HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỀ TÀI: NGHIÊN CỨU, XÂY DỰNG HẠ TẦNG KHÓA CƠNG KHAI PKI ng Cơ DỰA TRÊN OPENCA hệ ng g ôn th : Cao Minh Tuấn tin Giảng viên Sinh viên: Vũ Hoàng Đạt Hà Nội, Tháng 3-2015 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I : MẬT MÃ KHĨA CƠNG KHAI VÀ CHỮ KỸ SỐ I Mật mã khóa cơng khai Khái niệm Các thuật toán sử dụng mật mã khóa cơng khai 2.1 Thuật toán RSA Cơ 2.2 Thuật tốn thỏa thuận khóa Diffie-Hellman Chữ ký số ng II CHƯƠNG 2: TỔNG QUAN VỀ PKI ng I Giới thiệu hệ Lịch sử Khái niệm Mục tiêu chức 10 Các khía cạnh an toàn 10 g ơn th II Mơ hình PKI thành phần 12 tin Các thành phần 12 1.1 Tổ chức chứng thực (CA) 13 1.2 Trung tâm đăng ký (RA) 14 1.3 Thực thể cuối (End Entity) 15 1.4 Hệ thống lưu trữ (Repositories) 15 Các mơ hình PKI (các loại mơ hình) 16 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA 2.1 Mơ hình phân cấp CA chặt chẽ (Strict hierachy of CAs) 16 2.2 Mơ hình phân cấp CA khơng chặt chẽ (loose hierarchy of CAs) 17 2.3 Mô hình kiến trúc tin cậy phân tán (distributed trust architecture) 17 2.4 Mơ hình bên (Four – Coner Model) 19 2.5 Mơ hình Web (Web Model) 20 2.6 Mơ hình tin cậy lấy người dùng làm trung tâm (User – Centric Trust) 21 Các kiểu kiến trúc 22 3.1 Kiến trúc kiểu Web of Trust 23 Cô 3.2 Kiến trúc kiểu CA đơn (Single CA) 24 ng 3.3 Kiến trúc CA phân cấp 26 3.4 Kiến trúc kiểu chứng thực chéo (Cross – certificate) 27 ng 3.5 Kiến trúc Bridge CA (BCA) 28 hệ III Cơ chế làm việc 29 Khởi tạo thực thể cuối 29 Tạo cặp khóa cơng khai/ khóa riêng 29 Áp dụng chữ ký để định danh người gửi 30 Mã hóa thơng báo 30 Truyền khóa đối xứng 30 Kiểm tra định danh người gửi thông qua CA 31 Giải mã thông báo kiểm tra nội dung thông báo 31 g ôn th tin CHƯƠNG 3: XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI PKI DỰA TRÊN OPENCA 33 I Giới thiệu OpenCA 33 II Hệ thống PKI với OpenCA 34 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA DANH MỤC HÌNH ẢNH Hình 1: Sơ đồ tạo kiểm tra chữ ký số Hình 2: Các thành phần PKI 13 Cơ Hình 3:Mơ hình phân cấp CA chặt chẽ 16 Hình 4: Mơ hình kiến trúc tin cậy phân tán 18 ng Hình 5: mơ hình bên 19 ng Hình 6: Mơ hình web 20 Hình 7: Mơ hình tin cậy lấy người dùng làm trung tâm 22 hệ Hình 8: Chuỗi tin cậy 23 Hình 9: Kiến trúc kiểu Web of Trust 24 th Hình 10: Kiến trúc CA đơn 25 ơn Hình 11: Kiến trúc CA phân cấp 26 g Hình 12: Kiến trúc kiểu chứng thực chéo 27 tin Hình 13: Kiến trúc Brigde CA 28 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA LỜI MỞ ĐẦU Trong vài năm lại đây, hạ tầng truyền thông công nghệ thông tin ngày mở rộng mà người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc bán hàng mạng công cộng Hầu hết thông tin kinh doanh nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi hoạt động truyền thông doanh nghiệp đồng nghĩa với việc phải có biện pháp bảo vệ tổ chức, Cơ doanh nghiệp trước nguy lừa đảo, can thiệp, công, phá hoại vơ tình tiết lộ thơng tin ng Cấu trúc sở hạ tầng mã khóa cơng khai tiêu chuẩn công nghệ ng ứng dụng coi giải pháp tổng hợp độc lập sử dụng để giải vấn đền hệ PKI trở thành phần trung tâm kiến trúc an toàn doành cho tổ chức kinh doanh PKI xem điểm trọng tâm nhiều khía cạnh quản th lý an tồn Hầu hết giao thức chuẩn đảm bảo an toàn mail, truy cập Web, mạng ôn riêng ảo hệ thống xác thực người dùng đăng nhập đơn sử dụng chứng khóa g cơng khai tin PKI thể rõ vai trị lĩnh vực an tồn thơng tin Hiện nay, có nhiều cách thức xây dựng PKI Một cách thức xây dựng PKI dựa mã nguồn mở OpenCA Chính điều mục đích chúng em chọn đề tài “Nghiên cứu xây dựng hệ thống PKI dựa mã nguồn mở OpenCA” Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG I : MẬT MÃ KHĨA CƠNG KHAI VÀ CHỮ KỸ SỐ I Mật mã khóa cơng khai Khái niệm - Mật mã khóa cơng khai dạng mật mã cho phép người sử dụng trao đổi thông tin mật mà khơng cần phải trao đổi khóa bí mật trước Trong mật mã khóa cơng khai sử dụng cặp khóa khóa cơng khai khóa riêng Cơ (khóa bí mật) Khóa cơng khai dùng để mã hóa cịn khóa riêng dùng để giải mã ng - Điều quan trọng hệ thống tìm khóa bí mật biết khóa cơng khai ng - Hệ thống mật mã khóa cơng khai sử dụng với mục đích : hệ • Mã hóa: giữ bí mật thơng tin có người có khóa bí mật giải mã ơn khóa bí mật khơng th • Tạo chữ kí số: cho phép kiểm tra văn có phải tạo g • Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật tin bên Các thuật tốn sử dụng mật mã khóa cơng khai 2.1 Thuật toán RSA - Thuật toán RSA Ron Rivest, Adi Shamir Len Adleman mô tả lần vào năm 1977 học viện công nghệ Massachusetts (MIT) - RSA thuật tốn mã hóa khóa cơng khai Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Đây thuật toán phù hợp với việc tạo chữ ký điện tử đồng thời với miệc mã hóa Nó đánh dấu tiến vượt bậc lĩnh vực mật mã việc sử dụng khóa cơng khai RSA sử dụng phổ biến thương mại điện tử cho đảm bảo an tồn với điều kiện độ dài khóa đủ lớn - RSA có tốc độ thực chậm đáng kể so với DES thuật tốn mã hóa đối xứng khác Trên thực tế, người ta sử dụng thuật tốn mã hóa đối xứng để mã hóa văn cần gửi sử dụng RSA để mã hóa khóa để giải mã (thơng thường khóa ngắn nhiều so với văn bản) Thuật toán thỏa thuận khóa Diffie-Hellman Cơ 2.2 Stanford ng - Phương thức phát minh Whitfield Diffie Matty Hellman ng - Đây sơ đồ khóa cơng khai Tuy nhiên, khơng phải sơ đồ mã hóa khóa cơng khai thực sự, mà dùng cho trao đổi khóa Các khóa bí mật hệ trao đổi cách sử dụng trạm trung gian tin cậy Phương pháp ôn bảo mật th cho phép khóa bí mật truyền an tồn thơng qua mơi trường khơng - Trao đổi khóa Diffie-Hellman dựa tính hiệu tốn logarit rời rạc g - Tính bảo mật trao đổi khóa Diffie-Hellman nằm chỗ: tính hàm mũ modulo tin số nguyên tố dễ dàng tính logarit rời rạc khó II Chữ ký số - Chữ ký số thông tin kèm theo liệu (văn bản, hình ảnh, video,… ) nhằm mục đích xác định người chủ liệu - Để sử dụng chữ ký số liệu cần phải mã hóa hàm băm (dữ liệu “băm” thành chuỗi, thường có độ dài cố định ngắn văn bản) sau dùng khóa bí mật người chủ khóa để mã hóa, ta chữ ký số Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA Khi cần kiểm tra, bên nhận giải mã với khóa công khai để lấy lại chuỗi gốc (được sinh qua hàm băm ban đầu) kiểm tra lại với hàm băm vừa nhận Nếu giá trị khớp bên nhận tin tưởng liệu xuất phát từ người sở hữu khóa bí mật - Chữ ký số khóa cơng khai dựa tảng mật mã khóa cơng khai Để trao đổi thông tin môi trường này, người sử dụng có cặp khóa: khóa cơng khai khóa bí mật Khóa cơng khai cơng bố rộng rãi cịn khóa bí mật phải giữ kín khơng thể tìm khóa bí mật biết khóa cơng khai Cơ - Tồn q trình gồm thuật tốn: ng • Thuật tốn tạo khóa ng • Thuật toán tạo chữ ký số • Thuật toán kiểm tra chữ ký số hệ g ôn th tin Hình 1: Sơ đồ tạo kiểm tra chữ ký số Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG 2: TỔNG QUAN VỀ PKI I Giới thiệu Lịch sử - Việc Diffie, Hellman, Rivest, Shamir, Adleman cơng bố cơng trình nghiên cứu trao đổi khóa an tồn thuật tốn mật mã hóa khóa cơng khai vào Cơ năm 1976 làm thay đổi hoàn toàn cách thức trao đổi thông tin mật Cùng với ng phát triển hệ thống truyền thông điện tử tốc độ cao (Internet hệ thống trước nó), nhu cầu trao đổi thơng tin bí mật trở nên cấp thiết Thêm vào ng yêu cầu phát sinh việc xác định định dạng người tham hệ gia vào q trình thơng tin Vì ý tưởng việc gắn định dạng người dùng với chứng thực bảo vệ kỹ thuật mật mã phát triển th cách mạnh mẽ ôn - Nhiều giao thức sử dụng kỹ thuật mật mã phát triển phân g tích Cùng với đời phổ biến World Wide Web, nhu cầu thơng tin an tồn nhận thực người sử dụng trở nên cấp thiết Chỉ tính tin riêng nhu cầu ứng dụng cho thương mại (như giao dịch điện tử hay truy cập sở liệu trình duyệt web) đủ hấp dẫn nhà phát triển lĩnh vực Taher ElGamal cộng Netscape phát triển giao thức SSL (https địa web) bao gồmthiết lập khóa, nhận thực máy chủ Sau đó, thiết chế PKI tạo để phục vụ nhu cầu truyền thơng an tồn - Các nhà doanh nghiệp kỳ vọng vào thị trường hứa hẹn thành lập công ty dự án PKI bắt đầu vận động phủ để Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA hình thành nên khung pháp lý lĩnh vực Một dự án American Bar Association xuất nghiên cứu tổng quát vấn đề pháp lý nảy sinh vận hành PKI (xem thêm: hướng dẫn chữ ký số ABA) Không lâu sau đó, vài tiểu bang Hoa kỳ mà đầu Utah (năm 1995) thông qua dự luật quy định Các nhóm bảo vệ quyền lợi người tiêu dùng đặt vấn đề bảo vệ quyền riêng tư trách nhiệm pháp lý - Tuy nhiên, luật quy định thông qua lại không thống giới Thêm vào khó khăn kỹ thuật vận hành khiến cho việc Cô thực PKI khó khăn nhiều so với kỳ vọng ban đầu ng - Tại thời điểm đầu kỷ 21, người ta nhận kỹ thuật mật mã quy trình/giao thức khó thực xác tiêu ng chuẩn chưa đáp ứng yêu cầu đề hệ - Thị trường PKI thực tồn phát triển với quy mô kỳ vọng từ năm thập kỷ 1990 PKI chưa giải phiên phủ thực g Khái niệm ơn th số vấn đề mà kỳ vọng Những PKI thành công tới tin - Trong mật mã học, hạ tầng khóa cơng khai (tiếng Anh: public key infrastructure, viết tắt PKI) chế bên thứ (thường nhà cung cấp chứng thực số) cung cấp xác thực định danh bên tham gia vào trình trao đổi thông tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp khóa cơng khai/khóa bí mật Các q trình thường thực phần mềm đặt trung tâm phần mềm phối hợp khác địa điểm người dùng Khóa cơng khai thường phân phối chứng thực khóa cơng khai Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA ng Cơ hệ ng Hình 9: Kiến trúc kiểu Web of Trust th - Mơ hình hoạt động hiệu tổ chức nhỏ, có tồn mối quan ơn hệ trước đó, lại không hiệu với tổ chức lớn, nơi cần có g đảm bảo (ví dụ phải xác thực yêu cầu trước chứng cấp tin phát) Sự giao tiếp trạng thái chứng bên tin cậy khó với mơ hình 3.2 Kiến trúc kiểu CA đơn (Single CA) - Dạng kiến trúc đơn giản CA đơn Kiến trúc cấp chứng cung cấp thông tin trạng thái chứng chi cho người dùng Khóa cơng khai CA điểm tin cậy bản, hay gọi nguồn tin cậy, dùng để đánh giá khả chấp nhận chứng Người dùng có quan hệ trực 24 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA tiếp với CA, họ biết ứng dụng mà chứng cần sử dụng - Kiểu kiến trúc CA đơn dễ quản lý, việc quản trị liên quan đến CA root Tuy nhiên CA bị lỗi, dịch vụ chứng không sẵn sàng để xử lý yêu cầu chứng chỉ, yêu cầu làm chứng hay danh sách thu hồi chứng CA khôi phục lại dịch vụ - Kiến trúc phân cấp CA đơn thông thường sử dụng việc quản trị đơn giản, giá thành thấp ng Cơ hệ ng g ơn th tin Hình 10: Kiến trúc CA đơn 25 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Dạng mở rộng kiểu kiến trúc CA kết nối tới CA để hỗ trợ cộng đồng người dùng khác Các tổ chức kết nối CA cô lập thành PKI lớn sử dụng mối quan hệ điểm-điểm 3.3 Kiến trúc CA phân cấp - Kiến trúc mơ hình CA phân cấp bao gồm root CA đỉnh, phía hay lớp CA (Khóa cơng khai CA ký root CA) sau thuê bao RA phía Mỗi khóa tin tưởng người dùng khóa cơng khai rootCA Mơ hình cho phép thi hành Cơ sách chuẩn thơng qua hạ tầng, tạo mức đảm bảo tổng thể ng cao kiến trúc đa CA khác hệ ng g ơn th tin Hình 11: Kiến trúc CA phân cấp 26 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Trong mơ hình này, root CA cấp chứng cho sub CA không cấp chứng cho người dùng Các subCA lại cấp chứng cho SubCA khác cho người dùng 3.4 Kiến trúc kiểu chứng thực chéo (Cross – certificate) - Trong mơ hình này, CA tạo chứng cho CA mà xác minh “đủ mạng” để sở hữu chứng Trong mơ hình phân cấp, người có khóa cơng khai root, mơ hình này, khóa khóa CA cục chúng khơng phải khóa rootCA ng Cơ hệ ng g ơn th tin Hình 12: Kiến trúc kiểu chứng thực chéo 27 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Vấn đề mơ hình khó khăn với ứng dụng người dùng để xác định chuỗi chứng người dùng sở hữ CA khơng có đường liên kết chứng thực chéo - Mơ hình phải đối mặt với vấn đề “ai rootCA” (không ai/hoặc tất CA), cho phép CA trở thành cấu trúc điểm thay phân cấp, giống mơ hình Web of Trust, chứng thực chéo tạo mức đảm bảo đồng cho toàn hệ thống 3.5 Kiến trúc Bridge CA (BCA) Cô - Bridge CA thiết kế để giải thiếu sót kiến trúc PKI ng tạo kết nối PKI khác Bridge CA không cấp chứng cho người dùng chúng nguồn tin cậy Thay vào đó, Brigde ng CA thiết lập mối quan hệ tin cậy peer to peer (P2P) cộng đồng người dùng khác làm giảm nhẹ vấn đề cấp phát chứng hệ tổ chức lại cho phép người dùng giữ nguồn tin cậy g ôn th tin Hình 13: Kiến trúc Brigde CA 28 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA - Trong kiểu kiến trúc này, Brigde CA cung cấp cầu tin cậy (thông qua cặp chứng thực chéo) sở hạ tầng khóa cơng khai phân cấp sở hạ tầng khóa công khai chứng thực chéo Độ phức tạp mô hình cao phải điều chỉnh module PKI người dùng cuối III Cơ chế làm việc - Các hoạt động PKI bao gồm: - Khởi tạo thực thể cuối - Tạo cặp khóa Cô - Áp dụng chữ ký số để xác định danh tính người gửi ng - Mã hóa thơng báo - Truyền khóa đối xứng ng - Kiểm tra định danh người gửi thông qua CA - Giải mã thơng báo kiểm tra nội dung hệ Khởi tạo thực thể cuối th - Trước thực thể cuối tham gia dịch vụ hỗ trợ ôn PKI, thực thể cần phải khởi tạo PKI g - Đăng ký thực thể cuối trình mà danh tính cá nhận tin xác minh, trình đăng ký thực thể cuối thực trực tuyến Quá trính đăng ký trực tuyến cần phải xác thực bảo vệ Tạo cặp khóa cơng khai/ khóa riêng - Người dùng muốn mã hóa gửi thơng báo phải tạo cặp khóa cơng khai/khóa riêng Cặp khóa với người dùng PKI - Trong mơ hình PKI tồn diện, tạo khóa hệ thống máy trạm người dùng cuối hệ thống CA Vị trí tạo cặp khóa bao gồm khả 29 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA năng, hiệu suất, tính đảm bảo, phân nhánh hợp pháp cách sử dụng khóa theo chủ định - Cho dù vị trí khóa đâu trách nhiệm việc tạo chứng chỉ dựa vào CA cấp quyền Nếu khóa cơng khai tạo thực thể, khóa cơng khai phải chuyển tới CA cách an toàn Áp dụng chữ ký để định danh người gửi - Một chữ ký số đính kèm với thơng báo để xác định danh tính người gửi thơng báo Để tạo chữ ký số đính kèm đến thơng báo cần thực Cô sau: ng ▪ Biến đổi thông báo ban đầu thành chuỗi có độ dài cố định cách áp dụng hàm băm thông báo Q trình gọi băm thơng báo, ng chuỗi có độ dài cố định gọi tóm lược thơng báo ▪ Mã hóa tóm lược thơng báo khóa riêng người gửi Kết hệ tóm lược thơng bão mã hóa chữ ký số ơn th ▪ Đính kèm chữ ký số với thơng báo ban đầu Mã hóa thơng báo Sau áp dụng chữ ký số lên thông báo ban đầu, để bảo vệ ta mã hóa g - tin Để mã hóa thơng báo chữ ký số, sử dụng mật mã khóa đối xứng Khóa đối xứng thỏa thuận trước người gửi người nhận thông báo sử dụng lần cho việc mã hóa giải mã Truyền khóa đối xứng - Sau mã hóa thơng báo chữ ký số, khóa đối xứng mà sử dụng để mã hóa cần truyền đến người nhận Bản thân kháo đối xứng mã hóa lý an tồn, bị lộ người giải mã thơng báo Do đó, khóa đối xứng mã hóa khóa cơng khai người nhận Chỉ có 30 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA người nhận giải mã khóa đối xứng việc sử dụng khóa riêng tương ứng Sau mã hóa, khóa phiên thông báo chuyển đền người nhận thông báo Kiểm tra định danh người gửi thông qua CA - CA đóng vai trị bên thứ tin cậy để xác minh danh tính thực thể tham gia trình giao dịch Khi người nhận nhận mã, người nhận yêu cầu CA kiểm tra chữ ký số đính kèm theo thơng báo Dựa u cầu đó, CA kiểm tra chữ ký số người gửi thông báo Cô Giải mã thông báo kiểm tra nội dung thông báo ng - Sau nhận thông báo mã hóa, người nhận cần giải mã Bản mã giải mã khóa đối xứng mã hóa Vì vậy, trước ng giải mã thơng báo, khóa đối xứng phải giải mã khóa riêng người hệ nhận Sau giải mã khóa đối xứng, khóa đối xứng dùng để giải mã thông báo Chữ ký số đính kèm với thơng báo giải mã khóa cơng khai th người gửi tóm lược thơng báo bóc tách từ Người nhận ơn sau tạo tóm lược thông báo thứ Cả thông báo băm sau g so sánh để kiểm tran xem có giả mạo thơng báo xảy báo không bị giả mạo truyền - tin q trình truyền tin khơng Nếu thơng báo băm trùng khít chứng tỏ thơng Các tiêu chí giao dịch điện tử: ▪ Chống chối bỏ: Tất thực thể liên quan giao dịch khơng thể từ chối phần giao dịch ▪ Truyền tin an tồn: Đây chế đắn để đảm bảo an tồn thơng báo truyền tin Bất kỳ giả mạo thay đổi làm thông báo phải phát dễ dàng 31 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA ▪ Tính riêng tư: truy nhập bất hợp pháp đến thông báo bị từ chối ▪ Sự xác thực: Để định danh thực thể phần liên lạc trình giao dịch cần phải biết đến thực thể ▪ Tính ràng buộc: Giao dịch nên kiểm tra ký bên liên quan - PKI đảm bảo tất giao dịch đáp ứng yêu cầu hợp pháp cách cung cấp sở hạ tầng môi trường cần thiết ng Cô hệ ng g ôn th tin 32 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA CHƯƠNG 3: XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI PKI DỰA TRÊN OPENCA I Giới thiệu OpenCA - Cơ sở hạ tầng khóa cơng khai nhu cầu thiết yếu tương lai Nhưng vấn đề hầu hết ứng dụng đảm bảo an tồn chứng khóa lại khó đắt để cài đặt, lý phần mềm trung tâm Cơ tin cậy có tính linh hoạt lại đắt Đây điểm khởi đầu OpenCA Mục đích sản phầm hệ thống trung tâm tin cậy nguồn mở để hỗ trợ cộng đồng ng với giải pháp tốt, rẻ mang tính xu hướng tương lai ng - Dự án OpenCA bắt đầu vào năm 1998 Ý tưởng OpenCA ban đầu phát triển Massimiliano Pala Mã nguồn ban đầu dự án viết hệ với đoạn script dài Khi phiên phần mềm xây dựng, dự án OpenSSL có tên SSLeay Rất nhiều chức lỗi nhiều ôn th thứ khác bị bỏ qua - Phiên OpenCA đơn giản, nhiều chức xây dựng g chủ yếu dùng để cấp phát chứng chỉ, CRL phương thức cài đặt scirpt tương thích với bash tin đơn sơ, khơng có tính tiện dụng cho tiện ích cấu hình nào, đoạn - Các phiên bổ sung thêm nhiều tính cho dự án phiên 0.109 bảo gồm giao diện cho server CA, RA Pub Từ lúc bắt đầu dự án từ lúc phát hành phiên đầu tiên, có lượng lớn tham gia cộng đồng Internet đóng góp vào phát triển dự án - Hiện openCA phát triển lên OpenCA PKI v1.5.1, bên cạnh dự án LibPKI đưa phiên LipPKI v0.8.7 33 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA II Hệ thống PKI với OpenCA Sử dụng hệ điều hành CentOS 5.9 - Cài đặt OpenCA • Cài đặt thư viện cần thiết : Yum install –y gcc-c++ Yum install –y openssl-devel db4 db4-devel mysql-server mysql-devel perl-XML-Parser httpd • Tạo người dùng phục vụ q trình biên dịch cấu hình openCA Cơ groupadd openca useradd –g openca –u 1201 openca ng • Tạo database cho openCA: mysql -u root -p ng mysql> show databases; hệ mysql>create database dbra; mysql> grant all privileges on *.* to 'openca'@'localhost' identified by mysql> FLUSH PRIVILEGES; Download: tin • Cài đặt openca-tools-1.3.0-1.el5.i386.rpm g mysql> exit; ơn th ‘1063467’; http://ftp.yz.yamagata-u.ac.jp/pub/network/security/OpenCA/opencatools/releases/v1.3.0/binaries/linux/CentOS5.5-i686/openca-tools-1.3.01.el5.i386.rpm rpm -Uvh openca-tools-1.3.0-1.el5.i386.rpm • Cài đặt openca-base-1.1.1.tar.gz Download: 34 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA ftp://ftp.uk.freesbie.org/sites/downloads.sourceforge.net/o/op/openca/opencabase/releases/v1.1.1/sources/openca-base-1.1.1.tar.gz tar -xvf openca-base-1.1.1.tar.gz cd openca-base-1.1.1 Build: # /configure prefix=/opt/openca \ with-ca-oganization="TVU RA Labs" \ with-httpd-fs-prefix=/var/www \ with-httpd-main-dir=pki \ Cô with-db-name=dbra \ ng with-db-host=localhost \ with-db-user=openca \ ng with-db-passwd=1063467 \ hệ with db-type=mysql \ with db-service-mail-account=ndhkma@gmail.com th OpenCA cài đặt vào /opt/openca Sử dụng sở liệu MySQL với ôn database openca, user openca password 1063467 Web quản trị lưu thư mục /var/www/pki g Tiến hành biên dịch: Make install-offline install-online tin Make Di chuyển đến thư mục cấu hình CA Ở cấu hình cho máy truy cập mà ko cần ssl cd /opt/openca/etc/openca Chúng ta sữa đổi file: • access_control/node.xml.template • access_control/ca.xml.template 35 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA • access_control/ra.xml.template • config.xml vim access_control/node.xml.template Trong thẻ: ssl > .* 128 > Cô 0 ng ng Lưu lại hệ Tiếp theo sữa file: access_control/ra.xml.template # vim access_control/ra.xml.template ôn th g ssl > .* tin 128 0 Lưu lại Tiếp theo sữa file /opt/openca/etc/openca/config.xml #vim config.xml :$ để đến cuối file 36 > Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA dataexchange_device_up /dev/fd0 -> /tmp/openca dataexchange_device_down /dev/fd0 -> /tmp/openca Lưu lại Tiếp theo sửa file: openssl/openssl.cnf.template # vim openssl/openssl.cnf.template Trong [req] [CA_defaut] tìm dòng: default_md = sha256 -> đổi thành default_md = sha1 Cơ Lưu lại ng Để sửa đổi có hiệu lực: # /configure_etc.sh ng Tạo symlink cho openca: hệ #cd /usr/sbin/ #ln -s /opt/openca/etc/init.d/openca openca #openca start ==> Nhập password admin: g ôn #cd ~ th Khởi động openca: tin Quá trình cài đặt RootCA xong, bạn kiểm tra kết cách gõ vào trình duyệt: http://192.168.1.108/pki Accout admin pass lúc start openca - PKI init & config Root Sign Sub Login vao node SubCA==>ca PKI Init & Config ==> nitialization==> Initialize the Certification Authority 37 Nghiên cứu, xây dựng hạ tầng khóa cơng khai PKI dựa OpenCA #cp /tmp/openca_local # Dung ftp download file openca_local ve may Doi ten openca_local.tar==>Giai nen duoc file: careq.pem Login vao RootCA==>pub: My Certificates==>Request a Certificate==> Server Certificate Request Khởi tạo sở liệu, khởi tạo khóa riêng cho CA, tạo chứng CA,… Cơ • Tạo khóa bí mật ng • Tạo u cầu cấp chứng cho CA hệ ng g ôn th tin 38