Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server
2006- Phần 1

Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số kiến thức
cơ bản về chứng chỉ và việc thẩm định chứng chỉ. Cách sử dụng các
chứng chỉ trong một số kịch bản reverse proxy và cách khắc phục sự cố
trong sử dụng chứng chỉ cũng như thu hồi.
Chúng ta hãy bắt đầu với một số kiến thức cơ sở về PKI, chứng chỉ số và các
bộ thẩm định chứng chỉ.
PKI
Trong thuật ngữ mật mã, cơ sở hạ tầng khóa công - public key infrastructure
(PKI) là một khối kiến trúc được xây dựng cho một số công nghệ với mục
đích phát hành các chứng chỉ đến người dùng, máy tính và các dịch vụ từ
một bộ thẩm định chứng chỉ (CA) nào đó. Vai trò của PKI trong việc phát
hành các chứng chỉ được gọi là thẩm định đăng ký - Registration Authority
(RA).
Chứng chỉ
Một chứng chỉ khóa công (hoặc một chứng chỉ nhận dạng) là một tài liệu
điện tử kết hợp với một chữ ký số để ràng buộc một khóa công với các thông
tin nhận dạng chẳng hạn như tên của một người hoặc một tổ chức nào đó
cũng như địa chỉ của họ,… Chứng chỉ có thể được sử dụng để thẩm định
khóa công thuộc về một cá nhân hay một tổ chức nào đó. Trong lược đồ cơ
sở hạ tầng khóa công (PKI) điển hình, chữ ký sẽ được xác nhận bởi bộ thẩm
định chứng chỉ (CA).
Bộ thẩm định chứng chỉ CA
Một bộ thẩm định chứng chỉ CA là một máy chủ hoặc một tập các máy chủ
trong một tổ chức CA có hệ thống phát hành các chứng chỉ số đến người
dùng, máy tính và các dịch vụ. Windows Server 2003 (và các phiên bản cũ
hơn) đều có sự thực thi CA riêng.
Các bộ thẩm định chứng chỉ có thể là một máy chủ hoặc có thể được xâu
chuỗi vào các chuỗi chứng chỉ, nơi các kiến trúc có các nhiệm vụ đặc biệt

giống như intermediate CA, issuing CA,… Bạn có thể tham khảo một kiến
trúc CA trong hình 1 bên dưới.

Hình 1: Kiến trúc CA
Các file mở động được sử dụng trong mã hóa
Có một vài file mở rộng được sử dụng khi bạn làm việc với ISA Server 2006
và các chứng chỉ. Dưới đây là một số ví dụ:
Khóa Mô tả
CKS #12 Private Information Exchange
.PFX Private Information Exchange
.P12 Private Information Exchange
PCKS #7 Cryptographic Message Syntax Standard
.P7B PCKS #7 certificate
.CER DER-coded-binary X.509
Base-64-coded-X.509
.PFX Private Information Exchange PCKS #12
.CRL Certification Revocation List
.P7C Digital ID-file
.P7M PCKS #7 MIME-message
.P7R PCKS #7 certificate
.P7S PCKS #7 signature
Bảng 1: Các file mở rộng PKI
Cài đặt CA
Việc cài đặt và đưa vào hoạt động một CA là một quá trình khá dễ dàng.
Những gì làm cho các thiết kế PKI trở nên phức tạp là một số ứng dụng sử
dụng PKI cho một vài mục đích riêng.
Trong bài viết này chúng tôi sẽ không giới thiệu cho các bạn về toàn bộ quá
trình cài đặt này mà chỉ giới thiệu một số hình ảnh cơ bản.

Hình 2: Cài đặt một Windows CA

Sau khi cài đặt một CA, không nên thay đổi tên Server và thành viên miền
(Nếu bạn cảm thấy điều này là bắt buộc, hãy tham khảo một số bài báo khác
để cung cấp cho bạn cách thức chuyển CA).
Có một vài kiểu CA. Cho ví dụ này, chúng tôi chọn một Enterprise Root CA
có tích hợp vào trong Active Directory.

Hình 3: Chọn kiểu CA
Đặt tên cho CA và tên file

Hình 4: Tên CA
Sau khi cài đặt CA, CA có thể được sử dụng cho việc phát hành các chứng
chỉ.
Snap-In cho chứng chỉ
Các phiên bản Windows hiện đại đều có một Snap-In chứng chỉ dùng để
quản lý các chứng chỉ được cài đặt nội bộ. Nếu được đăng nhập như một
quản trị viên, bạn có thể quản lý các chứng chỉ cho tài khoản người dùng của
riêng mình, một tài khoản dịch vụ và một tài khoản máy tính.

Hình 5: Việc quản lý các chứng chỉ
Một tài khoản người dùng thông thường chỉ có thể mở kho chứa chứng chỉ
của riêng nó.
Các chứng chỉ có thể được quản lý trong giao diện điều khiển (Import,
export, request chứng chỉ mới và xóa chứng chỉ).

Hình 6: Quản lý các chứng chỉ
Có một website có thể được sử dụng để yêu cầu các chứng chỉ mới hoặc để
download các chứng chỉ CA gốc.

Hình 7: CA website
Các thiết lập trong kịch bản reverse publish

Nếu bạn muốn sử dụng ISA Server như một reverse publishing proxy để
công bố các dịch vụ như Outlook Web Access (OWA) hoặc Outlook
Anywhere (OA), bạn hoàn toàn có thể kích hoạt SSL Bridging để nâng cao
sự bảo mật cho ISA Server. Khi SSL Bridging được kích hoạt, ISA Server sẽ
dừng kết nối SSL từ máy chủ với máy khách; sau đó ISA sẽ thanh tra lưu
lượng và mã hóa lưu lượng HTTPS. Đây là một kịch bản an toàn nhất.
Trong kịch bản này, ISA server cần chứng chỉ Root CA từ CA bên trong đã
phát hành các chứng chỉ cho máy chủ để publish. ISA Server cũng cần một
chứng chỉ cho bộ lắng nghe ISA mà Common Name (CN) có cùng entry như
tên công cộng mà các máy khách nhập vào khi muốn thiết lập kết nối với
máy chủ công cộng.
Trong suốt quá trình publish, ISA Server 2006 có sự hỗ trợ chứng chỉ mới
giúp bạn chọn đúng chứng chỉ.
Chứng chỉ phải được phát hành từ một CA tin cậy, chứng chỉ phải hợp lệ và
gần hơn với tên chung (Common Name) của chứng chỉ. CN phải hợp lệ với
tên công cộng mà các máy khách có thể sử dụng để kết nối với máy chủ.

Hình 8: Hỗ trợ chứng chỉ
Tính năng Bridging trong ISA Server 2006
Bạn đã bao giờ cố gắng sử dụng tính năng Bridging trong publish rule hay
chưa? Nếu bạn muốn chọn một chứng chỉ, ISA sẽ thường nói không có
chứng chỉ?
Để giải quyết vấn đề này, bạn phải phát hành một chứng chỉ người dùng cho
người dùng thông thường. Chứng chỉ được phát hành này phải được import
(với khóa riêng) vào kho chứa chứng chỉ nội bộ của dịch vụ Microsoft ISA
Server Firewall. Sau đó bạn có thể sử dụng chứng chỉ để hướng yêu cầu gửi
đến máy chủ bên trong yêu cầu sự thẩm định chứng chỉ.

Hình 9: SSL Bridging
Không có chứng chỉ có sẵn vì không có chứng chỉ được cài đặt trong kho

chứng chỉ nội bộ của dịch vụ ISA Server Firewall.

Hình 10: SSL Bridging – chọn một chứng chỉ
Hủy bỏ chứng chỉ
Việc hủy bỏ chứng chỉ là một quá trình mà ở đó ứng dụng yêu cầu cỗ máy
quản lý chuỗi chứng chỉ phải đánh giá chứng chỉ, sự hủy bỏ có thể được
thực hiện đối với tất cả các chứng chỉ trong chuỗi. Gồm có mọi chứng chỉ
đang được phát hành từ một CA nào đó đến các chứng chỉ đã được phát
hành. Bước đầu tiên, chuỗi chứng chỉ sẽ được đánh giá. Nếu chuỗi chứng chỉ
vẫn không bị ảnh hưởng, quá trình sẽ kiểm tra rằng:

Chữ ký chứng chỉ có hợp lệ

Thẩm định thời điểm hiện hành từ khi chứng chỉ còn thời gian hợp lệ.

Thẩm định mỗi chứng chỉ không lỗi hoặc cũng không bị điều chỉnh.
Danh sách hủy bỏ chứng chỉ không có chứa các chứng chỉ hợp lệ. Một quá
trình hoặc một phần mềm giống như ISA Server có thể kiểm tra các chứng
chỉ được yêu cầu bằng danh sách hủy bỏ chứng chỉ.
Người dùng hoàn toàn có thể cấu hình ISA Server cho một vài yêu cầu hợp
lệ. ISA Server có thể thẩm định rằng các chứng chỉ gửi đến không nằm trong
danh sách hủy bỏ chứng chỉ (CRL).

Hình 11: Hủy bỏ chứng chỉ
Verify that incoming client certificates are not revoked
Thẩm định rằng các chứng chỉ máy khách gửi đến không bị thu hồi
Bạn phải chọn chứng chỉ này nếu muốn cho phép ISA Server thực hiện hành
động kiểm tra chứng chỉ gửi đến trong danh sách Certificate revocation List
(CRL) nhằm xem chứng chỉ đã bị thu hồi hay chưa. Nếu chứng chỉ đã bị thu
hồi, yêu cầu máy khách sẽ bị từ chối.

Verify that incoming server certificates are not revoked in a forward
scenario
Thẩm định rằng các chứng chỉ máy chủ gửi đến không bị thu hồi trong
kịch bản thuận
Tùy chọn này hơi khác so với kịch bản ở trên. Trong kịch bản này, ISA
server kiểm tra xem chứng chỉ Server gửi đến trong kịch bản SSL Bridging
có bị thu hồi hay không. Nếu chứng chỉ bị thu hồi, yêu cầu sẽ bị từ chối.
Verify that incoming server certificates are not revoked in a reverse
scenario
Thẩm định rằng các chứng chỉ máy chủ gửi đến không bị thu hồi trong
kịch bản ngược
Chọn hộp kiểm này để chỉ định ISA Server sẽ tự động kiểm tra Certificate
Revocation List (CRL) nhằm xem các chứng chỉ máy chủ, trong kịch bản
Web publish có bị thu hồi hay không. Nếu chứng chỉ bị thu hồi, yêu cầu sẽ
bị từ chối.
Kết luận
Trong phần một này, chúng tôi đã giới thiệu cho các bạn tất cả các khía cạnh
sử dụng chứng chỉ trong ISA Server 2006 đối với các kịch bản reverse
publish cho Outlook Web Access (OWA), Outlook Anywhere (OA),… Bên
cạnh đó là một số kiến thức cơ bản về các chứng chỉ, bộ thẩm định chứng
chỉ và cách kiểm tra chứng chỉ.