Tải bản đầy đủ (.pdf) (37 trang)

Triển khai các dịch vụ dựa trên CA (Certification authority)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.07 MB, 37 trang )

 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 1
I. Gii thiu
Ngày nay, vic giao tip qua mng Internet ang tr thành mt nhu cu cp thit.
Các thông tin truyn trên mng u rt quan trng, nh mã s tài khon, thông tin
t... Tuy nhiên, vi các thn tinh vi, nguy c bn cp thông tin qua mng cng
ngày càng gia tng. Hin giao tip qua Internet ch yu s dng giao thc TCP/IP.
ây là giao thc cho phép các thông tin c gi t máy tính này ti máy tính khác
thông qua mt lot các máy trung gian hoc các mng riêng bit. Chính u này ã
o c hi cho nhng ''k trm'' công ngh cao có th thc hin các hành ng phi
pháp. Các thông tin truyn trên mng u có th b nghe trm (Eavesdropping), gi
o (Tampering), o danh (Impersonation) .v.v. Các bin pháp bo mt hin nay,
chng hn nh dùng mt khu, u không m bo vì có th b nghe trm hoc b dò
ra nhanh chóng.
Do vy,  bo mt, các thông tin truyn trên Internet ngày nay u có xu hng
c mã hoá. Trc khi truyn qua mng Internet, ngi gi mã hoá thông tin, trong
quá trình truyn, dù có ''chn'' c các thông tin này, k trm cng không thc
c vì b mã hoá. Khi ti ích, ngi nhn s s dng mt công cc bit  gii
mã. Phng pháp mã hoá và bo mt ph bin nht ang c th gii áp dng là
chng ch s (Digital Certificate). Vi chng ch s, ngi s dng có th mã hoá
thông tin t cách hiu qu, chng gi mo (cho phép ngi nhn kim tra thông tin
có b thay i không), xác thc danh tính ca ngi gi. Ngoài ra chng ch s còn là
ng chng giúp chng chi cãi ngun gc, ngn chn ngi gi chi cãi ngun gc
tài liu mình ã gi.
Mt cách mã hóa d liu m bo an toàn ó là mã hóa khóa công khai. 
 dng c cách mã hóa này, cn phi có mt chng ch s t t chc qun trc
i là nhà cung cp chng ch s ( certification authority – CA).
II. C s h tng khóa công khai
II.1 Khái nim
t PKI (public key infrastructure) cho phép ngi s dng ca mt mng công
ng không bo mt, chng hn nh Internet, có th trao i d liu và tin mt cách


an toàn thông qua vic s dng mt cp mã khoá công khai và cá nhân c cp phát
và s dng qua mt nhà cung cp chng thc c tín nhim. Nn tng khoá công
khai cung cp mt chng ch s, dùng  xác minh mt cá nhân hoc t chc, và các
ch v danh mc có th lu tr và khi cn có th thu hi các chng ch s. Mc dù
các thành phn c bn ca PKI u c ph bin, nhng mt s nhà cung cp ang
mun a ra nhng chun PKI riêng khác bit. Mt tiêu chun chung v PKI trên
Internet cng ang trong quá trình xây dng.
t c s h tng khoá công khai bao gm:
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 2
• t Nhà cung cp chng thc s (CA) chuyên cung cp và xác minh các
chng ch s. Mt chng ch bao gm khoá công khai hoc thông tin v
khoá công khai.
• t nhà qun lý ng ký (Registration Authority (RA)) óng vai trò nh
ngi thm tra cho CA trc khi mt chng ch sc cp phát ti ngi
yêu cu.
• t hoc nhiu danh mc ni các chng ch s (vi khoá công khai ca nó)
c lu gi, phc v cho các nhu cu tra cu, ly khoá công khai ca i
tác cn thc hin giao dch chng thc s.
• t h thng qun lý chng ch.
II.2 Nhà cung cp chng thc s CA (Certificate Authority)
Trong các h thng qun lý chng thc sang hot ng trên th gii, Nhà cung
p chng thc s (Certificate authority - CA) là mt t chc chuyên a ra và qun
lý các ni dung xác thc bo mt trên mt mng máy tính, cùng các khoá công khai
 mã hoá thông tin. Là mt phn trong C s h tng khoá công khai (public key
infrastructure - PKI), mt CA s kim soát cùng vi mt nhà qun lý ng ký
(Registration authority - RA)  xác minh thông tin v mt chng ch s mà ngi
yêu cu xác thc a ra. Nu RA xác nhn thông tin ca ngi cn xác thc, CA sau
ó sa ra mt chng ch.
Tu thuc vào vic trin khai c s h tng khoá công khai, chng ch s s bao

m khoá công khai ca ngi s hu, thi hn ht hiu lc ca chng ch, tên ch s
u và các thông tin khác v ch khoá công khai.
II.3 Chng ch s
II.3.1 Khái nim
Chng ch s là mt tp tin n t dùng  xác minh danh tính mt cá nhân, mt
máy ch, mt công ty... trên Internet. Nó ging nh bng lái xe, h chiu, chng minh
th hay nhng giy t xác minh cá nhân.
 có chng minh th, bn phi c c quan Công An s ti cp. Chng ch s
ng vy, phi do mt t chc ng ra chng nhn nhng thông tin ca bn là chính
xác, c gi là Nhà cung cp chng thc s (Certificate Authority, vit tt là CA).
CA phi m bo v tin cy, chu trách nhim v chính xác ca chng ch s
mà mình cp.
Trong chng ch s có ba thành phn chính:
• Thông tin cá nhân ca ngi c cp.
• Khoá công khai (Public key) ca ngi c cp.
• Ch ký s ca CA cp chng ch.
• Thi gian hp l.
Thông tin cá nhân
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 3
ây là các thông tin ca i tng c cp chng ch s, gm tên, quc tch, a
ch, n thoi, email, tên t chc .v.v. Phn này ging nh các thông tin trên chng
minh th ca mi ngi.
Khoá công khai
Trong khái nim mt mã, khoá công khai là mt giá trc nhà cung cp chng
cha ra nh mt khoá mã hoá, kt hp cùng vi mt khoá cá nhân duy nht c
o ra t khoá công khai  to thành cp mã khoá bt i xng.
Nguyên lý hot ng ca khoá công khai trong chng ch s là hai bên giao dch
phi bit khoá công khai ca nhau. Bên A mun gi cho bên B thì phi dùng khoá
công khai ca bên B  mã hoá thông tin. Bên B s dùng khoá cá nhân ca mình 

 thông tin ó ra. Tính bt i xng trong mã hoá th hin  ch khoá cá nhân có
th gii mã d liu c mã hoá bng khoá công khai (trong cùng mt cp khoá duy
nht mà mt cá nhân s hu), nhng khoá công khai không có kh nng gii mã li
thông tin, k c nhng thông tin do chính khoá công khai ó ã mã hoá. ây là c
tính cn thit vì có th nhiu cá nhân B,C, D... cùng thc hin giao dch và có khoá
công khai ca A, nhng C,D... không th gii mã c các thông tin mà B gi cho A
dù cho ã chn bt c các gói thông tin gi i trên mng.
t cách hiu nôm na, nu chng ch s là mt chng minh th nhân dân, thì
khoá công khai óng vai trò nh danh tính ca bn trên giy chng minh th (gm tên
a ch, nh...), còn khoá cá nhân là gng mt và du vân tay ca bn. Nu coi mt
u phm là thông tin truyn i, c "mã hoá" bng a ch và tên ngi nhn ca
n, thì dù ai ó có dùng chng minh th ca bn vi mc ich ly bu phm này, h
ng không c nhân viên bu n giao bu kin vì nh mt và du vân tay không
ging.
Ch ký s ca CA cp chng ch
Còn gi là chng ch gc. ây chính là s xác nhn ca CA, bo m tính chính
xác và hp l ca chng ch. Mun kim tra mt chng ch s, trc tiên phi kim
tra ch ký s ca CA có hp l hay không. Trên chng minh th, ây chính là con
u xác nhn ca Công An Tnh hoc Thành ph mà bn trc thuc. V nguyên tc,
khi kim tra chng minh th, úng ra u tiên phi là xem con du này,  bit chng
minh th có b làm gi hay không.
II.3.2 Li ích ca chng ch s
a) Mã hoá
Li ích u tiên ca chng ch s là tính bo mt thông tin. Khi ngi gi ã mã
hoá thông tin bng khoá công khai ca bn, chc chn ch có bn mi gii mã c
thông tin c. Trong quá trình truyn thông tin qua Internet, dù có c c các
gói tin ã mã hoá này, k xu cng không th bit c trong gói tin có thông tin
gì. ây là mt tính nng rt quan trng, giúp ngi s dng hoàn toàn tin cy v kh
ng bo mt thông tin. Nhng trao i thông tin cn bo mt cao, chng hn giao
ch liên ngân hàng, ngân hàng n t, thanh toán bng th tín dng, u cn phi có

chng ch sm bo an toàn.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 4
b) Chng gi mo
Khi bn gi i mt thông tin, có th là mt d liu hoc mt email, có s dng
chng ch s, ngi nhn s kim tra c thông tin ca bn có b thay i hay
không. Bt k mt s sa i hay thay th ni dung ca thông p gc u s b phát
hin. a ch mail, tên domain... u có th b k xu làm giánh la ngi nhn
 lây lan virus, n cp thông tin quan trng. Tuy nhiên, chng ch s thì không th
làm gi, nên vic trao i thông tin có kèm chng ch s luôn m bo an toàn.
c) Xác thc
Khi gi mt thông tin kèm chng ch s, ngi nhn - có th là i tác kinh doanh,
 chc hoc c quan chính quyn - s xác nh rõ c danh tính ca bn. Có ngha
là dù không nhìn thy bn, nhng qua h thng chng ch s mà bn và ngi nhn
cùng s dng, ngi nhn s bit chc chn ó là bn ch không phi là mt ngi
khác. Xác thc là mt tính nng rt quan trng trong vic thc hin các giao dch n
 qua mng, cng nh các th tc hành chính vi c quan pháp quyn. Các hot ng
này cn phi xác minh rõ ngi gi thông tin  s dng t cách pháp nhân. ây
chính là nn tng ca mt Chính phn t, môi trng cho phép công dân có th
giao tip, thc hin các công vic hành chính vi c quan nhà nc hoàn toàn qua
ng. Có th nói, chng ch s là mt phn không th thiu, là phn ct lõi ca Chính
phn t.
d) Chng chi cãi ngun gc
Khi s dng mt chng ch s, bn phi chu trách nhim hoàn toàn v nhng
thông tin mà chng ch si kèm. Trong trng hp ngi gi chi cãi, ph nhn mt
thông tin nào ó không phi do mình gi (chng hn mt n t hàng qua mng),
chng ch s mà ngi nhn có c s là bng chng khng nh ngi gi là tác gi
a thông tin ó. Trong trng hp chi cãi, CA cung cp chng ch s cho hai bên s
chu trách nhim xác minh ngun gc thông tin, chng t ngun gc thông tin c
i.

e) Ch ký n t
Email óng mt vai trò khá quan trng trong trao i thông tin hàng ngày ca
chúng ta vì u m nhanh, r và d s dng. Nhng thông p có th gi i nhanh
chóng, qua Internet, n nhng khách hàng, ng nghip, nhà cung cp và các i tác.
Tuy nhiên, email rt d bc bi các hacker. Nhng thông p có th bc hay b
gi mo trc khi n ngi nhn.
ng vic s dng chng ch s cá nhân, bn s ngn nga c các nguy c này
mà vn không làm gim nhng li th ca email. Vi chng ch s cá nhân, bn có
th to thêm mt ch ký n t vào email nh mt bng chng xác nhn ca mình.
Ch ký n t cng có các tính nng xác thc thông tin, toàn vn d liu và chng
chi cãi ngun gc.
Ngoài ra, chng ch s cá nhân còn cho phép ngi dùng có th chng thc mình
i mt web server thông qua giao thc bo mt SSL. Phng pháp chng thc da
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 5
trên chng ch sc ánh giá là tt, an toàn và bo mt hn phng pháp chng
thc truyn thng da trên mt khu.
f) o mt Website
Khi Website ca bn s dng cho mc ích thng mi n t hay cho nhng
c ích quan trng khác, nhng thông tin trao i gia bn và khách hàng ca bn
có th b l.  tránh nguy c này, bn có th dùng chng ch s SSL Server  bo
t cho Website ca mình.
Chng ch s SSL Server s cho phép bn lp cu hình Website ca mình theo
giao thc bo mt SSL (Secure Sockets Layer). Loi chng ch s này s cung cp
cho Website ca bn mt nh danh duy nht nhm m bo vi khách hàng ca bn
 tính xác thc và tính hp pháp ca Website. Chng ch s SSL Server cng cho
phép trao i thông tin an toàn và bo mt gia Website vi khách hàng, nhân viên và
i tác ca bn thông qua công ngh SSL mà ni bt là các tính nng:
+ Thc hin mua bán bng th tín dng.
+ Bo v nhng thông tin cá nhân nhy cm ca khách hàng.

+ m bo hacker không th dò tìm c mt khu.
g) m bo phn mm
u bn là mt nhà sn xut phn mm, chc chn bn s cn nhng ''con tem
chng hàng gi'' cho sn phm ca mình. ây là mt công c không th thiu trong
vic áp dng hình thc s hu bn quyn. Chng ch s Nhà phát trin phn mm s
cho phép bn ký vào các applet, script, Java software, ActiveX control, các file dng
EXE, CAB, DLL... Nh vy, thông qua chng ch s, bn sm bo tính hp pháp
ng nh ngun gc xut x ca sn phm. Hn na ngi dùng sn phm có th xác
thc c bn là nhà cung cp, phát hin c s thay i ca chng trình (do vô
tình hng hay do virus phá, b crack và bán lu...).
i nhng li ích v bo mt và xác thc, chng ch s hin ã c s dng rng
rãi trên th gii nh mt công c xác minh danh tính ca các bên trong giao dch
thng mi n t. ây là mt nn tng công ngh mang tính tiêu chun trên toàn
u, mc dù  mi nc có mt s chính sách qun lý chng thc s khác nhau. Mi
quc gia u cn có nhng CA bn a  chng v các hot ng chng thc s
trong nc. Nhng ngoài ra, nu mun thc hin TMT vt ra ngoài biên gii, các
quc gia cng phi tuân theo các chun công ngh chung, và thc hin chng thc
chéo, trao i và công nhn các CA ca nhau.
III. Trin khai dch v CA trên môi trng Window Server 2003
Trên môi trng hu hành Windows Server 2003, CA là mt phn mm c
tích hp sn.
III.1Cài t dch v CA
ng nhp vào Windows Server 2003 vi quyn Administrator.
1. Click vào Start à Control Panel à Add Or Remove Programs. Hp thoi Add Or
Remove Programs xut hin.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 6
2. Click Add/Remove Windows Components. Hp thoi Add/Remove Windows
Components xut hin à chn Certificate Services.
3. Click chn à chn Details. Hp thoi Certificate Services xut hin.

4. p thoi cnh báo v thành viên domain và ràng buc i tên máy tính xut hin à
click Yes.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 7
5. Trong trang loi CA, click chn Enterprise Root CA à click Next.
6. Trên trang thông tin nhn ra CA, trong hp Common name, ánh tên ca server à click
next.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 8
7. Trên trang Certificate Database Settings, ng dn mc nh trong hp Certificate
database box và Certificate database log à click Next.
8. i nhc dng Internet Information Services xut hin à click Yes.
9. Enable Active Server Pages (ASPs) à click Yes.
10. Khi quá trình cài t hoàn tt à click Finish.
III.2Các dch v chng ch CA Windows Server 2003 cung cp
Ch ký n t:  dng  xác nhn ngi gi thông p, file hoc d liu
khác. Ch ký n t không h tr bo v d liu khi truyn.
Chng thc internet: Có th s dng PKI  chng thc client và server c
thit lp ni kt trên internet, vì vy server có th nhn dng máy client ni kt n nó
và client có th xác nhn ã ni kt úng server.
o mt IP ( IP Security - IPSec): m rng IPSec cho phép mã hóa và truyn
ch ký s, nhm ngn chn d liu b l khi truyn trên mng. Trin khai IPSec trên
Windows Server 2003 không phi dùng PKI  có c khóa mã hóa ca nó, nhng
có th dùng PKI vi mc ích này.
Secure e-mail: Giao thc e-mail trên internet truyn thông p mail  ch bn
rõ, vì vy ni dung mail d dàng c c khi truyn. Vi PKI, ngi gi có th bo
t e-mail khi truyn bng cách mã hóa ni dung mail dùng khóa công khai ca
ngi nhn. Ngoài ra, ngi gi có th ký lên thông p bng khóa riêng ca mình.
Smart card logon: Smart card là mt loi th tín dng. Windows Server 2003 có
th dùng smart card nh là mt thit b chng thc. Smart card cha chng ch ca

 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 9
user và khóa riêng, cho phép ngi dùng logon ti bt k máy nào trong doanh
nghip vi  an toàn cao.
Software code signing: K thut Authenticode ca Microsoft dùng chng ch
chng thc nhng phn mm ngi dùng download và cài t chính xác là ca tác gi
và không c chnh sa.
Wireless network authentication: Khi cài t mt LAN wireless, phi chc chn
ng ch ngi dùng chng thc úng thì mi c ni kt mng và không có ai có
th nghe lén khi giao tip trên wireless. Có th s dng Windows Server 2003 PKI 
o v mng wireless bng cách nhn dng và chng thc ngi dùng trc khi h
truy cp mng.
III.3 Các loi CA trên Windows Server 2003
Trên windows Server 2003 có hai loi CA:
Enterprise: Enterprise CAsc tích hp trong dch v Active Directory. Chúng
 dng mu chng ch, xut bn (publish) chng ch và CRLs n Active Directory,
 dng thông tin trong c s d liu Active Directory  chp nhn hoc t chi yêu
u cp phát chng ch tng. Bi vy client ca t chc CA phi truy xut n
Active Directory  nhn chng ch, nhiu t chc CA không thích hp cho vic cp
phát chng ch cho các client bên ngoài t chc.
Stand-alone Stand-alone CAs không dùng mu chng ch hay Active Directory;
chúng lu tr thông tin cc b ca nó. Hn na, mc nh, stand-alone CAs không t
ng áp li yêu cu cp phát chng ch s ging nh enterprise CAs làm. Yêu cu
ch trong hàng i cho ngi qun tr chp nhn hoc t chi bng tay.
Dù ngi dùng chn to ra mt enterprise CA hay là mt stand-alone CA, u
phi ch rõ CA là gc (root) hay cp di (subordinate).
III.4Cp phát và qun lí các chng ch s
III.4.1Cp phát tng (Auto-Enrollment)
Auto-Enrollment cho phép client yêu cu tng và nhn chng ch s t CA mà
không cn s can thip ca ngi qun tr.  dùng Auto-Enrollment thì phi có

domain chy Windows Server 2003, mt enterprise CA chy trên Windows Server
2003 và client có th chy Windows XP Professional. u khin tin trình Auto-
Enrollment bng s phi hp ca group policy và mu chng ch s.
c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho tt c các
ngi dùng và máy tính nm trong domain.  cài t, bn m chính sách cài t
Auto-Enrollment, nm trong th mc Windows Settings\ Sercurity Settings\Public
Key Policies trong c 2 node Computer Configuration và User Configuration ca
Group Policy Object Editor. Hp thoi Autoenrollment Settings Properties xut hin,
n có th cm hoàn toàn auto-enrollment cho các i tng s dng GPO này. Bn
ng có th cho phép các i tng thay i hoc cp nht chng ch s ca chúng
t cách tng.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 10
t k thut khác bn có th dùng u khin auto-enrollment là xây dng mu
chng ch có xác nh c tính ca kiu chng ch s rõ ràng.  qun lý mu chng
ch s, bn dùng mu chng ch s có sn ( Certificate Templates snap-in), nh hình
i. S dng công c này, bn có th ch rõ thi gian hiu lc và thi gian gia hn
a loi chng ch sã chn, chn dch v mã hóa (cryptographic) cung cp cho
chúng. Dùng tab Security, bn cng có th ch rõ nhng user và group c phép yêu
u chng ch s dùng mu này.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 11
Khi client yêu cu mt chng ch s, CA kim tra c tính i tng Active
Directory ca client  quyt nh liu client có quyn ti thiu c nhn chng ch
không?. Nu client có quyn thích hp thì CA s cp phát chng ch s mt cách t
ng.
III.4.2Cp phát không tng (Manual Enrollment)
Stand-alone CAs không th dùng auto-enrollment, vì vy khi mt stand-alone CA
nhn yêu cu v chng ch s t client, nó s lu tr nhng yêu cu ó vào trong mt
hàng i cho ti khi ngi qun tr quyt nh liu có cp phát chng ch s hay

không?. giám sát và x lý các yêu cu vào, ngi qun tr dùng Certification
Authority console, nh hình sau:
Trong Certification Authority console, tt c yêu cu cp phát chng ch s xut
hin trong th mc Pending Request. Sau khi ánh giá thông tin trong mi yêu cu,
ngi qun tr có th chn  chp nhn (issue) hay t chi yêu cu. Ngi qun tr
ng có th xem c tính ca vic cp phát chng ch và thu hi chng ch khi cn.
III.4.3Các cách yêu cu cp phát CA
III.4.3.1 S dng Certificates Snap-in:
Certificate Snap-in là mt công c dùng  xem và qun lý chng ch ca mt user
hoc computer c th. Màn hình chính ca snap-in bao gm nhiu th mc cha tt c
ng mc chng ch sc chnh cho user hoc computer. Nu t chc ca ngi
dùng s dng enterprise CAs, Certificate Snap-in cng cho phép ngi dùng yêu cu
và thay i chng ch s bng cách dùng Certificate Request Wizard và Certificate
Renewal Wizard.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 12
III.4.3.2 Yêu cu cp phát thông qua Web (Web Enrollment)
Khi bn cài t Certificate Services trên máy tính chy Windows Server 2003,
ngi dùng có th chn cài t module Certificate Services Web Enrollment Support.
 hot ng mt cách úng n, module này yêu cu ngi dùng phi cài t IIS
trên máy tính trc. Chn module này trong quá trình cài t Certificate Services to
ra trang Web trên máy tính chy CA, nhng trang Web này cho phép ngi dùng gi
yêu cu cp chng ch s yêu cu mà h chn.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 13
Giao din Web Enrollment Support c dùng cho ngi s dng bên ngoài hoc
bên trong mng truy xut n stand-alone CAs. Vì stand-alone server không dùng
u chng ch s, client gi yêu cu bao gm tt c các thông tin cn thit v chng
ch s và thông tin v ngi s dng chng ch s.
Khi client yêu cu chng ch s dùng giao din Web Enrollment Support, chúng

có th chn t danh sách loi chng chã c nh ngha trc hoc to ra chng
ch cao cp bng cách ch rõ tt c các thông tin yêu cu trong form Web-based.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 14
III.4.4Thu hi chng ch s
Có vài nguyên nhân cnh báo cho ngi qun tr thu hi chng ch. Nu nh khóa
riêng ( private key) b l, hoc ngi dùng trái phép li dng truy xut n CA, thm
chí nu bn mun cp phát chng ch dùng tham s khác nh là khóa dài hn, bn
phi c thu hi chng ch trc ó. Mt CA duy trì mt CRL (Certificate
Revocation List). Enterprise CAs xut bn CRLs ca chúng trong c s d liu
Active Directory, vì vy client có th truy xut chúng dùng giao thc truyn thông
Active directory chun, gi là Lightweight Directory Access Protocol (LDAP). Mt
stand-alone CA lu tr CRL ca nó nh là mt file trên a cc b ca server, vì vy
client truy xut dùng giao thc truyn thông Internet nh Hypertext Transfer Protocol
(HTTP) or File Transfer Protocol (FTP).
i chng ch s cha ng dn ti m phân phi ca CA cho CRLs. Có th
a i ng dn này trong Certification Authority console bng cách hin th hp
thoi Properties cho CA, click vào tab Extension. Khi mt ng dng chng thc client
ang dùng chng ch s, nó kim tra m phân phi CRL ã nh rõ trong chng ch
,  chc chn rng chng ch s không b thu hi. Nu CRL không có ti m
phân phi ã nh rõ ca nó, ng dng t chi chng ch.
ng cách chn th mc Revoked Certificates trong Certification Authority
console và sau ó hin th hp thoi Properties ca nó, bn có th ch rõ bao lâu thì
CA nên xut bn mt CRL mi, và cng cu hình CA  xut bn delta CRLs.Mt

×