HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN BÁO CÁO BÀI TẬP LỚN CHỨNG THỰC ĐIỆN TỬ Nhóm sinh viên thực – Nhóm 4: Nguyễn Văn An – AT160201 Khương Văn Dương – AT160213 Lê Anh Hoàng – AT160227 Giảng viên hướng dẫn: TS Lê Quang Huy Hà Nội, 2023 MỤC LỤC LỜI NÓI ĐẦU DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT CHƯƠNG TỔNG QUAN VỀ HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI VÀ ỨNG DỤNG 1.1 Tổng quan Public Key Infrastructure (PKI) 1.1.1 Vai trò chức 1.1.2 Các thành phần hạ tầng sở khóa công khai 1.2 Tổng quan ứng dụng 1.2.1 Khái niệm CHƯƠNG CÔNG NGHỆ XÂY DỰNG HẠ TẦNG PKI VÀ ỨNG DỤNG 2.1 Công nghệ CA OpenSSL 2.1.1 OpenSSL ? 2.1.2 Vì nên sử dụng OpenSSL 10 2.1.3 Cách thức hoạt động công nghệ 11 2.2 Công nghệ ứng dụng 12 2.2.1 Ý tưởng thực 12 2.2.2 Nội dung demo 13 CHƯƠNG THỰC NGHIỆM 15 3.1 Cài đặt môi trường 15 3.1.1 Mơ hình cài đặt 15 3.1.2 Triển khai 27 3.2 Đánh giá kết luận 36 KẾT LUẬN 37 TÀI LIỆU THAM KHẢO 38 38 LỜI NĨI ĐẦU Trong thời đại số hóa ngày nay, chứng thực điện tử trở thành phần quan trọng việc xác minh danh tính đảm bảo tính tồn vẹn thơng tin mạng Trong báo cáo này, khám phá khái niệm, ý nghĩa ứng dụng chứng thực điện tử Trước tiến vào chi tiết, nhóm muốn lưu ý chứng thực điện tử không đơn cơng nghệ, mà cịn có ảnh hưởng đáng kể đến an toàn tin cậy giao dịch trực tuyến, thông tin cá nhân doanh nghiệp Vì vậy, hiểu rõ chứng thực điện tử điều quan trọng thời đại kỹ thuật số Trong báo cáo này, nhóm trình bày tổng quan khái niệm hạ tầng mật mã khóa cơng khai bao gồm phương pháp công nghệ sử dụng, công nghệ xây dựng hạ tầng PKI ứng dụng Nhóm cung cấp ví dụ minh họa sử dụng chứng thư số SSL tạo ra, cài đặt cấu hình chứng thư số cho websever.Cấu hình websever xác thực hai chiều sử dụng websever IIS DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT STT Ký hiệu, viết tắt Định nghĩa PKI Public Key Infrastructure OpenSSL Open Secure Sockets Layer CHƯƠNG 1.1 TỔNG QUAN VỀ HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI VÀ ỨNG DỤNG Tổng quan Public Key Infrastructure (PKI) 1.1.1 Vai trò chức PKI cho phép người tham gia xác thực lẫn Mục tiêu PKI cung cấp khóa cơng khai xác định mối liên hệ khóa định danh người dùng Nhờ người dùng sử dụng số ứng dụng như: ● Mã hóa, giải mã văn bản; ● Xác thực người dùng ứng dụng; ● Mã hóa email xác thực người gửi email; ● Tạo chữ ký số văn điện tử    Một PKI phải đảm bảo tính chất sau hệ thống trao đổi thơng tin: ● Tính bí mật (Confidentiality): PKI phải đảm bảo tính bí mật liệu ● Tính tồn vẹn (Integrity): PKI phải đảm bảo liệu bị mát chỉnh sửa giao tác khơng thể bị thay đổi ● Tính xác thực (Authentication): PKI phải đảm bảo danh tính thực thể xác minh ● Tính khơng thể chối từ (Non-Repudiation): PKI phải đảm bảo liệu bị không thừa nhận giao tác bị từ chối 1.1.2 Các thành phần hạ tầng sở khóa cơng khai    PKI cấu tổ chức gồm người, tiến trình, sách, thủ tục, phần cứng phần mềm dùng để phát sinh, quản lý, lưu trữ, triển khai thu hồi chứng nhận khóa cơng khai PKI gồm thành phần sau: ● Thực thể cuối (End Entity – EE): o ● ● ● Đối tượng sử dụng chứng nhận (chứng thư số): tổ chức, người cụ thể hay dịch vụ máy chủ, … Tổ chức chứng nhận(Certificate Authority – CA): o Có nhiệm vụ phát hành, quản lý hủy bỏ chứng thư số o Là thực thể quan trọng PKI mà thực thể cuối tín nhiệm o Gồm tập hợp người hệ thống máy tính có độ an tồn cao Chứng nhận khố cơng khai (Public Key Certificate): o Một chứng nhận khóa cơng khai thể hay chứng nhận ràng buộc danh tính khóa cơng khai thực thể cuối o Chứng nhận khóa cơng khai chứa đủ thơng tin cho thực thể khác xác nhận kiể m tra danh tính chủ nhận chứng nhận o Định dạng sử dụng rộng rãi chứng nhận số dựa chuẩn IETF X.509 Tổ chức đăng kí chứng nhận (Registration Authority – RA): Mục đích RA để giảm tải công việc CA o Xác thực cá nhân, chủ thể đăng ký chứng thư số o Kiểm tra tính hợp lệ thơng tin chủ thể cung cấp ● ● o Xác nhận quyền chủ thể thuộc tính chứng thư số yêu cầu o Kiểm tra xem chủ thể có thực sở hữu khóa riêng đăng ký hay không (chứng minh sở hữu) o Tạo cặp khóa bí mật, cơng khai (nếu chủ thể u cầu) o Phân phối bí mật chia sẻ đến thực thể cuối (ví dụ khóa cơng khai CA) o Thay mặt chủ thể thực thể cuối khởi tạo q trình đăng ký với CA o Lưu trữ khóa riêng o Khởi sinh q trình khơi phục khóa o Phân phối thẻ vật lý (thẻ thông minh) Kho lưu trữ chứng nhận (Certificate Repository – CR): o Hệ thống (có thể tập trung phân tán) lưu trữ chứng thư danh sách chứng thư bị thu hồi o Cung cấp chế phân phối chứng thư danh sách thu hồi chứng thư (CRLs – Certificate Revocatio Lists) (1) : Người dùng gửi yêu cầu phát hành thẻ chứng thư số khóa cơng khai đến RA; ● (2) : Sau xác nhận tính hợp lệ định danh người dùng RA chuyển yêu cầu đến CA; ● (3) : CA phát hành thẻ chứng thư số cho người dùng; ● (4) : Sau người dùng “ký” thơng điệp trao đổi với thẻ chứng thư số vừa nhận từ CA sử dụng chúng (thẻ chứng thực số + chữ ký số) giao dịch; ● (5) : Định danh người dùng kiểm tra đối tác thông qua hỗ trợ VA; VA (validation authority) : Cơ quan xác thực bên thứ ba cung cấp thơng tin thực thể thay mặt cho CA.) ● (6) : Nếu chứng thư số người dùng xác nhận tính hợp lệ đối tác tin cậy người dùng bắt đầu q trình trao đổi thơng tin với (VA nhận thơng tin thẻ chứng thư số phát hành từ CA (a)) 1.2 Tổng quan ứng dụng 1.2.1 Khái niệm PKI sử dụng nhiều ứng dụng bảo mật thông tin, bao gồm: ✔ Chứng thực người dùng: PKI sử dụng để chứng thực người dùng hệ thống thông tin đăng nhập vào website truy cập vào tài khoản trực tuyến ✔ Mã hoá liệu: PKI cung cấp cơng cụ để mã hố liệu, đảm bảo tính tồn vẹn thơng tin mạng ✔ Chứng thực giao dịch: PKI sử dụng để chứng thực giao dịch mạng, đảm bảo tính tồn vẹn thơng tin giao dịch ✔ Đăng ký xác thực loại chứng số: PKI sử dụng để đăng ký xác thực loại chứng số, bao gồm chứng số SSL chứng số S/MIME ✔ Quản lý danh tính: PKI sử dụng để quản lý danh tính, bao gồm quản lý phát hành chứng số, quản lý khố bí mật, quản lý quy trình phê duyệt thu hồi chứng số ✔ Chứng thực điện tử: PKI sử dụng để cung cấp giải pháp chứng thực điện tử, bao gồm chứng thực hai chiều, chứng thực chiều chứng thực nhiều chiều ✔ Xác thực ủy thác: PKI sử dụng để xác thực ủy thác thao tác hệ thống, bao gồm xác thực đăng nhập, xác thực truy cập vào dịch vụ xác thực yêu cầu người dùng ✔ Bảo mật email: PKI sử dụng để bảo mật email, bao gồm chứng thực mã hố email ✔ Bảo mật mã hóa tệp tin: PKI sử dụng để bảo mật mã hóa tệp tin, đảm bảo tính tồn vẹn bảo mật tệp tin Trong tổng quan PKI ứng dụng nó, cần lưu ý giải pháp PKI giải pháp bảo mật hàng đầu sử dụng Nó cung cấp phương tiện để đảm bảo tính tồn vẹn bảo mật thông tin ứng dụng mạng Tuy nhiên, giải pháp PKI cần triển khai quản lý cách cẩn thận để đảm bảo tính ổn định an tồn hệ thống CHƯƠNG 2.1 CÔNG NGHỆ XÂY DỰNG HẠ TẦNG PKI VÀ ỨNG DỤNG Công nghệ CA OpenSSL 2.1.1 OpenSSL ? OpenSSL thư viện phần mềm sử dụng mã nguồn mở để triển khai giao thức mạng mã hoá liệu khác SSL TLS OpenSSL sử dụng trường hợp cần xác định phe truyền thống phía đầu bên ứng dụng bảo mật truyền thông qua mạng máy tính để phịng chống nghe trộm OpenSSL mắt vào năm 1998 cài đặt sẵn hệ điều hành Linux, Windows, macOS hay BSD Chúng sử dụng rộng rãi nhằm phục vụ đa số website máy chủ web Internet Hiện nay, theo thống kê, OpenSSL phương thức bảo mật sử dụng nhiều Tuy nhiên, muốn website bảo mật tốt nhất, bạn cần gia hạn SSL let’s encrypt Khi nhắc tới chứng SSL/TLS cách thức để triển khai chúng, OpenSSL cơng cụ thích hợp hàng đầu Thư viện gốc phần mềm OpenSSL viết ngơn ngữ lập trình C Bên cạnh đó, OpenSSL có nhiều phần mềm Sau kết thúc cài đặt, nhấp vào nút Close Chạy trình duyệt web truy cập vào localhost, sau bạn xác minh IIS có chạy bình thường khơng 3.1.2 Triển khai Tạo chứng thư số gốc (RootCA) với cặp khóa RSA, 4096 bit thơng tin DN bạn cung cấp, sử dụng OpenSSL để thực bước sau: Bước 1: Tạo cặp khóa cho RootCA openssl genrsa -out root.key 4096 ● openssl genrsa: Dùng để tạo cặp khóa RSA ● out root.key: Chỉ định tên đường dẫn cho tệp chứa khóa riêng tư RootCA ● 4096: Độ dài khóa, trường hợp 4096 bit Bước 2: Tạo CSR cho RootCA openssl req -new -key root.key -out root.csr -subj "/CN=RootCA/OU=Lớp AT16/O=HọcViệnkỹthuậtmậtmã/emailAddress=rootca@actvn.edu.vn/streetAddr ess=141 Chiến Thắng/L=Thanh Xuân/ST=Hà Nội/C=VN" ● openssl req: Dùng để tạo yêu cầu chứng (CSR) ● new: Tạo yêu cầu chứng ● key root.key: Sử dụng khóa riêng tư RootCA để tạo CSR ● out root.csr: Chỉ định tên đường dẫn cho tệp chứa CSR ● subj: Chỉ định thuộc tính Distinguished Name (DN) cho chứng chỉ, bao gồm tên chủ thể (Common Name - CN), đơn vị tổ chức (Organization Unit OU), tổ chức (Organization - O), địa email (emailAddress), địa đường phố (streetAddress), thành phố (L), tiểu bang (ST), quốc gia (C) Bước 3: Tạo chứng thư số cho RootCA từ CSR openssl x509 -req -in root.csr -signkey root.key -out root.crt -days 3650 ● openssl x509: Dùng để tạo chứng từ CSR ● req: Xác định đầu vào yêu cầu chứng (CSR) ● in root.csr: Chỉ định tên đường dẫn cho tệp chứa CSR ● signkey root.key: Sử dụng khóa riêng tư RootCA để ký chứng ● out root.crt: Chỉ định tên đường dẫn cho tệp chứa chứng ký ● days 3650: Độ dài thời gian hiệu lực chứng chỉ, trường hợp 3650 ngày (khoảng 10 năm) Bước 4: Tạo cặp khóa cho SubCA openssl ecparam -genkey -name secp384r1 -out subca.key Bước 5: Tạo CSR cho SubCA openssl req -new -key subca.key -o ni ut subca.csr -subj "/CN=SubCA/OU=Lớp AT16/O=HọcViệnkỹthuậtmậtmã/emailAddress=subca@actvn.edu.vn/streetAddr ess=141Chiến Thắng/L=Thanh Xuân/ST=Hà Nội/C=VN" Bước 6: Tạo chứng thư số cho SubCA từ CSR, ký RootCA openssl x509 -req -in subca.csr -CA root.crt -CAkey root.key -out subca.crt -days 3650 –Cacreateserial Bước 7: Tạo cặp khóa cho thực thể cuối (client server) - RSA 2048-bit: openssl genrsa -out entity.key 2048 Bước : Tạo CSR cho thực thể cuối openssl req -new -key entity.key -out entity.csr -subj "/CN=Nhóm 11/OU=Lớp AT16/O=HọcViệnkỹthuậtmậtmã/emailAddress=nhom11@actvn.edu.vn/telephon eNumber=0987654321/streetAddress=141 Chiến Thắng/L=Thanh Xuân/ST=Hà Nội/C=VN" Bước : Tạo chứng thư số cho thực thể cuối từ CSR, ký SubCA openssl x509 -req -in entity.csr -CA subca.crt -CAkey subca.key -out entity.crt days 3650 –Cacreateserial Bước 10: Tạo tệp PEM chứa chứng SubCA khóa riêng tư: type entity.crt entity.key > entity.pem Lệnh gộp nội dung tệp "entity.crt" (chứng entity) tệp "entity.key" (khóa riêng tư entity) thành tệp PEM "entity.pem" Bước 11: Tạo tệp PFX từ tệp PEM chứng gốc SubCA: openssl pkcs12 -export -in entity.pem -inkey entity.key -certfile subca.crt -out entity.pfx Lệnh tạo tệp PFX "entity.pfx" từ tệp PEM "entity.pem", khóa riêng tư "entity.key" chứng gốc "subca.crt" Trong trình tạo, bạn yêu cầu nhập mật cho tệp PFX tạo Quá trình xác thực Bước 1: Import file Mở IIS Manager > chọn Server Certificates: Chọn Import Tìm đến file pfx xuất, chọn OK PFX import thành cơng Bước 2: Cấu hình Website với SSL Trên hình Internet Information Services (IIS) Manager, chọn Site, sau chuột phải vào trang web và chọn Edit Binding… Tại Type chọn https, SSL Certificate  tạo bước trên, click OK Truy cập vào địa https://192.168.25.182/ ta thấy truy cập thành công Bước 3: Xác thực2chiều Đầu tiên cài đặt SSL Settings để bật tính Require SSL Trên Google Chrome: Mở trình duyệt Chrome truy cập vào trang chrome://settings/certificates Trong cửa sổ "Certifcates", chọn tab "Personal" Chọn "Import" chọn tệp PKCS#12 (entity.p12) chứa chứng thư số Nhập mật yêu cầu Sau chứng thư số nhập thành cơng, hiển thị danh sách chứng thư số cá nhân 3.2 Đánh giá kết luận Đánh giá: Khả linh hoạt: OpenSSL cung cấp nhiều tùy chọn cấu hình linh hoạt cho q trình tạo CA Có thể tùy chỉnh thơng số độ dài khóa, thuật tốn mã hóa, đường dẫn chứng chỉ, mật khẩu, v.v Điều cho phép ta tạo CA theo yêu cầu cụ thể mơi trường hệ thống Sự bảo mật: OpenSSL cung cấp cơng cụ thuật tốn mã hóa mạnh mẽ để bảo vệ khóa riêng tư chứng Việc sử dụng khóa riêng tư chứng để xác thực chiều máy khách máy chủ IIS tăng cường bảo mật q trình truyền thơng qua SSL/TLS Học tập kiến thức: Quá trình tạo CA OpenSSL yêu cầu bạn có kiến thức quản lý chứng chỉ, cơng nghệ mã hóa số lệnh dịng lệnh Điều đòi hỏi thời gian học tập tìm hiểu để hiểu rõ khái niệm quy trình liên quan Kết luận: Tạo CA OpenSSL trình mạnh mẽ linh hoạt để triển khai hệ thống chứng thực phân cấp môi trường IIS Bằng cách sử dụng OpenSSL, tạo cặp khóa CA, ký chứng triển khai mơ hình chứng thực chiều để tăng cường bảo mật cho ứng dụng web Tuy nhiên, trình đòi hỏi kiến thức kỹ quản lý chứng OpenSSL Điều địi hỏi thời gian học tập thử nghiệm để làm quen với lệnh quy trình liên quan KẾT LUẬN Bài báo cáo nghiên cứu trình bày việc áp dụng chứng thư số SSL môi trường webserver xác thực chiều Mục tiêu báo cáo đạt đem lại kết quan trọng Qua việc tìm hiểu thực cài đặt chứng thư số SSL, báo cáo phân tích ưu điểm lợi ích việc sử dụng SSL việc bảo mật giao tiếp qua mạng internet Các khái niệm quan trọng mã hóa, xác thực bảo mật liệu hiểu rõ thông qua việc áp dụng chứng thư số SSL Ngoài ra, báo cáo tập trung vào việc xác thực chiều, phương thức xác thực mạnh mẽ đòi hỏi máy chủ máy khách xác minh danh tính Phương pháp xác thực chiều trình bày mơ tả, với bước cấu hình để triển khai xác thực Phân tích đánh giá thơng tin báo cáo sử dụng chứng thư số SSL xác thực chiều cách hiệu để đảm bảo tính bảo mật xác thực môi trường webserver Tuy nhiên, cần lưu ý đến khó khăn yêu cầu kỹ thuật trình cài đặt cấu hình Dựa phân tích đánh giá thực hiện, báo cáo đề xuất số khuyến nghị để tối ưu hóa việc sử dụng chứng thư số SSL xác thực chiều Điều bao gồm việc thực bước cấu hình xác, tn thủ tiêu chuẩn bảo mật thường xuyên kiểm tra cập nhật chứng thư số SSL Báo cáo cung cấp nhìn tổng quan chi tiết việc sử dụng chứng thư số SSL xác thực chiều môi trường webserver TÀI LIỆU THAM KHẢO [1] Cài đặt thiết lập trang web IIS Windows 10 (quantrimang.com) [2] Hướng dẫn cài đặt SSL máy chủ Windows IIS - Trung tâm hỗ trợ kỹ thuật | MATBAO.NET [3] cau hinh Https lấy chứng số cho IIS Web Server , windows server 2012 R2 YouTube