Tải bản đầy đủ (.pdf) (40 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

tìm hiểu về chứng chỉ số-ca và một vài ứng dụng sử dụng-ca

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.96 MB, 40 trang )

Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
BÁO CÁO Đ
Ề TÀI
B
Ộ MÔN AN TOÀN THÔNG TIN
Đ
ề tài:
Tìm hi
ểu về chứng chỉ số
- CA và m
ột vài ứng
d
ụng sử dụng CA
Giáo viên hư
ớng dẫn:
Th.S Lê Đ
ắc Nhường
Nhóm sinh viên th
ực hiện:
Nguy
ễn Thanh Quang
Ngô N
ữ Kiều Mây
Ph
ạm Ti
ến


Đ
ạt
Nguy
ễn Thị Lãi
L
ớp:
CN Tin K9
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
L
ời cảm
ơn
!
Chúng em xin c
ảm
ơn thầy Lê Đắc Nhường đã hướng dẫn giúp chúng
em hoàn thành đ
ề tài này
M
ục lục
I.Gi
ới thiệu
3
II.Cơ s
ở hạ tầng khóa công khai
4

II.1 Khái ni
ệm
4
II.2 Nhà Cung cấp Chứng chỉ số - Certificate Authority (CA) 4
III.Ch
ứng chỉ số
5
III.1 Khái ni
ệm
5
III.2 Nh
ững lợi ích của chứng chỉ số
6
III.3 M
ột vài ứng dụng của chứng chỉ số
10
III.3.1
Ứng dụng chứng chỉ số tr
ong giao d
ịch thương mại điện tử
10
III.3.2
Ứng dụng chứng chỉ số để bảo mật nội bộ trong doanh nghiệp
12
III.3.3 Lưu tr
ữ chứng chỉ số
12
IV.Triển khai dịch vụ Certificate Authority trên hệ diều hành Windows Server 2003 13
IV.1 Cài đ
ặt dịch vụ CA

13
IV.2 Các d
ịch vụ chứng chỉ CA
Windows Server 2003 cung c
ấp
16
IV.3 Các lo
ại CA trên Windows Server 2003
17
IV.4 C
ấp phát và quản lý chứng chỉ số
17
IV.4.1 C
ấp phát tự động (Auto
-Enrollment) 17
IV.4.2 C
ấp phát không tự động (Manual Enrollment)
18
IV.5 Các cách yêu c
ầu cấp phát CA
19
IV.5.1 S
ử dụng Certificate Snap
-in 19
IV.5.2 Yêu c
ầu cấp phát thông qua Web (Web
-Enrollment) 19
Trư
ờng Đại học Hải Phòng
Tìm hi

ểu về Chứng chỉ số
- CA
Khoa Toán Tin
IV.6 Thu hồi chứng chỉ số 21
V. M
ột số dịch vụ sử dụng CA
21
V.1 D
ịch vụ chứng thực Web Server sử dụng SSL
21
V.2 D
ịch vụ IP Sec
28
V.3 D
ịch vụ VPN
33
VI.K
ết quả và hướng phát triển
40
VI.1. K
ết quả
40
VI.2. Hư
ớng phát triển
40
I.Gi
ới thiệ
u
Ngày nay vi
ệc giao tiếp qua mạng Internet đang trở

thanh 1 nhu c
ầu cấp thiết .Các thông
tin truy
ền trên mạng đều rất quan trọng,như mã số tài khoản,thông tin mật … Tuy nhiên,với
các th
ủ đoạn tinh vi,nguy cơ bị ăn cắp các thông tin qua mạng ngày càng gia tăng
Vi
ệc kết nối qua mạng Internet hiện nay chủ yếu
s
ử dụng giao thứ
c TCP/IP. TCP/IP cho
phép các thông tin đư
ợc gửi từ một máy tính này tới một máy tính khác thông qua một loạt
các máy trung gian ho
ặc các mạng riêng biệt trước khi nó có thể đi tới được đích. Tuy
nhiên, chính vì tính linh ho
ạt này của giao
th
ức TCP/IP
đã tạo cơ hội cho "bên thứ ba" có
th
ể thực hiện các hành động bất hợp pháp, cụ thể là:
 Nghe tr
ộm (Eavesdropping): Thông tin vẫn không hề bị thay
đổi, nhưng sự bí
m
ật của nó thì không còn. Ví dụ, một ai đó có thể biết được số thẻ tín dụng,
các thông tin c
ần bảo mật của bạn.
 Gi

ả mạo (Tampering). Các thông tin trong khi truyền đi bị thay đổi hoặc thay
th
ế tr
ước khi đến người nhận. Ví dụ, một ai đó có thể sửa đổi một đơn đặt hàng
ho
ặc thay đổi lý lịch của một cá nhân.
 M
ạo danh (Impersonation).
Thông tin đư
ợc gửi tới một cá nhân mạo nhận là
ngư
ời nhận hợp pháp. Có hai hình thức mạo danh sau:
 B
ắt chước (Spoofing). Một cá nhân có thể giả vờ như một người khác. Ví
d
ụ,dùng
địa chỉ mail của một người khác hoặc giả mạo một tên miền của
m
ột trang web
 Xuyên t
ạc (Misrepresentation). Một cá nhân hay một tổ chức có thể
đưa ra
nh
ững thông tin không đúng sự thật về họ. Ví dụ, có một trang web mạo
nh
ận chuyên về kinh doanh trang thiết bị nội thất, nhưng thực tế nó là một
trang chuyên ăn c
ắp mã thẻ tín dụng v
à không bao gi
ờ gửi hàng cho

khách.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Do v
ậy,
để bảo mật, các thông tin truyền trên Internet ngày nay đều có xu hướn được mã
hoá. Trư
ớc khi truyền qua mạng Internet, người gửi mã hoá thông tin, trong
quá trình truy
ền,
dù có ''chặn'' được các thông tin này, kẻ trộm cũng không thể đọc được vì bị mã hoá. Khi tới
đích, ngư
ời nhận sẽ sử dụng một công cụ đặc biệt để giải mã.Phương pháp mã hoá và bảo mật
ph
ổ biến nhất đang được thế giới áp dụng là
Ch
ứng chỉ số (Digital Certificate). Với chứng chỉ
s
ố, ng
ười sủ dụng
có th

mã hoá thông tin m

t cách hiệu quả, chống giả mạo (cho phép
ngư


i nhận kiểm tra thông tin có bị thay đ

i không), xác thực danh tính của ngư

i gủi. Ngoài
ra Chứng chỉ số còn là bằng chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối
cãi nguồn gốc tài liệu mình đã gửi.Một cách mã hóa dữ liệu đ

m bảo an toàn đó là mã hóa
khóa công khai. Đ

sử dụng đư

c cách mã hóa này, cần phải có một chứng chỉ số từ tổ chức
quản trị
đư
ợc gọi
là nhà cung cấp chứng chỉ số ( Certification Authority – CA).
II.Cơ s
ở hạ tầng khóa công khai
II.1 Khái ni
ệm
M
ột PKI (public key infrastructure) cho phép người sử dụng của một m
ạng công c

ng
không bảo mật, chẳng hạn như Internet, có thể trao đ


i dữ liệu và tiền một cách an toàn
thông qua việc sử dụng một cặp mã khoá công khai và cá nhân đư

c cấp phát và sử dụng
qua một nhà cung cấp chứng thực đư
ợc
c tín nhiệm. Nền tảng khoá công khai cung cấp một
chứng chỉ số, dùng đ

xác minh một cá nhân hoặc tổ chức, và các d

ch vụ danh mục có thể
lưu trữ và khi cần có thể thu hồi các chứng chỉ số. Mặc dù các thành phần cơ bản của PKI
đ

u đư

c phổ biến, nhưng một số nhà cung cấp đang muốn đưa ra những chuẩn PKI riêng
khác biệt. Một tiêu chuẩn chung về PKI trên Internet cũng đang trong quá trình xây dựng.
M

t cơ sở hạ tầng khoá công khai bao gồm:
 M
ột Nhà cung cấp chứng thực số (CA) chuyên cung câp và xác minh các chứng
ch
ỉ số. Một chứng chỉ bao gồm khoá công khai hoặc thông tin về khoá công
khai.
 M
ột nhà quản lý đăng ký (Registration Authority (RA)) đóng vai trò như người
th

ẩm tra cho C
A trư
ớc khi một chứng chỉ dố được cấp phát tới người yêu cầu.
 M
ột hoặ
c nhi
ều danh mục nơi các chứng chỉ số (với khoá công khai của nó)
đư
ợc l
ưu giữ, phục vụ cho các nhu cầu tra cứu, lấy khoá công khai của đối tác
c
ần thực hiện giao d
ịch ch
ứng thực số.
 M
ột
h
ệ thống quản lý chứng chỉ
II.2 Nhà Cung c
ấp Chứng chỉ số
- Certificate Authority (CA)
Trong các hệ thống quản lý chứng thực số
đ
ang hoạt đ

ng trên thế giới, Nhà cung c
ấp
chứng thực số (Certificate Authority - CA) là một tổ chức chuyên đưa ra và quản lý các
nội dung xác thực bảo mật trên một mạng máy tính, cùng các khoá công khai đ


mã hoá
thông tin. Là một phần trong Cơ sở hạ tầng khoá công khai (public key infrastructure -
PKI), một CA sẽ kiểm soát cùng với một nhà quản lý đăng ký (Registration authority -
RA) đ

xác minh thông tin về một chứng chỉ số mà ngư

i yêu cầu xác thực đưa ra. Nếu
RA xác nhận thông tin của ngư

i cần xác thực, CA sau đó sẽ
đưa
ra một chứng chỉ.
Tuỳ thuộc vào việc triển khai cơ sở hạ tầng khoá công khai, chứng chỉ số sẽ bao đ
ảm
khoá công khai củaa ngư

i sở hữu, thời hạn hết hiệu lực của chứng chỉ, tên chủ sở hữu và
các thông tin khác v

chủ khoá công khai
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
III.Ch
ứng chỉ số
III.1 Khái ni

ệm
Ch
ứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy
ch
ủ, một cô
ng ty … trên Internet. Nó gi
ống nh
ư bằng lái xe, hộ chiếu, chứng minh thư
hay nh
ững giấy tờ xác minh cá nhân.
Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp. Chứng chỉ số cũng
vậy, phải do một tổ chức đ

ng ra chứng nhận những thông tin của bạn là chính xác, đư

c
gọi là Nhà cung cấp chứng thực số (Certificate Authority, viết tắt là CA).CA phải đ

m bảo
về
độ
tin cậy, chịu trách nhiệm về
độ
chính xác của chứng chỉ số mà mình cấp.
Trong chứng chỉ số có ba thành phần chính:
 Thông tin cá nhân của ngư

i,t
ổ chức
đư


c cấp.
 Khoá công khai (Public key) của ngư

i đư

c cấp.
 Chữ ký số của CA cấp chứng chỉ.
a. Thông tin cá nhân c
ủa
ngư
ời được
c
ấp:
Đây là các thông tin c
ủa đối tượng được cấp chứng chỉ số, gồm tên, quốc tịch, địa
ch
ỉ,
điện thoại, email, tên
t
ổ chức v.v… Phần này giố
ng như các thông tin trên
ch
ứng minh thư của mọi người.
Các phương pháp đ
ể xác định thông tin phụ thuộc vào các chính sách mà CA đặt
ra. Chính sách l
ập ra phải đảm bảo việc cấp chứng chỉ số phải đúng đắn, ai được cấp
và m
ục

đích
dùng vào vi
ệc gì. Thông th
ường, trước khi cấp một chứng chỉ số, CA sẽ
công b
ố các thủ tục cần phải thực hiện cho các loại chứng chỉ số.
b. Khoá công khai (Public key) c
ủa
ngư
ời
đư
ợc
c
ấp
Trong khái ni
ệm mật mã, khoá công khai là một giá trị
được nhà cung cấp
ch
ứng
ch
ỉ số đưa ra như một khoá mã hoá, kết hợp cùng với một khoá cá nhân duy nhất
đư
ợc tạo ra từ khoá công khai
để tạo thành cặp mã khoá bất đối xứng.
Nguyên lý ho
ạt động của khoá công khai trong chứng chỉ số là hai bên giao dịch
ph
ải biết khoá công kh
ai c
ủa nhau. Bên A muốn g

ửi cho bên B thì ph
ải dùng khoá
công khai c
ủa bên B
đ

mã hoá thông tin. Bên B sẽ dùng khoá cá nhân của mình đ

m

thông tin đó ra. Tính bất đ

i xứng trong mã hoá thể hiện ở chỗ khoá cá nhân có
thể giải mã dữ liệu đư

c mã hoá bằng khoá công khai (trong cùng một cặp khoá duy
nhất mà một cá nhân sở hữu), nhưng khoá công khai không có khả năng giải mã lại
thông tin, kể cả những thông tin do chính khoá công khai đó đ
ã mã hoá.
Đ
ây là đ

c
tính cần thiết vì có thể nhiều cá nhân B,C, cùng thưc hiện giao dịch và có khoá
công khai của A, nhưng C, không thể giải mã đư

c các thông tin mà B gửi cho A
dù cho đã chặn bắt đư

c các gói thông tin gửi đi trên mạng.

Hi
ểu theo cách khác
, nếu chứng chỉ số là một chưng minh thư nhân dân, thì khoá
công khai đóng vai trò như danh tính của bạn trên giấy chứg minh thư (gồm tên,đ

a
chỉ, ảnh ), còn khoá cá nhân là gương mặt và dấu vân tay của bạn. Nếu coi một bưu
phẩm là thông tin truyền đi, đư

c "mã hoá" bẳng đ

a chỉ và tên ngư

i nhận của b
ạn
n,
thì dù ai đó có dùng chứng minh thư của bạn với mục đích lấy bưu phẩm này, họ
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
c
ũng
không đư

c nhân viên bưu đi

n giao bưu kiện vì ảnh mặt và dấu vân tay không

giống.
c. Ch

ký s

c
ủa
CA c
ấp
ch
ứng chỉ
Còn g
ọi là
ch
ứng chỉ gốc
ch
ứa
, h
ạn dùng, tên của CA cấp chứng chỉ s

đó, mã
s
ố thứ tự, và những thông tin khác.
Điều quan trọng nhất là một chứng chỉ số luôn
luôn ch
ứa chữ ký số của CA đã cấp chứng chỉ số đó.
Đây chính là sư xác nh
ận của
CA, bảo đảm tính chính xác và hơp lệ của chứng chỉ
Trên ch

ứng minh thư, đây chính là
con d
ấu xác nhận của Công An Tỉnh hoặc
Thành ph
ố mà bạn trực thuôc. Về nguyên tắc,khi kiểm tra chứng minh th
ư, đầu tiên
ph
ải xem con dấu này,để biết chứng minh thư có bị làm giả hay không
.
III.2 Nh
ững lợi ích của chứng chỉ số
4 đ
ặc điểm chính mà chứn
g ch
ỉ số đem lại cho người sử dụng :
- Mã hóa d
ữ liệu gửi
đi
- Xác th
ực danh tính
- Ch
ống giả mạo
- Ch
ống chối cãi nguồn gốc
- Toàn v
ẹn dữ liệu
Bên c
ạnh
đó sử dụng chứng chỉ số còn
có ch

ức n
ăng bảo mật cho những dịch
v

m
ạng
khác nhau như:
- B

o m
ật Email
- B
ảo mật Website
- Đ
ảm bảo phần mềm
a.Mã hóa
L
ợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin. Khi người gửi đã
mã hoá thông tin b
ằng khoá công khai của bạn,
ch
ắc chắn chỉ có bạn mới giải

đư
ợc thông tin
đ

đọc
. Trong quá trình truy
ền thông tin qua Internet, dù có

đ
ọc được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được trong gói
tin có thông tin gì. Đây là m
ột tính năng rất quan trọng, giúp người sử dụng
hoàn toàn tin c
ậy về khả n
ăng bảo mật thông tin. Những trao
đ
ổi thông tin cần
b
ảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán
b
ằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
b.Xác th
ực danh tính
- Ch
ống giả mạo
Xác th
ực danh tính (chống giả mạo)
Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận – có thể là đối tác
kinh doanh, t
ổ chức hoặc cơ quan chính quyền
– s
ẽ xác định rõ được danh tính

c
ủa bạn. Có nghĩa là dù không nhìn thấy bạn, nh
ưng qua hệ thống chứng chỉ số
mà b
ạn và người nhận cùng sử dụng, người
nh
ận sẽ biết chắc chắn đó là bạn chứ
không ph
ải là một người khác.
Xác th
ực là một tính năng rất quan trọng trong
vi
ệc thực hiện các giao dịch
điện tử qua mạng, cũng như các thủ tục hành chính
v
ới cơ quan pháp quyền. Các hoạt động này cần phải xác minh rõ
ngư
ời gửi
thông tin đ
ể sử dụng tư cách pháp nhân.
c.Chống chối cãi nguồn gốc
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Khi s
ử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về những
thông tin mà ch

ứng chỉ số đi kèm. Trong trường hợp người gửi chối cãi, phủ
nh
ận một thông tin nào
đó không ph
ải do mình gửi (chẳng hạn một
đơn đặt hàng
qua m
ạng), chứng chỉ số mà người nhận có được sẽ là bằng chứng khẳng định
ngư
ời gửi là tác giả của thông tin đó. Trong trường hợp chối cãi, CA cung cấp
ch
ứng chỉ số cho hai bên sẽ chịu trách nhiệm xác m
inh ngu
ồn gốc thông tin,
ch
ứng tỏ nguồn gốc thông tin
được gửi.
d.Toàn v
ẹn dữ liệu
Chữ kí điện tử có khả năng đảm bảo tính chính xác của dữ liệu bạn gửi đi
e.B
ảo mật Email
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Email r
ất dễ bị tổn th

ương bởi những Hacker. Những thông điệp có thể bị đọc
hay b
ị giả mạo tr
ước khi đến người nhận. Với chứng chỉ số bạn có thể tạo thêm
m
ột
ch
ữ ký điện tử
vào email như m
ột bằng chứng xác nhận của mình.
f.B
ảo mật Website
Khi website của bạn sử dụng cho mục đích thương mại điện tử hay cho
nh
ững mục đích quan t
r
ọng khác, những thông tin trao đổi giữa bạn và khách
hàng c
ủa bạn có thể bị lộ giữa chừng. Chứng chỉ số sẽ cho phép bạn cấu hình
website c
ủa mình có giao thức bảo mật SSL, cung cấp cho
website c
ủa bạn một
đ
ịnh danh duy nhất nhằm đảm bảo với khách hàng của
b
ạn về tính xác thực và
tính h
ợp pháp của website. Chứng chỉ số SSL cũng sẽ cho phép trao
đổi thông

Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
tin an toàn và b
ảo mật giữa website với những khách hàng, nhân viên và đối tác
c
ủa bạn thông qua công nghệ SSL mà nổi bật là:
- Th
ực hiện mua bán bằng thẻ
tín d
ụng
- B
ảo vệ những thông tin nhạy cảm của cá nhân
- Đ
ảm bảo các hacker không thể dò tìm được mật khẩu
g.Đ
ảm bảo phần mềm
Ch
ứng chỉ số cho phép ký vào những applet, script, Java software, ActiveX
control, EXE, CAB và DLL. Như v
ậy sẽ cho phép ng
ười ký
đ
ảm bảo tính hợp
pháp c
ủa sản phẩm và cho phép người sử dụng nhận diện , phát hiện được sự
thay đ

ổi của chương trình (do vô tình hỏng hay do virus phá, bị crack và bán
l
ậu…)…
III.3 M
ột vài ứ
ng d
ụng của chứng chỉ số
III.3.1 Ứng d
ụng
ch
ứng chỉ số
trong giao d
ịch thương mại điện tử
Smart Cart
Th
ẻ căn cước
,th
ẻ tín dụng (Smart Cart)
c
ũng là một dạng của Chứng chỉ số
ứng dụng trong th
ương mại điện tử.Người sử dụng thẻ sử dụng Thiết bị quét thẻ
t

để thực hiện kí lên các giao dịch B2G (
Business to Government) hay B2B
(Business to Business)
Trư
ờng Đại học Hải Phòng
Tìm hi

ểu về Chứng chỉ số
- CA
Khoa Toán Tin
B2G (Business to Governmen):đư
ợc định nghĩa chung là thương mại giữa
công ty và kh
ối hành chính công. Nó bao hàm việc sử dụng Internet cho mua bán
công, th
ủ tục cấp phép và các hoạt
động khác liên quan tới chính phủ.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
B2B (Business to Business): là mô hình giao d
ịch thương mại điện tử giữa
doanh nghi
ệp và doanh nghiệp. Th
ương mại điện tử B2B trước hết là quá trình
th
ực hiện việc mua và bán trực tuyến trên mạng giữa các công ty với nhau, là nơi
mà các công ty có thể mua bán hàng hoá trên cơ sở sử dụng một nền công nghệ
chung
III.3.2 Ứng dụng chứng chỉ số
đ
ể bả
o m
ật nội bộ trong doanh nghiệp

 Window Logon: cho phép ki
ểm tra,xác thực danh tính của người dùng
(các nhân
viên c
ủa doanh nghiệp) khi
đăng nhập vào hệ thống mạng nội
b
ộ của công ty
 Web Authentication:Xác th
ực Web
- cho phép ki
ểm tra danh tính của cá nhân
vi
ếng và sử dụng cổng web cho phép người dùng truy cập cổng Web một cách dễ
dàng và linh hoạt từ bất kỳ đâu trên bất kỳ loại thiết bị nào. Với sự hỗ trợ của một
lo
ạt c
ác phương th
ức xác thực, bao gồm cả token và thẻ thông minh
 VPN:Giao th
ức VPN sử dụng L2TP/IP Sec,chứng thực bằng chứng chỉ số do CA
cung c
ấp
 Singel Sign On: Ứng dụng cho phép sử dụng cùng một User/Password hay Chứng
ch
ỉ số để đăng nhập vào nhiều ứng dụng
khác nhau trong m
ột tổ chức,doanh
nghi
ệp

 OutLook: s
ử dụng chứng chỉ số để mã hóa,giải mã Email
 Chứng thực Web Server: Dịch vụ Web sử dụng SSL(Sercue Socket Layer) để
ch
ứng thực.Cung cấp sự truyền thông an toàn trên Internet như Web
Browsing,Emai
 B
ảo vệ
b
ản quyền tài sản số hóa
: s
ử dụng chứng chỉ số cho phép ký vào những
applet, script, Java software, ActiveX control, EXE, CAB và DLL. Như v
ậy sẽ
cho phép ngư
ời ký đảm bảo tính hợp pháp của sản phẩm và cho phép người sử
d
ụng nhận diện , phát hiện
được sự th
ay đ
ổi của ch
ương trình
III.3.3 Lưu tr
ữ chứng chỉ số
Ch
ứng chỉ số có thể được lữu trữ và sử dụng một cách dễ dàng dưới nhiều hình thức
- T
ệp tin l
ưu trong máy tính (Soft Token)
- USB Token

- Th
ẻ thông minh (Smart Card) + thiết bị đọc
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
IV.Tri
ển khai dịch vụ Certificate Authority trên
h
ệ diều hành
Windows Server 2003
Trên môi trư
ờng hệ
điều hành Windows Server 2003, CA là một phần mềm được tích
h
ợp sẵn
IV.1 Cài đ
ặt dịch vụ CA
Đăng nhập vào Windows Server 2003 với quyền Administrator.
1. Click vào Start => Control Panel =>Add Or Remove Programs.Hộp thoại Add
Or Remove Programs xuất hiện.
2. Click Add/Remove Windows Components. Hộp thoại Add/Remove Windows
Components xuất hiện,chọn Certificate Services.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA

Khoa Toán Tin
3. Click chọn Details. Hộp thoại Certificate Services xuất hiện.
4. C
ảnh
báo v
ề thành viên domain và ràng buộc đổi tên máy tính xuất hiệ
n click Yes.
5. Trong trang loại CA, click chọn Enterprise Root CA=> click Next
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
6. Trên trang thông tin CA, trong m
ục
Common name,đánh tên của server click next.
7.Trên trang Certificate Database Settings, để đườ ng dẫn mặc định trong mục
Certificate database box và Certificate database log click Next.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
8. C
ảnh báo
dừng Internet Information Services xuất hiện
9. Enable Active Server Pages (ASPs) click Yes.
10. Khi quá trình cài

đ
ặt hoàn tấ
t click Finish.
IV.2 Các d
ịch vụ chứng chỉ CA
Windows Server 2003 cung c
ấp
 Chữ ký đi
ện
n tử: S

dụng đ

xác nhận ngư

i gửi thông đi

p, file hoặc dữ liệu
khác. Ch
ữ ký điện tử không hỗ trợ bảo vệ dữ liệu khi
truy
ền.
 Ch
ứng thực internet:
Có th
ể sử dụng PKI để chứng thực client và server
đư

c
thiết lập kết nối trên internet, vì vậy server có thể nhận dúng máy client k

ết nối
đ
ế
n
nó và client có thể xác nhận đ
ã k
ết nối
đúng server.
 Bảo mật IP ( IP Security - IPSec): mở rộng IPSec cho phép mã hóa và truyền chữ
ký số, nhằm ngăn chặn dữ liệu bị lộ khi truyền trên mạng. Triển khai IPSec trên
Windows Server 2003 không phải dùng PKI đ

có đư

c khóa mã hóa của nó,
nhưng có thể dùng PKI với mục đích này.
 Secure e-mail: Giao thức e-mail trên internet truyền thông điệp mail ở chế độ bản
rõ, vì vậy nội dung mail dễ dàng đ

c đư

c khi truyền. Với PKI, ngư

i gửi có thể
bảo m

t e-mail khi truyền bằng cách mã hóa nội dung mail dùng khóa công khai
của ngư
ời
nhận. Ngoài ra, ngư


i gửi có thể ký lên thông đi

p bằng khóa riêng của
mình.
 Smart card logon: Smart card là một loại thẻ tín dụng. Windows Server 2003 có
thể dùng smart card như là một thiết bị chứng thực. Smart card chứa chứng chỉ của
user và khóa riêng, cho phép ngư
ời dùng
logon t
ới bất kì máy nào trong doanh
nghi
ệp với độ an toàn cao.
 Software code signing: K
ỹ thuật Authenticode của Microsoft dùng chứng chỉ để
ch
ứng thực những phần mềm người dùng download và cài đặt chính xác là c
ủa tác
giả và không đư

c chỉnh sửa.
 Wireless network authentication: Khi cài đặt mạng LAN wireless, phải chắc chắn
r

ng chỉ ngư

i dùng chứng thực đúng thì mới đư
ợc két nối
mạng và không có ai có
thể nghe lén khi giao tiếp trên wireless. Có thể sử dụng Windows Server 2003 PKI

Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
đ
ể bả
o vệ mạng wireless bằng cách nhận dạng và chứng thực ngư

i dùng trư

c khi
họ truy cập mạng.
IV.3 Các lo
ại CA trên Windows Server 2003
Trên windows Server 2003 có hai loại CA:
Enterprise: Enterprise Ca đư

c tích h
ợp trong dịch vụ Active Directory. Chúng
s
ử dụng mẫu chứng
ch
ỉ, xuất bản (publish) chứng chỉ và CRLs
đến Active
Directory,s
ử dụng thông tin trong cơ sở dữ liệu Active Directory để chấp nhận
hoặc từ chối yêu cầu cấp phát chứng chỉ tự động. Bởi vậy client của tổ
ch

ức,doanh nghiệp CA phải truy xuất đến Active Directo
ry đ
ể nhận chứng chỉ,
nhi
ều tổ chức CA không thích hợp cho việc cấp phát chứng chỉ cho các client
bên ngoài t
ổ chức.
Stand-alone: Stand-alone CA không dùng mẫu chứng chỉ hay Active
Directory,chúng lưu tr
ữ thông tin cục bộ của nó. Hơn nữa, mặc đị
nh, Stand-
alone CA không tư đ
ộng đáp lại yêu cầu cấp phát chứng chỉ số như E
nterprise
CA làm. Yêu cầu chờ trong hàng đ

i cho ngư

i quản trị chấp nhận hoặc từ chối.
Dù người dùng chọn tạo ra một Enterprise CA hay là một stand-alone CA, đều phải
chỉ rõ CA là gốc (root) hay cấp dư

i (subordinate).
IV.4 C
ấp phát và quản lý chứng chỉ số
IV.4.1 C
ấp phát tự động (Auto
-Enrollment)
Auto-Enrollment cho phép client yêu c
ầu tự động và nhận chứng chỉ số từ CA mà

không c
ần sự can thiệp của ng
ười quản trị.Đ
ể dùng Auto-Enrollment thì ph
ải có
Domain Controller ch
ạy Windows Server 2003, một Enterprise CA chạy trên
Windows Server 2003 và client có th
ể chạy Windows XP Professional. Điều khiển
ti
ến trình Auto
-Enrollment b
ằng sự phối hợp của Group Policy và mẫu chứng chỉ số.
M
ặc
định, G
roup Policy Objects (GPOs) cho phép Auto-Enrollment cho t
ất cả các
ngư
ời dùng và máy tính nằm trong Domain.Để cài đặt,ta mở chính sách cài đặt
Auto-Enrollment, nằm trong thu m
ục
Windows Settings\ Sercurity Settings\Public
Key Policies trong cả 2 node Computer Configuration và User Configuration của
Group Policy Object Editor. Hộp thoại Autoenrollment Settings Properties xuất
hiện,ta có thể cấm hoàn toàn Auto-Enrollment cho các đ

i tư

ng sử dụng GPO này.

Ta c
ũ
ng có thể cho phép các đ

i tư

ng thay đ

i hoặc t

đ
ộng
cập nhật chứng chỉ số
của chúng.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
M

t kỹ thuật khác ta có thể dùng đ
ể điề
u khiển Auto-Enrollment là xây dưng m
ẫu
ch
ứng ch
ỉ có xác đ


nh đ

c tính của kiểu chứng chỉ số rõ ràng.Đ

quản lý mẫu chứng
chỉ số, ta dùng mẫu chứng chỉ số có sặn ( Certificate Templates snap-in).Sử dụng
công cụ này, ta có thể chỉ rõ thời gian hiệu lực và thời gian gia hạn c

a loại chứng
chỉ số đã chọ,chọn dịch vụ mã hóa (cryptographic) cung cấp cho chúng. Dùng tab
Security,ta c
ũng có thể chỉ rõ những user và group được phép yêu
c
ầu chứng chỉ số
dùng m
ẫu này.
Khi client yêu cầu một chứng chỉ số, CA kiểm tra đ

c tính đ

i tư

ng Active
Directory của client đ

quyết đ

nh liệu client có quyền tối thiểu đươc nhận chứng chỉ
không?Nếu client có quyền thích hơp thì CA sẽ cấp phát chứng chỉ số một cách tự
đ


ng.
IV.4.2 C
ấp phát không tự động (Manual Enrollment)
Stand-alone CA không thể dùng Auto-Enrollment, vì vậy khi một stand-alone CA
nh
ận yêu c
ầu về chứng chỉ số từ client, nó sẽ lưu trữ những yêu cầu đó vào trong một
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
hàng đ

i cho tới khi ngư

i quản trị quyết đ

nh có cấp phát chứng chỉ số hay
không?.Đ

giám sát và xử lý các yêu cầu,s
ử dụng
Certification Authority console
Trong Certification Authority console, tất cả yêu cầu cấp phát chứng chỉ số xuất
hiện trong thư mục Pending Request. Sau khi đsánh giá thông tin trong mọi yêu
c
ầu,ng

ười quản trị có thể chọn chấp nhận (issue) hay từ chối yeu cầu Người quản trị
c
ũng có thể xem đặc tính củaa việc cấp phát chứng chỉ và thu hồi chứng chỉ khi cần.
IV.5 Các cách yêu c
ầu cấp phát CA
IV.5.1 S
ử dụng Certificate Snap
-in
Certificate Snap-in là một công cụ dùng đ

xem và quản lý chứng chỉ của một
user hoặc computer cụ thể. Màn hình chính c
ủa snap
-in bao g
ồm nhiều th
ư mục chứa
t
ất cả hạng mục chứng chỉ số được chỉ định cho user hoặc computer. Nế
u t
ổ chức
c
ủa người
dùng sử dụng Enterprise CA, Certificate Snap-in cững cho phép ngư

i
dùng yêu cầu và thay đ

i chứng chỉ số bằng cách dùng Certificate Request Wizard
và Certificate Renewal Wizard.
IV.5.2 Yêu c

ầu cấp phát thông qua Web (Web
-Enrollment)
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Khi cài đ

t Certificate Services trên máy tính chạy Windows Server 2003, ngư

i
dùng có thể chọn cài đ

t module Certificate Services Web Enrollment Support.Đ

hoạt đ

ng một cách chính xác, module này yêu cầu ngư

i dùng phải cài đ

t IIS trên
máy tính trước. Chọn module này trong quá trình cài đặt Certificate Services tạo ra
trang Web trên máy tính chạy CA, những trang Web này cho phép ngư

i dùng gửi
yêu cầu cấp chứng chỉ số yêu cầu mà họ chọn.
Giao diện Web Enrollment Support được dùng cho người sử dụng bên ngoài

hoặc bên trong mạng truy xuất đ
ế
n stand-alone CA. Vì stand-alone server không
dùng m
ẫu chứng chỉ số, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về
ch
ứng chỉ số và thông tin về ng
ười sử dụng chứng chi số.
Khi client yêu c
ầu chứng c
h
ỉ số dùng giao diện Web Enrollment Support, chúng
có thể chọn từ danh sách loại chứng chỉ đã được định nghĩa trước hoặc tạo ra chứng
ch
ỉ cao cấp bằng cách chỉ rõ tất cả các thông tin yêu cầu trong form Web
-based.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
IV.6 Thu h
ồi chứng chỉ số
Có vài nguyên nhân cảnh báo cho ngư

i quản trị thu hồi chứng chỉ. N
ếu như khóa
riêng ( private key) b
ị lộ, hoặc người dùng trái phép lợi dụng truy xuất đến CA, thậm

chí n
ếu ta muốn cấp phát chứng chỉ dùng tham số khác nh
ư là khóa dài hơn, ta phải
đư
ợc thu hồi chứng ch
ỉ tr
ước đó. Một CA duy trì một CRL (Certificate Revocation
List). Enterprise CA xu
ất bả
n CRL c
ủa chúng trong c
ơ sở dữ liệu Active Directory, vì
vậy client có thể truy xuất chúng dùng giao thức truyền thông Active directory chuẩn,
gọi là Lightweight Directory Access Protocol (LDAP). Một stand-alone CA lưu trữ
CRL của nó như là một file trên đ
ĩ
a cục bộ của server, vì vậy client truy xuất dùng
giao thức truyền thông Internet như Hypertext Transfer Protocol (HTTP) or File
Transfer Protocol (FTP).
M

i chứng chỉ số chứa đư

ng dẫn tới đi

m phân phối của CA cho CRL. Có thể sửa
đ

i dư


ng dẫn này trong Certification Authority console bằng cách hiển thị hôp thoại
Properties cho CA, click vào tab Extension. Khi một ứng dụng chứng thực client đang
dùng chứng chỉ số, nó kiểm tra đi

m phân phối CRL đã đ

nh rõ trong chứng chỉ số, đ

chắc chắn rằng chứng chỉ số không bị thu hồi. Nếu CRL không có tại đi

m phân phối
đã đ

nh rõ của nó, ứng dụng từ chối chứng chỉ.
B

ng cách chọn thư mục Revoked Certificates trong Certification Authority
console và sau đó hiển thị Properties c
ủa nó, ta
có thể chỉ rõ bao lâu thì CA nên xuất
bản một CRL mới, và cũng cấu hình CA đ

xuất bản delta CRLs.Một delta CRL là
m
ột danh sách tất cả các chứng chỉ đã thu hồi từ khi CRL cuối cùng xuất bản. Trong
t
ổ chức với số l
ượng chứng chỉ số lớn, sử dụng CRL thay vì CRL cơ bản có thể lưu
m
ột số lớn.

V. M
ột số dịch vụ sử dụng CA
V.1 D
ịch vụ chứng thực Web Server sử dụng SSL
SSL-Sercue Socket Layer, là m
ột giao thức mã hóa cung cấp sự truyền thông an
toàn trên Internet như web browsing, e-mail.SSL cung c
ấp sự chứng thực tại các
đi
ểm cuối của kết nối, kênh truyền thông riêng từ trên Internet bằng cách mã hóa.
Thông thư
ờng chỉ có Server là
được chứng thưc, có nghĩa là chỉ có người dùng cuối
(ngư
ời
s
ử dụng, ứng d
ụng, …) biết rõ mình
đang “nói chuyện” với ai. Ở mức độ bả
o
m
ật cao
hơn, c
ả hai phía đều phải biết nhau, chứng thực lẫn nhau. Chứng thực lẫn
nhau yêu c
ầu dùng hạ tầng khóa công khai
-PKI.
1) Mô hình d
ịch vụ
Trư

ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Máy Web Server đư

c cấu hình dịch vụ web sử dụng SSL bằng cách nhân chứng
chỉ từ CA service
2) C
ấu hình dịch vụ
T

i Web server yêu cầu cấp phát chứng chỉ:


c 1: Mở IIS, click chuột phải vào website cần cấu hình SSL, chọn tab
Directory Security, chọn Server Certificate


c 2: Chọn tạo mới một chứng chỉ
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Nhấn Next, chọn Prepare for Request now, but send it later và lưu yêu cầu cấp
phát xuống file
Trư

ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin


c 3: Mở Internet Explorer, gõ vào các đ
ịa
ch

CA Service đ

yêu cầu cấp
phát chứng chỉ qua web
Chọn Request a Certificate và chọn Submit a certificate request by using a
base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using
a base-64-encoded PKCS #7 file:
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
M

file yêu cầu ở trên và copy nội dung và dán vào ô Saved Request:
N
ế
u CA Service không cấp phát tự

độ
ng thì vào máy CA đ

cấp phát(Issue)
cho chứng chỉ vừa yêu cầu.
Vào l
ại trang web yêu c
ầu CA, chọn Download Certificate đ

tải chứng chỉ
vừa đư

c cấp phát về

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×