Hướng dẫn về PKI – Phần 4: Khắc phục sự cố
 Ngu
ồn : quantrimang.com  
Martin Kiae
r
Trong các phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn
tổng quan về cách chuẩn bị, lập kế hoạch và thiết kế PKI Microsoft. Chúng
tôi cũng đưa ra một một chút kỹ thuật trong đó để thể hiện cho các bạn
cách cài đặt PKI dựa trên Microsoft Certificate Services trong Windows
Server 2003. Trong phần cuối này, chúng tôi sẽ giới thiệu tổng quan về
cách bảo trì và khắc phục sự cố PKI của bạn bằng một số công c
ụ cơ bản
nhưng rất có giá trị.

Toolbox

Một trong những thành phần rất có giá trị đối với bạn và PKI đó là toolbox, nó
gồm có các rất nhiều công cụ. Các công cụ này sẽ giúp bạn duy trì sự ổn định
của PKI và giải quyết các vấn đề một cách nhanh chóng, không bị nhiều phiền
toái. Mặc dù vậy hộp công cụ này không dễ dàng cho việc thực hiện thao tác
nhiệm vụ ngay tức thì vì nó không có nhiều công c
ụ có sẵn, do đó phải sử dụng
chúng một cách tốt nhất với những gì chúng ta có. Dưới đây chúng tôi liệt kê các
tùy chọn của bạn đối với Microsoft PKI toolbox (không theo thứ tự):
•
Certificate Services (certsrv.msc) – Giao diện quản lý này gồm có các
chức năng chính bạn sẽ cần đến khi cấu hình và duy trì PKI

•
Certificate Templates (certtmpl.msc) – Giao diện này được sử dụng để
duy trì và bảo vệ các mẫu chứng chỉ

•
Certificate Manager (certmgr.msc) – Giao diện này được sử dụng để
kiểm soát các chứng chỉ được cài đặt trên máy tính hoặc người dùng hiện
hành.

•
Certutil.exe – Tiện ích chứng chỉ dựa trên dòng lệnh thực hiện như
Certificate Services MMC plus

•
Event Viewer (Eventvwr.msc) – Công cụ này rất quan trọng khi khắc
phục sự cố PKI

•
Enterprise PKI tools (PKIview.msc) – Công cụ sức khỏe PKI dựa trên
MMC.

•
Capimon.exe – Cho phép quản trị viên có thể kiểm tra các cuộc gọi
CryptoAPI của các ứng dụng bảo mật và kết quả của nó.
Tất cả các công cụ này đều rất hữu dụng với PKI, tuy nhiên chúng cũng có một
số thông tin quan trọng giúp bạn có thể khắc phục sự cố PKI. Cách tốt nhất để
khắc phục sự cố PKI này là sử dụng quá trình đã cấu trúc từ trước. Phương
pháp này được chúng tôi gi
ới thiệu dưới đây:

1. Luôn luôn bắt đầu việc khắc phục sự cố bằng cách kiểm tra các bản ghi sự
kiện. Điều này có thể dường như hiển nhiên nhưng hầu hết tất cả PKI có dính líu
tới lỗi sẽ bị ghi vào các bản ghi sự kiện. Chính vì vậy bạn có thể hiển thị thông

báo lỗi từ các chương trình khác nhau như Certificate Services MMC, bản ghi sự
kiện xét cho cùng vẫn là cách tố
t nhất để đọc và gỡ rối các lỗi liên quan đến PKI.

2. Sử dụng các công cụ PKIview.msc để có được một cách nhìn tổng quan về
trạng thái PKI của bạn. PKIview.msc sẽ thể hiện một số lỗi chung nhất gồm có
CRL hết hạn hoặc bị mất hoặc một chứng chỉ CA hết hiệu lực. Nếu mọi thứ
dường như tốt đối với công cụ này thì bạn có th
ể chuyển lên và tập trung vào
các vấn đề liên quan đến chứng chỉ cụ thể như các thiết lập bảo mật trên mẫu
chứng chỉ,…

3. Nếu lỗi không hiển nhiên hoặc khó khăn trong vấn đề khắc phục thì bạn hãy
tìm kiếm sự trợ giúp từ danh sách tài nguyên của chúng tôi tại phần cuối của bài
viết, hoặc tìm các giải pháp thông qua support.microsoft.com
, các nhóm hoặc
forum.

Một điều nữa có thể giúp ích cho bạn là phải có một danh sách kiểm tra sau khi
cài đặt và trong quá trình bảo trì. Đây là một ví dụ mà bạn nên xem xét để tham
khảo:
•
Khả năng có sẵn của PKI và các chứng chỉ gốc của bạn như thế nào?

•
CRL có sẵn có hay không?

•
Các chứng chỉ được phát hành có làm việc đúng cách hay không?


•
Các thành phần hoặc các ứng dụng cơ sở hạ tầng dựa trên chứng chỉ từ
PKI có làm việc đúng cách hay không?

•
Hiệu suất trên các hệ thống sử dụng các chứng chỉ từ PKI như thế nào?

•
Có nhiều thông báo lỗi liên quan đến các chứng chỉ đã cài đặt trên máy
tính hay không?
Hãy tiếp tục và xem xét một số tiện ích từ hộp công cụ của chúng ta, cách chúng
có thể cho phép thực hiện dễ dàng hơn như thế nào với khía cạnh PKI của bạn.

Certificate Services và Certificates Templates MMC Snap-in

Certificate Services MMC Snap-in (certsrv.msc) là giao diện quản trị PKI chính.
Bạn nên đầu tư một chút thời gian với MMC Snap-in này và dần làm quen với
công cụ vì nó có thể giúp bạn hiểu sâu về thế giới PKI của Microsoft. Với snap-in
này, bạn sẽ hiểu được v
ề các mẫu chứng chỉ AIA, CDP, V2,.. ý nghĩa và chúng
liên kết như thế nào với một số lĩnh vực đã được giới thiệu trong các phần trước.
Trợ giúp của nó cũng rất có giá trị, nó gồm có nhiều phần nhỏ cho phép thao tác
tốt nhất (giống như nhiều các file trợ giúp khác trong Windows Server 2003).
Hầu hết các vấn đề với PKI thường liên quan đến các vấn đề về điều khoản, nơi
chứng chỉ đang được sử dụng hoặc khả năng có sẵn của CRL. Vì vậy hãy xem
xét một số ví dụ nơi công cụ này có thể trợ giúp đắc lực trong khi khắc phục sự
cố PKI của bạn.

Một trong những lỗi thường xuyên nhất mà bạn sẽ thấy trong khía cạnh PKI là
một CRL hết hạn hoặc không có khả năng truy cập. Cách nhanh chóng để giải

quyết vấn đề
này là công bố CRL từ Certificate Services MMC, nhưng điều này
cũng có thể được soạn thảo từ dòng lệnh.

Hình 1: Công bố CRL
Bạn nên tạo dựng thói quen khi kiểm tra xem một chứng chỉ nào đó đã được
phát hành hay không bằng cách kiểm tra menu con “Failed Requests” trên panel
bên trái của giao diện MMC. Từ menu này, bạn sẽ có thể nghiên cứu tỉ mỉ tại sao
có một lỗi liên quan với việc thất bại khi đưa ra một chứng chỉ. Thông thường lỗi
này sẽ rất khó đọc từ phần “Failed Request”. Cách tốt hơn là lỗi này sẽ được bổ
sung vào bản ghi ứng dụng. Do chúng ta hoàn toàn có thể dễ dàng copy một
đầu vào bản ghi sự kiện từ Event Viewer hơn Certificate Services MMC, do đó
chúng ta nên lựa chọn phương pháp này để kiểm tra các lỗi có liên quan đến
PKI trừ khi bạn sử dụng kiểu quản trị ủy nhiệm và MMC tùy chỉnh.

Một lỗi khác là các thiết lập bảo mật sai trên các mẫu chứng chỉ. Bạn có thể thay
đổi sự bảo mật các mẫu chứng chỉ từ
Certificate Services MMC bởi việc kích
chuột phải vào Certificate Templates và chọn Manage hoặc bắt đầu một MMC
mới, nơi bạn bổ sung thêm Certificate Templates (certtmpl.msc) snap-in. Với
cách từ Certificate Templates MMC, bạn chọn các thuộc tính của mẫu chứng chỉ
muốn sử dụng. Sau đó kích vào tab Security và bảo đảm rằng nhóm bảo mật
đúng được cho phép để nhận một chứng chỉ bằng việc kích hoạt các điều khoản
“Read” (đọc) và “Enroll” (nạp) cho nhóm đó.

Hình 2: Kiểm tra xem mẫu chứng chỉ có các thiết lập bảo mật đúng hay không
PKIview.msc

Một trong những công cụ có giá trị nhất cho PKI của bạn là PKIview.msc, công
cụ này có sẵn trong Windows Server 2003 Resource Kit. Với công cụ này, bạn

có thể kiểm tra trạng thái của PKI. Khi bắt đầu công cụ đồ họa, bạn sẽ thấy
những chỉ thị khác nhau thông báo mọi thứ đều tốt với PKI của bạn. Mặc dù chỉ
thị
màu vàng sẽ cho bạn thông báo rằng chứng chỉ hoặc Certificate Revocation
List (CRL) là sắp hết hạn. Nếu bạn nhìn thấy các lỗi màu đỏ, màu đỏ là chỉ thị
rằng CRL hoặc các vị trí Authority Information Access (AIA) là ngoài tầm kiểm
soát. Các lỗi màu đỏ cũng có thể chỉ thị tằng một CA không được tin cậy. Nếu
bạn gặp trường hợp này, hãy kích chuột phải vào lỗi đó và kích “Copy URL” và
paste URL vào trình duyệt web, nếu nó là một vị trí HTTP ngoài tầm kiểm soát
ho
ặc sử dụng công cụ như adsiedit.msc của Windows Support Tools để kiểm tra
xem vị trí CDP đã công bố là sự hủy bỏ hay tin tưởng.

Công cụ này có rất nhiều khả năng, tối thiểu bạn cũng nên chạy công cụ này mỗi
tuần một lần để bảo đảm tình trạng của PKI. Các chi tiết trong lỗi này sẽ chỉ thị
nhanh chính xác nơi lỗi ở đâu, mặc dù vậy nó sẽ không cho một giả
i pháp chính
xác. Vì vậy bạn cần thực hiện một số công việc phát hiện bằng vài công cụ đã đề
cập trong hộp công cụ ở phần trên của bài này hoặc tìm trên Google cho sự kiện