Ngày nay, Public Key Infrastructures (PKI) – cơ sở hạ tầng khóa công khai được phát triển rộng rãi. Trung tâm tin cậy (Trustcenter) là một bên thứ 3 đáng tin cậy nhằm xác nhận danh tính cụ thể cho các đối tác trong quá trình giao dịch điện tử. Tuy nhiên, để thiết lập được một hệ thống PKI là vô cùng khó khăn và tốn kém bởi trung tâm tin cậy có tính linh hoạt (đặc biệt là cho Unix) rất đắt. Điều đó chính là điểm khởi đầu cho sự ra đời của hệ thống OpenCA. OpenCA là một hệ thống trustcenter mã nguồn mở hỗ trợ cộng đồng với một giải pháp tốt, rẻ tiền và thích ứng với mọi cơ sở hạ tầng.Trên cơ sở những kiến thức được học, nhóm chúng em đã chọn đề tài “Installation and Configuration of OpenCA” để tìm hiểu về hệ thống OpenCA, từ đó triển khai cài đặt và cấu hình một số dịch vụ trên OpenCA. Nội dung báo cáo gồm 4 chương:Chương I. Mật mã khóa công khai và chữ ký số: Tổng quát về thuật toán RSA, thuật toán thỏa thuận khóa Diffie – Hellman và chữ ký số.Chương II. Tổng quan về cơ sở hạ tầng khóa công khai: Giới thiệu tổng quan về PKI và một số khái niệm liên quan trong PKI.Chương III. Tổng quan về hệ thống OpenCA: Sau khi tìm hiểu về PKI, ở chương này sẽ giới thiệu một cách tổng quát về hệ thống OpenCA.Chương IV. Cài đặt và cấu hình hệ thống OpenCA: Nêu lên các bước cụ thể để triển khai cài đặt và cấu hình OpenCA, thiết lập một cơ sở hạ tầng tốt.Trong quá trình thực hiện, do hạn chế về kiến thức nên còn rất nhiều thiếu sót, chúng em rất mong nhận được ý kiến nhận xét của thầy để báo cáo của chúng em được hoàn thiện hơn. Chúng em xin chân thành cảm ơn
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỀ TÀI BÁO CÁO Môn Chứng thực điện tử CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG OPENCA Cán bợ hướng dẫn: Thầy Hồng Đức Thọ Nhóm sinh viên thực hiện: - Trần Thế Anh Trần Văn Dũng Nguyễn Thị Hoa Nguyễn Đức Hưng Đỗ Đăng Khoa Đặng Trung Kiên Trần Trọng Kỳ Ngơ Hồng Hạnh Nhân Đinh Thị Thủy Tiên Bùi Xuân Tiến Lớp: AT9A HÀ NỘI 3/2016 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỀ TÀI BÁO CÁO Môn Chứng thực điện tử CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG OPENCA Nhận xét cán bộ hướng dẫn: Điểm chuyên cần: Điểm báo cáo: Xác nhận của cán bộ hướng dẫn MỤC LỤC MỤC LỤC BẢNG KÝ HIỆU DANH MỤC HÌNH VE LỜI NÓI ĐẦU .5 CHƯƠNG I MẬT MÃ KHĨA CƠNG KHAI VÀ CHỮ KÝ SỐ 1.1 Mật mã khóa cơng khai .6 1.1.1 Thuật toán RSA .6 1.1.2 Thuật toán thỏa thuận khóa Diffie-Hellman 1.2 Chữ ký số .7 CHƯƠNG II TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI .8 2.1 Khái niệm sở hạ tầng khóa công khai .8 2.2 Các khái niệm liên quan PKI 10 2.2.1 Chứng 10 2.2.2 Kho chứng .11 2.2.3 Thu hồi chứng 11 2.2.4 Công bố gửi thông báo thu hồi chứng 12 2.2.5 Sao lưu dự phòng khóa 13 2.2.6 Cập nhật khóa tự động 13 2.2.7 Lịch sử khóa 14 2.2.8 Chứng thực chéo 14 2.2.9 Hỗ trợ chống chối bỏ 14 2.2.10 Tem thời gian 15 2.2.11 Phần mềm phía người dùng 15 2.2.12 Chính sách chứng 15 2.3 Các thành phần một hệ thống PKI 16 2.3.1 Tổ chức chứng thực (Certification Authority) .17 2.3.2 Trung tâm đăng ký (Registration Authorites) 17 2.3.3 Thực thể cuối (end entity) 18 2.3.4 Hệ thống lưu trữ (Repositories) 18 2.4 Chức PKI 19 2.4.1 Chứng thực (certification) 19 2.4.2 Thẩm tra (validation) 19 2.4.3 Một số chức khác 20 2.5 Mục tiêu PKI .23 CHƯƠNG III TỔNG QUAN VỀ HỆ THỐNG OPENCA .24 3.1 Giới thiệu OpenCA .24 3.2 Thiết kế chung OpenCA .25 CHƯƠNG IV CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG OPENCA 26 4.1 Chuẩn bị .26 4.1.1 Chuẩn bị phần mềm 26 4.1.2 Chuẩn bị phần cứng 26 4.2 Cài đặt cấu hình 26 4.2.1 Khởi tạo CA 26 4.2.2 Khởi tạo chứng cho người quản trị 30 4.2.3 Khởi tạo RA 33 TÀI LIỆU THAM KHẢO 34 BẢNG KÝ HIỆU CA Certification Authority CRL Certificate Revocation List CRR Certificate Revocation Request CSR Certificate Signing Request OCSP Online Certificate Status Protocol PKI Public Key Infrastructures PIN Personal Identification Number SQL Structured Query Language SSL Secure Sockets Layer TLS Transport Layer Security VPN Virtual Private Network DANH MỤC HÌNH VE Hình 2.1 Các thành phần một hệ thống PKI 16 Hình 3.1 Logo OpenCA………………………………………………… 24 Hình 3.2 Mợt số module hệ thống OpenCA 25 Hình 4.1 Giao diện quản lý cấu hình RootCA .26 Hình 4.2 Ba bước thiết lập CA 27 Hình 4.3 Khởi tạo sở liệu khóa cho CA 27 Hình 4.4 Tạo khóa bí mật cho CA 28 Hình 4.5 Khóa bí mật CA 28 Hình 4.6 Tạo yêu cầu cấp chứng cho CA 29 Hình 4.7 Nội dung yêu cầu chứng 29 Hình 4.8 Lựa chọn Self Signed CA để tự chứng thực CA .29 Hình 4.9 Chứng CA .30 Hình 4.10 Tạo chứng cho người quản trị 30 Hình 4.11 Khai báo các thơng tin 31 Hình 4.12 Khai báo chi tiết chứng 31 Hình 4.13 Khai báo mã PIN .31 Hình 4.14 Thỏa thuận người dùng 32 Hình 4.15 Tạo yêu cầu .32 Hình 4.16 Ký chứng 33 Hình 4.17 Download chứng máy 33 LỜI NÓI ĐẦU Ngày nay, Public Key Infrastructures (PKI) – sở hạ tầng khóa cơng khai phát triển rộng rãi Trung tâm tin cậy (Trustcenter) một bên thứ đáng tin cậy nhằm xác nhận danh tính cụ thể cho các đối tác quá trình giao dịch điện tử Tuy nhiên, để thiết lập một hệ thống PKI vô khó khăn tốn trung tâm tin cậy có tính linh hoạt (đặc biệt cho Unix) đắt Điều điểm khởi đầu cho đời hệ thống OpenCA OpenCA một hệ thống trustcenter mã nguồn mở hỗ trợ cộng đồng với mợt giải pháp tốt, rẻ tiền thích ứng với sở hạ tầng Trên sở kiến thức học, nhóm chúng em chọn đề tài “Installation and Configuration of OpenCA” để tìm hiểu hệ thống OpenCA, từ triển khai cài đặt cấu hình mợt số dịch vụ OpenCA Nội dung báo cáo gồm chương: Chương I Mật mã khóa cơng khai chữ ký số: Tổng quát thuật toán RSA, thuật toán thỏa thuận khóa Diffie – Hellman chữ ký số Chương II Tổng quan sở hạ tầng khóa cơng khai: Giới thiệu tổng quan PKI một số khái niệm liên quan PKI Chương III Tổng quan hệ thống OpenCA: Sau tìm hiểu PKI, chương giới thiệu một cách tổng quát hệ thống OpenCA Chương IV Cài đặt cấu hình hệ thống OpenCA: Nêu lên các bước cụ thể để triển khai cài đặt cấu hình OpenCA, thiết lập mợt sở hạ tầng tốt Trong quá trình thực hiện, hạn chế kiến thức nên nhiều thiếu sót, chúng em mong nhận ý kiến nhận xét thầy để báo cáo chúng em hoàn thiện Chúng em xin chân thành cảm ơn ! Hà Nội, tháng năm 2016 Nhóm sinh viên thực báo cáo CHƯƠNG I MẬT MÃ KHĨA CƠNG KHAI VÀ CHỮ KÝ SỐ 1.1 Mật mã khóa cơng khai Mật mã khóa cơng khai mợt dạng mật mã cho phép người sử dụng trao đổi các thông tin mật mã mà khơng cần phải trao đổi các khóa chung bí mật trước Điều thực cách sử dụng mợt cặp khóa có quan hệ toán học với khóa cơng khai khóa bí mật Trong mật mã khóa cơng khai, khóa cá nhân phải giữ bí mật khóa cơng khai phổ biến cơng khai Trong khóa, mợt khóa dùng để mã hóa khóa lại dùng để giải mã Điều quan trọng hệ thống khơng thể tìm khóa bí mật biết khóa cơng khai Hệ thống mật mã khóa cơng khai sử dụng với các mục đích: • Mã hóa: giữ bí mật thơng tin có người có khóa bí mật giải mã thơng tin • Tạo chữ ký số: cho phép kiểm tra mợt văn có phải tạo mợt khóa bí mật khơng • Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật bên 1.1.1 Thuật toán RSA Trong mật mã học, RSA một thuật toán mã hóa khóa cơng khai Đây thuật toán đầu tiên phù hợp với việc tạo chữ ký điện tử đồng thời với việc mã hóa Nó đánh dấu mợt tiến bộ vượt bậc lĩnh vực mật mã việc sử dụng khóa cơng khai RSA sử dụng phổ biến thương mại điện tử cho đảm bảo an toàn với điều kiện đợ dài khóa đủ lớn Thuật toán RSA có hai khóa: khóa cơng khai khóa bí mật Mỗi khóa số cố định sử dụng quá trình mã hóa giải mã Khóa cơng khai cơng bố rộng rãi cho người dùng để mã hóa Những thơng tin mã hóa khóa cơng khai giải mã khóa bí mật tương ứng Nói cách khác, người mã hóa có người biết khóa bí mật giải mã Tuy nhiên RSA có tốc đợ thực chậm đáng kể so với DES các thuật toán mã hóa đối xứng khác, Trên thực tế, người ta sử dụng một thuật toán mã hóa đối xứng để mã hóa văn cần gửi sử dụng RSA để mã hóa khóa để giải mã 1.1.2 Thuật toán thỏa thuận khóa Diffie-Hellman Đây sơ đồ khóa cơng khai đầu tiên Tuy nhiên, khơng phải mợt sơ đồ mã hóa khóa cơng khai thực sự, mà dùng cho trao đổi khóa Các khóa bí mật trao đổi cách sử dụng các trạm trung gian riêng tin cậy Phương pháp cho phép các khóa bí mật truyền an tồn thơng qua các mơi trường khơng bảo mật Tính bảo mật trao đổi khóa Diffie-Hellman nằm chỗ: tính hàm mũ modul một số nguyên tố khá dễ dàng tính logarit rời rạc khó 1.2 Chữ ký số Chữ ký số thông tin kèm theo liệu (văn bản, hình ảnh, video, … ) nhằm mục đích xác định người chủ liệu Để sử dụng chữ ký số liệu cần phải mã hóa hàm băm (dữ liệu "băm" thành chuỗi, thường có đợ dài cố định ngắn văn bản) sau dùng khóa bí mật người chủ khóa để mã hóa, ta chữ ký số Khi cần kiểm tra, bên nhận giải mã (với khóa cơng khai) để lấy lại chuỗi gốc (được sinh qua hàm băm ban đầu) kiểm tra với hàm băm văn nhận Nếu giá trị (chuỗi) khớp bên nhận tin tưởng liệu xuất phát từ người sở hữu khóa bí mật Chữ ký số khóa cơng khai dựa tảng mật mã khóa cơng khai Để trao đổi thơng tin mơi trường này, người sử dụng có mợt cặp khóa: khóa cơng khai khóa bí mật Khóa cơng khai cơng bố rợng rãi khóa bí mật phải giữ kín khơng thể tìm khóa bí mật biết khóa cơng khai Tồn bợ quá trình gồm thuật toán: • Thuật toán tạo khóa • Thuật toán tạo chữ ký số • Thuật toán kiểm tra chữ ký số CHƯƠNG II TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI 2.1 Khái niệm sở hạ tầng khóa cơng khai Trong một vài năm lại đây, hạ tầng truyền thông IT ngày mở rộng mà người sử dụng dựa tảng để truyền thông giao dịch với các đồng nghiệp, các đối tác kinh doanh việc khách hàng dùng email các mạng công cộng Hầu hết các thông tin kinh doanh nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi các hoạt động truyền thông doanh nghiệp đồng nghĩa với việc người sử dụng phải có biện pháp bảo vệ tổ chức, doanh nghiệp trước các nguy lừa đảo, can thiệp, công, phá hoại vơ tình tiết lợ các thơng tin Cơ sở hạ tầng khóa cơng khai – Public Key Infrastructures (PKI) các tiêu chuẩn các công nghệ ứng dụng coi mợt giải pháp tổng hợp đợc lập sử dụng để giải vấn đề Khả bảo mật (Secure): Đạt tiêu chuẩn quốc tế bảo mật EAL4+, đáp ứng hầu hết các thiết bị HSM Smartcard Khả mở rộng (Scalable): Dựa kiến trúc PKI đại, thiết kế theo mơ hình có đợ sẵn sàng cao, có khả mở rợng để cấp phát số lượng lớn chứng thư số một cách dễ dàng Khả sẵn sàng (Available): Tất sách, log, liệu chứng thư số CRL lưu trữ sở liệu tin cậy bảo mật ví dụ: Oracle hệ sở liệu lớn đáng tin cậy giới Khả mở, tương thích (Open): Được thiết kế để tuân thủ các tiêu chuẩn mở quốc tế X509, PKIX, LDAP Khả kiểm soát sách (Policy Driven): Hệ thống có khả áp dụng các sách khác với việc đăng ký các loại chứng thư số khác Khả linh đợng (Flexible): Có thể hỗ trợ nhiều phương thức đăng ký chứng thư số khác nhau: Web, Email, Face-to-face, CMP, SCEP 2.4.3 Một số chức khác Hệ thống PKI thực chức chứng thực, thẩm tra với một số chức phụ trợ khác Dưới một số chức dịch vụ hầu hết các hệ thống PKI cung cấp Mợt số chức khác định nghĩa tuỳ theo yêu cầu cụ thể các hệ thống PKI Đăng ký: Là quá trình đến liên lạc với các tổ chức, trung tâm tin cậy để đăng ký các thông tin xin cấp chứng RA CA thực thể quá trình đăng ký Quá trình đăng ký phụ tḥc vào sách tổ chức Nếu chứng cung cấp với mục đích dùng cho hoạt đợng bí mật sử dụng phương pháp gặp mặt trực tiếp Nếu chứng chỉ sử dụng cho mục đích, hoạt đợng thường đăng ký qua ứng dụng viết sẵn ứng dụng điện tử Khởi tạo ban đầu: Khi hệ thống trạm chủ thể nhận các thông tin cần thiết để liên lạc với CA quá trình khởi tạo bắt đầu Những thơng tin khoá cơng CA, chứng CA, cặp khóa cơng /bí mật chủ thể Mợt số hệ thống khác sử dụng chế dựa password giai đoạn khởi tạo Người dùng cuối liên lạc với CA nhận password sau thiết lập mợt kênh bảo mật để truyền thông tin cần thiết Giai đoạn khởi tạo thường tiếp tục với quá trình chứng thực Khơi phục cặp khóa: Hầu hết hệ thống PKI tạo hai cặp khoá cho người sử dụng cuối, một để ký số một để mã hoá Lý để tạo hai cặp khoá khác xuất phát từ yêu cầu khôi phục lưu dự phòng khoá Tuỳ theo sách tổ chức, bộ khoá mã (mã giải mã) thông tin liên quan đến khoá người sử dụng phải lưu để lấy lại liệu người sử dụng khoá riêng hay rời khỏi đơn vị Còn khoá để ký số sử dụng tuỳ theo mục đích cá nhân nên khơng lưu Riêng khoá bí mật CA lưu giữ dự phòng mợt thời gian dài để giải vấn đề nhầm lẫn xảy tương lai Hệ thống PKI có cơng cụ để thực chức lưu khôi phục khoá 20 Tạo khóa: Cặp khoá cơng khai/bí mật tạo nhiều nơi Chúng tạo phần mềm phía client gửi đến CA để chứng thực CA tạo cặp khoá trước chứng thực Trong trường hợp này, CA tự tạo cặp khoá gửi khoá bí mật cho người sử dụng theo mợt cách an toàn Nếu khoá bên thứ ba tạo khoá phải CA tin cậy miền xác nhận trước sử dụng Hạn sử dụng cập nhật khóa: Mợt tḥc tính chứng thời gian hiệu lực Thời gian hiệu lực cặp khoá xác định theo sách sử dụng Các cặp khoá người sử dụng nên cập nhật có thơng báo ngày hết hạn Hệ thống thông báo tình mợt thời gian định Chứng người cấp công bố tự động sau thời gian hết hạn Xâm hại khóa: Đây trường hợp khơng bình thường xảy khoá cơng bố tất người sử dụng hệ thống nhận thấy điều Xâm hại đến khoá CA một trường hợp đặc biệt Và trường hợp CA công bố lại tất các chứng với CA-certificate Thu hồi: Chứng công bố sử dụng khoảng thời gian có hiệu lực Nhưng trường hợp khoá bị xâm hại hay có thay đổi thơng tin chứng chứng cơng bố, chứng cũ bị thu hồi Công bố gửi thông báo thu hồi chứng chỉ: Một chứng cấp cho người sử dụng cuối gửi đến cho người nắm giữ hệ thống lưu trữ để truy cập cơng khai Khi mợt chứng bị thu hồi mợt lý đó, tất người sử dụng hệ thống thông báo việc Phương thức để công bố gửi thông báo thu hồi đề cập chi tiết nội dung chứng số phần Xác thực chéo: Xác thực chéo mợt đặc tính quan trọng hệ thống PKI Chức sử dụng để nối hai miền PKI khác Xác thực chéo cách để thiết lập môi trường tin cậy hai CA điều kiện định Những điều kiện xác định 21 theo yêu cầu người sử dụng Những người sử dụng các miền khác giao tiếp an tồn với người khác sau việc xác thực chéo các CA thành công Xác thực chéo thiết lập cách tạo chứng CA xác thực lẫn Nếu CA-1 CA-2 muốn thiết lập xác thực chéo cần thực một số bước sau: ◦ CA-1 công bố CA – certificate cho CA-2 ◦ CA-2 công bố CA – certificate cho CA-1 ◦ CA-1 CA-2 sử dụng trường mở rộng xác định chứng để đặt giới hạn cần thiết CA-certificate Việc xác thực chéo đòi hỏi phải có kiểm tra cẩn thận các sách PKI Nếu hai có tương tự sách việc xác thực chéo có ý nghĩa Ngược lại, có tình khơng mong muốn xuất trường hợp sách PKI mợt miền trở thành một phần miền khác Trường mở rộng “Policy mapping”, “name constraints” “policy constraints” chứng X.509 chuẩn sử dụng xác thực chéo để đưa một số giới hạn môi trường tin cậy Thẩm quyền thứ cấp: cho phép CA gốc hạn chế tính các CA thứ cấp tính để định dạng CA phát hành các dịch vụ khác mà CA tạo cho khách hàng Mợt có mợt chế phân cấp tổ chức, xác định các đối tác kinh doanh bắt đầu đưa vào cấu trúc bảo mật Tạo các sách bảo mật nợi bợ tổ chức định nghĩa các tài sản cần bảo vệ cách thức công cụ mà nhân viên sử dụng để thực điều Thảo các quy trình hỗ trợ người sử dụng các vấn đề liên quan tới phát hành, gia hạn phục hồi các chứng thực mã khoá, sau phân cơng trách nhiệm phát triển trì tổng thể hệ thống PKI cho bợ phận có chức Mợt giải pháp PKI hoàn chỉnh phù hợp đảm bảo khả bảo mật cao cho các tài sản kỹ thuật số doanh nghiệp 22 2.5 Mục tiêu của PKI PKI cho phép người tham gia xác thực lẫn sử dụng thông tin từ các chứng thực khóa cơng khai để mật mã hóa giải mã thơng tin quá trình trao đổi thơng thường PKI bao gồm phần mềm máy chủ (server), phần mềm máy khách (client), phần cứng (như thẻ thông minh) các quy trình hoạt đợng liên quan.Người sử dụng ký các văn điện tử với khóa bí mật người kiểm tra với khóa cơng khai người PKI cho phép các giao dịch điện tử diễn đảm bảo tính bí mật, tồn vẹn xác thực lẫn mà không cần phải trao đổi các thông tin mật từ trước Mục tiêu PKI cung cấp khóa cơng khai xác định mối liên hệ khóa định dạng người dùng Nhờ người dùng sử dụng mợt số ứng dụng như: Mã hóa email xác thực người gửi email Mã hóa xác thực văn Xác thực người dùng ứng dụng Xác giao thức truyền thơng an tồn dùng kỹ thuật Bootstrapping (IKE, SSL): trao đổi khóa khóa bất đối xứng, mã hóa khóa đối xứng 23 CHƯƠNG III TỔNG QUAN VỀ HỆ THỐNG OPENCA 3.1 Giới thiệu OpenCA OpenCA bắt đầu triển khai vào năm 1999 Massimiliano Pala Mã nguồn ban đầu dự án viết đoạn script dài Rất nhiều chức lỗi nhiều thứ khác bị bỏ qua Hình 3.1 Logo OpenCA Phiên đầu tiên OpenCA đơn giản, nhiều chức xây dựng chủ yếu dùng để cấp phát chứng chỉ, CRL các phương thức cài đặt khá đơn sơ, khơng có tính tiện dụng cho tiện ích cấu hình nào, đoạn script tương thích với bash Các phiên bổ sung thêm nhiều tính cho dự án bao gồm giao diện cho server CA, RA Pub Từ lúc bắt đầu dự án từ phát hành phiên đầu tiên, có mợt lượng lớn tham gia cợng đồng Internet đóng góp vào phát triển dự án Ý tưởng đầu tiên hệ thống bao gồm phần chính: Giao diện web: Gần tất các hoạt động OpenCA thực thơng qua sáu giao diện cấu hình sẵn mợt số các giao diện khác tạo thêm tùy thuộc vào nhu cầu sử dụng Hỗ trợ cho các hoạt động mật mã OpenSSL – một thư viện phần mềm sử dụng phổ biến các ứng dụng cần đảm bảo bí mật máy chủ web Internet Cơ sở liệu OpenCA lưu trữ tất các thông tin cần thiết các đối tượng mật mã người dùng Certificate Signing Request (CSR) – yêu cầu ký chứng chỉ, Certificate – chứng chỉ, Certificate Revocation Request (CRR) – yêu cầu thu hồi chứng chỉ, Certificate Revocation List (CRL) – danh sách chứng bị thu hồi, message, user user_data OpenCA thiết kế cho một sở hạ tầng phân phối, xây dựng mợt hệ thống phân cấp tồn bợ với nhiều cấp đợ Do đó, khơng một giải pháp cho các sở nghiên cứu vừa nhỏ mà giải pháp hỗ trợ linh hoạt tối đa cho các tổ chức lớn trường học, các cơng ty tồn cầu 24 3.2 Thiết kế chung của OpenCA OpenCA chia thành một số module riêng Hình 3.2 Một số module hệ thống OpenCA PUB: Là giao diện cơng cợng, người dùng yêu cầu giấy chứng nhận Module nói chung chịu trách nhiệm cho việc tạo chỉnh sửa các giấy chứng nhận Ở đây, các yêu cầu đến người sử dụng các chứng tạo RA: Giao diện RA (Registration Authority Interface) chấp nhận tất các yêu cầu chứng Sau chuyển tiếp đến CA Tương tự vậy, RA công bố chứng nhận NODE: Là mợt liên kết trung tâm, bạn đạt các giao diện khác CA Nó coi mợt liên kết Cơ quan đăng ký Certification Authority Hơn nữa, mô-đun chịu trách nhiệm cho việc khởi tạo sở liệu các chức quan trọng lưu CA: CA tạo mợt chứng module một quan chứng thực Giao diện cấp giấy chứng nhận, thu hồi tạo CRL – Cerificate Revocaion List danh sách chứng bị thu hồi BATCH: Các giao diện BATCH mợt máy tự đợng tạo cặp khóa, bao gồm giấy chứng nhận 25 CHƯƠNG IV CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG OPENCA 4.1 Chuẩn bị 4.1.1 Chuẩn bị phần mềm OpenCA một hệ thống ngun khối hồn chỉnh Nó sử dụng mợt số phần mềm từ các nhà phát triển khác cộng đồng mã nguồn mở như: Apache, mod_ssl, OpenSSL, OpenLDAP nhiều module Perl khác Khởi tạo database openca MySQL cho phép người dùng openca (admin) thao tác toàn quyền lên database 4.1.2 Chuẩn bị phần cứng OpenCA thử nghiệm nhiều kiến trúc phần mềm nhiều kiến trúc phần cứng Nhưng OpenCA sử dụng hệ thống có hỗ trợ Apache, mod_ssl, OpenSSL Perl Vì vậy, có Unix box thường chạy mợt OpenCA vào i386 với Linux, FreeBSD, OpenBSD NetBSD UltraSparc với Solaris Linux PowerPC với AIX 4.2 Cài đặt cấu hình 4.2.1 Khởi tạo CA CA xây dựng hệ điều hành CentOS, với các thành phần cần thiết như: apache, perl, openca-tools, openca-base số thư viện cần thiết cho việc cài đặt Khi cài đặt gói openca-base thực chế độ install-offline Sau cài đặt xong RootCA Chúng ta truy cập vào trang web để cấu hình quản lý RootCA theo địa https://rootca.actvn.net/pki/ca 26 Hình 4.1 Giao diện quản lý cấu hình RootCA Trong mục PKI Init & Config thực việc khởi tạo sở liệu, khởi tạo khóa riêng cho CA, tạo chứng CA , … Hình 4.2 Ba bước thiết lập CA Hình 4.3 Khởi tạo sở liệu khóa cho CA 27 Khởi tạo sở liệu: Bước tạo sở liệu dựa vào các tham số thiết lập quá trình cài đặt openca Nếu có sở liệu trước ta chọn Upgrade Database để nâng cấp sở liệu, Re-init Database để khởi tạo lại sở liệu ( lưu ý: chọn thiết lập làm sở liệu có ) Tạo khóa bí mật cho CA: Bước thực sinh khóa bí mật cho CA Để thực việc sinh khóa bí mật phải chọn thuật toán khóa, thuật toán mã hóa khóa đợ dài khóa Hình 4.4 Tạo khóa bí mật cho CA Sau chọn xong các thuật toán đợ dài khóa, hệ thống sinh khóa bí mật cho CA hình Hoặc xem lại khóa lưu máy theo đường dẫn sau: /opt/OpenCA/var/openca/crypto/keys/cakey.pem /opt/OpenCA/ thư mục cài đặt OpenCA thiết lập quá trình cài đặt Hình 4.5 Khóa bí mật CA 28 Tạo yêu cầu cấp chứng cho CA: Sau tạo khóa bí mật cho CA xong, tạo một yêu cầu xin cấp chứng cho CA Hình 4.6 Tạo yêu cầu cấp chứng cho CA Hình 4.7 Nội dung yêu cầu chứng Hình 4.8 Lựa chọn Self Signed CA để tự chứng thực CA 29 Serial Number: số seri chứng Do chứng đầu tiên cấp cho CA nên để Serial Number 00 Certificate Validity: Thời hạn sử dụng chứng chỉ, mặc định 730 ngày (2 năm) Chúng ta thay đổi giá trị tùy theo nhu cầu sử dụng hệ thống Extensions: Phần mở rộng, để ký chứng cho CA, lựa chọn Self Signed CA Với lựa chọn hệ thống tự ký vào yêu cầu để tạo chứng CA Sau lựa chọn xong hệ thống tạo chứng hình Chúng ta xem lại chứng /opt/OpenCA/var/openca/crypto/certs/00.pem Hình 4.9 Chứng CA 4.2.2 Khởi tạo chứng cho người quản trị Sau thiết lập CA xong, thực việc khởi tạo chứng cho người dùng đầu tiên (khuyến cáo nên khởi tạo cho người quản trị) Hình 4.10 Tạo chứng cho người quản trị 30 Hình 4.11 Khai báo thơng tin Hình 4.12 Khai báo chi tiết chứng Hình 4.13 Khai báo mã PIN 31 Chọn lược đồ ký, độ mạnh khóa đặt mã PIN Mã PIN quan trọng, chứng có mợt mã PIN Hình 4.14 Thỏa thuận người dùng Hình 4.15 Tạo yêu cầu Sau tạo xong yêu cầu, phải vào mục Issue the certificate để chấp thuận yêu cầu Trong sửa lại yêu cầu, tạo chứng xóa bỏ yêu cầu 32 Hình 4.16 Ký chứng Sau Issue certificate lấy chứng máy cách chọn mục Handle the certificate Tại thấy chứng cấp cho người dùng Chọn More info để xem chi tiết thông tin chứng lấy chứng máy người dùng Hình 4.17 Download chứng máy 4.2.3 Khởi tạo RA Quá trình cài đặt RA tương tự RootCA Chỉ khác cài đặt gói openca-base chọn chế độ install-online Sau cài đặt xong RA, người dùng đăng ký cấp chứng trực tiếp RA Sau các yêu cầu gửi đến cho CA để CA ký Các chứng sau CA ký xong gửi trả lại cho RA để người dùng lấy về, đồng thời các chứng thư công bố hệ thống kho lưu trữ (repositories) 33 TÀI LIỆU THAM KHẢO [1] OpenCA Guide for Versions 0.9.2+ _ OpenCA Group [2] Chứng thực điện tử _ ThS Lê Quang Tùng, KS Nguyễn Thị Hồng Hà 34 ... học, nhóm chúng em chọn đề tài Installation and Configuration of OpenCA để tìm hiểu hệ thống OpenCA, từ triển khai cài đặt cấu hình mợt số dịch vụ OpenCA Nội dung báo cáo gồm chương: Chương... thống OpenCA OpenCA một hệ thống trustcenter mã nguồn mở hỗ trợ cộng đồng với mợt giải pháp tốt, rẻ tiền thích ứng với sở hạ tầng Trên sở kiến thức học, nhóm chúng em chọn đề tài Installation. .. CHƯƠNG III TỔNG QUAN VỀ HỆ THỐNG OPENCA .24 3.1 Giới thiệu OpenCA .24 3.2 Thiết kế chung OpenCA .25 CHƯƠNG IV CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG OPENCA 26 4.1 Chuẩn bị