Hướng dẫn về PKI – Phần 1: Lập kế hoạch
Ngu
ồn : quantrimang.com 
Martin Kiae
r
Bạn hiểu thế nào về PKI, đó là viết tắt của Public Key Infrastructure – cơ sở
hạ tầng khóa công khai. Trong loạt bài gồm 4 phần này chúng tôi sẽ giới
thiệu cho bạn vắn tắt về tổng quan cách thiết kế, cài đặt và khắc phục sự
cố một PKI dựa trên Microsoft Certificate Services trong Windows Server
2003. Bên cạnh đó chúng tôi cũng giới thiệu cho bạn một số cạm bẫy thường
gặp và cách thực hiện t
ốt nhất để xây dựng và thực thi một PKI, chúng tôi sẽ tập
trung vào các vấn đề cần thiết trong việc xây dựng đúng và linh hoạt PKI ngay từ
lúc bắt đầu.

Tại sao lại cần đến PKI

Một vài năm trở lại đây, hầu hết mọi
người đều nói về năm 2000 như là năm
của PKI. Nhiều người tin tưởng rằng, xu
thế chủ đạo củ
a thị trường cuối cùng
cũng có khuynh hướng sử dụng tất cả
các khía cạnh tốt mà PKI có thể cung
cấp. Mặc dù vậy như những gì bạn có thể
đoán, các chứng chỉ và PKI chưa từng
thực sự cất cánh. Điều đơn giản là nó
không đủ gây chú ý cho việc quản lý
phân loại và nhân viên kỹ thuật (người có thể thấy được giá trị của PKI). Mặc dù
vậy, sau một thờ
i gian, PKI lại trở thành một trong những chủ đề nóng nhất trong

các doanh nghiệp lớn và trung bình. Sự thay đổi trong vấn đề bảo mật, nơi bảo
mật và các cải thiện trong Internet và khi các công nghệ truyền thông di động trở
thành một ngành kinh doanh cho doanh nghiệp, điều đó có nghĩa rằng các
chứng chỉ và PKI đã sẵn sàng cho xu thế chủ đạo của thị trường kinh doanh hơn
bao giờ hết.

Chính vì vậy, vấn đề
lớn PKI với bạn đó là tại sao lại cần phải quan tâm? Cơ bản
mà nói đó chính là sự sa sút trong việc quản lý chứng chỉ. Bạn có thể thấy được
rằng, ngày nay các chứng chỉ có ở bất cứ đâu và thường chúng được sử dụng
mà không cần biết bạn đã bao giờ lo lắng về khả năng tồn tại của chúng. Một
trong những kịch bản chung nhất mà các ch
ứng chỉ được sử dụng đó là:
•
Mã hóa file và đĩa (các chứng chỉ được sử dụng để bảo vệ khóa mật)
•
Thẩm định đa hệ số giống như các thẻ thông minh
•
IPSec
•
Chữ ký số
•
RADIUS và thẩm định 802.1x
•
Các mạng không dây
•
NAP (Network Access Control - Điều khiển truy cập mạng) và NAQ
(Network Access Quarantine – Cách ly truy cập mạng) cho một nguyên
tắc
•

Dấu hiệu mã và driver
•
SSL/TLS cho việc bảo vệ lưu lượng dựa trên HTTP
Như bạn có thể thấy, các chứng chỉ được sử dụng ở nhiều vị trí khác nhau và
mục đích chính của nó là bổ sung tính bảo mật cho cơ sở hạ tầng và giải pháp
CNTT của bạn. Nhưng nếu quan sát danh sách ở trên thì có thể hình dung được
rằng điều này cũng có nghĩa là bạn phải quản lý rất nhiều chứng chỉ, s
ố lượng
nhiều hay ít lại phụ thuộc vào những tính năng mà bạn muốn sử dụng trong cơ
sở hạ tầng và cách quyết định bổ sung chúng như thế nào. PKI đơn giản là cách
quản lý tập trung việc phát hành, thay mới, hủy bỏ các chứng chỉ và xây dựng
đường dẫn tin cậy của chính bạn. Các chứng chỉ và PKI mà chúng tôi sẽ giới
thiệu trong loạt bài viết này dựa trên X.509 v3, điều đó có nghĩ
a rằng chúng ta có
thể tận dụng một số ưu điểm về cách sử dụng chứng chỉ, và điều đó sẽ được
thấy rõ hơn trong phần hai của loạt bài này.

Quan trọng
:
Dự định của loạt bài này sẽ cho bạn biết nhanh chóng tổng quan của các lĩnh
vực quan trọng nhất, để bạn có thể dễ dàng có được nền tảng về PKI. Mặc dù
vậy việc xây dựng một PKI có thể là một dự án lớn và nếu bạn là một quản trị
viên CNTT quan tâm đến vấn đề bảo mật thì có thể sẽ cần xem xét sâu hơn
trong các liên kết được chúng tôi cung cấp ở
cuối mỗi phần của bài.

Lên kế hoạch cho PKI

Tác giả đưa giai đoạn lập kế hoạch vào phần đầu của bài vì dù sao phần lập kế
hoạch cũng rất quan trọng và muốn giới thiệu cách lập một kết hoạch như thế

nào để có được hiệu quả tốt nhất thông qua một số lĩnh vực mà bạn nên tập
trung. Lỗi thường xả
y ra nhất đối với các công ty khi thực hiện cài đặt Microsoft
Certificate Services (bằng cách đó thiết lập một PKI) là họ thường bỏ qua phần
kế hoạch, và như vậy hậu quả làm tốn rất nhiều tài nguyên và tiền của, cuối
cùng họ nhận ra rằng có thể không thấy một số vấn đề quan trọng khi vào menu
Add/Remove Windows Components trong các máy chủ Windows 2000 hay
Windows 2003 và đặt một dấu kiểm tra trước các thành phần Certificate
Services.

Các khía cạnh bạn nên xem xét trong suốt quá trình l
ập kế hoặc cho PKI là:
•
Kiểm tra xem chính sách bảo mật của bạn có sẵn sàng được cập nhật PKI
hay không
•
Tạo một hoặc nhiều chính sách chứng chỉ
•
Tạo một tuyên bố trong sử dụng chứng chỉ
Chúng ta hãy xem xét một cách cẩn thận các phần dưới đây.

Kiểm tra xem chính sách bảo mật có sẵn sàng được cập nhật PKI hay
không

Brian Komar, tác giả của cuốn sách nổi tiếng “Microsoft Windows Server 2003
PKI and Certificate Security”, đã viết rất nhiều bài báo cho Microsoft và có nhiều
buổi làm thuyết trình về các chủ đề PKI khác nhau thường tuyên bố rằng: “PKI
sẽ làm cho các chính sách bảo mật của tổ chứ
c bạn có hiệu lực”, đó cũng là
tất cả những gì ông muốn nói. Hãy bảo đảm rằng chính sách bảo mật trong công

ty của bạn nhắm đến chiến lược CNTT và kinh doanh của công ty, sau đó thực
hiện chiến lược này với các ứng dụng và dịch vụ bảo mật thì điều đó sẽ phụ
thuộc vào các chứng chỉ. Khi một chính sách bảo mật cần được chấp thuậ
n bởi
bộ phận quản lý hoặc bởi các thành viên ủy ban (những người này phải chịu
trách nhiệm cho chiến lược kinh doanh của công ty), thì cơ bản bạn sẽ có được
một tia sáng xanh để tiến lên với sự thực thi PKI. Bạn có là người có đủ may
mắn đó không, trong trường hợp công ty của bạn không có một chính sách bảo
mật tập trung thì hãy xem xét đến URL dưới đây về các mẫu đối với các chính
sách bảo m
ật khác nhau dựa trên chuẩn ISO 17799.

The SANS Security Policy Project

RFC 2196, “Site Security Handbook”

Open Directory Project – Security policy samples


Tạo một hay nhiều chính sách chứng chỉ

Quả thực các chính sách không phải là thứ thú vị nhất trên thế giới này, nhưng
dù sao chúng vẫn rất quan trọng. Nếu bạn muốn tránh tất cả các vấn đề hợp lệ
đối với PKI, cách tốt nhất bạn nên xem xét đến việc có một chính sách chứng chỉ
(CP). Chính sách chứng chỉ miêu tả cách và ai phát hành, phân phối các chứng
chỉ đối với một chủ đề
(ví dụ như các chủ đề người dùng, máy tính và các thiết
bị,…). Điều này có thể là một nhiệm vụ khó khăn nhưng bạn không nên quá lo
lắng. Hãy tuân theo các bước dưới đây và bạn sẽ thực hiện một cách dễ dàng
việc tạo chính sách chứng chỉ cho PKI của mình.


1. Hãy xem qua RFC 3647 (thành phần bạn có thể tìm thấy qua tài liệu này
).

2. Sau đó hãy quan sát một chính sách chứng chỉ như thế nào, mặc dù chính
sách này có thể chi tiết hơn chính sách bạn cần. The X.509 Certificate Policy for
the United States Department of Defense (DoD) – Chính sách cho Ủy ban phòng
chống của Mỹ (DoD).

Tạo một tuyên bố trong sử dụng chứng chỉ

Tới đây hầu như chúng ta đã thực hiện xong phần lập kế hoạch, tuy nhiên vẫn
cần phải tạo tuyên bố trong sử dụng chứng chỉ (CPS). CPS rất giống với chính
sách chứng chỉ, ngoại trừ nó tập trung vào vấn đề bảo mật của CA (quyền
chứng ch
ỉ) trong suốt các hoạt động và quản lý chứng chỉ được phát hành bởi
CA. Một CPS thường ngắn hơn nhiều so với chính sách bảo mật và gồm có các
thông tin về người có trách nhiệm trong trường hợp chứng chỉ không thể sử
dụng để bảo vệ thỏa đáng những gì nó được đưa ra. Ví dụ một kết nối SSL/TLS
khi một khách hàng đang nhập vào số thẻ tín dụng của họ. Các thành phầ
n khác
có trong một CPS là cách hợp lệ, tái sinh, hủy bỏ được quản lý như thế nào bởi
bộ phận CA chịu trách nhiệm cho việc phát hành chứng chỉ. Bạn có thể xem một
CPS như một thỏa thuận giữa người dùng chứng chỉ và công ty chịu trách nhiệm
cho việc phát hành CA. Ở đây chúng tôi có một số ví dụ cho một CPS, các ví dụ
này có thể sẽ quen thuộc hơn với bạn.

1. Bạn có thể xem thông qua RFC 3647 về CPS t
ại đây.


2. Ngoài ra bạn cũng có thể xem CDP của VeriSign tại đây


Không giống như chính sách chứng chỉ, một CPS luôn được tạo có sẵn công
cộng để một người dùng nào đó có chứng chỉ luôn có thể truy cập vào CPS.
Trong mỗi chứng chỉ mà CA của bạn phát hành, sẽ có một liên kết để chỉ ra vị trí
nơi CPS được xuất bản. Chúng ta sẽ xem xét kỹ hơn vấn đề này trong phần hai
của bài.

Kết luận

Chúng tôi đã giới thiệu cho các bạn cách nhìn tổ
ng quan về một số vấn đề quan
trọng để lưu ý đến giai đoạn lập kế hoạch trong việc xây dựng PKI, nó sẽ thật tốt
nếu bạn xem xét các thông tin trong bài này từ một quan điểm quan trọng khi
muốn xây dựng một PKI trong một môi trường bảo mật cao. Hãy nhớ rằng loạt
bài này chỉ phục vụ như một hướng dẫn vắn tắt để giúp bạn có được m
ột PKI
với thời gian ngắn nhất. Nếu muốn có được các chi tiết hơn về việc lập kế
hoạch, thiết kế và cài đặt, hãy xem trong những đường dẫn mà chúng tôi sẽ giới
thiệu dưới đây. Trong bài tiếp theo chúng ta sẽ tiếp tục quan sát gần hơn đến
các tùy chọn thiết kế và cài đặt khác nhau mà bạn có với những thực tiễn tốt
nhất có thể.