Môn Chứng thực điện tử ĐỀ TÀI TÌM HIỂU VÀ THỰC HÀNH TẠO CHỨNG THƯ SỐ BẰNG OPENSSL, CHO WEBSERVER APACHE Hà Nội 2020 CHƯƠNG 1 TỔNG QUAN VỀ CHỨNG THƯ SỐ 1.Chứng thư số là một phương tiện thông qua nó tổ chức chứng thực chứng nhận một cặp khóa thuộc về một chủ thể. Chứng thư số được CA ký số, nên chúng tự bảo vệ đối với tính toàn vẹn và chỉ chứa những thông tin công khai nên có thể được phát tán một cách tự do. Chứng thư số chứa (gắn kết) tên thuê bao và khóa công khai, nó giải quyết được hai vấn đề của mật mã khóa công khai khi áp dụng vào thực tiễn (xác thực cặp khóa, chống chối bỏ).
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN Mơn: Chứng thực điện tử ĐỀ TÀI: TÌM HIỂU VÀ THỰC HÀNH TẠO CHỨNG THƯ SỐ BẰNG OPENSSL, CHO WEBSERVER APACHE Hà Nội 2020 CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG THƯ SỐ 1.1.Khái niệm Chứng thư số phương tiện thơng qua tổ chức chứng thực chứng nhận cặp khóa thuộc chủ thể Chứng thư số CA ký số, nên chúng tự bảo vệ tính tồn vẹn chứa thơng tin cơng khai nên phát tán cách tự Chứng thư số chứa (gắn kết) tên th bao khóa cơng khai, giải hai vấn đề mật mã khóa cơng khai áp dụng vào thực tiễn (xác thực cặp khóa, chống chối bỏ) 1.2.Phân loại Căn vào đối tượng chứng thư số phân loại chứng thư số thực thể cuối chứng thư số CA • Chứng thư số thực thể cuối: loại chứng thư số CA phát hành cho thực thể cuối Chứng thư thực thể cuối không dùng để phát hành chứng thư khác • Chứng thư số CA: chứng thư số CA phát hành cho CA phân biệt trường Basic constraint Chứng thư số CA dùng để phát hành chứng thư khác Chứng thư số CA là: Chứng thư số tự phát hành: loại chứng thư số đặc biệt chủ thể phát hành (issuer) chủ thể sở hữu (subject) (giống nhau) Loại chứng thư số tạo cho mục đích đặc biệt kiểm tra hợp lệ cặp khóa khóa CA hết hạn – Chứng thư số tự ký - chứng thư số RootCA: loại chứng thư số tự phát hành Trong khóa riêng ký chứng thư số tương ứng với khóa cơng khai chứng thư số – Chứng thư số chéo: loại chứng thư số mà chủ thể phát hành chủ thể sở hữu CA khác Chứng thư số chéo dùng để xây dựng mối quan hệ tin cậy CA Căn vào mục đích sử dụng, chứng thư số cịn phân thành chứng thư số khóa cơng khai, chứng thư số đủ điều kiện, chứng thư số thuộc tính, CVC • Chứng thư số khóa cơng khai (Public Key Certificate): • Chứng thư số thuộc tính (Attribute Certificate): chứng thư số chứa thông tin như: thành viên nhóm, vai trị-role, mức an tồn thông tin cho phép kết hợp với thông tin chủ sở hữu chứng thư Chứng thư số thuộc tính khơng chứa khóa cơng khai dùng để cấp phép thực hành vi chủ thể (Authorization) • Chứng thư số đủ điều kiện (Qualified Certificate): loại chứng thư số dùng để xác định người với mức an toàn định Chứng thư số đủ điều kiện thường gồm thông tin xác định chủ thể như, họ tên, ngày sinh, , thông tin sinh trắc (ảnh, vân tay ) • Card Verifiable Certificates (CVC): thiết kế để xử lý thiết bị có khả tính tốn hạn chế thẻ thơng minh Sử dụng cấu trúc (TLV) với trường cố định (mỗi trường chứng có độ dài cố định tối đa trường theo thứ tự xác định rõ) 1.3.Các chuẩn chứng thư số - Chứng thư số X.509 ( thường sử dụng nhiều nhất) - Chứng thư số SPKI (Simple Public Key Infrastructure) - Chứng thư số PGP (Pretty Good Privacy) - Chứng thư số SET (Secure Electronic Transaction) - PKCS #6 3.1 Chứng thư số X.509 -Chuẩn X.509 định nghĩa cấu trúc (các trường chuẩn mở rộng) chứng thư số CRL cho nhiều mục đích khác PKIX định nghĩa giới hạn số trường phù hợp với người dùng Internet Các trường phân thành nhóm : – Bắt buộc hỗ trợ – Có thể hỗ trợ – Có thể khơng hỗ trợ • Các trường mở rộng thuộc hai loại: – Quan trọng (critical) – Khơng quan trọng (non -critical) • RFC 5280 Certificate and CRL profile Cấu trúc: gồm có nhóm: trường chuẩn,trường mở rộng chuẩn trường mở rộng riêng -Trường chuẩn: • Version: chứa giá trị nguyên mô tả phiên chứng thư số (1, 3) • Serial Number: chứa số nguyên mô tả thứ tự, xác định chứng thư số có độ dài 20 chữ số • Signature: chứa định danh (OID-Object IDentification) giải thuật sử dụng ký số chứng thư VD OID cho SHA-1 với RSA 1.2.840.113549.1.1.5 • Issuer: xâu ký tự xác định tên chủ thể ký phát hành chứng thư số Tên viết theo quy ước (Distinguised Name - DN) Trường bắt buộc không chứa xâu rỗng • Validity : khoảng thời gian mà khóa cơng khai chứng thư xem hợp lệ Chứa thời gian bắt đầu hợp lệ (Not Valid Before) thời gian hết hợp lệ (Not Valid After) • Subject : xác định tên chủ thể sở hữu chứng thư số Tên chủ thể sở hữu phải khác rỗng viết theo quy ước tên phân biệt (Distinguised NameDN) • Subject Public Key Info: chứa khố cơng khai chủ thể sở hữu chứng thư số, trường tồn khơng rỗng • Issuer Unique ID: chứa định danh chủ thể phát hành chứng thư số Trường dự phòng tên chủ thể phát hành sử dụng lại trùng với miền CA khác • Subject Unique ID: chứa định danh chủ thể sở hữu chứng thư số (phiên 3) Trường để dự phòng khả tên chủ thể sở hữu sử dụng lại • Extensions: chứa trường mở rộng cung cấp thêm thông tin xác định chứng thư số Mỗi trường mở rộng kết hợp với cờ để xác định trường quan trọng không -Trường mở rộng chuẩn Các trường mở rộng khóa: • Authority Key Identifier: định danh để phân biệt khóa sở hữu CA chủ thể phát hành Trường sử dụng CA có nhiều khóa ký Trường bắt buộc đưa vào tất chứng thư CA trừ chứng thư tự ký • Subject Key Identifier : định danh khố cơng khai chứa chứng thư Định danh phân biệt khoá áp dụng cho chủ thể sở hữu chứng thư số Trường bắt buộc đưa vào chứng thư số CA, chứng thư số thực thể cuối • Key Usage: chuỗi bit mục đích sử dụng khóa Chuỗi bit xác định hạn chế tính dịch vụ sử dụng khố cơng khai chứng thư số Ví dụ ký số, mã mật, trao đổi khoá, ký chứng thư, ký CRL • Extended Key Usage: cho phép thêm thơng tin mục đích sử dụng khóa Nó danh sách OID cách sử dụng cụ thể khố cơng khai chứng thư số o VD số OID tương ứng với mở rộng này: xác thực máy chủ TLS, xác thực máy trạm TLS, ký mã lệnh, mã thư, dấu thời gian, ký OCSP (Online Certificate Status Protocol) Mở rộng thường sử dụng với chứng thư số thực thể cuối • Private Key Usage Periods (Thời hạn sử dụng khoá riêng): khoảng thời gian hợp lệ khoá riêng tương ứng với khố cơng khai chứng thư số Thông tin chứa trường giống trường thời gian hợp lệ khóa cơng khai chứng thư (Not Valid Before Not Valid After) Trường cần thiết để kiểm tra chữ ký số thời gian sau khóa riêng hết hạn sử dụng 07/11/2020 http://ca.gov.vn 17 Các trường mở rộng sách: • Certificate Policies (các sách phát hành chứng thư): chứa danh sách thông tin mô tả sách Mỗi mục gồm định danh sách (OID), trỏ (URI) trỏ tới vị trí sách điều kiện áp dụng cho việc sử dụng chứng thư Nếu trường mở rộng đánh dấu quan trọng, ứng dụng cần phải tuân thủ điều kiện sách, chứng thư không sử dụng Hai sách định nghĩa: o Quy tắc phát hành chứng thư (Certification Practice Statement- CPS) sách áp dụng cho CA o Thông báo người sử dụng (User Notice) • Policy Mappings (các ánh xạ sách): sử dụng để tạo tương ứng sách chứng thư số định nghĩa bời thẩm quyền sách (policy authority) hai miền sách (CA) khác Trường mở rộng sử dụng chứng thư số CA Các trường mở rộng thông tin chủ thể sở hữu chủ thể phát hành: • Subject Alternative Name (tên khác chủ thể sở hữu): tùy chọn tám dạng tên khác dùng để xác định chủ thể sở hữu chứng thư (ví dụ, địa e-mail, địa IP, URI, ) • Issuer Alternative Name (tên khác chủ thể phát hành): tùy chọn tám dạng tên khác dùng để xác định chủ thể phát hành chứng thư (vd, địa e-mail, địa IP, URI ) • Subject Directory Attributes (các thuộc tính dẫn chủ thể sở hữu): gồm danh sách thuộc tính dùng để mang thêm thuộc tính nhận dạng chủ thể sở hữu chứng thư Đặc điểm thuộc tính linh hoạt thay đổi Các trường mở rộng ràng buộc đường dẫn chứng thực: • Basic Constraints (các ràng buộc bản): trường chứa hai trường CA PathLenConstraints Nếu giá trị trường CA true chứng thư số cấp cho CA ký phát hành chứng thư số khác Nếu giá trị trường CA false chứng thư số thực thể cuối Khi trường CA đặt true, trường PathLenConstraint "số cực đại" chứng thư CA đường dẫn chứng thực Giá trị trường có nghĩa CA phát hành chứng thư cho thực thể cuối • Name Constraints (các ràng buộc tên): xác định không gian tên chủ thể sở hữu (tên khác) phải tuân theo chứng thư số Trường mở rộng tồn chứng thư số CA Mở rộng cho phép xác định tên, tên bao gồm tên loại trừ thơng qua thuộc tính Permitted Subtrees Excluded Subtrees Các tên xác định có dạng DN, URI, e-mail, dạng tên thêm vào cấu trúc phân cấp Nếu tồn tại, trường mở rộng đánh dấu quan trọng Policy Constraints (các ràng buộc sách): gồm hai trường RequireExplicitPolicy InhibitPolicyMapping • RequireExplicitPolicy: cho phép chủ thể phát hành yêu cầu chứng thư số đường dẫn phải chứa định danh sách chấp nhận InhibitPolicyMapping: cho phép chủ thể phát hành ngăn cản không sử dụng ánh xạ sách khác chứng thư số đường dẫn • Các trường mở rộng tồn chứng thư số CA Nếu có mở rộng cần phải đánh dấu quan trọng • Inhibit Any Policy (cấm sách bất kỳ): trường định danh sách khơng sử dụng (ví dụ giá trị OID 2.5.29.32.0) Trường mở rộng tồn chứng thư số CA Mở rộng đánh dấu quan trọng không Các trường mở rộng liện quan đến CRL • CRL Distribution Points (các điểm phân phối CRL): chứa thông tin xác định cách lấy thơng tin thu hồi chứng thư số Nó chứa danh sách điểm phân phối CRL - trỏ (URI) tới vị trí phân hoạch CRL nơi chứa thông tin thu hồi chứng thư số Nếu đánh dấu quan trọng chứng thư số phải kiểm tra thông tin thu hồi theo trỏ trường • Freshest CRL (CLR nhất): chứa thông tin xác định cách lấy thông tin thu hồi delta hay gọi Delta CRL Distribution Point Cú pháp trường giống CRL Distribution Points Nếu đánh dấu quan trọng chứng thư số phải kiểm tra thông tin thu hồi theo trỏ trường -Trường mở rộng riêng: Các trường mở rộng riêng định nghĩa để sử dụng trường hợp cụ thể Hai mở rộng riêng sử dụng cho Internet: • Authority Information Access (truy cập thông tin thẩm quyền): Trường chứa thông tin cách truy nhập thông tin dịch vụ cung cấp chủ thể phát hành chứng thư số Mỗi mục xác định dịch vụ Hai dịch vụ định nghĩa gồm: – Dịch vụ kiểm tra chứng thư trực tuyến OCSP – Dịch vụ xác định thông tin chủ thể phát hành chứng thư với mục tiêu tải thông tin CA phát hành chứng thư Thông tin sử dụng để xây dựng đường dẫn chứng thực • Subject Information Access (truy cập thông tin chủ thể): Trường chứa thông tin cách truy nhập thông tin dịch vụ cung cấp chủ thể sở hữu chứng thư số Cú pháp trường mở rộng giống trường Authority Information Access bao gồm kiểu vị trí thơng tin Hai dịch vụ định nghĩa: – Với chứng thư CA, dịch vụ xác định vị trí kho chứng thư – Với chứng thư thực thể cuối, dịch vụ time stamp chủ thể cung cấp dịch vụ time stamp CHƯƠNG 2: BỘ THỰ VIỆN OPENSSL 2.1.Khái niệm OpenSSL OpenSSL thư viện phần mềm cho ứng dụng bảo mật truyền thơng qua mạng máy tính chống nghe trộm cần phải xác định phe truyền thông bên đầu Nó sử dụng rộng rãi máy chủ web internet, phục vụ phần lớn tất trang web OpenSSL bao gồm phần mềm nguồn mở cho việc triển khai giao thức mạng mã hóa khác SSL TLS Thư viện gốc viết ngơn ngữ lập trình C, có sẵn phần mềm cho phép sử dụng thư viện OpenSSL nhiều ngôn ngữ, cung cấp chức mật mã tổng quát để mã hóa giải mã OpenSSL sử dụng từ dòng lệnh để yêu cầu, tạo quản lý chứng thực số Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà khơng có bảo vệ với thông tin Bộ môn An ninh mạng đường truyền Không kể người sử dụng lẫn Web server có kiểm sốt đường liệu hay kiểm sốt liệu có thâm nhập vào thông tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an tồn: • Xác thực: đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng • Mã hố: đảm bảo thơng tin khơng thể bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thơng tin “ nhạy cảm” truyền qua Internet, liệu phải mã hoá để khơng thể bị đọc người khác ngồi người gửi người nhận • Tồn vẹn liệu: đảm bảo thơng tin khơng bị sai lệch phải thể xác thơng tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thông tin, xác thực toàn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP Giao thức SSL: Được phát triển Netscape, ngày giao thức Secure Socket Layer (SSL) sử dụng rộng rãi World Wide Web việc xác thực mã hố thơng tin client server Tổ chức IETF (Internet Engineering Task Force ) chuẩn hoá SSL đặt lại tên TLS (Transport Layer Security) Mặc dù có thay đổi tên TSL phiên SSL Phiên TSL 1.0 tương đương với phiên SSL 3.1 Tuy nhiên SSL thuật ngữ sử dụng rộng rãi SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP (Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) FTP (File Transport Protocol) Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet, SSL sử dụng cho giao dịch Web 2.2 Các phiên OpenSSL Các thư viện OpenSSL viết băng ngôn ngữ lập trình C,nó hoạt động tất tảng lớn, bao gồm tất hệ điều hành Unix tất phiên Microsoft Window Gồm phiên phát hành chính: - Phiên : 09.x Phát hành năm 1998 – 2005 - Phiên : 1.0.0 Được phát hành năm 2010 - Phiên : 1.0.1 Phát hành năm 2012 - Phiên : 1.0.2Phát hành năm 2015 - Phiên : 1.1.0 Phát hành năm 2016 - Phiên : 1.1.1 Phát hành năm 2018 CHƯƠNG 3: TÌM HIỂU VỀ WEB SERVER 3.1 Khái niệm Web server biết đến máy chủ web dùng để xử lý request từ trình duyệt web máy khách gửi thông tin đến client thông qua giao thức HTTP giao thức khác Có nhiều webserver phổ biến thường sử dụng như: Apache, Nginx, IIS Những chương trình web server cài đặt nhằm phục vụ ứng dụng web Khi tiếp nhận request từ trình duyệt, webserver gửi phản hồi đến client thông qua giao thức HTTP giao thức khác Để làm điều này, máy chủ web server phải kho có dung lượng lớn tải tốc độ cao để lưu trữ vận hành tốt kho liệu Internet Thông qua cổng giao tiếp riêng biệt, cấu hình máy chủ web thiết lập giúp điều hành hiệu cho hệ thống máy tính hoạt động Internet HTTP gì? HTTP (Hypertext Transfer Protocol) - giao thức truyền phát siêu văn bản, giao thức tập hợp quy tắc để kết nối hai máy tính Cụ thể HTTP giao thức Textual Stateless • Textual: Tất lệnh văn túy người dùng đọc hiểu • Stateless: Là ứng dụng server có nhiệm vụ cung cấp quy tắc rõ ràng cách server (máy chủ) client ( khách hàng) giao tiếp với Các quy tắc cụ thể sau: • Web server bắt buộc trả lời yêu cầu HTTP mắc thơng điệp lỗi • Chỉ khách hàng tạo yêu cầu HTTP tới máy chủ Tương tự, máy chủ đáp trả yêu cầu HTTP khách hàng • Khi yêu cầu file qua HTTP, khách hàng phải cung cấp URL file Nội dung static vs dynamic Một webserver xử lý nội dung static nội dung dynamic Static web server: Mỗi static bao gồm Hardware kết hợp với HTTP Server Lúc server máy chủ gửi file HTML, CSS, Javascript tới trình duyệt web Dynamic web server: Bao gồm static với Application Server ( máy chủ ứng dụng ) databaser Lúc Application Server cập nhật file lưu trữ trực tiếp Database gửi tới trình duyệt web thơng qua HTTP Server Chính việc máy chủ xử lý nội dung tạo liệu dựa database Giải pháp linh hoạt hơn, đòi hỏi kỹ thuật cao để xử lý quy trình xây dựng dynamic website phức tạp CHƯƠNG 4: THỰC NGIỆM 4.1.Cài đặt apache2 sudo apt-get install apache2 apache2 –v - root@myubuntuserver:/var/www/html# nano index.html - Truy cập vào đường dẫn http://192.168.138.128 máy windows10 4.2 Tạo chứng thư số 4.2.1 Tạo Rootca • mkdir –p ~/ca/root: tạo file root nằm ca • cd ~/ca/root: vào thư mục root • openssl genrsa –aes256 –out rootca.key 2048: tạo khóa riêng rootca.key 2048bit sử dụng mã khóa đối xứng aes 256bit • openssl req –sha256 –new –x509 –days 1826 –key rootca.key –out rootca.crt: tạo chứng thư rootca.crt thơng qua khóa riêng rootca.key openssl sử dụng mã khóa cơng khai sha256bit với tiêu chuẩn x509 1826 ngày có hiệu lực • điền thơng tin chứng thư, quan trọng common name root.ca.local tên địa ip máy webserver • touch certindex: tạo file certindex • echo 1000 > certserial • echo 1000> crlnumber => cấu hình chứng có số seri 1000 • vim ca.conf: chỉnh sửa file ca.conffile yêu cầu xác thực chứng thư • openssl genrsa –out subca1.key 2048: tạo khóa riêng subca1 2048 bit • openssl req –sha256 –new –key subca1.key –out subca1.csr: tạo subca1.csr thơng qua key subca1.key với mã khóa cơng khai sha256 • cấu hình chứng thư số, quan trọng common name sub.ca.local IP máy webserver • openssl ca –batch –config ca.conf –notext –in subca1.csr –out subca1.crt: tạo thơng tin chứng thư, hiển thị thơng tin chứng thư mà cấu hình bên • openssl ca –config ca.conf –gencrl –keyfile rootca.key –cert rootca.crt –out rootca.crl.pem: • openssl crl –inform PEM –in rootca.crl.pem –outform DER –out rootca.crl: => tạo crl pem der 4.2.2 Tạo subca • mkdir ~/ca/subca1 : tạo file subca1 • cd ~/ca/root/subca1 • cp ~/ca/root/subca1.key /: copy file subca1.key từ root vào subca1 • cp ~/ca/root/subca1.crt /: copy file subca1.crt từ root vào subca1 • touch certindex: tạo file certindex • echo 1000 > certserial • echo 1000> crlnumber • nano ca.conf: thêm file bên ngồi vào ca.conf tương tự rootca • openssl ca –config ca.conf –gencrl –keyfile subca1.key –cert subca1.crt –out subca1.crl.pem • openssl crl –inform PEM –in subca1.crl.pem –outform DER –out subca1.crl => tạo crl pem der 4.2.3 Tạo enduser • mkdir enduser: Tạo enuser subca1 • openssl genrsa -out enduser/enduser-example.com.key 2048: Tạo khóa riêng enduser-example.com.key • openssl req –new –sha256 –key enduser/enduser-example.com.key –out enduser/enduser-example.com.csr: tạo chứng thư enduser-example.com.crt thông qua khóa khóa riêng enduser.com.key • Thêm thơng tin chứng thư số, quan trọng common name :enduser.local • openssl ca –batch –config ca.conf –notext –in enduser/enduserexample.com.csr –out enduser/enduser-example.com.crt: tạo thông tin chứng thư, show thông tin chứng thư số • openssl ca -config ca.conf -gencrl -keyfile subca1.key -cert subca1.crt -out subca1.crl.pem • openssl crl -inform PEM -in subca1.crl.pem -outform DER -out subca1.crl => tạo crl pem der • cat /root/rootca.crt subca1.crt > enduser/enduser-example.com.chain => Tạo tệp chuỗi chứng cách nối chứng Gốc chứng trung gian với • cat /root/rootca.crt subca1.crt subca1.crl.pem > enduser/enduserexample.com.crl.chain => xác nhận dựa CRL Trước tiên, ghép PEM CRL chuỗi lại với • openssl verify -crl_check -CAfile enduser/enduser-example.com.crl.chain enduser/enduser-example.com.crt => Xác minh chứng 4.2.4 Tạo file p12 Xuất file có tên nhom13.p12 với key rootca.key, chứng thư rootca.crt thêm chứng thư subca1, enduser-example.com.crt vào file nhom13.p12 4.3 Cài đặt chứng thư rootca.crt, subca.crt, enduser-example.com.crt 4.4 Cài cấu chứng thư số cho webserver apache2 • sudo a2enmod ssl: kích hoạt chế độ ssl apache2 đặt hình • sudo mkdir /etc/apache2/ssl: tạo thư mục chứa key • sudo nano /etc/apache2/sites-available/default-ssl.conf: cấu hình apache2 để sử dụng ssl • default-ssl.conf sử dụng HTTPS mặc định port 443 • SSLEngine on : Khai báo sử dụng SSL • SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem : Khai báo đường dẫn lưu file crt • SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key : Khai báo đường dẫn lưu file key 4.5 Sử dụng chứng thư số cho người dùng cài đặt vào web brower Chrome Vào chrome > setting > safety check > security > Manage certificates > thêm chứng thư số • Lệnh kích hoạt trang HTTPS : sudo a2ensite default-ssl.conf • Restart apache để load cài đặt : sudo service apache2 restart Truy cập vào đường dẫn https://192.168.138.128 ... thư số phân loại chứng thư số thực thể cuối chứng thư số CA • Chứng thư số thực thể cuối: loại chứng thư số CA phát hành cho thực thể cuối Chứng thư thực thể cuối khơng dùng để phát hành chứng thư. .. khác • Chứng thư số CA: chứng thư số CA phát hành cho CA phân biệt trường Basic constraint Chứng thư số CA dùng để phát hành chứng thư khác Chứng thư số CA là: Chứng thư số tự phát hành: loại chứng. .. - chứng thư số RootCA: loại chứng thư số tự phát hành Trong khóa riêng ký chứng thư số tương ứng với khóa cơng khai chứng thư số – Chứng thư số chéo: loại chứng thư số mà chủ thể phát hành chủ