Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 14 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
14
Dung lượng
1,44 MB
Nội dung
Thực thi khắc phục cố triển khai chứng ISA Server 2006- Phần Trong loạt này, giới thiệu cho bạn số kiến thức chứng việc thẩm định chứng Cách sử dụng chứng số kịch reverse proxy cách khắc phục cố sử dụng chứng thu hồi Chúng ta bắt đầu với số kiến thức sở PKI, chứng số thẩm định chứng PKI Trong thuật ngữ mật mã, sở hạ tầng khóa cơng - public key infrastructure (PKI) khối kiến trúc xây dựng cho số cơng nghệ với mục đích phát hành chứng đến người dùng, máy tính dịch vụ từ thẩm định chứng (CA) Vai trị PKI việc phát hành chứng gọi thẩm định đăng ký - Registration Authority (RA) Chứng Một chứng khóa cơng (hoặc chứng nhận dạng) tài liệu điện tử kết hợp với chữ ký số để ràng buộc khóa cơng với thơng tin nhận dạng chẳng hạn tên người tổ chức địa họ,… Chứng sử dụng để thẩm định khóa cơng thuộc cá nhân hay tổ chức Trong lược đồ sở hạ tầng khóa cơng (PKI) điển hình, chữ ký xác nhận thẩm định chứng (CA) Bộ thẩm định chứng CA Một thẩm định chứng CA máy chủ tập máy chủ tổ chức CA có hệ thống phát hành chứng số đến người dùng, máy tính dịch vụ Windows Server 2003 (và phiên cũ hơn) có thực thi CA riêng Các thẩm định chứng máy chủ xâu chuỗi vào chuỗi chứng chỉ, nơi kiến trúc có nhiệm vụ đặc biệt giống intermediate CA, issuing CA,… Bạn tham khảo kiến trúc CA hình bên Hình 1: Kiến trúc CA Các file mở động sử dụng mã hóa Có vài file mở rộng sử dụng bạn làm việc với ISA Server 2006 chứng Dưới số ví dụ: Khóa Mơ tả CKS #12 Private Information Exchange PFX Private Information Exchange P12 Private Information Exchange PCKS #7 Cryptographic Message Syntax Standard P7B PCKS #7 certificate CER DER-coded-binary X.509 Base-64-coded-X.509 PFX Private Information Exchange PCKS #12 CRL Certification Revocation List P7C Digital ID-file P7M PCKS #7 MIME-message P7R PCKS #7 certificate P7S PCKS #7 signature Bảng 1: Các file mở rộng PKI Cài đặt CA Việc cài đặt đưa vào hoạt động CA trình dễ dàng Những làm cho thiết kế PKI trở nên phức tạp số ứng dụng sử dụng PKI cho vài mục đích riêng Trong viết không giới thiệu cho bạn tồn q trình cài đặt mà giới thiệu số hình ảnh Hình 2: Cài đặt Windows CA Sau cài đặt CA, không nên thay đổi tên Server thành viên miền (Nếu bạn cảm thấy điều bắt buộc, tham khảo số báo khác để cung cấp cho bạn cách thức chuyển CA) Có vài kiểu CA Cho ví dụ này, chúng tơi chọn Enterprise Root CA có tích hợp vào Active Directory Hình 3: Chọn kiểu CA Đặt tên cho CA tên file Hình 4: Tên CA Sau cài đặt CA, CA sử dụng cho việc phát hành chứng Snap-In cho chứng Các phiên Windows đại có Snap-In chứng dùng để quản lý chứng cài đặt nội Nếu đăng nhập quản trị viên, bạn quản lý chứng cho tài khoản người dùng riêng mình, tài khoản dịch vụ tài khoản máy tính Hình 5: Việc quản lý chứng Một tài khoản người dùng thơng thường mở kho chứa chứng riêng Các chứng quản lý giao diện điều khiển (Import, export, request chứng xóa chứng chỉ) Hình 6: Quản lý chứng Có website sử dụng để yêu cầu chứng để download chứng CA gốc Hình 7: CA website Các thiết lập kịch reverse publish Nếu bạn muốn sử dụng ISA Server reverse publishing proxy để công bố dịch vụ Outlook Web Access (OWA) Outlook Anywhere (OA), bạn hồn tồn kích hoạt SSL Bridging để nâng cao bảo mật cho ISA Server Khi SSL Bridging kích hoạt, ISA Server dừng kết nối SSL từ máy chủ với máy khách; sau ISA tra lưu lượng mã hóa lưu lượng HTTPS Đây kịch an toàn Trong kịch này, ISA server cần chứng Root CA từ CA bên phát hành chứng cho máy chủ để publish ISA Server cần chứng cho lắng nghe ISA mà Common Name (CN) có entry tên công cộng mà máy khách nhập vào muốn thiết lập kết nối với máy chủ công cộng Trong suốt q trình publish, ISA Server 2006 có hỗ trợ chứng giúp bạn chọn chứng Chứng phải phát hành từ CA tin cậy, chứng phải hợp lệ gần với tên chung (Common Name) chứng CN phải hợp lệ với tên công cộng mà máy khách sử dụng để kết nối với máy chủ Hình 8: Hỗ trợ chứng Tính Bridging ISA Server 2006 Bạn cố gắng sử dụng tính Bridging publish rule hay chưa? Nếu bạn muốn chọn chứng chỉ, ISA thường nói khơng có chứng chỉ? Để giải vấn đề này, bạn phải phát hành chứng người dùng cho người dùng thông thường Chứng phát hành phải import (với khóa riêng) vào kho chứa chứng nội dịch vụ Microsoft ISA Server Firewall Sau bạn sử dụng chứng để hướng yêu cầu gửi đến máy chủ bên yêu cầu thẩm định chứng Hình 9: SSL Bridging Khơng có chứng có sẵn khơng có chứng cài đặt kho chứng nội dịch vụ ISA Server Firewall Hình 10: SSL Bridging – chọn chứng Hủy bỏ chứng Việc hủy bỏ chứng trình mà ứng dụng yêu cầu cỗ máy quản lý chuỗi chứng phải đánh giá chứng chỉ, hủy bỏ thực tất chứng chuỗi Gồm có chứng phát hành từ CA đến chứng phát hành Bước đầu tiên, chuỗi chứng đánh giá Nếu chuỗi chứng khơng bị ảnh hưởng, q trình kiểm tra rằng: Chữ ký chứng có hợp lệ Thẩm định thời điểm hành từ chứng thời gian hợp lệ Thẩm định chứng không lỗi không bị điều chỉnh Danh sách hủy bỏ chứng khơng có chứa chứng hợp lệ Một trình phần mềm giống ISA Server kiểm tra chứng yêu cầu danh sách hủy bỏ chứng Người dùng hồn tồn cấu hình ISA Server cho vài yêu cầu hợp lệ ISA Server thẩm định chứng gửi đến không nằm danh sách hủy bỏ chứng (CRL) Hình 11: Hủy bỏ chứng Verify that incoming client certificates are not revoked Thẩm định chứng máy khách gửi đến không bị thu hồi Bạn phải chọn chứng muốn cho phép ISA Server thực hành động kiểm tra chứng gửi đến danh sách Certificate revocation List (CRL) nhằm xem chứng bị thu hồi hay chưa Nếu chứng bị thu hồi, yêu cầu máy khách bị từ chối Verify that incoming server certificates are not revoked in a forward scenario Thẩm định chứng máy chủ gửi đến không bị thu hồi kịch thuận Tùy chọn khác so với kịch Trong kịch này, ISA server kiểm tra xem chứng Server gửi đến kịch SSL Bridging có bị thu hồi hay khơng Nếu chứng bị thu hồi, yêu cầu bị từ chối Verify that incoming server certificates are not revoked in a reverse scenario Thẩm định chứng máy chủ gửi đến không bị thu hồi kịch ngược Chọn hộp kiểm để định ISA Server tự động kiểm tra Certificate Revocation List (CRL) nhằm xem chứng máy chủ, kịch Web publish có bị thu hồi hay khơng Nếu chứng bị thu hồi, yêu cầu bị từ chối Kết luận Trong phần này, giới thiệu cho bạn tất khía cạnh sử dụng chứng ISA Server 2006 kịch reverse publish cho Outlook Web Access (OWA), Outlook Anywhere (OA),… Bên cạnh số kiến thức chứng chỉ, thẩm định chứng cách kiểm tra chứng ... giống ISA Server kiểm tra chứng yêu cầu danh sách hủy bỏ chứng Người dùng hồn tồn cấu hình ISA Server cho vài yêu cầu hợp lệ ISA Server thẩm định chứng gửi đến không nằm danh sách hủy bỏ chứng. .. thẩm định chứng Hình 9: SSL Bridging Khơng có chứng có sẵn khơng có chứng cài đặt kho chứng nội dịch vụ ISA Server Firewall Hình 10 : SSL Bridging – chọn chứng Hủy bỏ chứng Việc hủy bỏ chứng trình... cho ISA Server Khi SSL Bridging kích hoạt, ISA Server dừng kết nối SSL từ máy chủ với máy khách; sau ISA tra lưu lượng mã hóa lưu lượng HTTPS Đây kịch an toàn Trong kịch này, ISA server cần chứng