tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

I. Gi i thi u
Ngày nay, vi c giao ti p qua m ng Internet ang tr thành m t nhu c u c p thi t.
Các thông tin truy n trên m ng u r t quan tr ng, nh mã s tài kho n, thông tin
t... Tuy nhiên, v i các th n tinh vi, nguy c b n c p thông tin qua m ng c ng
ngày càng gia t ng. Hi n giao ti p qua Internet ch y u s d ng giao th c TCP/IP.
ây là giao th c cho phép các thông tin c g i t máy tính này t i máy tính khác
thông qua m t lo t các máy trung gian ho c các m ng riêng bi t. Chính u này ã
o c h i cho nh ng ''k tr m'' công ngh cao có th th c hi n các hành ng phi
pháp. Các thông tin truy n trên m ng u có th b nghe tr m (Eavesdropping), gi
o (Tampering), o danh (Impersonation) .v.v. Các bi n pháp b o m t hi n nay,
ch ng h n nh dùng m t kh u, u không m b o vì có th b nghe tr m ho c b dò
ra nhanh chóng.
Do v y, b o m t, các thông tin truy n trên Internet ngày nay u có xu h ng
c mã hoá. Tr c khi truy n qua m ng Internet, ng i g i mã hoá thông tin, trong
quá trình truy n, dù có ''ch n'' c các thông tin này, k tr m c ng không th c
c vì b mã hoá. Khi t i ích, ng i nh n s s d ng m t công c c bi t gi i
mã. Ph ng pháp mã hoá và b o m t ph bi n nh t ang c th gi i áp d ng là
ch ng ch s (Digital Certificate). V i ch ng ch s , ng i s d ng có th mã hoá
thông tin t cách hi u qu , ch ng gi m o (cho phép ng i nh n ki m tra thông tin
có b thay i không), xác th c danh tính c a ng i g i. Ngoài ra ch ng ch s còn là
ng ch ng giúp ch ng ch i cãi ngu n g c, ng n ch n ng i g i ch i cãi ngu n g c
tài li u mình ã g i.
M t cách mã hóa d li u m b o an toàn ó là mã hóa khóa công khai.
d ng c cách mã hóa này, c n ph i có m t ch ng ch s t t ch c qu n tr c
i là nhà cung c p ch ng ch s ( certification authority – CA).

II. C s h t ng khóa công khai

II.1 Khái ni m
t PKI (public key infrastructure) cho phép ng i s d ng c a m t m ng công
ng không b o m t, ch ng h n nh Internet, có th trao i d li u và ti n m t cách
an toàn thông qua vi c s d ng m t c p mã khoá công khai và cá nhân c c p phát
và s d ng qua m t nhà cung c p ch ng th c c tín nhi m. N n t ng khoá công
khai cung c p m t ch ng ch s , dùng xác minh m t cá nhân ho c t ch c, và các
ch v danh m c có th l u tr và khi c n có th thu h i các ch ng ch s . M c dù
các thành ph n c b n c a PKI u c ph bi n, nh ng m t s nhà cung c p ang
mu n a ra nh ng chu n PKI riêng khác bi t. M t tiêu chu n chung v PKI trên
Internet c ng ang trong quá trình xây d ng.
t c s h t ng khoá công khai bao g m:

Trang 1
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

• t Nhà cung c p ch ng th c s (CA) chuyên cung c p và xác minh các

ch ng ch s . M t ch ng ch bao g m khoá công khai ho c thông tin v
khoá công khai.
• t nhà qu n lý ng ký (Registration Authority (RA)) óng vai trò nh
ng i th m tra cho CA tr c khi m t ch ng ch s c c p phát t i ng i
yêu c u.
• t ho c nhi u danh m c n i các ch ng ch s (v i khoá công khai c a nó)
c l u gi , ph c v cho các nhu c u tra c u, l y khoá công khai c a i
tác c n th c hi n giao d ch ch ng th c s .
• t h th ng qu n lý ch ng ch .

II.2 Nhà cung c p ch ng th c s CA (Certificate Authority)

Trong các h th ng qu n lý ch ng th c s ang ho t ng trên th gi i, Nhà cung
p ch ng th c s (Certificate authority - CA) là m t t ch c chuyên a ra và qu n
lý các n i dung xác th c b o m t trên m t m ng máy tính, cùng các khoá công khai
mã hoá thông tin. Là m t ph n trong C s h t ng khoá công khai (public key
infrastructure - PKI), m t CA s ki m soát cùng v i m t nhà qu n lý ng ký
(Registration authority - RA) xác minh thông tin v m t ch ng ch s mà ng i
yêu c u xác th c a ra. N u RA xác nh n thông tin c a ng i c n xác th c, CA sau
ós a ra m t ch ng ch .
Tu thu c vào vi c tri n khai c s h t ng khoá công khai, ch ng ch s s bao
m khoá công khai c a ng i s h u, th i h n h t hi u l c c a ch ng ch , tên ch s
u và các thông tin khác v ch khoá công khai.

II.3 Ch ng ch s
II.3.1 Khái ni m
Ch ng ch s là m t t p tin n t dùng xác minh danh tính m t cá nhân, m t
máy ch , m t công ty... trên Internet. Nó gi ng nh b ng lái xe, h chi u, ch ng minh
th hay nh ng gi y t xác minh cá nhân.
có ch ng minh th , b n ph i c c quan Công An s t i c p. Ch ng ch s
ng v y, ph i do m t t ch c ng ra ch ng nh n nh ng thông tin c a b n là chính
xác, c g i là Nhà cung c p ch ng th c s (Certificate Authority, vi t t t là CA).
CA ph i m b o v tin c y, ch u trách nhi m v chính xác c a ch ng ch s
mà mình c p.
Trong ch ng ch s có ba thành ph n chính:
• Thông tin cá nhân c a ng i c c p.
• Khoá công khai (Public key) c a ng i c c p.
• Ch ký s c a CA c p ch ng ch .
• Th i gian h p l .
Thông tin cá nhân

Trang 2
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

ây là các thông tin c a i t ng c c p ch ng ch s , g m tên, qu c t ch, a

ch , n tho i, email, tên t ch c .v.v. Ph n này gi ng nh các thông tin trên ch ng
minh th c a m i ng i.
Khoá công khai
Trong khái ni m m t mã, khoá công khai là m t giá tr c nhà cung c p ch ng
ch a ra nh m t khoá mã hoá, k t h p cùng v i m t khoá cá nhân duy nh t c
o ra t khoá công khai t o thành c p mã khoá b t i x ng.
Nguyên lý ho t ng c a khoá công khai trong ch ng ch s là hai bên giao d ch
ph i bi t khoá công khai c a nhau. Bên A mu n g i cho bên B thì ph i dùng khoá
công khai c a bên B mã hoá thông tin. Bên B s dùng khoá cá nhân c a mình
thông tin ó ra. Tính b t i x ng trong mã hoá th hi n ch khoá cá nhân có
th gi i mã d li u c mã hoá b ng khoá công khai (trong cùng m t c p khoá duy
nh t mà m t cá nhân s h u), nh ng khoá công khai không có kh n ng gi i mã l i
thông tin, k c nh ng thông tin do chính khoá công khai ó ã mã hoá. ây là c
tính c n thi t vì có th nhi u cá nhân B,C, D... cùng th c hi n giao d ch và có khoá
công khai c a A, nh ng C,D... không th gi i mã c các thông tin mà B g i cho A
dù cho ã ch n b t c các gói thông tin g i i trên m ng.
t cách hi u nôm na, n u ch ng ch s là m t ch ng minh th nhân dân, thì
khoá công khai óng vai trò nh danh tính c a b n trên gi y ch ng minh th (g m tên
a ch , nh...), còn khoá cá nhân là g ng m t và d u vân tay c a b n. N u coi m t
u ph m là thông tin truy n i, c "mã hoá" b ng a ch và tên ng i nh n c a
n, thì dù ai ó có dùng ch ng minh th c a b n v i m c ich l y b u ph m này, h
ng không c nhân viên b u n giao b u ki n vì nh m t và d u vân tay không
gi ng.
Ch ký s c a CA c p ch ng ch
Còn g i là ch ng ch g c. ây chính là s xác nh n c a CA, b o m tính chính
xác và h p l c a ch ng ch . Mu n ki m tra m t ch ng ch s , tr c tiên ph i ki m
tra ch ký s c a CA có h p l hay không. Trên ch ng minh th , ây chính là con
u xác nh n c a Công An T nh ho c Thành ph mà b n tr c thu c. V nguyên t c,
khi ki m tra ch ng minh th , úng ra u tiên ph i là xem con d u này, bi t ch ng
minh th có b làm gi hay không.

II.3.2 L i ích c a ch ng ch s
a) Mã hoá

L i ích u tiên c a ch ng ch s là tính b o m t thông tin. Khi ng i g i ã mã

hoá thông tin b ng khoá công khai c a b n, ch c ch n ch có b n m i gi i mã c
thông tin c. Trong quá trình truy n thông tin qua Internet, dù có c c các
gói tin ã mã hoá này, k x u c ng không th bi t c trong gói tin có thông tin
gì. ây là m t tính n ng r t quan tr ng, giúp ng i s d ng hoàn toàn tin c y v kh
ng b o m t thông tin. Nh ng trao i thông tin c n b o m t cao, ch ng h n giao
ch liên ngân hàng, ngân hàng n t , thanh toán b ng th tín d ng, u c n ph i có
ch ng ch s m b o an toàn.

Trang 3
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

b) Ch ng gi m o

Khi b n g i i m t thông tin, có th là m t d li u ho c m t email, có s d ng

ch ng ch s , ng i nh n s ki m tra c thông tin c a b n có b thay i hay
không. B t k m t s s a i hay thay th n i dung c a thông p g c u s b phát
hi n. a ch mail, tên domain... u có th b k x u làm gi ánh l a ng i nh n
lây lan virus, n c p thông tin quan tr ng. Tuy nhiên, ch ng ch s thì không th
làm gi , nên vi c trao i thông tin có kèm ch ng ch s luôn m b o an toàn.
c) Xác th c

Khi g i m t thông tin kèm ch ng ch s , ng i nh n - có th là i tác kinh doanh,

ch c ho c c quan chính quy n - s xác nh rõ c danh tính c a b n. Có ngh a
là dù không nhìn th y b n, nh ng qua h th ng ch ng ch s mà b n và ng i nh n
cùng s d ng, ng i nh n s bi t ch c ch n ó là b n ch không ph i là m t ng i
khác. Xác th c là m t tính n ng r t quan tr ng trong vi c th c hi n các giao d ch n
qua m ng, c ng nh các th t c hành chính v i c quan pháp quy n. Các ho t ng
này c n ph i xác minh rõ ng i g i thông tin s d ng t cách pháp nhân. ây
chính là n n t ng c a m t Chính ph n t , môi tr ng cho phép công dân có th
giao ti p, th c hi n các công vi c hành chính v i c quan nhà n c hoàn toàn qua
ng. Có th nói, ch ng ch s là m t ph n không th thi u, là ph n c t lõi c a Chính
ph nt .
d) Ch ng ch i cãi ngu n g c

Khi s d ng m t ch ng ch s , b n ph i ch u trách nhi m hoàn toàn v nh ng

thông tin mà ch ng ch s i kèm. Trong tr ng h p ng i g i ch i cãi, ph nh n m t
thông tin nào ó không ph i do mình g i (ch ng h n m t n t hàng qua m ng),
ch ng ch s mà ng i nh n có c s là b ng ch ng kh ng nh ng i g i là tác gi
a thông tin ó. Trong tr ng h p ch i cãi, CA cung c p ch ng ch s cho hai bên s
ch u trách nhi m xác minh ngu n g c thông tin, ch ng t ngu n g c thông tin c
i.
e) Ch ký nt
Email óng m t vai trò khá quan tr ng trong trao i thông tin hàng ngày c a
chúng ta vì u m nhanh, r và d s d ng. Nh ng thông p có th g i i nhanh
chóng, qua Internet, n nh ng khách hàng, ng nghi p, nhà cung c p và các i tác.
Tuy nhiên, email r t d b c b i các hacker. Nh ng thông p có th b c hay b
gi m o tr c khi n ng i nh n.
ng vi c s d ng ch ng ch s cá nhân, b n s ng n ng a c các nguy c này
mà v n không làm gi m nh ng l i th c a email. V i ch ng ch s cá nhân, b n có
th t o thêm m t ch ký n t vào email nh m t b ng ch ng xác nh n c a mình.
Ch ký n t c ng có các tính n ng xác th c thông tin, toàn v n d li u và ch ng
ch i cãi ngu n g c.
Ngoài ra, ch ng ch s cá nhân còn cho phép ng i dùng có th ch ng th c mình
i m t web server thông qua giao th c b o m t SSL. Ph ng pháp ch ng th c d a

Trang 4
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

trên ch ng ch s c ánh giá là t t, an toàn và b o m t h n ph ng pháp ch ng

th c truy n th ng d a trên m t kh u.
f) o m t Website
Khi Website c a b n s d ng cho m c ích th ng m i n t hay cho nh ng
c ích quan tr ng khác, nh ng thông tin trao i gi a b n và khách hàng c a b n
có th b l . tránh nguy c này, b n có th dùng ch ng ch s SSL Server b o
t cho Website c a mình.
Ch ng ch s SSL Server s cho phép b n l p c u hình Website c a mình theo
giao th c b o m t SSL (Secure Sockets Layer). Lo i ch ng ch s này s cung c p
cho Website c a b n m t nh danh duy nh t nh m m b o v i khách hàng c a b n
tính xác th c và tính h p pháp c a Website. Ch ng ch s SSL Server c ng cho
phép trao i thông tin an toàn và b o m t gi a Website v i khách hàng, nhân viên và
i tác c a b n thông qua công ngh SSL mà n i b t là các tính n ng:
+ Th c hi n mua bán b ng th tín d ng.
+ B o v nh ng thông tin cá nhân nh y c m c a khách hàng.
+ m b o hacker không th dò tìm c m t kh u.
g) m b o ph n m m
u b n là m t nhà s n xu t ph n m m, ch c ch n b n s c n nh ng ''con tem
ch ng hàng gi '' cho s n ph m c a mình. ây là m t công c không th thi u trong
vi c áp d ng hình th c s h u b n quy n. Ch ng ch s Nhà phát tri n ph n m m s
cho phép b n ký vào các applet, script, Java software, ActiveX control, các file d ng
EXE, CAB, DLL... Nh v y, thông qua ch ng ch s , b n s m b o tính h p pháp
ng nh ngu n g c xu t x c a s n ph m. H n n a ng i dùng s n ph m có th xác
th c c b n là nhà cung c p, phát hi n c s thay i c a ch ng trình (do vô
tình h ng hay do virus phá, b crack và bán l u...).
i nh ng l i ích v b o m t và xác th c, ch ng ch s hi n ã c s d ng r ng
rãi trên th gi i nh m t công c xác minh danh tính c a các bên trong giao d ch
th ng m i n t . ây là m t n n t ng công ngh mang tính tiêu chu n trên toàn
u, m c dù m i n c có m t s chính sách qu n lý ch ng th c s khác nhau. M i
qu c gia u c n có nh ng CA b n a ch ng v các ho t ng ch ng th c s
trong n c. Nh ng ngoài ra, n u mu n th c hi n TM T v t ra ngoài biên gi i, các
qu c gia c ng ph i tuân theo các chu n công ngh chung, và th c hi n ch ng th c
chéo, trao i và công nh n các CA c a nhau.

III. Tri n khai d ch v CA trên môi tr ng Window Server 2003

Trên môi tr ng h u hành Windows Server 2003, CA là m t ph n m m c
tích h p s n.

III.1 Cài t d ch v CA
ng nh p vào Windows Server 2003 v i quy n Administrator.
1. Click vào Start à Control Panel à Add Or Remove Programs. H p tho i Add Or
Remove Programs xu t hi n.

Trang 5
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

2. Click Add/Remove Windows Components. H p tho i Add/Remove Windows

Components xu t hi n à ch n Certificate Services.

3. Click ch n à ch n Details. H p tho i Certificate Services xu t hi n.

4. p tho i c nh báo v thành viên domain và ràng bu c i tên máy tính xu t hi n à
click Yes.

Trang 6
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

5. Trong trang lo i CA, click ch n Enterprise Root CA à click Next.

6. Trên trang thông tin nh n ra CA, trong h p Common name, ánh tên c a server à click
next.

Trang 7
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

7. Trên trang Certificate Database Settings, ng d n m c nh trong h p Certificate

database box và Certificate database log à click Next.

8. i nh c d ng Internet Information Services xu t hi n à click Yes.

9. Enable Active Server Pages (ASPs) à click Yes.
10. Khi quá trình cài t hoàn t t à click Finish.

III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p

Ch ký nt : d ng xác nh n ng i g i thông p, file ho c d li u
khác. Ch ký n t không h tr b o v d li u khi truy n.
Ch ng th c internet: Có th s d ng PKI ch ng th c client và server c
thi t l p n i k t trên internet, vì v y server có th nh n d ng máy client n i k t n nó
và client có th xác nh n ã n i k t úng server.
o m t IP ( IP Security - IPSec): m r ng IPSec cho phép mã hóa và truy n
ch ký s , nh m ng n ch n d li u b l khi truy n trên m ng. Tri n khai IPSec trên
Windows Server 2003 không ph i dùng PKI có c khóa mã hóa c a nó, nh ng
có th dùng PKI v i m c ích này.
Secure e-mail: Giao th c e-mail trên internet truy n thông p mail ch b n
rõ, vì v y n i dung mail d dàng c c khi truy n. V i PKI, ng i g i có th b o
t e-mail khi truy n b ng cách mã hóa n i dung mail dùng khóa công khai c a
ng i nh n. Ngoài ra, ng i g i có th ký lên thông p b ng khóa riêng c a mình.
Smart card logon: Smart card là m t lo i th tín d ng. Windows Server 2003 có
th dùng smart card nh là m t thi t b ch ng th c. Smart card ch a ch ng ch c a

Trang 8
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

user và khóa riêng, cho phép ng i dùng logon t i b t k máy nào trong doanh
nghi p v i an toàn cao.
Software code signing: K thu t Authenticode c a Microsoft dùng ch ng ch
ch ng th c nh ng ph n m m ng i dùng download và cài t chính xác là c a tác gi
và không c ch nh s a.
Wireless network authentication: Khi cài t m t LAN wireless, ph i ch c ch n
ng ch ng i dùng ch ng th c úng thì m i c n i k t m ng và không có ai có
th nghe lén khi giao ti p trên wireless. Có th s d ng Windows Server 2003 PKI
o v m ng wireless b ng cách nh n d ng và ch ng th c ng i dùng tr c khi h
truy c p m ng.

III.3 Các lo i CA trên Windows Server 2003

Trên windows Server 2003 có hai lo i CA:
Enterprise: Enterprise CAs c tích h p trong d ch v Active Directory. Chúng
d ng m u ch ng ch , xu t b n (publish) ch ng ch và CRLs n Active Directory,
d ng thông tin trong c s d li u Active Directory ch p nh n ho c t ch i yêu
u c p phát ch ng ch t ng. B i v y client c a t ch c CA ph i truy xu t n
Active Directory nh n ch ng ch , nhi u t ch c CA không thích h p cho vi c c p
phát ch ng ch cho các client bên ngoài t ch c.
Stand-alone Stand-alone CAs không dùng m u ch ng ch hay Active Directory;
chúng l u tr thông tin c c b c a nó. H n n a, m c nh, stand-alone CAs không t
ng áp l i yêu c u c p phát ch ng ch s gi ng nh enterprise CAs làm. Yêu c u
ch trong hàng i cho ng i qu n tr ch p nh n ho c t ch i b ng tay.
Dù ng i dùng ch n t o ra m t enterprise CA hay là m t stand-alone CA, u
ph i ch rõ CA là g c (root) hay c p d i (subordinate).

III.4 C p phát và qu n lí các ch ng ch s

III.4.1C p phát t ng (Auto-Enrollment)

Auto-Enrollment cho phép client yêu c u t ng và nh n ch ng ch s t CA mà

không c n s can thi p c a ng i qu n tr . dùng Auto-Enrollment thì ph i có
domain ch y Windows Server 2003, m t enterprise CA ch y trên Windows Server
2003 và client có th ch y Windows XP Professional. u khi n ti n trình Auto-
Enrollment b ng s ph i h p c a group policy và m u ch ng ch s .
c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho t t c các
ng i dùng và máy tính n m trong domain. cài t, b n m chính sách cài t
Auto-Enrollment, n m trong th m c Windows Settings\ Sercurity Settings\Public
Key Policies trong c 2 node Computer Configuration và User Configuration c a
Group Policy Object Editor. H p tho i Autoenrollment Settings Properties xu t hi n,
n có th c m hoàn toàn auto-enrollment cho các i t ng s d ng GPO này. B n
ng có th cho phép các i t ng thay i ho c c p nh t ch ng ch s c a chúng
t cách t ng.

Trang 9
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

t k thu t khác b n có th dùng u khi n auto-enrollment là xây d ng m u

ch ng ch có xác nh c tính c a ki u ch ng ch s rõ ràng. qu n lý m u ch ng
ch s , b n dùng m u ch ng ch s có s n ( Certificate Templates snap-in), nh hình
i. S d ng công c này, b n có th ch rõ th i gian hi u l c và th i gian gia h n
a lo i ch ng ch s ã ch n, ch n d ch v mã hóa (cryptographic) cung c p cho
chúng. Dùng tab Security, b n c ng có th ch rõ nh ng user và group c phép yêu
u ch ng ch s dùng m u này.

Trang 10
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Khi client yêu c u m t ch ng ch s , CA ki m tra c tính i t ng Active

Directory c a client quy t nh li u client có quy n t i thi u c nh n ch ng ch
không?. N u client có quy n thích h p thì CA s c p phát ch ng ch s m t cách t
ng.

III.4.2C p phát không t ng (Manual Enrollment)

Stand-alone CAs không th dùng auto-enrollment, vì v y khi m t stand-alone CA

nh n yêu c u v ch ng ch s t client, nó s l u tr nh ng yêu c u ó vào trong m t
hàng i cho t i khi ng i qu n tr quy t nh li u có c p phát ch ng ch s hay
không?. giám sát và x lý các yêu c u vào, ng i qu n tr dùng Certification
Authority console, nh hình sau:

Trong Certification Authority console, t t c yêu c u c p phát ch ng ch s xu t

hi n trong th m c Pending Request. Sau khi ánh giá thông tin trong m i yêu c u,
ng i qu n tr có th ch n ch p nh n (issue) hay t ch i yêu c u. Ng i qu n tr
ng có th xem c tính c a vi c c p phát ch ng ch và thu h i ch ng ch khi c n.

III.4.3Các cách yêu c u c p phát CA

III.4.3.1 S d ng Certificates Snap-in:

Certificate Snap-in là m t công c dùng xem và qu n lý ch ng ch c a m t user
ho c computer c th . Màn hình chính c a snap-in bao g m nhi u th m c ch a t t c
ng m c ch ng ch s c ch nh cho user ho c computer. N u t ch c c a ng i
dùng s d ng enterprise CAs, Certificate Snap-in c ng cho phép ng i dùng yêu c u
và thay i ch ng ch s b ng cách dùng Certificate Request Wizard và Certificate
Renewal Wizard.

Trang 11
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment)

Khi b n cài t Certificate Services trên máy tính ch y Windows Server 2003,
ng i dùng có th ch n cài t module Certificate Services Web Enrollment Support.
ho t ng m t cách úng n, module này yêu c u ng i dùng ph i cài t IIS
trên máy tính tr c. Ch n module này trong quá trình cài t Certificate Services t o
ra trang Web trên máy tính ch y CA, nh ng trang Web này cho phép ng i dùng g i
yêu c u c p ch ng ch s yêu c u mà h ch n.

Trang 12
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Giao di n Web Enrollment Support c dùng cho ng i s d ng bên ngoài ho c

bên trong m ng truy xu t n stand-alone CAs. Vì stand-alone server không dùng
u ch ng ch s , client g i yêu c u bao g m t t c các thông tin c n thi t v ch ng
ch s và thông tin v ng i s d ng ch ng ch s .
Khi client yêu c u ch ng ch s dùng giao di n Web Enrollment Support, chúng
có th ch n t danh sách lo i ch ng ch ã c nh ngh a tr c ho c t o ra ch ng
ch cao c p b ng cách ch rõ t t c các thông tin yêu c u trong form Web-based.

Trang 13
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

III.4.4Thu h i ch ng ch s
Có vài nguyên nhân c nh báo cho ng i qu n tr thu h i ch ng ch . N u nh khóa
riêng ( private key) b l , ho c ng i dùng trái phép l i d ng truy xu t n CA, th m
chí n u b n mu n c p phát ch ng ch dùng tham s khác nh là khóa dài h n, b n
ph i c thu h i ch ng ch tr c ó. M t CA duy trì m t CRL (Certificate
Revocation List). Enterprise CAs xu t b n CRLs c a chúng trong c s d li u
Active Directory, vì v y client có th truy xu t chúng dùng giao th c truy n thông
Active directory chu n, g i là Lightweight Directory Access Protocol (LDAP). M t
stand-alone CA l u tr CRL c a nó nh là m t file trên a c c b c a server, vì v y
client truy xu t dùng giao th c truy n thông Internet nh Hypertext Transfer Protocol
(HTTP) or File Transfer Protocol (FTP).
i ch ng ch s ch a ng d n t i m phân ph i c a CA cho CRLs. Có th
a i ng d n này trong Certification Authority console b ng cách hi n th h p
tho i Properties cho CA, click vào tab Extension. Khi m t ng d ng ch ng th c client
ang dùng ch ng ch s , nó ki m tra m phân ph i CRL ã nh rõ trong ch ng ch
, ch c ch n r ng ch ng ch s không b thu h i. N u CRL không có t i m
phân ph i ã nh rõ c a nó, ng d ng t ch i ch ng ch .
ng cách ch n th m c Revoked Certificates trong Certification Authority
console và sau ó hi n th h p tho i Properties c a nó, b n có th ch rõ bao lâu thì
CA nên xu t b n m t CRL m i, và c ng c u hình CA xu t b n delta CRLs.M t

Trang 14
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

delta CRL là m t danh sách t t c các ch ng ch ã thu h i t khi CRL cu i cùng xu t

n. Trong t ch c v i s l ng ch ng ch s l n, s d ng CRLs thay vì CRLs c b n
có th l u m t s l n.

IV. Tri n khai m t s d ch v m ng s d ng CA

IV.1 D ch v Web s d ng SSL
SSL-Sercue Socket Layer, là m t giao th c mã hóa cung c p s truy n thông an
toàn trên Internet nh web browsing, e-mail.SSL cung c p s ch ng th c t i các m
cu i c a k t n i, kênh truy n thông riêng t trên Internet b ng cách mã hóa. Thông
th ng ch có Server là c ch ng th c, có ngh a là ch có ng i dùng cu i (ng i
d ng, ng d ng, …) bi t rõ mình ang “nói chuy n” v i ai. m c b o m t cao
n, c hai phía u ph i bi t nhau, ch ng th c l n nhau. Ch ng th c l n nhau yêu
u dùng h t ng khóa công khai-PKI.
1) Mô hình d ch v :

Máy Web Server c c u hình d ch v web s d ng SSL b ng cách nh n ch ng

ch t CA service.
2) u hình d ch v :
i Web server yêu c u c p phát ch ng ch :

Trang 15
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

c 1: M IIS, click chu t ph i vào website c n c u hình SSL, ch n tab

Directory Security, ch n Server Certificate

c 2: Ch n t o m i m t ch ng ch

Trang 16
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Nh n Next, ch n Prepare for Request now, but send it later và l u yêu c u c p

phát xu ng file

Trang 17
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

c 3: M Internet Explorer, gõ vào c ch c a CA Service yêu c u c p phát

ch ng ch qua web

Trang 18
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Ch n Request a Certificate và ch n Submit a certificate request by using a base-

64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-
encoded PKCS #7 file:

file yêu c u trên và copy n i dung và dán vào ô Saved Request:

u CA Service không c p phát t ng thì vào máy CA c p phát(Issue) cho

ch ng ch v a yêu c u.

Trang 19
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Vào l i trang web yêu c u CA, ch n Download Certificate t i ch ng ch v a

c c p phát v .

c 4: Quay tr l i IIS, ch n Process the pending request and install the

certificate Import ch ng ch v a có c trên.

Ch n Edit, ch n Require secure channel(SSL) c u hình cho web site dùng SSL
khi có yêu c u k t n i.

Trang 20
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

3) Minh h a k t qu :
Gi s ta có trang web v i n i dung sau c t t i web server và client s k t
i b ng giao th c HTTP xem trang web này.

Trang 21
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Khi không dùng SSL, n u dùng các công c b t gói d li u ta có th xem cn i

dung, còn khi dùng SSL d li u s c mã hóa và không xem c dù b t c gói
tin.

Trang 22
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

IV.2 D ch v IPSec
IPSec-Internet Protocol Security, là m t giao th c c thi t k b o v d li u
ng ch kí n t và mã hóa tr c khi truy n i.IPSec mã hóa các thông tin trong
gói tin IP theo cách óng gói nó, nên ngay c khi b t c các gói tin s không c
c n i dung bên trong.
Do IPSec ho t ng t ng m ng nên IPSec t o m t kênh mã hóa liên t c gi a các
m k t n i(end-to-end), ngh a là khi d li u c mã hóa máy g i thì ch c
gi i mã khi t i máy nh n.
IPSec Protocol:
a) IP Authentication Header-AH: không mã hóa d li u trong gói tin IP, mà
ch mã hóa ph n header. AH cung c p các d ch v b o m t c b n, d li u
có th c c khi b t gói tin, nh ng n i dung thì không th thay i

Trang 23
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

b) IP Encapsulating Security Payload-ESP: mã hóa toàn b n i dung gói tin

IP, ng n không cho ng i nghe lén có th c c n i dung khi gói tin di
chuy n trên m ng. ESP cung c p các d ch v ch ng th c, m b o toàn v n
và mã hóa d li u.

1) Mô hình d ch v :

Trang 24
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trong mô hình trên, FTP server là máy tính cung c p các d ch v truy n file trong
ng, client s k t n i vào server này download và upload các file d li u.Tr c
khi các client t o k t n i thì ph i qua m t quá trình ch ng th c, m b o an toàn
trong quá trình này, c ng nh cho n i dung c a các file d li u, ta s tích h p v i d ch
CA.Máy CA Service s cung c p các ch ng ch th c hi n ch ng th c gi a FTP
server và các client.
làm c u này thì máy cung c p d ch v CA c ng óng vai trò là Domain
Controler, c p các ch ng ch t ng cho các máy khi có yêu c u.
2) Tri n khai d ch v :
Ph n này trình bày m t s b c thi t l p chính sách IPSec có s d ng CA cho
mô hình bên trên. Chính sách này t o t i m i máy có yêu c u truy n thông b ng
IPSec.
c 1: Trong c a s ch ng trình IP Security Policy, t o m t chính sách m i

c 2: Ch n Next thêm m t lu t m i, trong tab Rule ch n Add thêm m t

danh sách các yêu c u l c trên giao th c IP(IP Filter List)

Trang 25
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

c 3: Ch n Add thêm các lu t theo yêu c u c n l c. Gi s ây ta thi t l p

lu t l c giao th c FTP khi ch ng th c gi a máy hi n t i v i t t các máy khác

Trang 26
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trong ô From this port, nh p giá tr 21, ây là c ng mà FTP s dùng ch ng

th c ng i dùng.

c 4: Nh n oK n c a s Filter Action, ch n Require Security yêu c u

d ng IPSec b t c khi nào c n ch ng th c FTP.

Trang 27
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

c 5: Ch n ph ng pháp ch ng th c, ch n cách ch ng th c b ng CA, nh n nút

Browse d n CA c a mô hình m ng trên.

c 6: V i chính sách v a t o, ch n Assign chính sách c áp d ng.

3) Minh h a k t qu :
Gi s t client1 k t n i vào FTP Server, khi không dùng IPSec ta s bi t c
username và password khi ng i dùng ch ng th c n u b t c các gói d li u này.

Trang 28
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Khi s d ng IPSec, các gói tin s c mã hóa và không c c n i dung.

IV.3 D ch v VPN
VPN-Virtual Private Network, là m t m ng riêng dùng m ng công c ng(Internet)
k t n i các m ho c ng i s d ng t i m ng LAN trung tâm.
VPN cho phép truy n d li u gi a hai máy tính s d ng môi tr ng m ng công
ng gi ng nh cách có m t ng k t n i riêng gi a hai máy này. t om tk tn i
m m(point-to-point), d li u c óng gói(encapsulate), bao b c(wrap) v i
t header cung c p các thông tin nh tuy n. gi l p m t kênh truy n riêng, d
li u s c mã hóa.

Trang 29
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

1) Mô hình d ch v :

Trong mô hình này, d ch v VPN s c tri n khai t i v n phòng à L t, ng i

dùng n i khác nh Hà N i Tp H Chí Minh có th k t n i, truy c p các tài nguyên
bên trong m ng LAN t i à L t. Giao th c VPN s d ng L2TP/IPSec, ch ng th c
ng ch ng ch s do CA.
2) Tri n khai d ch v :
Ph n này s gi i thích ch c n ng và trình bày m t s c u hình quan tr ng m t các
máy tính trong mô hình trên.
a. Domain Controller: ho t ng nh m t trung tâm u khi n, cung các d ch v
phân gi i tên mi n(DNS-Domain Name System), c p phát a ch IP ng
(DHCP-Dyamic Host Configuration Protocol). ng th i ây c ng là CA
server n i c p phát các ch ng ch theo yêu c u.
b. Web Server: cung c p d ch v Website cho ng i dùng.
c. IAS: là máy qu n lý ng i s d ng truy c p t xa, RADIUS (Remote Access
Dial-in User Service).
s d ng d ch v ph i c cài t tr c. cài t IAS ch n Control
Panel->Add and Remove Program->Window Component->Network Services ->
Internet Authentication Serivce.

Trang 30
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

ch ng trình IAS, t o m i m t RADIUS client và m t chính sách ch nh

nhóm ho c ng i dùng nào c phép truy c p t xa.
_ Thêm RADIUS client:

_ Thêm chính sách m i, qui nh cho nh ng ng i dùng trong nhóm

VPNUsers c truy c p.

Trang 31
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

d. VPN Server: là máy ch VPN, nh n yêu c u k t n i t bên ngoài.

Trang 32
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

t s c u hình chính:
c 1:M ch ng trình Routing and Remote Acces, ch n Configure and Enable
Routing and Remote Access.
c 2:Ch n Remote Access(dial-up or VPN)

c 3: Ch n VPN

Trang 33
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

c 4: Nh p a ch RADIUS server

c 6:Trong ph n DHCP Relay Agent, nh p a ch c a máy cung c p d ch v

DHCP

Trang 34
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

3) o k t n i t các máy ng i dùng ngoài m ng

c 1: t o k t n i m ng lo i VPN

c 2: M k t n i, nh p username và password c a ng i dùng c phép truy

p

c 3: Ch n Properties, ch n lo i VPN là L2TP/IPSec. Nh n OK v ch n

Connect.
Trang 35
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

V. K t qu và h ng phát tri n
V.1 K t qu
Thông qua vi c th c hi n tài, nhóm ã tìm hi u các ki n th c c b n v c s
t ng khóa công khai-PKI, m t mô hình ang c s d ng r t nhi u cho vi c
truy n thông trên m ng hi n nay. Tìm hi u và tri n khai d ch v CA, m t thành ph n
quan tr ng c a PKI, trên môi tr ng Windows Server 2003. Cu i cùng là ã tích h p
c d ch v CA vào m t s d ch v m ng khác t o nên các d ch v có tính b o
t cao.

V.2 H ng phát tri n

Các mô hình d ch v trên c th c hi n gi l p trong môi tr ng m ng LAN.
u c s h t ng m ng t t h n, s có th tri n khai trên ph m vi l n h n v i môi
tr ng Internet th t. Ngoài ra, có th tìm hi u thêm tích h p các d ch v trên trong
môi tr ng Linux.

Trang 36
 tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

CL C
I. Gi i thi u............................................................................................................. 1
II. s h t ng khóa công khai............................................................................ 1
II.1 Khái ni m .................................................................................................. 1
II.2 Nhà cung c p ch ng th c s CA (Certificate Authority) ............................ 2
II.3 Ch ng ch s .............................................................................................. 2
II.3.1 Khái ni m ........................................................................................... 2
II.3.2 i ích c a ch ng ch s ..................................................................... 3
III. Tri n khai d ch v CA trên môi tr ng Window Server 2003............................ 5
III.1 Cài t d ch v CA..................................................................................... 5
III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p ....................... 8
III.3 Các lo i CA trên Windows Server 2003 ..................................................... 9
III.4 p phát và qu n lí các ch ng ch s .......................................................... 9
III.4.1 p phát t ng (Auto-Enrollment) ................................................... 9
III.4.2 p phát không t ng (Manual Enrollment) .................................. 11
III.4.3 Các cách yêu c u c p phát CA .......................................................... 11
III.4.3.1 d ng Certificates Snap-in: ....................................................... 11
III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment) .................... 12
III.4.4 Thu h i ch ng ch s ......................................................................... 14
IV. Tri n khai m t s d ch v m ng s d ng CA................................................... 15
IV.1 ch v Web s d ng SSL ....................................................................... 15
IV.2 ch v IPSec .......................................................................................... 23
IV.3 ch v VPN............................................................................................ 29
V. t qu và h ng phát tri n ............................................................................ 36
V.1 t qu ..................................................................................................... 36
V.2 ng phát tri n ...................................................................................... 36

Trang 37