành ph mà b n tr c thu c. V nguyên t c,
khi ki m tra ch ng minh th , úng ra u tiên ph i là xem con d u này, bi t ch ng
minh th có b làm gi hay không.

II.3.2 L i ích c a ch ng ch s
a) Mã hoá

L i ích u tiên c a ch ng ch s là tính b o m t thông tin. Khi ng i g i ã mã
hoá thông tin b ng khoá công khai c a b n, ch c ch n ch có b n m i gi i mã c
thông tin c. Trong quá trình truy n thông tin qua Internet, dù có c c các
gói tin ã mã hoá này, k x u c ng không th bi t c trong gói tin có thông tin
gì. ây là m t tính n ng r t quan tr ng, giúp ng i s d ng hoàn toàn tin c y v kh
ng b o m t thông tin. Nh ng trao i thông tin c n b o m t cao, ch ng h n giao
ch liên ngân hàng, ngân hàng n t , thanh toán b ng th tín d ng, u c n ph i có
ch ng ch s m b o an toàn.

Trang 3


b) Ch ng gi m o

Khi b n g i i m t thông tin, có th là m t d li u ho c m t email, có s d ng
ch ng ch s , ng i nh n s ki m tra c thông tin c a b n có b thay i hay
không. B t k m t s s a i hay thay th n i dung c a thông p g c u s b phát
hi n. a ch mail, tên domain... u có th b k x u làm gi ánh l a ng i nh n
lây lan virus, n c p thông tin quan tr ng. Tuy nhiên, ch ng ch s thì không th
làm gi , nên vi c trao i thông tin có kèm ch ng ch s luôn m b o an toàn.
c) Xác th c

Khi g i m t thông tin kèm ch ng ch s , ng i nh n - có th là i tác kinh doanh,
ch c ho c c quan chính quy n - s xác nh rõ c danh tính c a b n. Có ngh a
là dù không nhìn th y b n, nh ng qua h th ng ch ng ch s mà b n và ng i nh n
cùng s d ng, ng i nh n s bi t ch c ch n ó là b n ch không ph i là m t ng i
khác. Xác th c là m t tính n ng r t quan tr ng trong vi c th c hi n các giao d ch n
qua m ng, c ng nh các th t c hành chính v i c quan pháp quy n. Các ho t ng
này c n ph i xác minh rõ ng i g i thông tin s d ng t cách pháp nhân. ây
chính là n n t ng c a m t Chính ph n t , môi tr ng cho phép công dân có th
giao ti p, th c hi n các công vi c hành chính v i c quan nhà n c hoàn toàn qua
ng. Có th nói, ch ng ch s là m t ph n không th thi u, là ph n c t lõi c a Chính
ph nt .
d) Ch ng ch i cãi ngu n g c

Khi s d ng m t ch ng ch s , b n ph i ch u trách nhi m hoàn toàn v nh ng
thông tin mà ch ng ch s i kèm. Trong tr ng h p ng i g i ch i cãi, ph nh n m t
thông tin nào ó không ph i do mình g i (ch ng h n m t n t hàng qua m ng),
ch ng ch s mà ng i nh n có c s là b ng ch ng kh ng nh ng i g i là tác gi
a thông tin ó. Trong tr ng h p ch i cãi, CA cung c p ch ng ch s cho hai bên s
ch u trách nhi m xác minh ngu n g c thông tin, ch ng t ngu n g c thông tin c
i.
e) Ch ký nt
Email óng m t vai trò khá quan tr ng trong trao i thông tin hàng ngày c a
chúng ta vì u m nhanh, r và d s d ng. Nh ng thông p có th g i i nhanh
chóng, qua Internet, n nh ng khách hàng, ng nghi p, nhà cung c p và các i tác.
Tuy nhiên, email r t d b c b i các hacker. Nh ng thông p có th b c hay b
gi m o tr c khi n ng i nh n.
ng vi c s d ng ch ng ch s cá nhân, b n s ng n ng a c các nguy c này
mà v n không làm gi m nh ng l i th c a email. V i ch ng ch s cá nhân, b n có
th t o thêm m t ch ký n t vào email nh m t b ng ch ng xác nh n c a mình.
Ch ký n t c ng có các tính n ng xác th c thông tin, toàn v n d li u và ch ng
ch i cãi ngu n g c.
Ngoài ra, ch ng ch s cá nhân còn cho phép ng i dùng có th ch ng th c mình
i m t web server thông qua giao th c b o m t SSL. Ph ng pháp ch ng th c d a

Trang 4


trên ch ng ch s c ánh giá là t t, an toàn và b o m t h n ph ng pháp ch ng
th c truy n th ng d a trên m t kh u.
f) o m t Website
Khi Website c a b n s d ng cho m c ích th ng m i n t hay cho nh ng
c ích quan tr ng khác, nh ng thông tin trao i gi a b n và khách hàng c a b n
có th b l . tránh nguy c này, b n có th dùng ch ng ch s SSL Server b o
t cho Website c a mình.
Ch ng ch s SSL Server s cho phép b n l p c u hình Website c a mình theo
giao th c b o m t SSL (Secure Sockets Layer). Lo i ch ng ch s này s cung c p
cho Website c a b n m t nh danh duy nh t nh m m b o v i khách hàng c a b n
tính xác th c và tính h p pháp c a Website. Ch ng ch s SSL Server c ng cho
phép trao i thông tin an toàn và b o m t gi a Website v i khách hàng, nhân viên và
i tác c a b n thông qua công ngh SSL mà n i b t là các tính n ng:
+ Th c hi n mua bán b ng th tín d ng.
+ B o v nh ng thông tin cá nhân nh y c m c a khách hàng.
+ m b o hacker không th dò tìm c m t kh u.
g) m b o ph n m m
u b n là m t nhà s n xu t ph n m m, ch c ch n b n s c n nh ng ''con tem
ch ng hàng gi '' cho s n ph m c a mình. ây là m t công c không th thi u trong
vi c áp d ng hình th c s h u b n quy n. Ch ng ch s Nhà phát tri n ph n m m s
cho phép b n ký vào các applet, script, Java software, ActiveX control, các file d ng
EXE, CAB, DLL... Nh v y, thông qua ch ng ch s , b n s m b o tính h p pháp
ng nh ngu n g c xu t x c a s n ph m. H n n a ng i dùng s n ph m có th xác
th c c b n là nhà cung c p, phát hi n c s thay i c a ch ng trình (do vô
tình h ng hay do virus phá, b crack và bán l u...).
i nh ng l i ích v b o m t và xác th c, ch ng ch s hi n ã c s d ng r ng
rãi trên th gi i nh m t công c xác minh danh tính c a các bên trong giao d ch
th ng m i n t . ây là m t n n t ng công ngh mang tính tiêu chu n trên toàn
u, m c dù m i n c có m t s chính sách qu n lý ch ng th c s khác nhau. M i
qu c gia u c n có nh ng CA b n a ch ng v các ho t ng ch ng th c s
trong n c. Nh ng ngoài ra, n u mu n th c hi n TM T v t ra ngoài biên gi i, các
qu c gia c ng ph i tuân theo các chu n công ngh chung, và th c hi n ch ng th c
chéo, trao i và công nh n các CA c a nhau.

III. Tri n khai d ch v CA trên môi tr ng Window Server 2003
Trên môi tr ng h u hành Windows Server 2003, CA là m t ph n m m c
tích h p s n.

III.1 Cài t d ch v CA
ng nh p vào Windows Server 2003 v i quy n Administrator.
1. Click vào Start à Control Panel à Add Or Remove Programs. H p tho i Add Or
Remove Programs xu t hi n.

Trang 5


2. Click Add/Remove Windows Components. H p tho i Add/Remove Windows
Components xu t hi n à ch n Certificate Services.

3. Click ch n à ch n Details. H p tho i Certificate Services xu t hi n.
4. p tho i c nh báo v thành viên domain và ràng bu c i tên máy tính xu t hi n à
click Yes.

Trang 6


5. Trong trang lo i CA, click ch n Enterprise Root CA à click Next.

6. Trên trang thông tin nh n ra CA, trong h p Common name, ánh tên c a server à click
next.

Trang 7


7. Trên trang Certificate Database Settings, ng d n m c nh trong h p Certificate
database box và Certificate database log à click Next.

8. i nh c d ng Internet Information Services xu t hi n à click Yes.
9. Enable Active Server Pages (ASPs) à click Yes.
10. Khi quá trình cài t hoàn t t à click Finish.

III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p
Ch ký nt : d ng xác nh n ng i g i thông p, file ho c d li u
khác. Ch ký n t không h tr b o v d li u khi truy n.
Ch ng th c internet: Có th s d ng PKI ch ng th c client và server c
thi t l p n i k t trên internet, vì v y server có th nh n d ng máy client n i k t n nó
và client có th xác nh n ã n i k t úng server.
o m t IP ( IP Security - IPSec): m r ng IPSec cho phép mã hóa và truy n
ch ký s , nh m ng n ch n d li u b l khi truy n trên m ng. Tri n khai IPSec trên
Windows Server 2003 không ph i dùng PKI có c khóa mã hóa c a nó, nh ng
có th dùng PKI v i m c ích này.
Secure e-mail: Giao th c e-mail trên internet truy n thông p mail ch b n
rõ, vì v y n i dung mail d dàng c c khi truy n. V i PKI, ng i g i có th b o
t e-mail khi truy n b ng cách mã hóa n i dung mail dùng khóa công khai c a
ng i nh n. Ngoài ra, ng i g i có th ký lên thông p b ng khóa riêng c a mình.
Smart card logon: Smart card là m t lo i th tín d ng. Windows Server 2003 có
th dùng smart card nh là m t thi t b ch ng th c. Smart card ch a ch ng ch c a

Trang 8


user và khóa riêng, cho phép ng i dùng logon t i b t k máy nào trong doanh
nghi p v i an toàn cao.
Software code signing: K thu t Authenticode c a Microsoft dùng ch ng ch
ch ng th c nh ng ph n m m ng i dùng download và cài t chính xác là c a tác gi
và không c ch nh s a.
Wireless network authentication: Khi cài t m t LAN wireless, ph i ch c ch n
ng ch ng i dùng ch ng th c úng thì m i c n i k t m ng và không có ai có
th nghe lén khi giao ti p trên wireless. Có th s d ng Windows Server 2003 PKI
o v m ng wireless b ng cách nh n d ng và ch ng th c ng i dùng tr c khi h
truy c p m ng.

III.3 Các lo i CA trên Windows Server 2003
Trên windows Server 2003 có hai lo i CA:
Enterprise: Enterprise CAs c tích h p trong d ch v Active Directory. Chúng
d ng m u ch ng ch , xu t b n (publish) ch ng ch và CRLs n Active Directory,
d ng thông tin trong c s d li u Active Directory ch p nh n ho c t ch i yêu
u c p phát ch ng ch t ng. B i v y client c a t ch c CA ph i truy xu t n
Active Directory nh n ch ng ch , nhi u t ch c CA không thích h p cho vi c c p
phát ch ng ch cho các client bên ngoài t ch c.
Stand-alone Stand-alone CAs không dùng m u ch ng ch hay Active Directory;
chúng l u tr thông tin c c b c a nó. H n n a, m c nh, stand-alone CAs không t
ng áp l i yêu c u c p phát ch ng ch s gi ng nh enterprise CAs làm. Yêu c u
ch trong hàng i cho ng i qu n tr ch p nh n ho c t ch i b ng tay.
Dù ng i dùng ch n t o ra m t enterprise CA hay là m t stand-alone CA, u
ph i ch rõ CA là g c (root) hay c p d i (subordinate).

III.4 C p phát và qu n lí các ch ng ch s
III.4.1C p phát t ng (Auto-Enrollment)

Auto-Enrollment cho phép client yêu c u t ng và nh n ch ng ch s t CA mà
không c n s can thi p c a ng i qu n tr . dùng Auto-Enrollment thì ph i có
domain ch y Windows Server 2003, m t enterprise CA ch y trên Windows Server
2003 và client có th ch y Windows XP Professional. u khi n ti n trình Auto-
Enrollment b ng s ph i h p c a group policy và m u ch ng ch s .
c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho t t c các
ng i dùng và máy tính n m trong domain. cài t, b n m chính sách cài t
Auto-Enrollment, n m trong th m c Windows Settings Sercurity SettingsPublic
Key Policies trong c 2 node Computer Configuration và User Configuration c a
Group Policy Object Editor. H p tho i Autoenrollment Settings Properties xu t hi n,
n có th c m hoàn toàn auto-enrollment cho các i t ng s d ng GPO này. B n
ng có th cho phép các i t ng thay i ho c c p nh t ch ng ch s c a chúng
t cách t ng.

Trang 9


t k thu t khác b n có th dùng u khi n auto-enrollment là xây d ng m u
ch ng ch có xác nh c tính c a ki u ch ng ch s rõ ràng. qu n lý m u ch ng
ch s , b n dùng m u ch ng ch s có s n ( Certificate Templates snap-in), nh hình
i. S d ng công c này, b n có th ch rõ th i gian hi u l c và th i gian gia h n
a lo i ch ng ch s ã ch n, ch n d ch v mã hóa (cryptographic) cung c p cho
chúng. Dùng tab Security, b n c ng có th ch rõ nh ng user và group c phép yêu
u ch ng ch s dùng m u này.

Trang 10


Khi client yêu c u m t ch ng ch s , CA ki m tra c tính i t ng Active
Directory c a client quy t nh li u client có quy n t i thi u c nh n ch ng ch
không?. N u client có quy n thích h p thì CA s c p phát ch ng ch s m t cách t
ng.

III.4.2C p phát không t ng (Manual Enrollment)

Stand-alone CAs không th dùng auto-enrollment, vì v y khi m t stand-alone CA
nh n yêu c u v ch ng ch s t client, nó s l u tr nh ng yêu c u ó vào trong m t
hàng i cho t i khi ng i qu n tr quy t nh li u có c p phát ch ng ch s hay
không?. giám sát và x lý các yêu c u vào, ng i qu n tr dùng Certification
Authority console, nh hình sau:

Trong Certification Authority console, t t c yêu c u c p phát ch ng ch s xu t
hi n trong th m c Pending Request. Sau khi ánh giá thông tin trong m i yêu c u,
ng i qu n tr có th ch n ch p nh n (issue) hay t ch i yêu c u. Ng i qu n tr
ng có th xem c tính c a vi c c p phát ch ng ch và thu h i ch ng ch khi c n.

III.4.3Các cách yêu c u c p phát CA

III.4.3.1 S d ng Certificates Snap-in:
Certificate Snap-in là m t công c dùng xem và qu n lý ch ng ch c a m t user
ho c computer c th . Màn hình chính c a snap-in bao g m nhi u th m c ch a t t c
ng m c ch ng ch s c ch nh cho user ho c computer. N u t ch c c a ng i
dùng s d ng enterprise CAs, Certificate Snap-in c ng cho phép ng i dùng yêu c u
và thay i ch ng ch s b ng cách dùng Certificate Request Wizard và Certificate
Renewal Wizard.

Trang 11


III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment)
Khi b n cài t Certificate Services trên máy tính ch y Windows Server 2003,
ng i dùng có th ch n cài t module Certificate Services Web Enrollment Support.
ho t ng m t cách úng n, module này yêu c u ng i dùng ph i cài t IIS
trên máy tính tr c. Ch n module này trong quá trình cài t Certificate Services t o
ra trang Web trên máy tính ch y CA, nh ng trang Web này cho phép ng i dùng g i
yêu c u c p ch ng ch s yêu c u mà h ch n.

Trang 12


Giao di n Web Enrollment Support c dùng cho ng i s d ng bên ngoài ho c
bên trong m ng truy xu t n stand-alone CAs. Vì stand-alone server không dùng
u ch ng ch s , client g i yêu c u bao g m t t c các thông tin c n thi t v ch ng
ch s và thông tin v ng i s d ng ch ng ch s .
Khi client yêu c u ch ng ch s dùng giao di n Web Enrollment Support, chúng
có th ch n t danh sách lo i ch ng ch ã c nh ngh a tr c ho c t o ra ch ng
ch cao c p b ng cách ch rõ t t c các thông tin yêu c u trong form Web-based.

Trang 13


III.4.4Thu h i ch ng ch s
Có vài nguyên nhân c nh báo cho ng i qu n tr thu h i ch ng ch . N u nh khóa
riêng ( private key) b l , ho c ng i dùng trái phép l i d ng truy xu t n CA, th m
chí n u b n mu n c p phát ch ng ch dùng tham s khác nh là khóa dài h n, b n
ph i c thu h i ch ng ch tr c ó. M t CA duy trì m t CRL (Certificate
Revocation List). Enterprise CAs xu t b n CRLs c a chúng trong c s d li u
Active Directory, vì v y client có th truy xu t chúng dùng giao th c truy n thông
Active directory chu n, g i là Lightweight Directory Access Protocol (LDAP). M t
stand-alone CA l u tr CRL c a nó nh là m t file trên a c c b c a server, vì v y
client truy xu t dùng giao th c truy n thông Internet nh Hypertext Transfer Protocol
(HTTP) or File Transfer Protocol (FTP).
i ch ng ch s ch a ng d n t i m phân ph i c a CA cho CRLs. Có th
a i ng d n này trong Certification Authority console b ng cách hi n th h p
tho i Properties cho CA, click vào tab Extension. Khi m t ng d ng ch ng th c client
ang dùng ch ng ch s , nó ki m tra m phân ph i CRL ã nh rõ trong ch ng ch
, ch c ch n r ng ch ng ch s không b thu h i. N u CRL không có t i m
phân ph i ã nh rõ c a nó, ng d ng t ch i ch ng ch .
ng cách ch n th m c Revoked Certificates trong Certification Authority
console và sau ó hi n th h p tho i Properties c a nó, b n có th ch rõ bao lâu thì
CA nên xu t b n m t CRL m i, và c ng c u hình CA xu t b n delta CRLs.M t

Trang 14


delta CRL là m t danh sách t t c các ch ng ch ã thu h i t khi CRL cu i cùng xu t
n. Trong t ch c v i s l ng ch ng ch s l n, s d ng CRLs thay vì CRLs c b n
có th l u m t s l n.

IV. Tri n khai m t s d ch v m ng s d ng CA
IV.1 D ch v Web s d ng SSL
SSL-Sercue Socket Layer, là m t giao th c mã hóa cung c p s truy n thông an
toàn trên Internet nh web browsing, e-mail.SSL cung c p s ch ng th c t i các m
cu i c a k t n i, kênh truy n thông riêng t trên Internet b ng cách mã hóa. Thông
th ng ch có Server là c ch ng th c, có ngh a là ch có ng i dùng cu i (ng i
d ng, ng d ng, …) bi t rõ mình ang “nói chuy n” v i ai. m c b o m t cao
n, c hai phía u ph i bi t nhau, ch ng th c l n nhau. Ch ng th c l n nhau yêu
u dùng h t ng khóa công khai-PKI.
1) Mô hình d ch v :

Máy Web Server c c u hình d ch v web s d ng SSL b ng cách nh n ch ng
ch t CA service.
2) u hình d ch v :
i Web server yêu c u c p phát ch ng ch :

Trang 15


c 1: M IIS, click chu t ph i vào website c n c u hình SSL, ch n tab
Directory Security, ch n Server Certificate

c 2: Ch n t o m i m t ch ng ch

Trang 16


Nh n Next, ch n Prepare for Request now, but send it later và l u yêu c u c p
phát xu ng file

Trang 17


c 3: M Internet Explorer, gõ vào c ch c a CA Service yêu c u c p phát
ch ng ch qua web

Trang 18


Ch n Request a Certificate và ch n Submit a certificate request by using a base-
64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-
encoded PKCS #7 file:

file yêu c u trên và copy n i dung và dán vào ô Saved Request:

u CA Service không c p phát t ng thì vào máy CA c p phát(Issue) cho
ch ng ch v a yêu c u.

Trang 19


Vào l i trang web yêu c u CA, ch n Download Certificate t i ch ng ch v a
c c p phát v .

c 4: Quay tr l i IIS, ch n Process the pending request and install the
certificate Import ch ng ch v a có c trên.

Ch n Edit, ch n Require secure channel(SSL) c u hình cho web site dùng SSL
khi có yêu c u k t n i.

Trang 20


3) Minh h a k t qu :
Gi s ta có trang web v i n i dung sau c t t i web server và client s k t
i b ng giao th c HTTP xem trang web này.

Trang 21


Khi không dùng SSL, n u dùng các công c b t gói d li u ta có th xem cn i
dung, còn khi dùng SSL d li u s c mã hóa và không xem c dù b t c gói
tin.

Trang 22


IV.2 D ch v IPSec
IPSec-Internet Protocol Security, là m t giao th c c thi t k b o v d li u
ng ch kí n t và mã hóa tr c khi truy n i.IPSec mã hóa các thông tin trong
gói tin IP theo cách óng gói nó, nên ngay c khi b t c các gói tin s không c
c n i dung bên trong.
Do IPSec ho t ng t ng m ng nên IPSec t o m t kênh mã hóa liên t c gi a các
m k t n i(end-to-end), ngh a là khi d li u c mã hóa máy g i thì ch c
gi i mã khi t i máy nh n.
IPSec Protocol:
a) IP Authentication Header-AH: không mã hóa d li u trong gói tin IP, mà
ch mã hóa ph n header. AH cung c p các d ch v b o m t c b n, d li u
có th c c khi b t gói tin, nh ng n i dung thì không th thay i

Trang 23


b) IP Encapsulating Security Payload-ESP: mã hóa toàn b n i dung gói tin
IP, ng n không cho ng i nghe lén có th c c n i dung khi gói tin di
chuy n trên m ng. ESP cung c p các d ch v ch ng th c, m b o toàn v n
và mã hóa d li u.


Trang 24


Trong mô hình trên, FTP server là máy tính cung c p các d ch v truy n file trong
ng, client s k t n i vào server này download và upload các file d li u.Tr c
khi các client t o k t n i thì ph i qua m t quá trình ch ng th c, m b o an toàn
trong quá trình này, c ng nh cho n i dung c a các file d li u, ta s tích h p v i d ch
CA.Máy CA Service s cung c p các ch ng ch th c hi n ch ng th c gi a FTP
server và các client.
làm c u này thì máy cung c p d ch v CA c ng óng vai trò là Domain
Controler, c p các ch ng ch t ng cho các máy khi có yêu c u.
2) Tri n khai d ch v :
Ph n này trình bày m t s b c thi t l p chính sách IPSec có s d ng CA cho
mô hình bên trên. Chính sách này t o t i m i máy có yêu c u truy n thông b ng
IPSec.
c 1: Trong c a s ch ng trình IP Security Policy, t o m t chính sách m i

c 2: Ch n Next thêm m t lu t m i, trong tab Rule ch n Add thêm m t
danh sách các yêu c u l c trên giao th c IP(IP Filter List)

Trang 25


c 3: Ch n Add thêm các lu t theo yêu c u c n l c. Gi s ây ta thi t l p
lu t l c giao th c FTP khi ch ng th c gi a máy hi n t i v i t t các máy khác

Trang 26


Trong ô From this port, nh p giá tr 21, ây là c ng mà FTP s dùng ch ng
th c ng i dùng.

c 4: Nh n oK n c a s Filter Action, ch n Require Security yêu c u
d ng IPSec b t c khi nào c n ch ng th c FTP.

Trang 27


c 5: Ch n ph ng pháp ch ng th c, ch n cách ch ng th c b ng CA, nh n nút
Browse d n CA c a mô hình m ng trên.

c 6: V i chính sách v a t o, ch n Assign chính sách c áp d ng.
3) Minh h a k t qu :
Gi s t client1 k t n i vào FTP Server, khi không dùng IPSec ta s bi t c
username và password khi ng i dùng ch ng th c n u b t c các gói d li u này.

Trang 28


Khi s d ng IPSec, các gói tin s c mã hóa và không c c n i dung.

IV.3 D ch v VPN
VPN-Virtual Private Network, là m t m ng riêng dùng m ng công c ng(Internet)
k t n i các m ho c ng i s d ng t i m ng LAN trung tâm.
VPN cho phép truy n d li u gi a hai máy tính s d ng môi tr ng m ng công
ng gi ng nh cách có m t ng k t n i riêng gi a hai máy này. t om tk tn i
m m(point-to-point), d li u c óng gói(encapsulate), bao b c(wrap) v i
t header cung c p các thông tin nh tuy n. gi l p m t kênh truy n riêng, d
li u s c mã hóa.

Trang 29



Trong mô hình này, d ch v VPN s c tri n khai t i v n phòng à L t, ng i
dùng n i khác nh Hà N i Tp H Chí Minh có th k t n i, truy c p các tài nguyên
bên trong m ng LAN t i à L t. Giao th c VPN s d ng L2TP/IPSec, ch ng th c
ng ch ng ch s do CA.
2) Tri n khai d ch v :
Ph n này s gi i thích ch c n ng và trình bày m t s c u hình quan tr ng m t các
máy tính trong mô hình trên.
a. Domain Controller: ho t ng nh m t trung tâm u khi n, cung các d ch v
phân gi i tên mi n(DNS-Domain Name System), c p phát a ch IP ng
(DHCP-Dyamic Host Configuration Protocol). ng th i ây c ng là CA
server n i c p phát các ch ng ch theo yêu c u.
b. Web Server: cung c p d ch v Website cho ng i dùng.
c. IAS: là máy qu n lý ng i s d ng truy c p t xa, RADIUS (Remote Access
Dial-in User Service).
s d ng d ch v ph i c cài t tr c. cài t IAS ch n Control
Panel->Add and Remove Program->Window Component->Network Services ->
Internet Authentication Serivce.

Trang 30


ch ng trình IAS, t o m i m t RADIUS client và m t chính sách ch nh
nhóm ho c ng i dùng nào c phép truy c p t xa.
_ Thêm RADIUS client:

_ Thêm chính sách m i, qui nh cho nh ng ng i dùng trong nhóm
VPNUsers c truy c p.

Trang 31


d. VPN Server: là máy ch VPN, nh n yêu c u k t n i t bên ngoài.

Trang 32


t s c u hình chính:
c 1:M ch ng trình Routing and Remote Acces, ch n Configure and Enable
Routing and Remote Access.
c 2:Ch n Remote Access(dial-up or VPN)

c 3: Ch n VPN

Trang 33


c 4: Nh p a ch RADIUS server

c 6:Trong ph n DHCP Relay Agent, nh p a ch c a máy cung c p d ch v
DHCP

Trang 34


3) o k t n i t các máy ng i dùng ngoài m ng
c 1: t o k t n i m ng lo i VPN

c 2: M k t n i, nh p username và password c a ng i dùng c phép truy
p

c 3: Ch n Properties, ch n lo i VPN là L2TP/IPSec. Nh n OK v ch n
Connect.
Trang 35


V. K t qu và h ng phát tri n
V.1 K t qu
Thông qua vi c th c hi n tài, nhóm ã tìm hi u các ki n th c c b n v c s
t ng khóa công khai-PKI, m t mô hình ang c s d ng r t nhi u cho vi c
truy n thông trên m ng hi n nay. Tìm hi u và tri n khai d ch v CA, m t thành ph n
quan tr ng c a PKI, trên môi tr ng Windows Server 2003. Cu i cùng là ã tích h p
c d ch v CA vào m t s d ch v m ng khác t o nên các d ch v có tính b o
t cao.

V.2 H ng phát tri n
Các mô hình d ch v trên c th c hi n gi l p trong môi tr ng m ng LAN.
u c s h t ng m ng t t h n, s có th tri n khai trên ph m vi l n h n v i môi
tr ng Internet th t. Ngoài ra, có th tìm hi u thêm tích h p các d ch v trên trong
môi tr ng Linux.

Trang 36


CL C
I. Gi i thi u............................................................................................................. 1
II. s h t ng khóa công khai............................................................................ 1
II.1 Khái ni m .................................................................................................. 1
II.2 Nhà cung c p ch ng th c s CA (Certificate Authority) ............................ 2
II.3 Ch ng ch s .............................................................................................. 2
II.3.1 Khái ni m ........................................................................................... 2
II.3.2 i ích c a ch ng ch s ..................................................................... 3
III. Tri n khai d ch v CA trên môi tr ng Window Server 2003............................ 5
III.1 Cài t d ch v CA..................................................................................... 5
III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p ....................... 8
III.3 Các lo i CA trên Windows Server 2003 ..................................................... 9
III.4 p phát và qu n lí các ch ng ch s .......................................................... 9
III.4.1 p phát t ng (Auto-Enrollment) ................................................... 9
III.4.2 p phát không t ng (Manual Enrollment) .................................. 11
III.4.3 Các cách yêu c u c p phát CA .......................................................... 11
III.4.3.1 d ng Certificates Snap-in: ....................................................... 11
III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment) .................... 12
III.4.4 Thu h i ch ng ch s ......................................................................... 14
IV. Tri n khai m t s d ch v m ng s d ng CA................................................... 15
IV.1 ch v Web s d ng SSL ....................................................................... 15
IV.2 ch v IPSec .......................................................................................... 23
IV.3 ch v VPN............................................................................................ 29
V. t qu và h ng phát tri n ............................................................................ 36
V.1 t qu ..................................................................................................... 36
V.2 ng phát tri n ...................................................................................... 36

Trang 37

Trien khai mot so dich vu dua tren ca

Recommended

Recommended

More Related Content

Similar to Trien khai mot so dich vu dua tren ca

Similar to Trien khai mot so dich vu dua tren ca (20)

Trien khai mot so dich vu dua tren ca