1. Trang chủ
  2. Luận Văn - Báo Cáo

Triển khai hệ thống PKI sử dụng OPENCA

83 19 3
Triển khai hệ thống PKI sử dụng OPENCA

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Triển khai hệ thống PKI sử dụng OPENCA Ngày nay với sự phát triển của công nghệ thông tin và mạng Internet, con người ngày càng sử dụng các giao dịch điện tử nhiều hơn. Cùng với sự khuyến khích mọi người dùng các giao dịch điện tử, Chính phủ cũng ngày càng phát triển, tiếp cận với các khoa học kỹ thuật, khi mà các cơ quan Nhà nước cũng sử dụng các chế độ một cửa quốc gia, các bệnh viên bắt đầu sử dụng thanh toán không dùng tiền mặt,… thì việc bảo mật và xác thực các giao dịch điện tử càng trở nên cần thiết. Như chúng ta đã biết, việc thiết lập sự tin cậy đối với giao dịch điện tử không đơn giản như với các giao dịch vật lý, vì các đối tượng giao dịch bị che giấu, cũng như các phương thức nhận dạng và bảo mật còn khó khăn. Để thực hiện giao dịch điện tử an toàn, thì các đối tượng cần phải biết chắc chắn về danh tính của nhau, thông tin trao đổi là an toàn qua mạng,… PKI sẽ giúp chúng ta giải quyết những vấn đề cơ bản về sự tin cậy, xác thực và bảo mật trên mạng. Tuy nhiên, PKI còn có nhiều thiếu sót về mặt ứng dụng và quản lý chứng thư, chi phí cũng là một vấn đề đáng lo ngại. Trước kia hầu hết các phần mềm PKI có sẵn phải thanh toán cho giấy phép phần mềm và chi phí cho mỗi chứng thư, nên nhiều tổ chức không thể triển khai được PKI. Sau này dù sức mạnh máy tính ngày càng tăng, chi phí cũng giảm dần nhưng vẫn thiếu một phần mềm mã nguồn mở để phát triển các ứng dụng liên quan đến chứng thư số và triển khai người dùng làm quen với chứng thư số. Khi đó, dự án OpenCA được bắt đầu. Đây là một dự án “nỗ lực hợp tác nhằm phát triển một Cơ quan chứng nhận dùng ngay được, mạnh mẽ, đầy đủ tính năng và mã nguồn mở thực hiện các giao thức với mật mã mạnh được sử dụng nhiều nhất trên toàn thế giới”. Đồ án có cấu trúc như sau: Chương 1: Cơ sở hạ tầng khóa công khai Tìm hiểu chung về PKI, các thành phần cùng các hoạt động của PKI để thực hiện các chức năng của nó. Cùng với đó ta cũng tìm hiểu về một số kiến trúc PKI như kiến trúc CA đơn, kiến trúc PKI doanh nghiệp, kiến trúc PKI kết hợp. Ngoài ra, ta cũng tìm hiểu về các chức năng của Cơ quan chứng thực. Chương 2: Phần mềm mã nguồn mở OpenCA Tìm hiểu về phần mềm mã nguồn mở OpenCA, thiết kế chung cũng như các giao diện mà OpenCA hỗ trợ. Cùng với đó ta tìm hiểu về các phần mềm mã nguồn mở hỗ trợ OpenCA như Apache, mod_ssl, OpenSSL, OpenLDAP, module Perl. Đồng thời cũng chỉ ra một số lưu ý khi thiết kế PKI sử dụng OpenCA. Chương 3: Triển khai hệ thống PKI sử dụng OpenCA Xây dựng mô hình hệ thống PKI và triển khai cài đặt mô hình sử dụng OpenCA. Triển khai một mô hình hệ thống PKI gồm 2 cấp là RootCA và SubCA, cài đặt OCSP Responder, thực hiện cấp chứng thư cho Web Server, kiểm tra trạng thái chứng thư thông qua giao diện Web và OCSP. Cuối cùng là phần kết luận, tóm lược lại những kết quả đã đạt được và đề xuất hướng phát triển. học viện kỹ thuật mật mã hoc vien ky thuat mat ma hệ thống PKI, trien khai openca, khoa cong khai , học viện kỹ thuật mật mã, hoc vien ky thuat mat ma

BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PKI SỬ DỤNG OPENCA Sinh viên thực hiện: Nguyễn Hoàng Long Người hướng dẫn: Hà Nội, 2022 MỤC LỤC DANH MỤC KÍ HIỆU VÀ VIẾT TẮT Từ viết tắt ABI Tiếng Anh Application Binary Interface AC AES Attribute Certificate Advanced Encryption Standard Application Programming Interface American Standard Code for Information Interchange Automated Teller Machine Certificate Authority Cipher Block Chaining API ASCII ATM CA CBC CDP CFB CMS CN CPS CRCs CRL CRT DBMS DES DN DNS DSA DTLS EAL EAPI ECB ECDSA FTP Tiếng Việt Giao diện nhị phân ứng dụng Chứng thư thuộc tính Chuẩn mã hóa tiên tiến Giao diện lập trình ứng dụng Chuẩn mã trao đổi thơng tin Hoa Kỳ Máy rút tiền tự động Cơ quan chứng thực Chế độ xích liên kết khối mã Customer Data Platform Nền tảng liệu khách hàng Cipher Feedback Mode Chế độ mã liên kết ngược Content Management System Hệ thống quản trị nội dung Common Name Tên chung Hướng dẫn sử dụng chứng Certificate Pratice Statement thư Cyclic Redundancy Codes Mã kiểm tra dịch vòng Certificate Revocation Lists Danh sách hủy bỏ chứng thư Certificate Revocation Trees Cây thu hồi chứng thư Hệ thống quản trị sở Database Management System liệu Data Encryption Standard Chuẩn mã hóa liệu Distinguished Name Tên riêng biệt Domain Name System Hệ thống phân giải tên miền Digital Signature Algorithm Thuật toán chữ ký số Datagram Transport Layer Bảo mật tầng vận chuyển Security dựa Datagram Evaluation Assurance Level Cấp bảo đảm đánh giá Extended Application Giao diện lập trình ứng Programming Interface dụng mở rộng Electronic Code Book Chế độ sách mã điện tử Elliptic Curve Digital Thuật toán chữ ký số dựa Signature Algorithm đường cong Elliptic File Transfer Protocol Giao thức vận chuyển thư GUI Graphical User Interface HSM Hash-Based Message Authentication Code Hardware Security Module HTTP HyperText Transfer Protocol ID IDEA Identification International Data Encryption Algorithm Internet Message Access Protocol International Telecommunication Union Lightweight Directory Access Protocol Message Authentication Code National Center for Supercomputing Applications Online Certificate Status Protocol Output Feedback Mode HMAC IMAP ITU LDAP MAC NCSA OCSP OFB OU PEM PIN PKCS Organisation Unit Privacy-Enhanced Mail Personal Identification Number Public Key Cryptography Standards PKI Public Key Infracstructure POP RA RSA Post Office Protocol Registration Authority Ron Rivest, Adi Shamir Leonard Adleman Secure Multipurpose Internet Mail Extensions Simple Certificate Enrollment S/MIME SCEP mục Giao diện đồ họa người dùng Mã xác thực thông báo dựa hàm băm Mô-đun bảo mật phần cứng Giao thức truyền tải siêu văn Mã định danh Thuật tốn mã hóa liệu quốc tế Giao thức truy cập tin nhắn Internet Liên minh viễn thông quốc tế Giao thức truy cập thư mục hạng nhẹ Mã xác thực thơng báo Ứng dụng siêu máy tính quốc gia Giao thức trạng thái chứng thư trực tuyến Chế độ đầu liên kết ngược Đơn vị tổ chức Thư tăng cường bảo mật Số định danh cá nhân Chuẩn mật mã khóa cơng khai Cơ sở hạ tầng khóa cơng khai Giao thức bưu điện Cơ quan đăng ký Tiện ích mở rộng thư điện tử an toàn, đa Giao thức đăng ký chứng Protocol SHA Secure Hash Algorithm SMTP Simple Mail Transfer Protocol SPKC Simple Public Key Certificate SSL TLS URL Secure Sockets Layer Transport Layer Security Uniform Resource Locator VPN Virtual Private Network thư đơn giản Thuật toán hàm băm bảo mật Giao thức vận chuyển thư đơn giản Chứng thư khóa cơng khai đơn giản Lớp cổng bảo mật Bảo mật tầng vận chuyển Định vị tài nguyên thống Mạng riêng ảo DANH MỤC HÌNH VẼ Hình 2.1 Cơ sở liệu phân tán Hình 2.2 Thiết kế OpenCA Hình 2.3 Kiến trúc mod_ssl Hình 2.4 Kiến trúc OpenSSL Hình 2.5 Cấu trúc gói OpenSSL LỜI NÓI ĐẦU Ngày với phát triển công nghệ thông tin mạng Internet, người ngày sử dụng giao dịch điện tử nhiều Cùng với khuyến khích người dùng giao dịch điện tử, Chính phủ ngày phát triển, tiếp cận với khoa học kỹ thuật, mà quan Nhà nước sử dụng chế độ cửa quốc gia, bệnh viên bắt đầu sử dụng tốn khơng dùng tiền mặt,… việc bảo mật xác thực giao dịch điện tử trở nên cần thiết Như biết, việc thiết lập tin cậy giao dịch điện tử không đơn giản với giao dịch vật lý, đối tượng giao dịch bị che giấu, phương thức nhận dạng bảo mật cịn khó khăn Để thực giao dịch điện tử an tồn, đối tượng cần phải biết chắn danh tính nhau, thơng tin trao đổi an toàn qua mạng,… PKI giúp giải vấn đề tin cậy, xác thực bảo mật mạng Tuy nhiên, PKI cịn có nhiều thiếu sót mặt ứng dụng quản lý chứng thư, chi phí vấn đề đáng lo ngại Trước hầu hết phần mềm PKI có sẵn phải tốn cho giấy phép phần mềm chi phí cho chứng thư, nên nhiều tổ chức triển khai PKI Sau dù sức mạnh máy tính ngày tăng, chi phí giảm dần thiếu phần mềm mã nguồn mở để phát triển ứng dụng liên quan đến chứng thư số triển khai người dùng làm quen với chứng thư số Khi đó, dự án OpenCA bắt đầu Đây dự án “nỗ lực hợp tác nhằm phát triển Cơ quan chứng nhận dùng được, mạnh mẽ, đầy đủ tính mã nguồn mở thực giao thức với mật mã mạnh sử dụng nhiều tồn giới” Đồ án có cấu trúc sau: Chương 1: Cơ sở hạ tầng khóa cơng khai Tìm hiểu chung PKI, thành phần hoạt động PKI để thực chức Cùng với ta tìm hiểu số kiến trúc PKI kiến trúc CA đơn, kiến trúc PKI doanh nghiệp, kiến trúc PKI kết hợp Ngồi ra, ta tìm hiểu chức Cơ quan chứng thực Chương 2: Phần mềm mã nguồn mở OpenCA Tìm hiểu phần mềm mã nguồn mở OpenCA, thiết kế chung giao diện mà OpenCA hỗ trợ Cùng với ta tìm hiểu phần mềm mã nguồn mở hỗ trợ OpenCA Apache, mod_ssl, OpenSSL, OpenLDAP, module Perl Đồng thời số lưu ý thiết kế PKI sử dụng OpenCA Chương 3: Triển khai hệ thống PKI sử dụng OpenCA Xây dựng mơ hình hệ thống PKI triển khai cài đặt mơ hình sử dụng OpenCA Triển khai mơ hình hệ thống PKI gồm cấp RootCA SubCA, cài đặt OCSP Responder, thực cấp chứng thư cho Web Server, kiểm tra trạng thái chứng thư thông qua giao diện Web OCSP Cuối phần kết luận, tóm lược lại kết đạt đề xuất hướng phát triển CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI a) Giới thiệu chung PKI Mật mã khóa cơng khai cung cấp cơng cụ có tính an toàn chữ ký số phân phối khóa Việc mở rộng sử dụng cơng nghệ khóa cơng khai cho phép tạo tập dịch vụ, giao diện lập trình, cơng cụ quản trị, ứng dụng phía người dùng, hình thành sở hạ tầng khóa công khai (PKI - Public Key Infrastructure) 1.a.1 Khái niệm PKI Như ta biết, tin cậy tảng tất giao tiếp Trong thực tế, có hai loại giao tiếp giao tiếp vật lý giao tiếp điện tử Đối với giao tiếp vật lý, người ta xác định đối tượng người khác cách tương tác trực tiếp số dấu hiệu nhận dạng chữ ký, dấu công chứng, tiêu đề thư,… Từ việc thiết lập tin cậy giao tiếp vật lý tương đối dễ Còn giao tiếp điện tử việc thiết lập tin cậy khó khăn Bởi danh tính đối tượng khác bị che giấu, khơng có phương thức nhận dạng bảo mật giao tiếp phi điện tử vật lý Để thiết lập tin cậy đối tượng chắn danh tính nhau, thơng tin trao đổi qua mạng phải an tồn trước giả mạo Trước khó khăn trên, PKI giải vấn đề tin cậy, xác thực bảo mật mạng Từ mang lại an toàn tin cậy cho giao tiếp giao dịch điện tử Những điều cần thiết cho trao đổi điện tử đáng tin cậy an toàn chức bảo mật cốt lõi: tính bí mật, tính xác thực, tính tồn vẹn chống chối bỏ với sách xác định quy tắc để thực thi hệ thống mật mã, chế quản lý, lưu trữ tạo khóa Cùng với hướng dẫn quản lý, lưu trữ, phân phối tạo khóa, chứng thư Cấu trúc hạ tầng PKI tiêu chuẩn công nghệ ứng dụng coi giải pháp tổng hợp độc lập sử dụng để giải vấn đề • Khả bảo mật (Secure): Đạt tiêu chuẩn quốc tế bảo mật EAL4+, • • đáp ứng hầu hết thiết bị HSM Smartcard Khả mở rộng (Scalable): Dựa kiến trúc PKI đại, thiết kế theo mơ hình có độ sẵn sàng cao, có khả mở rộng để cấp phát số lượng lớn chứng thư số cách dễ dàng Khả sẵn sàng (Available): Tất sách, log, liệu chứng thư số CRL lưu trữ sở liệu tin cậy bảo mật, ví dụ • • • Oracle, hệ sở liệu lớn đáng tin cậy giới Khả mở, tương thích (Open): Được thiết kế để tuân thủ tiêu chuẩn mở quốc tế X509, PKIX, LDAP Khả kiểm sốt sách (Policy Driven): Hệ thống có khả áp dụng sách khác với việc đăng ký loại chứng thư số khác Khả linh động (Flexible): Có thể hỗ trợ nhiều phương thức đăng ký chứng thư số khác nhau: Web, Email, Face-to-face, CMP, SCEP Trong mật mã học, sở hạ tầng khóa cơng khai chế bên thứ (thường nhà cung cấp chứng thực số) cung cấp xác thực định danh bên tham gia vào trình trao đổi thông tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp khóa cơng khai khóa bí mật Các q trình thường thực phần mềm đặt trung tâm phần mềm phối hợp khác địa điểm người dùng Khóa cơng khai thường phân phối chứng thư khóa cơng khai Khái niệm sở hạ tầng khóa cơng khai thường dùng để toàn hệ thống bao gồm nhà cung cấp chứng thực số (Certificate Authority) chế liên quan đồng thời với toàn việc sử dụng thuật tốn mã hóa khóa cơng khai trao đổi thông tin PKI chất hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng thư số khố cơng khai khóa riêng Tới nay, nỗ lực hoàn thiện PKI đầu tư thúc đẩy Và để thực hoá ý tưởng này, tiêu chuẩn cần phải nghiên cứu phát triển mức độ khác bao gồm: mã hố, truyền thơng liên kết, xác thực, cấp phép quản lý Nhiều chuẩn bảo mật mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) Virtual Private Network (VPN), kết PKI Quá trình nghiên cứu phát triển PKI q trình lâu dài với nó, mức độ chấp nhận người dùng tăng lên cách chậm chạp PKI đảm bảo chế bảo mật tổng hợp để lưu trữ chia sẻ tài sản trí tuệ ngồi phạm vi cơng ty Tuy nhiên, chi phí phức tạp gây rào cản định khả ứng dụng 10 Hình 3.19 Nội dung yêu cầu chứng thư 3.c.2 Cấp chứng thư cho SubCA Sau tạo yêu cầu chứng thư, ta chọn vào Export CA Certificate Request để xuất yêu cầu cấp chứng thư SubCA Hình 3.20 Xuất yêu cầu chứng thư SubCA Thực copy file chứa yêu cầu chứng thư SubCA vào thư mục /home/ giải nén file openca_local sau: Hình 3.21 Thực xuất yêu cầu chứng thư hình Dùng câu lệnh #gedit careq.pem để lưu yêu cầu chứng thư SubCA hình Desktop 69 Sau truy cập vào trang http://rootca.hnu/pki/pub để gửi yêu cầu cấp chứng thư đến RootCA Chọn vào My Certificates, chọn Request a Certificate để gửi yêu cầu cấp chứng thư cho RootCA Chọn vào Server Certificate Request, dẫn link đến file careq.pem lưu, nhập thông tin cần thiết cho chứng thư Hình 3.22 Gửi yêu cầu chứng thư cho RootCA Hình 3.23 Nhập thơng tin u cầu chứng thư Sau gửi yêu cầu cấp chứng thư cho RootCA, bên phía RootCA cấp chứng thư cho SubCA Kết chứng thư cấp cho SubCA sau: Hình 3.24 Chứng thư SubCA 70 Xuất chứng thư RootCA cấp dạng pem, copy đoạn chứng thư Hình 3.25 Chứng thư SubCA dạng PEM Ở máy SubCA, thực tạo file cacert.pem, sau ghi chứng thư copy vào file Thực bước sau để lưu chứng thư RootCA cấp cho SubCA: Hình 3.26 Lưu chứng thư cấp cho SubCA Cuối chọn vào PKI Init & Config, chọn Initialization, vào phần DB, Key and Cert Init để nhập chứng thư RootCA cấp cho SubCA 71 Kết import chứng thư thành cơng sau: Hình 3.27 Nhập chứng thư cho SubCA thành công 3.c.3 Xây dựng lại chuỗi CA Bước làm tương tự RootCA Kết thành cơng trả sau: Hình 3.28 Xây dựng chuỗi chứng thư cho SubCA Sau khởi tạo thành công SubCA, Client muốn xin cấp chứng thư gửi yêu cầu cấp chứng thư qua giao diện Pub SubCA, SubCA cấp chứng thư cho Client d) Cấu hình OCSP Responder 3.d.1 Cài đặt OCSP Server ∗ Cài đặt gói libpki libpki-devel 72 Truy cập vào trang https://www.openca.org/projects/libpki/linux.shtml để tải gói libpki-0.9.0-1.el7.x86_64.rpm, libpki-devel-0.9.0-1.el7.x86_64.rpm cho hệ điều hành CentOS 7, sau thực cài đặt gói Hình 3.29 Cài đặt gói libpki ∗ Cài đặt gói openca-ocspd Truy cập vào trang https://www.openca.org/projects/ocspd/sources.shtml để tải file openca-ocspd-3.1.2.tar.gz, sau thực giải nén file Trước cài đặt, cần phải tạo người dùng group để cấu hình cho OCSP sử dụng: #groupadd ocsp #useradd –G ocsp ca Đi đến thư mục openca-ocspd-3.1.2 để thực cài đặt: #cd openca-ocspd-3.1.2 #./ configure prefix=/opt/ocspd \ with-ocspd-user=ca \ with-ocspd-group=ocsp Sau chạy xong bước configure, thực lệnh make make install để tiến hành cài đặt gói openca-ocsp Để thuận tiện khởi động OCSP dễ dàng nên tạo đường link liên kết, sử dụng lệnh sau: #cd /usr/sbin #ln –s /opy/ocspd/etc/init.d/ocspd ocspd 3.d.2 Cấu hình OCSP Responder ∗ Tạo chứng thư cho OCSP Responder OCSP cung cấp tập lệnh để tạo khóa tạo yêu cầu cấp chứng thư cho OCSP để gửi đến cho CA Tập lệnh thực sau: 73 Hình 3.30 Tạo khóa u cầu chứng thư cho OCSP Sau tạo xong yêu cầu chứng thư cho OCSP OCSP bước cần thực để hồn tất q trình cấp chứng thư sau: Hình 3.31 Các bước cần thực Lấy file yêu cầu chứng thư OCSP để gửi yêu cầu cấp chứng thư đến SubCA qua giao diện Public, SubCA cấp chứng thư cho OCSP Download chứng thư SubCA cấp, ghi vào file /opt/ocspd/etc/ocspd/certs/cert.pem Thực tương tự với chứng thư SubCA, ghi vào file /opt/ocspd/etc/ocspd/certs/cacert.pem Copy file CRL SubCA cacrl.pem sang OCSP, lưu thư mục /opt/ocspd/etc/ocspd/crls Trên máy SubCA, truy cập vào thư mục chứa CRL: #cd /opt/openca/var/openca/crypto/crls Thực copy file sang máy OCSP: #scp cacrl.pem root@192.168.255.12:/opt/ocspd/etc/ocspd/crls 74 ∗ Chỉnh sửa file cấu hình CA File cấu hình CA lưu thư mục /opt/ocspd/etc/ocspd/ca.d/collegeca.xml Thực chỉnh sửa file sau: • Thêm chứng thư CA dạng PEM • Thêm đường dẫn đến file chứng thư CA • Thêm đường dẫn đến file CRL CA ∗ Chỉnh sửa file cấu hình OCSP File cấu hình OCSP lưu /opt/ocspd/etc/ocspd/ocspd.xml Thực chỉnh sửa file sau: • Sửa tên user, group dùng cho OCSP 75 • Sửa thuật toán hàm băm từ SHA256 thành SHA1 ∗ Thêm CA tin cậy Để thêm CA tin cậy cho CentOS, cần thực thêm file chứng thư CA dạng pem vào thư mục /etc/pki/ca-trust/source/anchors Sau thực update thêm CA tin cậy thành cơng Hình 3.32 Thêm CA tin cậy Sau hồn tất cấu hình, ta cần khởi động OCSP hồn tất q trình cài đặt cấu hình #ocspd start e) Cài đặt SSL cho Web Server kiểm tra trạng thái chứng thư ∗ Cài đặt SSL cho Web Server Trên máy Web Server cài đặt gói mod_ssl để thực cấu hình SSL: #yum install –y mod_ssl Tạo khóa cho máy chủ Web: #cd /etc/pki/tls/certs Hình 3.33 Tạo khóa cho máy chủ web Sau tạo yêu cầu cấp chứng thư cho máy chủ Web: Hình 3.34 Tạo yêu cầu cấp chứng thư cho máy chủ web Gửi yêu cầu cấp chứng thư máy chủ Web đến SubCA thông qua giao diện Public, sau SubCA cấp chứng thư thực lưu chứng thư máy 76 chủ Web vào file /etc/pki/tls/certs/thuy.hnu.crt, lưu chứng thư CA vào file /etc/pki/tls/certs/cacert.crt Tạo khóa RSA cho máy chủ Web: Tạo file full_chain.pem thư mục /etc/pki/tls/certs: #touch /etc/pki/tls/certs Sửa nội dung file full_chain.pem bao gồm chứng thư SubCA RootCA Hình 3.35 Nội dung file full_chain.pem Cuối thực chỉnh sửa file cấu hình SSL sau #vi /etc/httpd/conf.d/ssl.conf 77 Khởi động lại dịch vụ httpd: #service httpd restart Thực thêm CA tin cậy vào máy chủ việc thêm file chứng thư SubCA vào thư mục /etc/pki/ca-trust/source/anchors thực update-catrust ∗ Kiểm tra hoạt động SSL máy chủ web Sử dụng máy Client truy cập vào trang web https:// www.thuy.hnu Hình 3.36 Truy cập vào trang web Kiểm tra trạng thái chứng thư máy chủ Web 78 ∗ Kiểm tra trạng thái chứng thư sử dụng OCSP Hình 3.37 Trạng thái chứng thư máy chủ Web Trên máy chủ web thực truy vấn OCSP để kiểm tra trạng thái chứng thư Thực kiểm tra sau: Hình 3.38 Thực kiểm tra trạng thái chứng thư OCSP Trạng thái OCSP Responde trả successful (0x0) thực cài đặt OCSP thành công, trả trạng thái chứng thư Good chứng thư hợp lệ, chứng thư bị thu hồi trả trạng thái chứng thư Revoked f) Kết luận chương Chương thực triển khai hệ thống PKI gồm phân cấp RootCA , SubCA với OCSP Responder để thực kiểm tra trạng thái chứng thư cấp Thực cài đặt SSL cho máy chủ Web để kiểm tra hoạt động hệ thống PKI, kiểm tra trạng thái chứng thư OCSP 79 KẾT LUẬN • Về mặt lý thuyết, đồ án trình bày nội dung sau: - Tìm hiểu chung Cơ sở hạ tầng khóa cơng khai, chức kiến trúc PKI - Tìm hiểu chức Cơ quan chứng thực CA - Tìm hiểu chung phần mềm mã nguồn mở OpenCA, phần mềm hỗ trợ OpenCA - Tìm hiểu lưu ý thiết kế PKI sử dụng OpenCA • Về mặt thực nghiệm, đồ án thu kết sau: - Cài đặt thành công hệ thống PKI gồm cấp RootCA SubCA với OCSP Responder - Thực cấp chứng thư thành công cho Web Server, kiểm tra trạng thái chứng thư giao diện Web OCSP 80 TÀI LIỆU THAM KHẢO Ivan Ristić, “OpenSSL Cookbook”, 2015 Suranjan Choudhury, Kartik Bhatnagar, and Wasim Haque, “Public Key Infrastructure Implementation and Design”, 2002 OpenCA Group, “OpenCA Guide for Version 0.9.2+”, https://www.openca.org/projects/openca/docs.shtml www.openca.org www.openssl.org www.openca.org 81 BẢN XÁC NHẬN NƠI CHẾ BẢN IN ẤN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: “TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG PKI SỬ DỤNG OPENCA” Giáo viên hướng dẫn: Học viên thực hiện: Khố: Loại hình đào tạo: Chuyên ngành: TS Đỗ Quang Trung Đào Thị Thu Thủy 26 Tập trung Kỹ thuật mật mã Đồ án tốt nghiệp đại học chế in ấn tại: Phịng đóng xén – Học viện Kỹ thuật Mật mã NGƯỜI THỰC HIỆN CHẾ BẢN: Nguyễn Tuấn Nam Hà Nội, ngày tháng năm 2020 XÁC NHẬN CỦA NƠI CHẾ BẢN (Ký, ghi rõ họ tên) Nguyễn Tuấn Nam 82

Ngày đăng: 30/04/2023, 16:08

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan