Chơng trình KC-01: Nghiên cứu khoa học phát triển công nghệ thông tin truyền thông Đề tài KC-01-01: Nghiên cứu số vấn đề bảo mật an toàn thông tin cho mạng dùng giao thức liên mạng máy tính IP Báo cáo kết nghiên cứu Hệ thèng phÇn mỊm cung cÊp chøng chØ sè Qun 6A: “Mét hƯ thèng cung cÊp chøng chØ sè theo m« hình sinh khoá tập trung Hà NộI-2003 Báo cáo kết nghiên cứu Hệ thống phần mềm cung cấp chứng chØ sè Qun 6A: “Mét hƯ thèng cung cÊp chøng số theo mô hình sinh khoá tập trung Chủ trì nhóm thực hiện: TS Trần Duy Lai Mục lục Chơng I Cài đặt thiết lập cấu hình cho Máy CA 1-Giới thiệu số vấn đề liên quan đến sở hạ tầng khóa công khai 1 1.1-Các giao thức quản lý sở hạn tầng khóa công khai theo chuẩn X509 1.2-Hồ sơ chứng số CRL cho sở hạ tầng khóa công khai theo chuẩn X509 2-Cài đặt thiết lập cấu hình cho m¸y CA 3 5 2.1-Cài đặt 2.2-Thiết lập cấu hình 2.3- Mô tả th† mơc, tƯp 2.3.1-Trong th† mơc /MyCA 2.3.2-Néi dung th† mục /home/myca/ 2.4 Các chức máy CA 3-Khởi tạo cho CA Chơng II LDAP Public Database hƯ thèng MyCA 1- LDAP 1.1- Giíi thiƯu chung vỊ LDAP 1.2- Cài đặt thiết lập cấu hình cho LDAP server 1.2.1-Cài đặt LDAP server 1.2.2-Tệp cấu hình LDAP server 2- Cài đặt thiết lập cấu hình cho Public Database Server 2.1-Cài đặt Public Database Server 2.2-Thiết lập cÊu h×nh Public Database Server 2.2.1-ThiÕt lËp cÊu h×nh LDAP server 2.2.2-Thiết lập cấu hình trang publicdatabase Apache 2.3-Mô tả tệp th mục Public Database Server 2.4-Các chức trang publicdatabase 3-Sử dụng chức trang giao diện Public Database Server 3.1-Tải chứng chØ cđa CA tõ Public Database Server 3.2-T¶i chøng chØ cđa ng†êi kh¸c tõ Public Database Server 3.3-CËp nhËt CRLs 3.3.1- CËp nhËt CRL cho tr×nh dut Netscape 3.3.2- CËp nhËt CRL cho Apache Server 3.3.3-CËp nhËt CRL cho tr×nh duyÖt Internet Explorer 3.3.4-CËp nhËt CRL cho IIS 17 18 18 18 18 18 19 19 20 20 21 21 22 23 24 26 27 28 31 33 35 i Chơng III Qui trình phát hành chứng số Bớc 1: Nhập thông tin ngời đợc cấp (Input User's Data) Bớc 2: Ký yêu cầu cấp chøng chØ sè (Sign Certificate Requests) B†íc 3: Chun đổi định dạng chứng (Generate PKCS12 Certificate) B†íc 4: CÊp chøng chØ cho ng†êi dïng 5- B†íc 5: Cập nhật chứng vừa phát hành lên LDAP server 6- B†íc 6: In néi dung chøng chØ Ch‡¬ng IV Qui tr×nh hủ bá chøng chØ sè 1-Qui tr×nh hủ bá chøng chØ 1.1-Hủ bá mét chøng chØ 1.2-Ph¸t hành CRL cập nhật lên LDAP 2-Cấp chứng nhận hủ bá chøng chØ cho ng†êi sư dơng 2.1-T¶i CRL tõ LDAP server vỊ m¸y CA 2.2-In chøng nhËn hủ bá cho ng†êi sư dơng 37 37 40 42 43 46 47 50 50 50 51 53 53 56 ii Chơng I Cài đặt thiết lập cấu hình cho Máy CA 1-Giới thiệu số vấn đề liên quan đến sở hạ tầng khóa công khai 1.1-Các giao thức quản lý sở hạn tầng khóa công khai theo chuẩn X509 PKI đợc xây dựng bao gồm nhiều mô hình riêng biệt việc quản trị mô hình khác Management protocol đợc đa cần thiết để hỗ trợ tơng tác on-line thành phần PKI (giữa CA hệ thống client, CA phát hành cross-certificates) Trớc xác định rõ riêng biệt định dạng message thủ tục cho phần mềm PKI phải xây dựng mô hình PKI Management: định nghĩa thực thể PKI Management tơng tác chúng Sau nhóm tính làm cho phù hợp kiểu định danh thực thể đầu cuối (end entity) Các thực thể đợc đa PKI Management bao gồm end entities (ví dụ, thực thể đợc đặt tên tr†êng Subject cđa certificate) vµ CA (vÝ dơ, thùc thể đợc đặt tên trờng Issuer certificate) Dới vài ví dụ định nghĩa PKI Management Subjects End Entities Nh đà đề cập thuật ngữ "subject" đợc sử dụng để tham chiếu tới thực thể đợc đặt tªn tr†êng Subject cđa mét certificate, chóng ta muốn phân biệt công cụ hay phần mềm đợc sử dụng subject (ví dụ, module quản lý certificate cục bộ) đợc gọi "subject equipment" Trong trờng hợp tổng quát sử dụng thuật ngữ "End Entity" (EE) Tất EEs yêu cầu bảo mật cục truy cập tới số thông tin tối thiểu: tên sở hữu private key, tên CA đợc tin cậy thực thể public key CA (hoặc fingerprint public key) Nơi lu trữ thông tin thay đổi, thay đổi tuỳ thuộc vào cách cài đặt ứng dụng (ví dụ, dạng file nh cryptographic tokens), nơi đợc gọi Personal Security Environment (PSE) EE, định dạng PSE nằm phạm vi cđa RFC nµy Certificate Authority Certificate Authority (CA) lµ mét "third party" thực "third party" (điều cho phép phân biƯt RootCA vµ NonRootCA), CA th†êng thc vỊ mét tỉ chức nhằm mục đích hỗ trợ EEs Một lần sử dụng thuật ngữ CA để thực thể đợc đặt tên trờng Issuer certificate, cần phân biệt công cụ phần cứng phần mềm sử dụng CA ®†a thuËt ng÷ "CA equipment" CA equipment bao gåm thành phần: on-line off-line (private key CA đợc coi thành phần off-line) Các yêu cầu PKI Management Bao gồm 13 yêu cầu sau đây: ã Tơng thích với chuẩn ISO 9594-8 phần certificate extensions ã Tơng thích thành phần series ã Đơn giản vấn đề cập nhật key pair mà không ảnh hởng đến key pair khác (trong hệ thống) ã Sử dụng tính tin cậy PKI Management protocols phải dễ dàng toán điều tiết ã Phải tơng thích với thuật toán mà hoá (chuẩn công nghiệp): RSA, DSA, SHA-1, ã Không loại trừ việc sinh cặp khoá EEs, RAs, CAs ã Hỗ trợ việc công khai certificates (tuỳ thuộc vào cài đặt khác môi trờng khác nhau) ã Hỗ trợ việc huỷ bỏ certificate EEs (CRLs) ã Có thể sử dụng đa dạng "transport mechanisms": mail, http, TCP/IP ftp ã Chỉ có CA thay đổi thêm giá trị trờng certificate, xoá thay đổi extension dựa sách hoạt động ã Hỗ trợ công việc cập nhật CA key cho EEs ã Các chức RA phụ thuộc vào CA (các cách cài đặt môi trờng khác nhau) ã Khi EE yêu cầu certificate bao gồm có giá trị public key, phải có giá trị private key tơng ứng (ký lên request - Proof of Possession of Private Key) 1.2-Hå s¬ chøng chØ số CRL cho sở hạ tầng khóa công khai theo chuÈn X509 X.509 v3 certificate Nh† ®· biÕt, user cã mét public key sÏ cã mét private key đợc sở hữu subject (ngời dùng hệ thống) với kỹ thuật mà hoá chữ ký số đợc sử dụng Tính tin cậy đợc sử dụng chứng public key (gọi certificate), bị ràng buộc chữ ký CA (trusted CA) với khoảng thời gian sử dụng xác định Certificate đợc phân phối qua truyền thông không cần tin cậy hệ thống server khác đợc lu kho không bảo mật hệ thống sử dụng certificate ANSI X9 đà phát triển định dạng X.509 v3 dựa việc mở rộng số trờng dự trữ, trờng bao gồm: thông tin định danh, thông tin thuộc tính khoá, thông tin sách (policy) hệ thống CA bắt buộc certification path (trờng basicConstraints) Certification paths and trust Một user dịch vụ bảo mËt cã mét public key (cã hiÖu lùc) sÏ cã certificate đợc chứng nhận CA (ký lên public key), CA đợc chứng nhận (hoặc nhiều) CA khác Do vậy, nảy sinh khái niệm certification path Trong RFC1422 đà định nghĩa cấu trúc chuỗi CAs cách cứng nhắc, cấu trúc tơng thích với X.509 v1, gồm cã kiĨu CA lµ: IPRA (Internet Policy Registration Authority), PCAs (Policy Certification Authorities) vµ CAs (Certification Authorities) CÊu tróc có hạn chế sau: chế top-down tức tất certification paths phải IPRA, quy tắc đặt tên nhánh hạn chế subject CA, sử dụng khái niệm PCA tức yêu cầu phải biết PCAs đợc thiết lập logic kiểm tra chuỗi certificate Với X.509 v3, hầu hết yêu cầu đợc sử dụng certificate extension, mà không cần hạn chế cấu trúc sử dụng CA Với cấu trúc này, đa kiến trúc mềm dẻo cho hệ thống CA Revocation Khi phát hành certificate, đà đợc định khoảng thời hạn sử dụng định Tuy nhiên, số lý mà ngời sử dụng muốn huỷ bỏ certificate cha hết hạn sử dụng X.509 định nghĩa phơng pháp huỷ bỏ certificate, phơng pháp cho phép CAs chấp nhận huỷ bỏ certificate, đợc gọi CRL (Certificate Revocation List) Danh sách liệt kê tất certificate bị huỷ bá (theo sè serial) Khi mét hƯ thèng b¶o mËt sử dụng certificate, hệ thống kiểm tra chữ ký certificate tính hiệu lực mà kiểm tra có mặt serial CRL (tất nhiên CRL phải đợc cập nhật toàn hệ thống theo định kỳ đó) Nếu số serial có CRL coi nh certificate đà bị huỷ bỏ CRL đợc phân phối qua truyền thông không bảo mật hệ thống server (repository) Một hạn chế phơng pháp CRL, khoảng thời gian phát hành CRL không liên tục Có thể giải hạn chế phơng pháp trực tuyến (on-line method), phơng pháp áp dụng số môi trờng Tuy nhiên, để sử dụng phơng pháp phải đảm nhiệm thêm số yêu cầu bảo mật 2-Cài đặt thiết lập cấu hình cho máy CA Hệ thống cung cấp chứng số MyCA đợc xây dựng hệ điều hành RedHat Linux, gồm hai mô hình: ã Mô hình cấp phát, quản lý huỷ bỏ chứng chỉ, ngời sử dụng sinh khoá ã Mô hình cấp phát, quản lý huỷ bỏ chứng trung tâm sinh khoá (mô hình sinh khoá tập trung) Trong tài liệu trình bày việc cài đặt thiết lập,cấu hình khởi tạo cho máy tính thực chứng phát hành huỷ bỏ chứng số theo mô hình tập trung đơn tầng (không có CA cấp dới) Để tiện việc trình bày, giả sử máy Database server đà đợc cài đặt thiết lập cấu hình (cụ thể đợc trình bày chơng 2) 2.1-Cài đặt Đối với máy đợc thiết lập làm máy CA (Certificate Authority) trớc thực việc cài đặt cần kiểm tra số yêu cầu phần mềm dới đây: Hệ điều hành RedHat Linux 7.2 Perl phiên 5.6.0 cao Apache phiên 1.3.12 cao Toàn phần mềm MyCA đợc lu đĩa CD ROM Để cài đặt máy CA ngời thực tiến hành nh sau: -Copy tệp MayCA.tgz từ đĩa CD vào máy cần thiết lập làm máy CA -Gỡ nén tệp MayCA.tgz, lệnh tar -xvzf /đờng dẫn/MayCA.tgz đợc th mục MayCA, có th mục: MyCA, myca (trong th mục có th mục con: cgi-ca, htdocs-ca, cgi-print) -Copy th† mơc myca vµo th† mơc /home -Copy th† mơc MyCA ngoµi cïng cđa hệ thống th mục 2.2-Thiết lập cấu hình Cấu hình Apache server Giao diện ngời quản trị chơng trình máy CA đợc thực thông qua trình duyệt Netscape, sau cài đặt phần mềm CA để chơng trình hoạt động cần thiết lập cấu hình cho chơng trình CA Apache Việc thiết lập cấu hình để CA sử dụng Apache đợc tiến hành nh sau: -Trong tệp cấu hình Apache (tệp httpd.conf th† mơc /etc/httpd/conf) cÇn bỉ sung trang giao diƯn CA mơc “VirtualHost” nh† sau: DocumentRoot "/home/myca/cgi-print/" ServerName printcert Errorlog logs/print/error_log CustomLog logs/print/access_log common ScriptAlias /cgi-bin/ "/home/myca/cgi-print/" AllowOverride None Options ExecCGI Order allow,deny Allow from all DocumentRoot "/home/myca/htdocs-ca/" ServerName rootca Errorlog logs/ca/error_log CustomLog logs/ca/access_log common ScriptAlias /cgi-bin/ "/home/myca/cgi-ca/" AllowOverride None Options ExecCGI Order allow,deny Allow from all Trong trang printcert đợc sử dụng để in giÊy chøng nhËn cÊp chøng chØ sè cho ng†êi sử dụng, trang rootca giao diện để ngời quản trị thực việc phát hành huỷ bỏ chứng -Trong tệp /etc/hosts bổ sung thêm trang trên: 200.1.1.2 rootca printcert -Cần tạo th mục: ca, print /etc/httpd/logs để lu lại nhật ký, thông báo lỗi chơng trình xuất lỗi -Sau thực cấu hình xong cần khởi động lại Apache để tham số đợc bổ sung có hiệu lực, cách thực lệnh sau: /etc/init.d/httpd restart Cấu hình cho MySSL MyCA Tất tham số cấu hình cho trình MySSL, MyCA tơng ứng đợc để tệp sau /MyCA/conf/myssl.cnf /home/httpd/cgi-ca/ca.conf Hầu hết tham sè hai tƯp nµy cã thĨ dïng chung cho toàn hệ thống, nhiên có tham số mà máy CA (cả root nonroot) cần có thay đổi chúng đợc thiết lập Khi máy CA đợc thiết lập, cần có cặp khoá đợc sinh theo số ID đà đợc hệ thống chấp nhận, số ID dới dạng thập phân đợc dùng làm phần tên tệp khoá nh tên tệp chứng CA (giả sử CA đợc cấp ID 01 khởi tạo cho CA tệp khoá 01.key, tệp chứng 01.crt) Khi tệp cấu hình MySSL (myssl.cnf) MyCA (ca.conf) cần thay đổi tham số sau: -Trong tệp myssl.cnf vào phần [CA-default] thay đổi hai thuộc tính chứng private_key thành: certificate = $dir/01.crt private_key=$dir/private/01.key -Tơng tự tệp ca.conf cần thay đổi hai thuộc tính cacert cakey thuộc tính địa máy public database server: cacert /MyCA/01.crt cakey /MyCA/private/01.key ldapserver 200.1.1.1 2.3- Mô tả th mơc, tƯp 2.3.1-Trong th mơc /MyCA Trong th† mơc /MyCA chứa cấu trúc th mục để quản lý yêu cầu cấp chứng chỉ, chứng tệp sơ liệu cho CA bao gồm số th mục sau: Tên th mục/File /MyCA/certs/new Mô tả Th mục lu chứng vừa đợc phát hành /MyCA/chain /MyCA/conf /MyCA/crl/new /MyCA/dB Th† mơc l†u tƯp chain.crt Th† mơc l†u tƯp cÊu h×nh cho tr×nh MySSL Th† mục lu tệp CRL CA phát hành Th mục lu tệp liệu lu trữ chøng chØ (CA, User) /MyCA/inbound/certs Th† mơc l†u c¸c tƯp chøng chØ cÊp cho CA /MyCA/inbound/deleted Th† mơc l†u c¸c yêu cầu CA tầng dới trình cấp chứng cho CA tơng ứng với tệp yêu cầu tiến hành không thành công /MyCA/inbound/processed Th mục lu tệp yêu cầu tơng ứng với chứng đà đợc cấp cho CA cấp dới /MyCA/inbound/reqs Th mục lu tệp yêu cầu CA cÊp d†íi /MyCA/private Th† mơc l†u tƯp kho¸ cđa CA (đà đợc mà hoá) /MyCA/reqs/pending Th mục lu tệp yêu cầu /MyCA/reqs/processed Th mục lu chứng đà xử lý thành công /MyCA/reqs/deleted Th mục lu tệp yêu cầu đà đợc xử lý nhng không thành công /MyCA/tmp Th mục dùng để lu thông tin trung gian chơng trình thực /MyCA/stuff Th mục lu tệp thông tin liên quan đến trình CA phát hành chứng CRL, gồm tệp sau: Đây tệp chứa số thông tin tóm lợc index.txt chứng đà đợc phát hành trạng thái (Nếu chứng có trạng thái V (validate) có hiệu lực, ngợc R (Revocation) chứng đà bị huỷ bỏ) Nội dung tệp số dới dạng hexa, serial phát hành chứng số serial chứng néi dung ®äc tõ tƯp serial Th† mơc /MyCA/user L†u kho¸, chøng chØ cđa ng†êi sư dơng (theo tõng sè ID) 2.3.2-Néi dung th môc /home/myca/ Trong th† môc lu toàn tệp chơng trình tiện ích thực chức CA Cụ thể dới bảng liệt kê danh sách tệp chức chúng Tên th mục file Chức Th mục /home/httpd/cgi-ca Tệp chơng trình để thực chức ca đợc gäi tõ form chÝnh cđa CA TƯp cÊu h×nh cho CA ca.conf Hình 14 Cho đĩa mềm vào ổ thực lệnh "./copyUserCert" nh hình 15 Hình 15 Ng†êi thùc hiƯn nhËp sè PIN cđa ng†êi sư dơng cần copy chứng số nh hình 16 44 Hình 16 Quá trình copy chứng số ngời sử dụng chứng CA lên đĩa mềm đợc thực thông báo nh hình 17 Hình 17 Quá trình cấp chứng số kết thúc Ngời sử dụng đợc cấp đĩa mềm có chứng số họ dới định dạng PKCS12 chøng chØ cđa CA Ng†êi sư dơng sÏ thùc hiƯn cài đặt chứng cho ứng dụng Mail 45 5- Bíc 5: CËp nhËt chøng chØ võa ph¸t hành lên LDAP server Để thực hiện, ngời quản trị chọn chức "Export Certificates to LDAP server", hình xuất thông báo nh hình 18 Hình 18 Ngoài chức trên, giao diện hai chức nhng chi chức phụ không cần quan tâm -Chức "Pending Requests List": hiển thị yêu cầu cha đợc ký Khi chọn chức hình xuất danh sách request cha đợc ký nh hình 19 Hình 19 -Chức "Issue Certificate": hiển thị danh sách chứng đà cấp nh hình 20 46 H×nh 20 6- Bíc 6: In néi dung chøng chØ Sử dụng trang http://printcert hình Netscape xuất giao diện nh hình 21 Hình 21 Nhắp chuột vào "Print Certificate", hình xuất form nh† h×nh 22 47 H×nh 22 Ng†êi thùc hiƯn gâ sè PIN cđa chøng chØ cÇn in, råi nhÊn "Continue ", hình xuất nội dung cần in nh hình 23 48 Hình 23 Vào menu File trình duyệt Netscape, chọn chức Print để in nội dung cđa chøng chØ cÊp cho ng†êi sư dơng 49 Chơng IV Qui trình huỷ bỏ chứng số 1-Qui tr×nh hủ bá chøng chØ 1.1-Hủ bá mét chøng chØ Chọn chức "Revoke a certificate by Administrator" giao diện CA, hình xuất giao diện nh hình Hình Ngời quản trị thực gõ ID chứng cần huỷ bỏ vào mục "Input ID", chọn "Continue" Trên hình xuất hộp hội thoại nh hình Hình Ngời quản trị chọn "OK", hình xuất hộp hội thoại nh hình Hình 50 Ngời quản trị nhập mật đợc sử dụng để làm khoá giải mà khoá bí mật CA, sau chọn "OK", trình huỷ bỏ chứng có ID đợc nhập đợc thực Hình 1.2-Phát hành CRL cập nhật lên LDAP Trên máy CA ngời quản trị chọn mục Issue New CRL, xuất hộp thoại nh hình Hình Ngầm định hiƯu lùc cđa danh s¸ch c¸c chøng chØ hủ bá ngày (có thể thay đổi), chọn Issue new CRL, xuất cảnh báo bạn phải đa danh sách công khai toàn hệ thống CA, tức đa máy LDAP server sau phát hành, nh hình dới Hình 51 Chọn OK để tiếp tục, xuất hộp thoại nh hình yêu cầu vào mật CA: Hình Chọn OK, để thực công việc phát hành danh sách chứng huỷ bỏ nh hình dới Hình Công việc cuối mà ngời quản trị CA phải thực đa danh sách công khai toàn hệ thống, chọn mục Update current CRL to LDAP server, thành công xuất thông báo nh hình dới 52 Hình Sau bớc chứng ngời sử dụng có yêu cầu huỷ bỏ đà đợc phát hành đa lên LDAP Server Tất máy hệ thống CA phải cập nhật danh sách vào hệ thống thông qua trang publicdatabase đặt máy LDAP (việc cập nhật CRL cho ngời sử dụng môi trờng làm việc khác đà trình bày chơng 2) 2-Cấp chứng nhận hủ bá chøng chØ cho ngêi sư dơng 2.1-T¶i CRL từ LDAP server máy CA Để tải CRL t¹i tõ LDAP server, phơc vơ cho viƯc in chøng nhận huỷ bỏ, ngời quản trị máy Ca thực hiƯn: Trong tƯp /etc/hosts bỉ sung dßng: 200.1.1.1 publicdatabase (Trong địa IP 200.1.1.1 địa máy LDAP server) Më trang http://publicdatabase, giao diƯn trang nµy xt hiƯn nh† h×nh 10 53 H×nh 10 Sư dơng chøc "Update CRLs", hình xuất giao diện nh† h×nh 11 H×nh 11 54 Chän "Get Current CRLs for Apache Server", hình xuất giao diện nh hình 12 Hình 12 Ngời quản trị gõ tên cđa CA vµo mơc "CA's Common Name", råi chän "Continue ", hình xuất hộp hội thoại nh hình 13 Hình 13 Ngời quản trị chọn "Continue Submission", hình xuất hộp hội thoại nh hình 14 55 Hình 14 Ngời quản trị chọn nơi lu tệp CRL đợc tải theo đờng dẫn /MyCA/tmp/chain.crl chọn OK Quá trình tải tệp CRL kết thúc, 2.2-In chøng nhËn hủ bá cho ngêi sư dơng §Ĩ thùc hiƯn viƯc in chøng nhËn chøng chØ sè cđa mét ngời sử dụng nàô đà bị huỷ bỏ, ngời quản trị thực bớc dới đây: Mở trang http://printcert, hình xuất hộp hội thoại nh hình 15 56 Hình 15 Ngời quản trị chọn chức "Print CRL", hình xuất giao diện nh hình 16 Hình 16 57 Ngời quản trị nhập số ID chứng đà bị huỷ bỏ vào mục "ID" chọn "Continue", hình xuất form hiĨn thÞ néi dung giÊy chøng nhËn hủ bá chứng nh hình 17 Hình 17 Văn đợc in bản, ngời sử dụngr ngời đại diện xác nhận phải thực ký vào biên Đến kết thúc việc hủ bá mét chøng chØ (ng†êi sư dơng hÕt tr¸ch nhiƯm ®èi víi chøng chØ ®ã) 58 ... Linux, gồm hai mô hình: ã Mô hình cấp phát, quản lý huỷ bỏ chứng chỉ, ngời sử dụng sinh khoá ã Mô hình cấp phát, quản lý huỷ bỏ chứng trung tâm sinh khoá (mô hình sinh khoá tập trung) Trong tài...Báo cáo kết nghiên cứu Hệ thống phần mềm cung cÊp chøng chØ sè Qun 6A: “Mét hƯ thèng cung cấp chứng số theo mô hình sinh khoá tập trung Chủ trì nhóm thực hiện: TS Trần Duy... copy chứng số nh hình 16 44 Hình 16 Quá trình copy chứng số ngời sử dụng chứng CA lên đĩa mềm đợc thực thông báo nh hình 17 Hình 17 Quá trình cấp chứng số kết thúc Ngời sử dụng đợc cấp đĩa mềm