MỤC LỤC
MỤC LỤC........................................................................................................1
a)Khái niệm....................................................................................................7
b)Nhiệm vụ....................................................................................................7
c)Mơ hình phân cấp........................................................................................8
d)Cơ chế hoạt động......................................................................................10
e)Danh sách một vài CA Server...................................................................11


I)

Thực trạng truyền tin qua mạng.

1) Các nguy cơ tiềm ẩn:
Ngày nay, việc giao tiếp qua Internet đã trở thành một nhu cầu cấp
thiết. Nhiều dữ liệu quan trọng được truyền trên mạng như mã số tài
khoản, thông tin mật… Tuy nhiên với các thủ đoạn tinh vi, nguy cơ ăn
cắp thông tin qua mạng cũng ngày càng gia tăng. Cũng như trong thời
đại cơng nghệ thơng tin, có lẽ không ai trong chúng ta không sở hưu một
địa chỉ Email của riêng mình và thường xun thơng qua đó để trao đổi
thông tin cũng như liên lạc với các đối tác trong kinh doanh. Vấn đề đặt
ra là với những tài liệu có mức độ quan trọng và riêng tư cao mà ta
không muốn cho người thứ 3 biêt. Tuy nhiên, chúng ta biết rằng thông
tin qua Internet sử dụng giao thức TCP/IP. Đây là giao thức cho phép các
thơng tin được gửi từ máy tính này tới máy tính khác qua hàng loạt các
máy trung gian hoặc các mạng riêng biệt. Chính điều này đã tạo cơ hội
cho những kẻ trộm cơng nghệ cao có thể thực hiện những hành động phi
pháp. Các thông tin truyền trên mạng đều có thể bị nghe trộm
(Eavesdroping), giả mạo (Tampering), mạo danh (Impersonation).v.v.
Các biện pháp bảo mật hiện nay như dùng mật khẩu đều khơng đảm
bảo vì có thể bị nghe trộm hoặc nhanh chóng dị ra. Để giảm lo lắng về

nguy cơ rị rỉ thơng tin, dữ liệu truyền trên Internet ngày nay đều có xu
hướng được mã hóa. Cơ chế như sau: Ví dụ A có nội dung quan trọng
muốn gửi cho B với nội dung là “xxxxxxx” và A sẽ mã hóa dữ liệu bằng
việc đặt một khóa Key= k và sẽ tiến hành mã hóa nội dung thành
“yyyyyyyyy”. Khi đó B nhân được thơng tin từ A gửi cho là chuỗi kí tự
“yyyyyyyyy”. Để giải mã, B phải có Key mà A cung cấp cho thì mới có
thể đọc được nội dung này. Có 2 phương pháp mã hóa và giải mã đó là
mã hóa đối xứng và mã hóa khơng đối xứng.
2) Các phương pháp mã hóa.
a) Mã hóa khóa đối xứng:
Phương pháp mã hóa này giống như cơ chế vừa nêu trên. Tưởng
như an toàn nhưng lại tồn tại những nhược điểm lơn mà hiện tại
người ta khơng chọn hình thức mã hóa và giải mã kiểu này vì nếu
như ai đó có được Key này thì họ sẽ đọc được tồn bộ dữ liệu mà
trước đó ta đã mã hóa. Hơn nữa trong thực tế A khơng chỉ có mình B
là đối tác mà có đến hàng trăm hàng nghìn đối tác khác nữa. Với mỗi
đối tác A phải có 1 Key riêng và A cũng phải lưu trữ chừng ấy khóa
mà phía đối tác cấp cho.
Ví dụ A gửi gói tin Data cho B đã được mã hóa với Key=1 cho ra
kết quả là gói Data1. B nhận được gói tin trên và tiến hành giải mã
với Key trên mà thu được Data ban đầu.

3


A

Data

Encrypt (Key)


B

Data1

Data

Decrypt (Key)

Tuy nhiên vì một lý do nào đó C nhặt được gói tin Data1 và Key
của A gửi cho B. Khi đó C sẽ tiến hành giải mã và sửa thơng tin, sau
đó lại mã hóa với Key trên và gửi cho B. Vì vậy thơng tin mà B nhận
được hồn tồn sai lệch và khơng đáng tin cậy nhưng bản thân B
cũng không biết.

A

Data

B

Data1

Encrypt (Key)

Data1’

Edit
C


Decrypt (Key)

Data

Data’

Encrypt (Key)

Trước nguy cơ đó người ta đưa ra phương pháp mã hóa thứ hai.
b) Mã hóa khơng đối xứng:
Người ta chứng minh luôn tồn tại 2 số P và Q với P#Q mà khi mã
hóa dữ liệu với P, ngưới ta đem kết quả giải mã với Q sẽ thu được dữ
liệu ban đầu và ngược lại.
Data

Encrypt (P)

Data1

Decrypt (Q)

Data

Với quy trình này, mỗi người dùng sử dụng cơng nghệ mã hóa sẽ chỉ
cần 2 khóa mà thơi. Ví dụ như A sử dụng cơng nghệ mã hóa nên sẽ có:
 Khóa PA gọi là Public Key, là khóa cơng khai, mọi người có thể
xem và sử dụng khóa này.
 Khóa QA gọi là Private Key, là khóa bí mật chỉ có mình A là có
thể xem và sử dụng khóa này.
Vì vậy, khi A gửi Data cho B nó sẽ dùng Private Key P B của B để

mã hóa và cho ra kết quả là Data1. Khi đó B nhận được gói Data1 sẽ
giải mã bằng Private của mình và thu đươc dữ liệu Data ban đầu.

A

Encrypt (PB)

Data

Data1

Decrypt (QB)

Data

4

B


Tuy nhiên cách này vẫn chưa thực sự an toàn vì A chỉ lấy Public Key
PB của B sử dụng mà khơng xác minh tính xác thực có đúng là của B hay
khơng. Khi đó với một thủ thuật nào đó, C lấy Public Key P C của mình
chèn vào Public Key PB của B nhằm đánh lừa A.
Như vậy, vơ tình thay vì A dùng P B để mã hóa dữ liệu thì nó lại lấy
PC để mã hóa dữ liệu rồi gửi cho B. Như vậy thông tin mà A gửi cho
B khơng thật sự an tồn.

C - PC
A


Data
Data

Encrypt (PB)

Data1

B

Decrypt (QC)

Microsoft đã cho ra một phương pháp mã hóa và bảo mật an
tồn, hiện tại đã được sử dụng phổ biến và áp dụng trên tồn thế giới,
đó là chứng chỉ số ( Digital Certificate)

II)

Chứng thực khóa cơng khai – Chứng chỉ số - CA
Server.

1) Khái niệm.
Chứng chỉ sổ là một tệp tin điện tử dùng để xác minh danh tính một
cá nhân, một máy chủ, một cơng ty… trên Internet. Nố giống như bằng
lái xe, hộ chiếu, chứng minh thư hay những giấy tờ xác minh cá nhân.
Để có chứng minh thư, ban phải được có quan Công An cấp. Và chứng
chỉ số cũng như vậy.
Chứng chỉ số phải dó một tổ chức đứng ra chứng nhận những thơng
tin của bạn là chính xác được gọi là Nhà cung cấp chứng chỉ số (CA –
Certificate Authority). CA sẽ là nhà phát hành các chứng thực và quản lý

các chứng thực ấy. CA phải đảm bạo độ tin cậy, tính trách nhiệm và độ
chính xác của chứng chỉ số mà mình cấp.
2) Thành phần.
Chứng chỉ số có 3 thành phần chính:
 Dữ liệu cá nhân của người được cấp: bao gồm tên, quốc tịch, địa
chỉ, email, tên tổ chức .v.v., phần này giống như các thông tin trên
CMT.

5


 Khóa cơng khai: là một giá trị được CA đưa ra như một khóa mã
hóa, kết hợp cùng với một khóa các nhân duy nhất được tạo ra từ
các khóa cơng khai để tạo thành cặp mã hóa bất đối xứng.
 Chữ kí số của CA cấp: cịn gọi là chứng chỉ gốc, đây là sự xác
nhận của CA, đảm bảo tính chính xác và hợp lệ chứng chỉ. Muốn
kiểm tra chứng chỉ số, đầu tiên phải kiểm tra chữ kí số của CA có
hợp lệ hay khơng. Trên chứng minh thư, đây chính là con dấu xác
nhận của Công An tỉnh hoặc thành phố mà bạn trực thuộc. Về
nguyên tắc, khi kiểm tra CMT, đầu tiên phải kiểm tra con dâu
này để biết CMT có bị làm giả hay khơng.
3) Lợi ích của chứng chỉ số.
 Mã hóa và bảo mật: Khi người gửi đã mã hóa thơng tin bằng
khóa cơng khai của bạn, chắc chắn chỉ có bạn mới giải mã được
thông tin để đọc. Trong quá trình truyền trên Internet, dù có đọc
được các gói tin đã mãi hóa này, kẻ xấu cũng thơng thể biết được
trong gói tin có thơng tin gì. Đây là một tính năng quan trọng giúp
người dùng hồn tồn tin cậy vào khả năng bảo mật thông tin.
Những dữ liệu cần bảo mật cao như giao dịch liên ngân hàng,
ngân hàng điện tử, thanh tốn bằng thẻ tín dụng đều cần phải có

chứng chỉ số để đảm bảo an tồn.
 Chống giả mạo: Khi bạn gửi đi một thơng tin, có thể là dữ liệu
hoặc một Email, có thể sử dụng chứng chỉ số, người nhận có thể
kiểm tra được thơng tin của bạn có bị thay đổi hay khơng. Bất kì
một sự sửa đổi hay thay thế nội dung của thông điệp đều sẽ bị
phát hiện. Địa chỉ mail của bạn, tên domain… đều có thể bị làm
giả để đánh lừa người nhận để lây lan virus, ăn cắp thông tin quan
trọng. Chứng chỉ số thì khơng thể làm giả, nên việc trao đổi thơng
tin có kèm chứng chỉ số ln đảm bảo an tồn.
 Xác thực: Khi bạn gửi thông điệp kèm chứng chỉ số, người nhận
sẽ xác định rõ danh tính của bạn. Có nghĩa là dù khơng nhìn thấy
bạn nhưng qua hệ thống chứng chỉ sổ mà bạn và người nhận cùng
sử dụng, người nhận sẽ biết chắc đó là bạn chứ khơng phải người
khác. Xác thực là một việc rất quan trọng trong các giao dịch điện
tử qua mạng, cũng như các thủ tục hành chính với các cơ quan
pháp quyền. Các hoạt động này cần phải xác định rõ người gửi
thông tin để sử dụng tư cách pháp nhân. Đây chính là nền tảng
của một Chính phủ điện tử, mơi trường cho phép cơng dân có thể
giao tiếp, thực hiện các cơng việc hành chính với các cơ quan nhà
nước hồn tồn qua mạng. Có thể nói chứng chỉ số là phần khơng
thể thiếu, là phần cốt lõi của Chính phủ điện tử.

6


 Chống chối cãi nguồn gốc: Khi sử dụng chứng chỉ số, bạn phải
hoàn toàn chịu trách nhiệm về những thông tin mà chứng chỉ số đi
kèm. Trong trường hợp người gửi chối cãi, phủ nhận một thơng
tin nào đó khơng phải do mình gửi (chẳng hạn một đơn đặt hàng
quan mạng), chứng chỉ số mà người nhận có được sẽ là bằng

chứng khẳng định người gừi là tác giả của thơng tin đó. Trong
trường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ
chịu trách nhiệm xác minh thông tin, chứng tỏ nguồn gốc thông
tin được gửi.

4) CA Server
a)Khái niệm
Certificate Authority là thực thể phát hành các chứng thực khóa cơng
khai cho người dùng. Nhà cung cấp chứng thực số đóng vai trị là bên
thứ ba (được cả hai bên tin tưởng) để hỗ trợ cho q trình trao đổi
thơng tin an tồn. Các nhà cung cấp chứng thực số là thành phần
trung tâm trong nhiều mơ hình hạ tầng khóa cơng khai (PKI).
b)Nhiệm vụ
 Xác minh nhận dạng của đối tượng yêu cầu chứng chỉ: CA
phải thẩm định nhận dạng của đối tượng đầu cuối (như người
dùng, máy tính, thiết bị mạng, dịch vụ, v.v..) trước khi cấp chứng
chỉ cho họ. Điều này giúp đảm bảo đối tượng phải có đủ các
quyền hạn cần thiết mới có thể yêu cầu CA cấp cho một loại
chứng chỉ nào đó. Ngồi ra, tổ chức quản lý chứng chỉ có thể gặp
mặt và phỏng vấn trực tiếp người yêu cầu.
 Cấp phát chứng chỉ cho đối tượng yêu cầu: sau khi xác minh
được nhận dạng của đối tượng, CA cấp loại chứng chỉ được yêu
cầu cho đối tượng đó. Mỗi loại chứng chỉ sẽ có nội dung và mục
đích sử dụng khác nhau. Ví dụ, nếu yêu cầu cấp chứng chỉ cho
IPSec thì kết quả là chứng chỉ này chỉ có thể được dùng bởi máy
chủ hoặc máy khách để xác thực các điểm đầu cuối trên kênh
truyền thông được bảo vệ bởi IPSec.
 Quản lý việc thu hồi chứng chỉ: CA sẽ định kỳ phát hành CRL
sau một khoảng thời gian định trước. CRL chứa danh sách số thứ


7


tự (serial number) của các chứng chỉ đã bị thu hồi và các mã số lý
do (reason code) cho việc thu hồi.

c)Mơ hình phân cấp

8


Root CA
Nằm ở đỉnh cao nhất trong mơ hình CA phân cấp, Root CA là điểm tin
cậy cho tất cả các chứng chỉ được cấp bởi các CA khác trong mơ hình.
Điều này có nghĩa là một chứng chỉ được coi là tin cậy chỉ khi nó đó
được kiểm chứng xuyên qua chuỗi chứng chỉ với điểm kết thúc tại Root
CA.
Root CA tự cấp chứng chỉ cho chính nó và lúc này các trường Issuer
Name và Subject Name trong chứng chỉ có cùng tên phân biệt
(distinguished name). Cách duy nhất để xác minh chứng chỉ của Root
CA có hợp lệ hay khơng là kiểm tra xem chứng chỉ đó có nằm trong
Trusted Root Store hay khơng.
Root CA có thể cấp chứng chỉ cho các đối tượng đầu cuối nhưng thường
nó chỉ cấp cho các CA khác. Khi thực hiện cấp chứng chỉ cho các thực
thể, Root CA sẽ sử dụng khóa bí mật của nó để ký lên các chứng chỉ đó
để chống lại các hành động thay đổi nội dung và chỉ ra rằng chứng chỉ
được cấp bởi Root CA.
Intermediate CA
Trong mơ hình CA phân cấp thì một Intermediate CA là CA cấp dưới của
một CA khác. Nó sẽ cấp chứng chỉ cho các CA là cấp dưới của nó.

Intermediate CA có thể nằm tại bất kỳ cấp độ nào trong mơ hình phân
cấp ngoại trừ vị trí của Root CA.
CA mà cấp chứng chỉ cho một CA khác thường được gọi là parent CA và
Intermediate CA cũng được gọi là Subordinate CA.
Policy CA
Là một dạng đặc biệt của Intermediate CA, Policy CA mơ tả các chính
sách và thủ tục mà tổ chức cần triển khai để xác minh nhận dạng của chủ
thể nắm giữ chứng chỉ và bảo đảm an toàn cho các CA. Một Policy CA

9


sẽ chỉ cấp chứng chỉ cho các CA khác trông mơ hình phân cấp. Tất cả
các CA (ngoại trừ Root CA) sẽ là cấp dưới của Policy CA và tuân theo
các chính sách và thủ tục được định nghĩa tại Policy CA.

Issuing CA
Thường nằm tại bậc thứ 3 trong mô hình phân cấp, một Issuing CA sẽ
cấp chứng chỉ cho các đối tượng đầu cuối.
Như đã nói ở trên, Issuing CA cần tuân theo bất kỳ chính sách và thủ tục
nào được định nghĩa bởi một Policy CA mà nằm giữa nó và Root CA.
Issuing CA cũng có thể nằm ở bậc thứ 2 trong mơ hình phân cấp và khi
đó nó đóng vai trị của cả Policy CA và Issuing CA thơng thường. Nó sẽ
tự thẩm định và tn theo các chính sách và thủ tục của chính nó.
d)Cơ chế hoạt động
Với CA Server bản thân nó cũng có một bộ Public Key & Private
Key của riêng mình. Khi A,B,C.... muốn gởi thông tin cho nhau phải
thông qua CA Server này để xin cấp giấy chứng nhận cho riêng mình có
như vậy khi thơng tin bị đánh cắp hay sửa đổi thì nhờ có CA Server sẽ
xác thực tính tin cậy của dữ liệu nhận được cho người dùng biết. Qui

trình này như sau:
CA Server sẽ lấy thơng tin Public Key của người dùng nào đó gọi
là CRC hay thơng tin đặc trưng của người dùng đó.
Kế tiếp nó mã hóa CRC này với chính Private Q của nó cho ra một giá
trị S và giá trị này được công khai

10


Như vậy lúc này mỗi tài khoản người dùng sẽ tồn tại 2 Public
Key và 1 Private Key
Có như vậy khi B nhận được một thơng tin từ A nó sẽ đem thơng
tin S của nó giải mã với P của CA Server và thu được CRC nào đó

Nó sẽ lấy tiếp giá trị CRC vừa thu được đem so sánh
với CRC của chính mình nếu trung khớp thì cho qua. Ngược lại
nó biết đây chính là nội dung khơng đáng tin cậy do bị sửa đổi
từ trước
e)Danh sách một vài CA Server

VeriSign,Thawte,GeoTrust,GoDaddy
GlobalSign – một trong những doanh nghiệp đầu tiên trên thế giới được
công nhận là nhà cung cấp dịch vụ chứng thực chữ ký số công cộng cung
cấp tất cả các loại chứng thư,gói thư,giải pháp chứng thư số cho các
ngành tài chính – ngân hàng,y tế, giáo dục và các lĩnh vực kinh doanh
khác.
 Chứng thư tiêu chuẩn tồn cầu
 Tương thích với 99% các trình duyệt
11



Cung cấp bởi một trong những CA uy tín nhất thế giới
Định hướng doanh nghiệp với tất cả các dòng sản phẩm
SSL(là một tiểu chuẩn an ninh cơng nghệ tồn cầu)
 Tiết kiệm cho doanh nghiệp với lựa chọn Wildcard,SAN
Ở Việt Nam hiện tại cũng có 1 số CA Server:BKAV,VNPT…



III) Hướng dẫn cài đặt CA Server trên Window Server
2008
Cài đặt CA:
- Nhấn Star trong Administrative Tools.

12


-Mở Server Manager chuột phải Roles chọn Add Roles.

13


- Trong mục Before You Begin, chọn Next

14


- Trong mục Select Server Roles,đánh dấu chọn Active Directoty
Certificate Servers ,Chọn Next


- Trong mục Introdution to Active Directory Certificate
Services,chọn Next

15


- Trong mục Select Role Services,đánh dấu chọn ô Certificate
Authority Web Enrollment,mục Add role services required
for Certificate Authority Web Enrollment,chọn Add
Required Role Services.

-

Hộp thoại Spectify Setup Type,chọn Standalone,chọn
Next

16


- Trong mục Spectity CA Type ,Chọn Root CA

- Trong mục Set Up Private Key,chọn Create a new
private key,chọn Next.

17


-

Trong mục Configure Cryptography for CA,chọn Next


-

Trong mục Configure CA Name,chọn Next

18


-

Trong mục Set Validity Period,chọn Next

-

Trong mục Configure Certificate Database,chọn Next

19


-

Trong mục Web Server(IIS),chọn Next

-

Trong mục Select Role Services,giữ nguyên các lựa chọn
mặc định,chọn Next

20



-

Trong mục Confirm Installation Selections,chọn Install

-

Trong mục Installation Progress,đợi chạy hết chương
trình cài đặt,chọn Close

21


-

Nhấn Start,trong Administrative Tools,chọn

Certification Authoity,để xem CA đã được cài đặt xong

22


IV) Tài liêu tham khảo
 Ebook MCSA 70-291.
 /> />%E1%BB%B1c_kh%C3%B3a_c%C3%B4ng_khai

23