Hướng dẫn về PKI – Phần 3: Cài đặt
Ngu
ồn : quantrimang.com
Martin Kiae
r
Chúng ta đã đi đến phần ba của loạt bài hướng dẫn về PKI. Trong phần đầu
tiên, chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị và lập
kế hoạch PKI. Tiếp đến trong phần thứ hai, đi vào chế độ thiết kế và xem
xét một số thiết lập thực hành tốt nhất. Trong phần ba này, chúng tôi sẽ
giới thiệu rất nhiều đến vấn đề kỹ thu
ật và thể hiện cho bạn cách cài đặt
PKI dựa trên Microsoft Certificate Services trong Windows Server 2003.
Cài đặt PKI
Dựa vào một số kết quả thiết kế từ hai phần trước, bây giờ chúng ta hãy bắt đầu
việc cài đặt PKI. Do đây là một hướng dẫn nhanh nên chúng tôi sẽ chỉ giới thiệu
một số bước. Phần cuối của bài này, sẽ giới thiệu cho bạn cách cài đặt kiến trúc
2 mức gồm có một CA gố
c offline và một CA đang phát hành online trong cùng
một PKI có sử dụng các phương pháp thực hành tốt nhất. Mặc dù vậy, trước khi
bắt đầu cái đặt, hãy làm quen với một số thứ.
Trong hình 1, chúng tôi đã đưa ra một chu kỳ hợp lệ cho việc thực hành tốt nhất
đối với mỗi CA tại mỗi mức (dựa trên kiến trúc 3 mức đối với mô hình tổng thể
hoàn tất). Ưu điểm của mô hình này là sẽ b
ảo đảm cho bạn luôn luôn có sự kiên
định đối với các chứng chỉ đã được phát hành tại mỗi mức. Nếu bạn chỉ muốn
triển khai kiến trúc 2 mức, đơn giản chỉ cần xóa CA mức 3. Mô hình sẽ vẫn được
áp dụng.
Hình 1: Chu kỳ hợp lệ trong thực hành nhất đối với mỗi CA ở mỗi mức
Một thứ nữa mà bạn nên chuẩn bị trước khi bắt đầu cài đặt là một file văn bản có
tên CAPolicy.inf. File này được sử dụng để tùy chỉnh cấu hình Windows
Certificates Services của bạn. Trong file này, bạn sẽ tìm thấy những thứ rất quan
trọng như:
•
Câu lệnh CDP
•
Các thiết lập làm mới chứng chỉ như chu kỳ hợp lệ và kích thước khóa
•
Các liên kết cho CDP và các đường dẫn AIA
•
Tần suất CRL được công bố như thế nào
Tạo file bằng Notepad và lưu nó vào %windir%\capolicy.inf (ví dụ như
C:\Windows\capolicy.inf).
Thực hiện nhiệm vụ này quả thực rất đơn giản, bằng việc thực hiện theo các file
trong hướng dẫn từng bước dưới đây. Với các thứ mà chúng tôi cung cấp dưới
đây, hãy đi sâu vào tính kỹ thuật của vấn đề.
Cài đặt CA gốc offline
Để cài đặ
t một CA gốc offline, bạn phải thực hiện tất cả gạch đầu dòng dưới đây:
•
Chuẩn bị file CAPolicy.inf
•
Cài đặt Windows Certificate Services
•
Công bố danh sách CRL
•
Chạy kịch bản post-Configuration
Đây là cách nó được thực hiện như thế nào.
1. Cài đặt máy chủ với Windows Server 2003 Standard Edition incl. SP1 hoặc
phiên bản mới hơn và bảo đảm rằng nó chạy với tư cách là một máy chủ độc lập
(nghĩa là không phải thành viên trong bất kỳ miền nào).
2. Tạo các thay thế tham số cần thiết trong file CAPOlicy.inf bên dưới (được
đánh dấu bằng màu đỏ)
Hình 2: File CAPolicy.inf
3. Copy file CAPolicy.INF vào %windir%\capolicy.inf
4. Điều hướng đến Start Menu / Control Panel / Add or Remove Programs |
kích Add/Remove Windows Components
5. Trong Windows Components Wizard, bạn hãy chọn Certificates Services sau
đó kích Next
6. Lưu ý những gì trong hộp thoại đang hiển thị. Bạn không nên đổi tên máy tính
khi Windows Certificate Services được cài đặt, kích Yes
Hình 3
7. Trong trường CA Type, bạn kích Stand-alone root CA, tích vào hộp kiểm
“Use custom settings to generate the key pair and CA certificate” và kích
Next
Lưu ý
:
Thông thường các CA gốc của doanh nghiệp và các tùy chọn CA cấp dưới
không thể được chọn vì máy chủ này không phải là thành viên nằm trong một
miền.
Hình 4
8. Chọn CSP bạn muốn sử dụng cho CA gốc offline. Để đơn giản, chúng ta hãy
chọn Microsoft Strong Cryptographic Provider v1.0, mặc dù có thể chọn CSP
khác ví dụ nếu bạn đã cài đặt Hardware Security Module (HSM) và đã kết nối
máy chủ đến giải pháp HSM, trước khi bắt đầu thủ tục cài đặt CA.
Chọn thuật toán hash mặc định SHA-1
Thiết lập chiều dài khóa là 4096
Bảo đảm rằng cả hai tùy chọn “Allow this CSP to interact with the desktop” và
“Use an existing key” đều không được chọn. Kích Next.
Hình 5
9. Nhập vào tên chung cho CA gốc của bạn, cấu hình hậu tố tên phân bi
ệt
(O=domain, C=local) và thiết lậo chu kỳ hợp lệ đến 20 năm, sau đó kích Next.