Documentos de Académico
Documentos de Profesional
Documentos de Cultura
I. Gi i thi u
Ngày nay, vi c giao ti p qua m ng Internet ang tr thành m t nhu c u c p thi t.
Các thông tin truy n trên m ng u r t quan tr ng, nh mã s tài kho n, thông tin
t... Tuy nhiên, v i các th n tinh vi, nguy c b n c p thông tin qua m ng c ng
ngày càng gia t ng. Hi n giao ti p qua Internet ch y u s d ng giao th c TCP/IP.
ây là giao th c cho phép các thông tin c g i t máy tính này t i máy tính khác
thông qua m t lo t các máy trung gian ho c các m ng riêng bi t. Chính u này ã
o c h i cho nh ng ''k tr m'' công ngh cao có th th c hi n các hành ng phi
pháp. Các thông tin truy n trên m ng u có th b nghe tr m (Eavesdropping), gi
o (Tampering), o danh (Impersonation) .v.v. Các bi n pháp b o m t hi n nay,
ch ng h n nh dùng m t kh u, u không m b o vì có th b nghe tr m ho c b dò
ra nhanh chóng.
Do v y, b o m t, các thông tin truy n trên Internet ngày nay u có xu h ng
c mã hoá. Tr c khi truy n qua m ng Internet, ng i g i mã hoá thông tin, trong
quá trình truy n, dù có ''ch n'' c các thông tin này, k tr m c ng không th c
c vì b mã hoá. Khi t i ích, ng i nh n s s d ng m t công c c bi t gi i
mã. Ph ng pháp mã hoá và b o m t ph bi n nh t ang c th gi i áp d ng là
ch ng ch s (Digital Certificate). V i ch ng ch s , ng i s d ng có th mã hoá
thông tin t cách hi u qu , ch ng gi m o (cho phép ng i nh n ki m tra thông tin
có b thay i không), xác th c danh tính c a ng i g i. Ngoài ra ch ng ch s còn là
ng ch ng giúp ch ng ch i cãi ngu n g c, ng n ch n ng i g i ch i cãi ngu n g c
tài li u mình ã g i.
M t cách mã hóa d li u m b o an toàn ó là mã hóa khóa công khai.
d ng c cách mã hóa này, c n ph i có m t ch ng ch s t t ch c qu n tr c
i là nhà cung c p ch ng ch s ( certification authority – CA).
Trang 1
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
II.3 Ch ng ch s
II.3.1 Khái ni m
Ch ng ch s là m t t p tin n t dùng xác minh danh tính m t cá nhân, m t
máy ch , m t công ty... trên Internet. Nó gi ng nh b ng lái xe, h chi u, ch ng minh
th hay nh ng gi y t xác minh cá nhân.
có ch ng minh th , b n ph i c c quan Công An s t i c p. Ch ng ch s
ng v y, ph i do m t t ch c ng ra ch ng nh n nh ng thông tin c a b n là chính
xác, c g i là Nhà cung c p ch ng th c s (Certificate Authority, vi t t t là CA).
CA ph i m b o v tin c y, ch u trách nhi m v chính xác c a ch ng ch s
mà mình c p.
Trong ch ng ch s có ba thành ph n chính:
• Thông tin cá nhân c a ng i c c p.
• Khoá công khai (Public key) c a ng i c c p.
• Ch ký s c a CA c p ch ng ch .
• Th i gian h p l .
Thông tin cá nhân
Trang 2
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
II.3.2 L i ích c a ch ng ch s
a) Mã hoá
Trang 3
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
b) Ch ng gi m o
Trang 4
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
III.1 Cài t d ch v CA
ng nh p vào Windows Server 2003 v i quy n Administrator.
1. Click vào Start à Control Panel à Add Or Remove Programs. H p tho i Add Or
Remove Programs xu t hi n.
Trang 5
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 6
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
6. Trên trang thông tin nh n ra CA, trong h p Common name, ánh tên c a server à click
next.
Trang 7
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 8
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
user và khóa riêng, cho phép ng i dùng logon t i b t k máy nào trong doanh
nghi p v i an toàn cao.
Software code signing: K thu t Authenticode c a Microsoft dùng ch ng ch
ch ng th c nh ng ph n m m ng i dùng download và cài t chính xác là c a tác gi
và không c ch nh s a.
Wireless network authentication: Khi cài t m t LAN wireless, ph i ch c ch n
ng ch ng i dùng ch ng th c úng thì m i c n i k t m ng và không có ai có
th nghe lén khi giao ti p trên wireless. Có th s d ng Windows Server 2003 PKI
o v m ng wireless b ng cách nh n d ng và ch ng th c ng i dùng tr c khi h
truy c p m ng.
Trang 9
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 10
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 11
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 12
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 13
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
III.4.4Thu h i ch ng ch s
Có vài nguyên nhân c nh báo cho ng i qu n tr thu h i ch ng ch . N u nh khóa
riêng ( private key) b l , ho c ng i dùng trái phép l i d ng truy xu t n CA, th m
chí n u b n mu n c p phát ch ng ch dùng tham s khác nh là khóa dài h n, b n
ph i c thu h i ch ng ch tr c ó. M t CA duy trì m t CRL (Certificate
Revocation List). Enterprise CAs xu t b n CRLs c a chúng trong c s d li u
Active Directory, vì v y client có th truy xu t chúng dùng giao th c truy n thông
Active directory chu n, g i là Lightweight Directory Access Protocol (LDAP). M t
stand-alone CA l u tr CRL c a nó nh là m t file trên a c c b c a server, vì v y
client truy xu t dùng giao th c truy n thông Internet nh Hypertext Transfer Protocol
(HTTP) or File Transfer Protocol (FTP).
i ch ng ch s ch a ng d n t i m phân ph i c a CA cho CRLs. Có th
a i ng d n này trong Certification Authority console b ng cách hi n th h p
tho i Properties cho CA, click vào tab Extension. Khi m t ng d ng ch ng th c client
ang dùng ch ng ch s , nó ki m tra m phân ph i CRL ã nh rõ trong ch ng ch
, ch c ch n r ng ch ng ch s không b thu h i. N u CRL không có t i m
phân ph i ã nh rõ c a nó, ng d ng t ch i ch ng ch .
ng cách ch n th m c Revoked Certificates trong Certification Authority
console và sau ó hi n th h p tho i Properties c a nó, b n có th ch rõ bao lâu thì
CA nên xu t b n m t CRL m i, và c ng c u hình CA xu t b n delta CRLs.M t
Trang 14
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 15
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
c 2: Ch n t o m i m t ch ng ch
Trang 16
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 17
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 18
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 19
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Ch n Edit, ch n Require secure channel(SSL) c u hình cho web site dùng SSL
khi có yêu c u k t n i.
Trang 20
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
3) Minh h a k t qu :
Gi s ta có trang web v i n i dung sau c t t i web server và client s k t
i b ng giao th c HTTP xem trang web này.
Trang 21
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 22
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
IV.2 D ch v IPSec
IPSec-Internet Protocol Security, là m t giao th c c thi t k b o v d li u
ng ch kí n t và mã hóa tr c khi truy n i.IPSec mã hóa các thông tin trong
gói tin IP theo cách óng gói nó, nên ngay c khi b t c các gói tin s không c
c n i dung bên trong.
Do IPSec ho t ng t ng m ng nên IPSec t o m t kênh mã hóa liên t c gi a các
m k t n i(end-to-end), ngh a là khi d li u c mã hóa máy g i thì ch c
gi i mã khi t i máy nh n.
IPSec Protocol:
a) IP Authentication Header-AH: không mã hóa d li u trong gói tin IP, mà
ch mã hóa ph n header. AH cung c p các d ch v b o m t c b n, d li u
có th c c khi b t gói tin, nh ng n i dung thì không th thay i
Trang 23
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
1) Mô hình d ch v :
Trang 24
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trong mô hình trên, FTP server là máy tính cung c p các d ch v truy n file trong
ng, client s k t n i vào server này download và upload các file d li u.Tr c
khi các client t o k t n i thì ph i qua m t quá trình ch ng th c, m b o an toàn
trong quá trình này, c ng nh cho n i dung c a các file d li u, ta s tích h p v i d ch
CA.Máy CA Service s cung c p các ch ng ch th c hi n ch ng th c gi a FTP
server và các client.
làm c u này thì máy cung c p d ch v CA c ng óng vai trò là Domain
Controler, c p các ch ng ch t ng cho các máy khi có yêu c u.
2) Tri n khai d ch v :
Ph n này trình bày m t s b c thi t l p chính sách IPSec có s d ng CA cho
mô hình bên trên. Chính sách này t o t i m i máy có yêu c u truy n thông b ng
IPSec.
c 1: Trong c a s ch ng trình IP Security Policy, t o m t chính sách m i
Trang 25
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 26
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 27
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 28
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
IV.3 D ch v VPN
VPN-Virtual Private Network, là m t m ng riêng dùng m ng công c ng(Internet)
k t n i các m ho c ng i s d ng t i m ng LAN trung tâm.
VPN cho phép truy n d li u gi a hai máy tính s d ng môi tr ng m ng công
ng gi ng nh cách có m t ng k t n i riêng gi a hai máy này. t om tk tn i
m m(point-to-point), d li u c óng gói(encapsulate), bao b c(wrap) v i
t header cung c p các thông tin nh tuy n. gi l p m t kênh truy n riêng, d
li u s c mã hóa.
Trang 29
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
1) Mô hình d ch v :
Trang 30
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 31
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
Trang 32
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
t s c u hình chính:
c 1:M ch ng trình Routing and Remote Acces, ch n Configure and Enable
Routing and Remote Access.
c 2:Ch n Remote Access(dial-up or VPN)
c 3: Ch n VPN
Trang 33
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
c 4: Nh p a ch RADIUS server
Trang 34
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
V. K t qu và h ng phát tri n
V.1 K t qu
Thông qua vi c th c hi n tài, nhóm ã tìm hi u các ki n th c c b n v c s
t ng khóa công khai-PKI, m t mô hình ang c s d ng r t nhi u cho vi c
truy n thông trên m ng hi n nay. Tìm hi u và tri n khai d ch v CA, m t thành ph n
quan tr ng c a PKI, trên môi tr ng Windows Server 2003. Cu i cùng là ã tích h p
c d ch v CA vào m t s d ch v m ng khác t o nên các d ch v có tính b o
t cao.
Trang 36
tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA
CL C
I. Gi i thi u............................................................................................................. 1
II. s h t ng khóa công khai............................................................................ 1
II.1 Khái ni m .................................................................................................. 1
II.2 Nhà cung c p ch ng th c s CA (Certificate Authority) ............................ 2
II.3 Ch ng ch s .............................................................................................. 2
II.3.1 Khái ni m ........................................................................................... 2
II.3.2 i ích c a ch ng ch s ..................................................................... 3
III. Tri n khai d ch v CA trên môi tr ng Window Server 2003............................ 5
III.1 Cài t d ch v CA..................................................................................... 5
III.2 Các d ch v ch ng ch CA Windows Server 2003 cung c p ....................... 8
III.3 Các lo i CA trên Windows Server 2003 ..................................................... 9
III.4 p phát và qu n lí các ch ng ch s .......................................................... 9
III.4.1 p phát t ng (Auto-Enrollment) ................................................... 9
III.4.2 p phát không t ng (Manual Enrollment) .................................. 11
III.4.3 Các cách yêu c u c p phát CA .......................................................... 11
III.4.3.1 d ng Certificates Snap-in: ....................................................... 11
III.4.3.2 Yêu c u c p phát thông qua Web (Web Enrollment) .................... 12
III.4.4 Thu h i ch ng ch s ......................................................................... 14
IV. Tri n khai m t s d ch v m ng s d ng CA................................................... 15
IV.1 ch v Web s d ng SSL ....................................................................... 15
IV.2 ch v IPSec .......................................................................................... 23
IV.3 ch v VPN............................................................................................ 29
V. t qu và h ng phát tri n ............................................................................ 36
V.1 t qu ..................................................................................................... 36
V.2 ng phát tri n ...................................................................................... 36
Trang 37