Microsoft Word 6095 2 doc BAN CƠ YẾU CHÍNH PHỦ BÁO CÁO ĐỀ TÀI NHÁNH “NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ” SẢN PHẨM SỐ 1 HỆ THỐNG CẤP PHÁT VÀ QUẢN LÝ CHỨNG CHỈ SỐ[.]
BAN CƠ YẾU CHÍNH PHỦ BÁO CÁO ĐỀ TÀI NHÁNH “ NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ” SẢN PHẨM SỐ 1: HỆ THỐNG CẤP PHÁT VÀ QUẢN LÝ CHỨNG CHỈ SỐ Thuộc đề tài : “Nghiên cứu số vấn đề kỹ thuật, công nghệ chủ yếu thương mại điện tử triển khai thử nghiệm – Mã số KC.01.05” 6095-2 14/9/2006 Hà nội, tháng năm 2004 Trong phÇn giới thiệu sản phẩm hệ thống CA thử nghiệm Tổng cục thuế đề tài dạng mẫu thử sử dụng mục tiêu an toàn thơng mại điện tử ứng ứng dụng đợc phát triển sở lý thuyết đà đợc trình bầy phần lý thuyết chung Vì mẫu thử, nên áp dụng vào thực tế cần có thay đổi tham số để đảm bảo an toàn sử dụng Tuỳ theo nhu cầu cụ thể mà sử dụng tham số phù hợp ứng dụng Néi dung Mơc tiªu I Mô hình hoạt động II Chu trình cấp phát chứng A Tổ chức cấp phát chứng c¸c cơc th Khởi động chơng trình Đăng ký chứng 3 Ký nhận gửi yêu cầu Nhận yêu cầu chứng Xuất yêu cầu chứng Nhập yêu cầu chứng Xem, duyệt yêu cầu chứng chØ ……………………………………………………….10 T¹o chøng chØ …………………………………………………………………………….11 XuÊt chøng 12 10 Đa chứng vào LDAP .12 11 Đa chứng RAServer .13 12 Chuyển chứng vào vùng Client .14 13 Nhận chứng Vò …………………………………………………………………… 15 14 XuÊt chøng chØ cho ng−êi dïng …………………………………………………………16 15 Sưa ®ỉi chøng chØ ……………………………………………………………………… 18 16 Quy trình cấp lại chứng 20 17 Quy trình huỷ bá chøng chØ …………………………………………………………… 22 B Tỉ chøc cÊp ph¸t chứng Tổng cục thuế 24 C Cài đặt chøng chØ cho mét trang Web …………………………………………………….33 HÖ thèng CA thử nghiệm tổng cục thuế Mục tiêu: Cung cÊp cho tỉng cơc th mét hƯ thèng qu¶n lý cấp phát chứng điện tử theo chuẩn X509 v3 phơc vơ cho viƯc thư nghiƯm kª khai th doanh nghiệp qua mạng mô hình quản lý cấp phát chứng I Mô hình hoạt động Hệ thống CA hoạt động theo mô hình sau: CA Server Switch Router Modem RAServer LDAPServer Doanh nghiÖp PSTN Modem Đăng ký từ xa Doanh nghiệp Trong đó: CAServer thành phần quan trọng hệ thống Nó đợc cài đặt phần mềm CA lu giữ khoá riêng CA Chính vậy, cần phải đảm bảo an toàn tuyệt đối cho CAServer RAServer cài đặt chơng trình quản lý đăng ký chứng RAServer thực kiểm tra yêu cầu đăng ký chứng chỉ, chấp nhận huỷ bỏ yêu cầu đăng ký chứng trớc chúng đợc CA ký, đồng thời gửi chứng đà đợc CA phát hành xuống điểm đăng ký từ xa để chuyển cho doanh nghiƯp, hc cịng cã thĨ chun trùc tiÕp cho doanh nghiệp LDAP Server máy chủ chứa tất chứng đà đợc phát hành, cho phép doanh nghiệp sử dụng dịch vụ th mục để tra cứu thông tin chứng Điểm đăng ký từ xa có nhiệm vụ kiểm tra thông tin đăng ký (chẳng hạn nh xin cấp mới, huỷ bỏ, cấp lại chứng chỉ) doanh nghiệp ký xác nhận trớc chuyển cho RAServer Tất trình truyền thông RAServer điểm đăng ký từ xa đợc thực thông qua phiên liên lạc an toàn * Để thiết lập mạng cấp phát chứng chỉ, điểm đặng ký từ xa đợc thiết lập trớc đợc cấp chứng trình thiết lập mạng cấp phát Khoá công khai CA khoá riêng điểm đăng ký từ xa đợc CA cấp theo kênh an toàn II chu trình cấp phát chứng Khi doanh nghiệp muốn đăng ký chứng chỉ, doanh nghiệp đến gặp ngời quản trị điểm đăng ký từ xa ngời quản trị RAServer, đa yêu cầu điền thông tin cần thiết chẳng hạn tên, số chứng minh th, địa th điện tử, kích thớc khoá yêu cầu, theo mẫu đăng ký Khi xác minh thông tin, thông tin không xác ngời quản trị yêu cầu doanh nghiệp điền lại, ngợc lại thông tin xác, yêu cầu đợc nhập vào sở liệu để quản lý, đồng thời chuyển cho RAServer Sau nhận kiểm tra yêu cầu, ngời quản trị RAServer chuyển yêu cầu cho CAServer theo kênh an toàn Tại CAServer, yêu cầu chứng đợc nhập vào Nếu thông tin đăng ký hợp lệ, CAServer sinh cặp khoá tạo chứng cho doanh nghiệp với khoá công khai vừa tạo Các chứng đợc CAServer chuyển cho RAServer theo kênh an toàn RAServer chuyển chứng cho doanh nghiệp, đồng thời chuyển chúng vào LDAP Server để doanh nghiệp khác tra cứu Chứng chỉ, khoá riêng doanh nghiệp khoá công khai CA đợc RAServer chuyển trực tiếp cho doanh nghiệp, chuyển cho điểm đăng ký từ xa (nơi doanh nghiệp đến đăng ký) thông qua phiên liên lạc an toàn, sau doanh nghiệp đến điểm đăng ký tõ xa ®Ĩ nhËn trùc tiÕp Doanh nghiƯp cã thể lu chứng máy tính lu khoá riêng thiết bị an toàn (chẳng hạn nh smart card, đĩa mềm ) A Tổ chức cấp phát chứng cục thuế qui trình cấp phát chứng Khởi động chơng trình Điểm đăng ký địa phơng chạy chơng trình đăng ký chứng (RAClient) cách vào Start-> Program -> KC01-05 RAClient -> Đăng ký chứng Mỗi lần chạy, chơng trình yêu cầu nhập mật đăng nhập Hình 1: Màn hình đăng nhập hệ thống user name mật mặc định "admin" Sau ngời quản trị hệ thống cấu hình lại để thay đổi Hình 2: Chơng trình quản lý đăng ký RAClient Đăng ký chứng Trình tự đăng ký cấp phát chứng cho ngời dùng đợc thực nh sau: Ngời dùng đến gặp ngời quản trị điểm đăng ký địa phơng xin đăng ký chứng điền thông tin cần thiết vào mẫu đăng ký Sau ngời dùng đăng ký chứng điền thông tin cần thiết, ngời quản trị điểm đăng ký địa phơng xác minh lại thông tin Nếu thông tin cha xác yêu cầu ngời dùng đăng ký lại, thông tin xác vào chơng trình quản lý đăng ký dành cho RAClient, chọn mục "Đăng ký chứng mới" điền thông tin ngời dùng vào Form đăng ký chọn "Tiếp tục" Hình 3: Màn hình nhập thông tin đăng ký chứng Ngời quản trị kiểm tra lại thông tin đà nhập, cha chọn "Huỷ bỏ" để Form nhập liệu ban đầu sửa đổi lại, chọn "Chấp nhận" để đa yêu cầu vào CSDL chờ ký nhận gửi Hình 4: Màn hình xác nhận lại thông tin đăng ký đà nhập Ký nhận gửi yêu cầu Để yêu cầu chuyển sang CA ký tạo chứng trớc yêu cầu phải đợc ký nhận RAClient Cục thuế gửi lên RAServer Tổng cục Ngời quản trị RAClient Cục thuế thực việc cách chọn mục "Các yêu cầu chờ ký" phần "Chứng mới" để xem danh sách yêu cầu cấp chứng chờ ký nhận, chọn yêu cầu ký nhËn ®Ĩ gưi ®i 10 Bản gốc báo cáo khơng có trang 42 (Thơng tin đầy đủ) H×nh 14 Xem chuẩn bị chuyển chứng Chọn "Tiếp tục" để chuyển chứng Hình 15 Chuyển chứng IV quy trình sửa đổi chứng Khi doanh nghiệp muốn sửa đổi số thông tin chứng chỉ, chẳng hạn nh tên doanh nghiệp, địa chỉ, kích thớc khoá v.v, doanh nghiệp cần đăng ký Cục thuế Trình tự đăng ký sửa đổi chứng cho doanh nghiệp đợc thực nh sau: Doanh nghiệp đến gặp ngời quản trị Cục thuế xin đăng ký sửa đổi chứng điền thông tin cần thiết vào mẫu đăng ký Sau đó, ngời quản trị Cục thuế xác minh lại thông tin Nếu thông tin cha xác ngời quản trị yêu cầu doanh nghiệp điền lại, thông tin xác ngời quản trị chạy chơng trình quản lý đăng ký Cục thuế, ký xác nhận đăng ký gửi lên RAServer Tổng cục 43 Tại Tổng cục bớc nhận yêu cầu, xuất yêu cầu sang CA, sửa chứng chuyển vào vùng Cục thuế v.v đợc thực tơng tự nh trình đăng ký, cấp phát chứng V quY trình cấp lại chứng Doanh nghiệp cần cấp lại chứng trờng hợp chứng doanh nghiệp bị đà hết hạn Trình tự đăng ký cấp lại chứng cho doanh nghiệp đợc thực nh sau: Doanh nghiệp đến gặp ngời quản trị Cục thuế xin đăng ký cấp lại chứng điền thông tin cần thiết vào mẫu đăng ký Sau đó, ngời quản trị Cục thuế xác minh lại thông tin Nếu thông tin cha xác ngời quản trị yêu cầu doanh nghiệp điền lại, thông tin xác ngời quản trị chạy chơng trình quản lý đăng ký Cục thuế, ký xác nhận đăng ký gửi lên RAServer Tổng cục Tại Tổng cục, bớc tiếp nhận, xuất yêu cầu sang CA, cấp lại chứng chuyển vào vùng Cục thuế v.v đợc thực tơng tự nh trình đăng ký, cấp phát chứng VI quY trình huỷ bỏ chứng Nhận đăng ký huỷ bỏ chøng chØ Khi doanh nghiƯp mn hủ bá chøng chØ lý đó, chẳng hạn nh lộ khoá Trình tự đăng ký huỷ bỏ chứng đợc thực nh sau: Doanh nghiệp đến gặp ngời quản trị Cục thuế xin đăng ký huỷ bỏ chứng điền thông tin cần thiết vào mẫu đăng ký Sau đó, ngời quản trị Cục thuế xác minh lại thông tin Nếu thông tin cha xác yêu cầu doanh nghiệp điền ký lại, thông tin xác ngời quản trị chạy chơng trình quản lý đăng ký Cục thuế, ký nhận đăng ký gửi lên RAServer Tổng cục Tại Tổng cục trình nhận đăng ký huỷ chứng chỉ, xuất yêu cầu huỷ sang CA đợc thực nh nhận đăng ký chøng chØ míi hủ bá chøng chØ Ng−êi qu¶n trị CA xem xét yêu cầu huỷ bỏ chứng chờ ký đà đợc nhập vào CA cách chọn mục "Các yêu cầu chờ ký" phần "Yêu cầu huỷ chứng chỉ", nháy chuột vào số hiệu yêu cầu để xem thông tin yêu cầu Nếu thông tin xác, ngời quản trị CA chọn nút "Huỷ chứng chỉ" để huỷ chứng có số hiệu đà đăng ký Nếu thông tin đăng ký không xác, ngời quản trị CA chọn nút "Xoá yêu cầu" để xoá bỏ yêu cầu huỷ chứng tạo danh sách chứng huỷ bỏ (CRL) CRL danh sách chứa chứng đà bị huỷ bỏ với ngày đà huỷ bỏ chúng chữ ký CA Ngời quản trị CA tạo xuất danh sách chứng huỷ bỏ cách đa đĩa mềm vào ổ sau chọn mục "Xuất danh sách" phần "Chứng huỷ bỏ" Khi danh sách chứng bị huỷ bỏ đợc tạo xuất th mục CRL đĩa mềm nhập danh sách chứng huỷ bỏ vào ldapserver 44 Chuyển đĩa mềm có chứa danh sách chứng bị huỷ bỏ vừa tạo vào LDAPServer Vào trang Web dành cho ngời quản trị LDAPServer, chọn chức "Nhập danh sách" mục "Chứng hủ bá" xt danh s¸ch chøng chØ hủ bá §Ĩ mäi doanh nghiƯp cã nhu cÇu sư dơng chøng biết chứng doanh nghiệp đà bị hủy bỏ danh sách chứng huỷ phải đợc công khai trang Web LDAPServer Ngời quản trị LDAPServer thực việc cách chọn mục "Xuất danh sách LDAP" phần "Chứng huỷ bỏ" trang Web dành cho ngời quản trị LDAPServer 45 Hớng dẫn cài đặt chứng cho trang web Phần hớng dẫn cách tích hợp chứng đợc tạo hệ thống CA để bảo vệ trang Web 46 I/ Ci đặt chứng cho IIS Để cài đặt chứng cho trang web IIS 5.0 Windows2000 Server: - Khởi động chương trình Internet Service Management - Chọn trang web cần cài đặt chứng chỉ, nhấn phím phải chuột, chọn Properties - Chọn Directory Security, nhấn vào nút Server Certificate - Winzard để cài đặt chứng - Bấm vào nút Next để tiếp tục 47 - Ở có tùy chọn: o Tạo certificate mới: Khi chọn chức này, IIS thực sinh cặp khóa cơng khai, cất giữ khóa vào sở liệu hệ thống sau sinh yêu cầu cấp chứng để người quản trị gửi ký CA o Chọn chứng có sẵn hệ thống gán cho trang web o Nhập chứng khóa riêng cất giữ tệp tạo chương trình Key Manager vốn có sẵn Windows NT 4.0 Chức sử dụng trường hợp máy chủ nâng cấp từ Windows NT lên Windows 2000 người quản trị muốn sử dụng lại chứng có sẵn từ trước Trong trường hợp hệ thống có, tồn khóa chứng nhập vào từ bên ngồi nên ta quan tâm đến chức thứ hai: Lựa chọn chứng có sẵn hệ thống Chứng đưa vào hệ thống nhờ chương trình mmc Micrsoft Để sử dụng chức này, chọn “Assign an existing certificate” bấm nút Next Một danh sách chứng dùng để gán cho trang web Những chứng chứng coi cá nhân (chỉ riêng máy này), không chứng CA (người cấp chứng chỉ) chưa gán cho trang web khác máy chủ 48 Ta việc chọn chứng thích hợp nhấn vào nút Next Một chứng thích hợp chứng chỉ: - Còn thời hạn sử dụng - Được cấp cho trang web (giá trị trường cn tên trang web, ví dụ: ecommerce.com.vn) - Được ký CA mà người dùng (khách hàng truy cập trang web từ trình duyệt web) tin tưởng Sau chứng lựa chọn, thông tin chứng liệt kê Để định việc sử dụng chứng này, ta nhấn nút Next 49 Nhấn nút Finish để kết thúc II/ Sử dụng mmc để cài đặt chứng vào hệ thống MMC (Microsoft Management Console) tiện ích thơng qua ta sử dụng chức hệ điều hành để quản lý phần cứng, phần mềm, thành phần mạng Windows 2000 Sử dụng MMC, ta tạo biểu tượng riêng biệt cho chức khác gộp chung nhiều chức lại cửa sổ Để tạo riêng biểu tượng cho việc quản lý chứng máy chủ ta cần thực bước sau: Chọn Run từ menu Start Gõ vào MMC nhấn vào nút OK Trong cửa sổ MMC, chọn menu Console, sau chọn tiếp “Add/Remove Snap-in” Nhấn vào nút Add hộp hội thoại 50 Chọn Certificate nhấn vào nút Add Chọn tiếp “Computer account” nhấn vào nút Finish 51 Chọn tiếp “Local Computer” nhấn Finish Trong cửa sổ MMC xuất mục quản lý chứng cho máy chủ chư sau Các chứng máy chủ chia làm loại: - Personal Certificate - Trusted Root Cerfiticate - Enterprise Trust - Intermediate Certificate Để chứng sử dụng cho trang web, cần cài đặt vào phần Personal Certificate Thủ tục cài đặt sau: Chọn “Personal Certificate”, nhấn phím phải chuột chọn “All task”, “Import” 52 Sau nhấn nút Next, ta gõ vào tên tệp chứa chứng khóa (ta nhấn vào nút Browse để chọn tệp) Tệp chọn phải có khn dạng thuộc loại liệt kê hộp hội thoại Tiếp theo cần gõ vào password tệp bảo vệ password 53 Chọn mục để cất giữ chứng Ở ta cần chọn Personal Nhấn nút Finish để kết thúc 54 III/ Cài đặt chức yêu cầu xác thực người sử dụng qua chứng Yêu cầu hệ thống chứng chỉ: Cả web server web browser tin tưởng vào nhà cung cấp chứng (CA) Chính nhà cung cấp chứng ký chứng cho người sử dụng Cài đặt web server: - Khởi động chương trình Internet Service Management - Chọn trang web cần cài đặt chứng chỉ, nhấn phím phải chuột, chọn Properties - Chọn Directory Security, nhấn vào nút Edit 55 - Check vào ô “Require secure channel (SSL)” chọn “Require client certificates” - Nhấn nút OK để kết thúc Cài đặt web browser Cài đặt Internet Explorer Trên menu chọn Tools\Internet Options…, sau chọn tiếp Content 56