Triển khai các dịch vụ dựa trên CA (Certification authority)

Triển khai các dịch vụ dựa trên CA (Certification authority)

I Gi i thi u

Ngày nay, vi c giao ti p qua m ng Internet ang tr thành m t nhu c u c p thi t.Các thông tin truy n trên m ng u r t quan tr ng, nh mã s tài kho n, thông tint Tuy nhiên, v i các th n tinh vi, nguy c b n c p thông tin qua m ng c ngngày càng gia t ng Hi n giao ti p qua Internet ch y u s d ng giao th c TCP/IP.ây là giao th c cho phép các thông tin c g i t máy tính này t i máy tính khácthông qua m t lo t các máy trung gian ho c các m ng riêng bi t Chính u này ão c h i cho nh ng ''k tr m'' công ngh cao có th th c hi n các hành ng phipháp Các thông tin truy n trên m ng u có th b nghe tr m (Eavesdropping), gi

o (Tampering),o danh (Impersonation) v.v Các bi n pháp b o m t hi n nay,

ch ng h n nh dùng m t kh u, u không m b o vì có th b nghe tr m ho c b dòra nhanh chóng.

Do v y, b o m t, các thông tin truy n trên Internet ngày nay u có xu h ngc mã hoá Tr c khi truy n qua m ng Internet, ng i g i mã hoá thông tin, trongquá trình truy n, dù có ''ch n'' c các thông tin này, k tr m c ng không th cc vì b mã hoá Khi t i ích, ng i nh n s s d ng m t công c c bi t gi imã Ph ng pháp mã hoá và b o m t ph bi n nh t ang c th gi i áp d ng làch ng ch s (Digital Certificate) V i ch ng ch s , ng i s d ng có th mã hoáthông tint cách hi u qu , ch ng gi m o (cho phép ng i nh n ki m tra thông tincó b thay i không), xác th c danh tính c a ng i g i Ngoài ra ch ng ch s còn là

ng ch ng giúp ch ng ch i cãi ngu n g c, ng n ch n ng i g i ch i cãi ngu n g ctài li u mình ã g i.

M t cách mã hóa d li u m b o an toàn ó là mã hóa khóa công khai d ng c cách mã hóa này, c n ph i có m t ch ng ch s t t ch c qu n tr ci là nhà cung c p ch ng ch s ( certification authority – CA).

II C s h t ng khóa công khai

II.1Khái ni m

t PKI (public key infrastructure) cho phép ng i s d ng c a m t m ng côngng không b o m t, ch ng h n nh Internet, có th trao i d li u và ti n m t cáchan toàn thông qua vi c s d ng m t c p mã khoá công khai và cá nhân c c p phátvà s d ng qua m t nhà cung c p ch ng th c c tín nhi m N n t ng khoá côngkhai cung c p m t ch ng ch s , dùng xác minh m t cá nhân ho c t ch c, và cácch v danh m c có th l u tr và khi c n có th thu h i các ch ng ch s M c dùcác thành ph n c b n c a PKI u c ph bi n, nh ng m t s nhà cung c p angmu n a ra nh ng chu n PKI riêng khác bi t M t tiêu chu n chung v PKI trênInternet c ng ang trong quá trình xây d ng.

t c s h t ng khoá công khai bao g m:

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 2

• t Nhà cung c p ch ng th c s (CA) chuyên cung c p và xác minh cácch ng ch s M t ch ng ch bao g m khoá công khai ho c thông tin vkhoá công khai.

• t nhà qu n lý ng ký (Registration Authority (RA)) óng vai trò nhng i th m tra cho CA tr c khi m t ch ng ch s c c p phát t i ng iyêu c u.

• t ho c nhi u danh m c n i các ch ng ch s (v i khoá công khai c a nó)c l u gi , ph c v cho các nhu c u tra c u, l y khoá công khai c a itác c n th c hi n giao d ch ch ng th c s

• t h th ng qu n lý ch ng ch

II.2Nhà cung c p ch ng th c s CA (Certificate Authority)

Trong các h th ng qu n lý ch ng th c s ang ho t ng trên th gi i, Nhà cungp ch ng th c s (Certificate authority - CA) là m t t ch c chuyên a ra và qu nlý các n i dung xác th c b o m t trên m t m ng máy tính, cùng các khoá công khai mã hoá thông tin Là m t ph n trong C s h t ng khoá công khai (public keyinfrastructure - PKI), m t CA s ki m soát cùng v i m t nhà qu n lý ng ký(Registration authority - RA) xác minh thông tin v m t ch ng ch s mà ng iyêu c u xác th c a ra N u RA xác nh n thông tin c a ng i c n xác th c, CA sau

ó s a ra m t ch ng ch

Tu thu c vào vi c tri n khai c s h t ng khoá công khai, ch ng ch s s baom khoá công khai c a ng i s h u, th i h n h t hi u l c c a ch ng ch , tên ch su và các thông tin khác v ch khoá công khai.

II.3Ch ng ch s

II.3.1 Khái ni m

Ch ng ch s là m t t p tin n t dùng xác minh danh tính m t cá nhân, m tmáy ch , m t công ty trên Internet Nó gi ng nh b ng lái xe, h chi u, ch ng minhth hay nh ng gi y t xác minh cá nhân.

có ch ng minh th , b n ph i c c quan Công An s t i c p Ch ng ch sng v y, ph i do m t t ch c ng ra ch ng nh n nh ng thông tin c a b n là chínhxác, c g i là Nhà cung c p ch ng th c s (Certificate Authority, vi t t t là CA).

CA ph i m b o v tin c y, ch u trách nhi m v chính xác c a ch ng ch smà mình c p.

Trong ch ng ch s có ba thành ph n chính:• Thông tin cá nhân c a ng i c c p.

• Khoá công khai (Public key) c a ng i c c p.• Ch ký s c a CA c p ch ng ch

• Th i gian h p l

Thông tin cá nhân

ây là các thông tin c a i t ng c c p ch ng ch s , g m tên, qu c t ch, ach , n tho i, email, tên t ch c v.v Ph n này gi ng nh các thông tin trên ch ngminh th c a m i ng i.

Khoá công khai

Trong khái ni m m t mã, khoá công khai là m t giá tr c nhà cung c p ch ngch a ra nh m t khoá mã hoá, k t h p cùng v i m t khoá cá nhân duy nh t c

o ra t khoá công khai t o thành c p mã khoá b t i x ng.

Nguyên lý ho t ng c a khoá công khai trong ch ng ch s là hai bên giao d chph i bi t khoá công khai c a nhau Bên A mu n g i cho bên B thì ph i dùng khoácông khai c a bên B mã hoá thông tin Bên B s dùng khoá cá nhân c a mình

thông tin ó ra Tính b t i x ng trong mã hoá th hi n ch khoá cá nhân cóth gi i mã d li u c mã hoá b ng khoá công khai (trong cùng m t c p khoá duynh t mà m t cá nhân s h u), nh ng khoá công khai không có kh n ng gi i mã l ithông tin, k c nh ng thông tin do chính khoá công khai ó ã mã hoá ây là ctính c n thi t vì có th nhi u cá nhân B,C, D cùng th c hi n giao d ch và có khoácông khai c a A, nh ng C,D không th gi i mã c các thông tin mà B g i cho Adù cho ã ch n b t c các gói thông tin g i i trên m ng.

t cách hi u nôm na, n u ch ng ch s là m t ch ng minh th nhân dân, thìkhoá công khai óng vai trò nh danh tính c a b n trên gi y ch ng minh th (g m têna ch , nh ), còn khoá cá nhân là g ng m t và d u vân tay c a b n N u coi m tu ph m là thông tin truy n i, c "mã hoá" b ng a ch và tên ng i nh n c an, thì dù ai ó có dùng ch ng minh th c a b n v i m c ich l y b u ph m này, hng không c nhân viên b u n giao b u ki n vì nh m t và d u vân tay khônggi ng.

Ch ký s c a CA c p ch ng ch

Còn g i là ch ng ch g c ây chính là s xác nh n c a CA, b o m tính chínhxác và h p l c a ch ng ch Mu n ki m tra m t ch ng ch s , tr c tiên ph i ki mtra ch ký s c a CA có h p l hay không Trên ch ng minh th , ây chính là conu xác nh n c a Công An T nh ho c Thành ph mà b n tr c thu c V nguyên t c,khi ki m tra ch ng minh th , úng ra u tiên ph i là xem con d u này, bi t ch ngminh th có b làm gi hay không.

II.3.2 L i ích c a ch ng ch sa) Mã hoá

L i ích u tiên c a ch ng ch s là tính b o m t thông tin Khi ng i g i ã mãhoá thông tin b ng khoá công khai c a b n, ch c ch n ch có b n m i gi i mã cthông tin c Trong quá trình truy n thông tin qua Internet, dù có c c cácgói tin ã mã hoá này, k x u c ng không th bi t c trong gói tin có thông tingì ây là m t tính n ng r t quan tr ng, giúp ng i s d ng hoàn toàn tin c y v kh

ng b o m t thông tin Nh ng trao i thông tin c n b o m t cao, ch ng h n giaoch liên ngân hàng, ngân hàng n t , thanh toán b ng th tín d ng, u c n ph i cóch ng ch s m b o an toàn.

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 4

b) Ch ng gi m o

Khi b n g i i m t thông tin, có th là m t d li u ho c m t email, có s d ngch ng ch s , ng i nh n s ki m tra c thông tin c a b n có b thay i haykhông B t k m t s s a i hay thay th n i dung c a thông p g c u s b pháthi n a ch mail, tên domain u có th b k x u làm gi ánh l a ng i nh n lây lan virus, n c p thông tin quan tr ng Tuy nhiên, ch ng ch s thì không thlàm gi , nên vi c trao i thông tin có kèm ch ng ch s luôn m b o an toàn.

c) Xác th c

Khi g i m t thông tin kèm ch ng ch s , ng i nh n - có th là i tác kinh doanh, ch c ho c c quan chính quy n - s xác nh rõ c danh tính c a b n Có ngh alà dù không nhìn th y b n, nh ng qua h th ng ch ng ch s mà b n và ng i nh ncùng s d ng, ng i nh n s bi t ch c ch n ó là b n ch không ph i là m t ng ikhác Xác th c là m t tính n ng r t quan tr ng trong vi c th c hi n các giao d ch n qua m ng, c ng nh các th t c hành chính v i c quan pháp quy n Các ho t ngnày c n ph i xác minh rõ ng i g i thông tin s d ng t cách pháp nhân âychính là n n t ng c a m t Chính ph n t , môi tr ng cho phép công dân có thgiao ti p, th c hi n các công vi c hành chính v i c quan nhà n c hoàn toàn qua

ng Có th nói, ch ng ch s là m t ph n không th thi u, là ph n c t lõi c a Chính

d) Ch ng ch i cãi ngu n g c

Khi s d ng m t ch ng ch s , b n ph i ch u trách nhi m hoàn toàn v nh ngthông tin mà ch ng ch s i kèm Trong tr ng h p ng i g i ch i cãi, ph nh n m tthông tin nào ó không ph i do mình g i (ch ng h n m t n t hàng qua m ng),ch ng ch s mà ng i nh n có c s là b ng ch ng kh ng nh ng i g i là tác gi

a thông tin ó Trong tr ng h p ch i cãi, CA cung c p ch ng ch s cho hai bên sch u trách nhi m xác minh ngu n g c thông tin, ch ng t ngu n g c thông tin c

e) Ch ký n t

Email óng m t vai trò khá quan tr ng trong trao i thông tin hàng ngày c achúng ta vì u m nhanh, r và d s d ng Nh ng thông p có th g i i nhanhchóng, qua Internet, n nh ng khách hàng, ng nghi p, nhà cung c p và các i tác.Tuy nhiên, email r t d b c b i các hacker Nh ng thông p có th b c hay bgi m o tr c khi n ng i nh n.

ng vi c s d ng ch ng ch s cá nhân, b n s ng n ng a c các nguy c nàymà v n không làm gi m nh ng l i th c a email V i ch ng ch s cá nhân, b n cóth t o thêm m t ch ký n t vào email nh m t b ng ch ng xác nh n c a mình.Ch ký n t c ng có các tính n ng xác th c thông tin, toàn v n d li u và ch ngch i cãi ngu n g c.

Ngoài ra, ch ng ch s cá nhân còn cho phép ng i dùng có th ch ng th c mìnhi m t web server thông qua giao th c b o m t SSL Ph ng pháp ch ng th c d a

trên ch ng ch s c ánh giá là t t, an toàn và b o m t h n ph ng pháp ch ngth c truy n th ng d a trên m t kh u.

f)o m t Website

Khi Website c a b n s d ng cho m c ích th ng m i n t hay cho nh ngc ích quan tr ng khác, nh ng thông tin trao i gi a b n và khách hàng c a b ncó th b l tránh nguy c này, b n có th dùng ch ng ch s SSL Server b o

t cho Website c a mình.

Ch ng ch s SSL Server s cho phép b n l p c u hình Website c a mình theogiao th c b o m t SSL (Secure Sockets Layer) Lo i ch ng ch s này s cung c pcho Website c a b n m t nh danh duy nh t nh m m b o v i khách hàng c a b n tính xác th c và tính h p pháp c a Website Ch ng ch s SSL Server c ng chophép trao i thông tin an toàn và b o m t gi a Website v i khách hàng, nhân viên và

i tác c a b n thông qua công ngh SSL mà n i b t là các tính n ng:+ Th c hi n mua bán b ng th tín d ng.

+ B o v nh ng thông tin cá nhân nh y c m c a khách hàng.+ m b o hacker không th dò tìm c m t kh u.

g)m b o ph n m m

u b n là m t nhà s n xu t ph n m m, ch c ch n b n s c n nh ng ''con temch ng hàng gi '' cho s n ph m c a mình ây là m t công c không th thi u trongvi c áp d ng hình th c s h u b n quy n Ch ng ch s Nhà phát tri n ph n m m scho phép b n ký vào các applet, script, Java software, ActiveX control, các file d ngEXE, CAB, DLL Nh v y, thông qua ch ng ch s , b n s m b o tính h p phápng nh ngu n g c xu t x c a s n ph m H n n a ng i dùng s n ph m có th xácth c c b n là nhà cung c p, phát hi n c s thay i c a ch ng trình (do vôtình h ng hay do virus phá, b crack và bán l u ).

i nh ng l i ích v b o m t và xác th c, ch ng ch s hi n ã c s d ng r ngrãi trên th gi i nh m t công c xác minh danh tính c a các bên trong giao d chth ng m i n t ây là m t n n t ng công ngh mang tính tiêu chu n trên toànu, m c dù m i n c có m t s chính sách qu n lý ch ng th c s khác nhau M iqu c gia u c n có nh ng CA b n a ch ng v các ho t ng ch ng th c strong n c Nh ng ngoài ra, n u mu n th c hi n TM T v t ra ngoài biên gi i, cácqu c gia c ng ph i tuân theo các chu n công ngh chung, và th c hi n ch ng th cchéo, trao i và công nh n các CA c a nhau.

III Tri n khai d ch v CA trên môi tr ng Window Server 2003

Trên môi tr ng h u hành Windows Server 2003, CA là m t ph n m m ctích h p s n.

III.1Cài t d ch v CA

ng nh p vào Windows Server 2003 v i quy n Administrator.

1 Click vào Start à Control Panel à Add Or Remove Programs H p tho i Add OrRemove Programs xu t hi n.

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 6

2 Click Add/Remove Windows Components H p tho i Add/Remove WindowsComponents xu t hi n à ch n Certificate Services.

3 Click ch n à ch n Details H p tho i Certificate Services xu t hi n.

4 p tho i c nh báo v thành viên domain và ràng bu c i tên máy tính xu t hi n àclick Yes.

5 Trong trang lo i CA, click ch n Enterprise Root CA à click Next.

6 Trên trang thông tin nh n ra CA, trong h p Common name, ánh tên c a server à clicknext.

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

10 Khi quá trình cài t hoàn t t à click Finish.

III.2Các d ch v ch ng ch CA Windows Server 2003 cung c p

Ch ký n t : d ng xác nh n ng i g i thông p, file ho c d li ukhác Ch ký n t không h tr b o v d li u khi truy n.

Ch ng th c internet: Có th s d ng PKI ch ng th c client và server cthi t l p n i k t trên internet, vì v y server có th nh n d ng máy client n i k t n nóvà client có th xác nh n ã n i k t úng server.

o m t IP ( IP Security - IPSec): m r ng IPSec cho phép mã hóa và truy n

ch ký s , nh m ng n ch n d li u b l khi truy n trên m ng Tri n khai IPSec trênWindows Server 2003 không ph i dùng PKI có c khóa mã hóa c a nó, nh ngcó th dùng PKI v i m c ích này.

Secure e-mail: Giao th c e-mail trên internet truy n thông p mail ch b nrõ, vì v y n i dung mail d dàng c c khi truy n V i PKI, ng i g i có th b ot e-mail khi truy n b ng cách mã hóa n i dung mail dùng khóa công khai c ang i nh n Ngoài ra, ng i g i có th ký lên thông p b ng khóa riêng c a mình.

Smart card logon: Smart card là m t lo i th tín d ng Windows Server 2003 có

th dùng smart card nh là m t thi t b ch ng th c Smart card ch a ch ng ch c a

user và khóa riêng, cho phép ng i dùng logon t i b t k máy nào trong doanhnghi p v i an toàn cao.

Software code signing: K thu t Authenticode c a Microsoft dùng ch ng ch

ch ng th c nh ng ph n m m ng i dùng download và cài t chính xác là c a tác givà không c ch nh s a.

Wireless network authentication: Khi cài t m t LAN wireless, ph i ch c ch nng ch ng i dùng ch ng th c úng thì m i c n i k t m ng và không có ai cóth nghe lén khi giao ti p trên wireless Có th s d ng Windows Server 2003 PKI

o v m ng wireless b ng cách nh n d ng và ch ng th c ng i dùng tr c khi htruy c p m ng.

III.3 Các lo i CA trên Windows Server 2003

Trên windows Server 2003 có hai lo i CA:

Enterprise: Enterprise CAs c tích h p trong d ch v Active Directory Chúng d ng m u ch ng ch , xu t b n (publish) ch ng ch và CRLs n Active Directory, d ng thông tin trong c s d li u Active Directory ch p nh n ho c t ch i yêuu c p phát ch ng ch t ng B i v y client c a t ch c CA ph i truy xu t nActive Directory nh n ch ng ch , nhi u t ch c CA không thích h p cho vi c c pphát ch ng ch cho các client bên ngoài t ch c.

Stand-alone Stand-alone CAs không dùng m u ch ng ch hay Active Directory;

chúng l u tr thông tin c c b c a nó H n n a, m c nh, stand-alone CAs không tng áp l i yêu c u c p phát ch ng ch s gi ng nh enterprise CAs làm Yêu c uch trong hàng i cho ng i qu n tr ch p nh n ho c t ch i b ng tay.

Dù ng i dùng ch n t o ra m t enterprise CA hay là m t stand-alone CA, uph i ch rõ CA là g c (root) hay c p d i (subordinate).

III.4C p phát và qu n lí các ch ng ch s

III.4.1C p phát tng (Auto-Enrollment)

Auto-Enrollment cho phép client yêu c u t ng và nh n ch ng ch s t CA màkhông c n s can thi p c a ng i qu n tr dùng Auto-Enrollment thì ph i códomain ch y Windows Server 2003, m t enterprise CA ch y trên Windows Server2003 và client có th ch y Windows XP Professional u khi n ti n trình Auto-Enrollment b ng s ph i h p c a group policy và m u ch ng ch s

c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho t t c cácng i dùng và máy tính n m trong domain cài t, b n m chính sách cài tAuto-Enrollment, n m trong th m c Windows Settings\ Sercurity Settings\PublicKey Policies trong c 2 node Computer Configuration và User Configuration c aGroup Policy Object Editor H p tho i Autoenrollment Settings Properties xu t hi n,n có th c m hoàn toàn auto-enrollment cho các i t ng s d ng GPO này B nng có th cho phép các i t ng thay i ho c c p nh t ch ng ch s c a chúng

t cách t ng.

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 10

t k thu t khác b n có th dùng u khi n auto-enrollment là xây d ng m uch ng ch có xác nh c tính c a ki u ch ng ch s rõ ràng qu n lý m u ch ngch s , b n dùng m u ch ng ch s có s n ( Certificate Templates snap-in), nh hìnhi S d ng công c này, b n có th ch rõ th i gian hi u l c và th i gian gia h na lo i ch ng ch s ã ch n, ch n d ch v mã hóa (cryptographic) cung c p chochúng Dùng tab Security, b n c ng có th ch rõ nh ng user và group c phép yêu

u ch ng ch s dùng m u này.

Khi client yêu c u m t ch ng ch s , CA ki m tra c tính i t ng ActiveDirectory c a client quy t nh li u client có quy n t i thi u c nh n ch ng chkhông? N u client có quy n thích h p thì CA s c p phát ch ng ch s m t cách t

III.4.2C p phát không tng (Manual Enrollment)

Stand-alone CAs không th dùng auto-enrollment, vì v y khi m t stand-alone CAnh n yêu c u v ch ng ch s t client, nó s l u tr nh ng yêu c u ó vào trong m thàng i cho t i khi ng i qu n tr quy t nh li u có c p phát ch ng ch s haykhông? giám sát và x lý các yêu c u vào, ng i qu n tr dùng CertificationAuthority console, nh hình sau:

Trong Certification Authority console, t t c yêu c u c p phát ch ng ch s xu thi n trong th m c Pending Request Sau khi ánh giá thông tin trong m i yêu c u,ng i qu n tr có th ch n ch p nh n (issue) hay t ch i yêu c u Ng i qu n tr

ng có th xem c tính c a vi c c p phát ch ng ch và thu h i ch ng ch khi c n.

III.4.3Các cách yêu c u c p phát CA

III.4.3.1S d ng Certificates Snap-in:

Certificate Snap-in là m t công c dùng xem và qu n lý ch ng ch c a m t userho c computer c th Màn hình chính c a snap-in bao g m nhi u th m c ch a t t c

ng m c ch ng ch s c ch nh cho user ho c computer N u t ch c c a ng idùng s d ng enterprise CAs, Certificate Snap-in c ng cho phép ng i dùng yêu c uvà thay i ch ng ch s b ng cách dùng Certificate Request Wizard và CertificateRenewal Wizard.

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 12

III.4.3.2Yêu c u c p phát thông qua Web (Web Enrollment)

Khi b n cài t Certificate Services trên máy tính ch y Windows Server 2003,ng i dùng có th ch n cài t module Certificate Services Web Enrollment Support ho t ng m t cách úng n, module này yêu c u ng i dùng ph i cài t IIStrên máy tính tr c Ch n module này trong quá trình cài t Certificate Services t ora trang Web trên máy tính ch y CA, nh ng trang Web này cho phép ng i dùng g iyêu c u c p ch ng ch s yêu c u mà h ch n.

Giao di n Web Enrollment Support c dùng cho ng i s d ng bên ngoài ho cbên trong m ng truy xu t n stand-alone CAs Vì stand-alone server không dùngu ch ng ch s , client g i yêu c u bao g m t t c các thông tin c n thi t v ch ngch s và thông tin v ng i s d ng ch ng ch s

Khi client yêu c u ch ng ch s dùng giao di n Web Enrollment Support, chúngcó th ch n t danh sách lo i ch ng ch ã c nh ngh a tr c ho c t o ra ch ngch cao c p b ng cách ch rõ t t c các thông tin yêu c u trong form Web-based.

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 14

III.4.4Thu h i ch ng ch s

Có vài nguyên nhân c nh báo cho ng i qu n tr thu h i ch ng ch N u nh khóariêng ( private key) b l , ho c ng i dùng trái phép l i d ng truy xu t n CA, th mchí n u b n mu n c p phát ch ng ch dùng tham s khác nh là khóa dài h n, b nph i c thu h i ch ng ch tr c ó M t CA duy trì m t CRL (CertificateRevocation List) Enterprise CAs xu t b n CRLs c a chúng trong c s d li uActive Directory, vì v y client có th truy xu t chúng dùng giao th c truy n thôngActive directory chu n, g i là Lightweight Directory Access Protocol (LDAP) M tstand-alone CA l u tr CRL c a nó nh là m t file trên a c c b c a server, vì v yclient truy xu t dùng giao th c truy n thông Internet nh Hypertext Transfer Protocol(HTTP) or File Transfer Protocol (FTP).

i ch ng ch s ch a ng d n t i m phân ph i c a CA cho CRLs Có tha i ng d n này trong Certification Authority console b ng cách hi n th h ptho i Properties cho CA, click vào tab Extension Khi m t ng d ng ch ng th c clientang dùng ch ng ch s , nó ki m tra m phân ph i CRL ã nh rõ trong ch ng ch

, ch c ch n r ng ch ng ch s không b thu h i N u CRL không có t i mphân ph i ã nh rõ c a nó, ng d ng t ch i ch ng ch

ng cách ch n th m c Revoked Certificates trong Certification Authorityconsole và sau ó hi n th h p tho i Properties c a nó, b n có th ch rõ bao lâu thìCA nên xu t b n m t CRL m i, và c ng c u hình CA xu t b n delta CRLs.M t

delta CRL là m t danh sách t t c các ch ng ch ã thu h i t khi CRL cu i cùng xu tn Trong t ch c v i s l ng ch ng ch s l n, s d ng CRLs thay vì CRLs c b ncó th l u m t s l n.

IV Tri n khai m t s d ch v m ng s d ng CA

IV.1 D ch v Web s d ng SSL

SSL-Sercue Socket Layer, là m t giao th c mã hóa cung c p s truy n thông antoàn trên Internet nh web browsing, e-mail.SSL cung c p s ch ng th c t i các mcu i c a k t n i, kênh truy n thông riêng t trên Internet b ng cách mã hóa Thôngth ng ch có Server là c ch ng th c, có ngh a là ch có ng i dùng cu i (ng i d ng, ng d ng, …) bi t rõ mình ang “nói chuy n” v i ai m c b o m t caon, c hai phía u ph i bi t nhau, ch ng th c l n nhau Ch ng th c l n nhau yêuu dùng h t ng khóa công khai-PKI.

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 16

c 1: M IIS, click chu t ph i vào website c n c u hình SSL, ch n tabDirectory Security, ch n Server Certificate

c 2: Ch n t o m i m t ch ng ch

Nh n Next, ch n Prepare for Request now, but send it later và l u yêu c u c pphát xu ng file

tài khoa h c c p tr ng Tri n khai các d ch v d a trên CA

Trang 18

c 3: M Internet Explorer, gõ vào c ch c a CA Service yêu c u c p phátch ng ch qua web