HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN Mơn: Chứng thực điện tử ĐỀ TÀI: TÌM HIỂU VÀ THỰC HÀNH TẠO CẤU HÌNH CHỨNG THƯ SỐ CHO WEBSERVER, BROWSER VÀ XÁC THỰC HAI CHIỀU Danh sách nhóm: Nguyễn Đăng Khôi Nguyễn Minh Đức Tống Văn Đông Hà Nội 2021 MỤC LỤC CHƯƠNG 1: TỔNG QUAN .3 Tổng quan Chứng thư số 1.1 Định nghĩa .3 1.2 Mối quan hệ chứng thư số chữ kí số 1.3.Phân loại 1.4 Các chuẩn chứng thư số 1.5 Tổ chức cung cấp chứng thư số .10 Quy trình tạo chứng thư số .10 2.1 Tạo chứng thư số 10 2.2 Xác thực chứng thư số 11 Vai trò chứng thư số 12 CHƯƠNG 2: CHỨNG THƯ SỐ SSL TRÊN WEBSERVER 13 1.Tổng quan Window Server Certificate 13 2.Tổng quan chứng thư số SSL 14 2.1 Định nghĩa 14 2.2 Lợi ích việc sử dụng Chứng thư số SSL? 14 Tổng quan WebServer 14 3.1 Khái niệm 15 3.2 Thành phần quan trọng web server 15 3.3 Chức web server 16 3.4 Cách thức hoạt động web server 17 CHƯƠNG 3: THỰC NGHIỆM 19 CHƯƠNG 1: TỔNG QUAN Tổng quan Chứng thư số 1.1 Định nghĩa Chứng thư số (Digital certificate) dạng chứng thư điện tử tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp nhằm cung cấp thơng tin định danh cho khóa cơng khai quan, tổ chức, cá nhân, từ xác nhận quan, tổ chức, cá nhân người ký chữ ký số việc sử dụng khóa bí mật tương ứng Có thể nói, chứng thư số phương tiện sử dụng để nhận diện cá nhân, quan, tổ chức môi trường máy tính internet Trong đó, Khóa chuỗi số nhị phân (0 1) dùng hệ thống mật mã – Khóa bí mật khóa cặp khóa thuộc hệ thống mật mã khơng đối xứng, dùng để tạo chữ ký số – Khóa cơng khai khóa cặp khóa thuộc hệ thống mật mã không đối xứng, sử dụng để kiểm tra chữa ký số tạo khóa bí mật tương ứng cặp khóa - Chứng thư số bao gồm nội dung sau: – Tên tổ chức cung cấp dịch vụ chứng thực chữ ký số; – Tên thuê bao; – Số hiệu chứng thư số; – Thời hạn có hiệu lực chứng thư số; – Khóa cơng khai th bao; – Chữ ký số tổ chức cung cấp dịch vụ chứng thực chữ ký số; – Các hạn chế mục đích, phạm vi sử dụng chứng thư số; – Các hạn chế trách nhiệm pháp lý tổ chức cung cấp dịch vụ chứng thực chữ ký số; – Thuật toán mật mã; – Các nội dung cần thiết khác theo quy định Bộ Thông tin Truyền thông; 1.2 Mối quan hệ chứng thư số chữ kí số Khác với chứng thư số, chữ ký số dạng chữ ký điện tử tạo biến đổi thông điệp liệu sử dụng hệ thống mật mã không đối xứng, theo đó, người có thơng điệp liệu ban đầu kháo cơng khai cảu người ký xác định được: – Việc biến đổi nêu tạo khóa bí mật với khóa cơng khai cặp khóa; – Sự tồn vẹn nội dung thông điệp liệu kể từ thực việc biến đổi nêu Về bản, chữ ký số gần giống với chữ ký truyền thống, có vai trị xác minh cam kết cá nhân tổ chức Có thể khẳng đinh rằng, chữ ký số chứng thư số có mối quan hệ chặt chẽ với Sau nhà cung cấp chứng thư số nhà cung cấp tạo chữ ký số cho doanh nghiệp Chứng thư số giúp đối tác quan, tổ chức, cá nhân xác minh chữ ký xác 1.3.Phân loại Căn vào đối tượng chứng thư số phân loại chứng thư số thực thể cuối chứng thư số CA • Chứng thư số thực thể cuối: loại chứng thư số CA phát hành cho thực thể cuối Chứng thư thực thể cuối không dùng để phát hành chứng thư khác • Chứng thư số CA: chứng thư số CA phát hành cho CA phân biệt trường Basic constraint Chứng thư số CA dùng để phát hành chứng thư khác Chứng thư số CA là: Chứng thư số tự phát hành: loại chứng thư số đặc biệt chủ thể phát hành (issuer) chủ thể sở hữu (subject) (giống nhau) Loại chứng thư số tạo cho mục đích đặc biệt kiểm tra hợp lệ cặp khóa khóa CA hết hạn – Chứng thư số tự ký - chứng thư số RootCA: loại chứng thư số tự phát hành Trong khóa riêng ký chứng thư số tương ứng với khóa cơng khai chứng thư số – Chứng thư số chéo: loại chứng thư số mà chủ thể phát hành chủ thể sở hữu CA khác Chứng thư số chéo dùng để xây dựng mối quan hệ tin cậy CA Căn vào mục đích sử dụng, chứng thư số cịn phân thành chứng thư số khóa cơng khai, chứng thư số đủ điều kiện, chứng thư số thuộc tính, CVC • Chứng thư số khóa cơng khai (Public Key Certificate): • Chứng thư số thuộc tính (Attribute Certificate): chứng thư số chứa thơng tin như: thành viên nhóm, vai trị-role, mức an tồn thông tin cho phép kết hợp với thông tin chủ sở hữu chứng thư Chứng thư số thuộc tính khơng chứa khóa cơng khai dùng để cấp phép thực hành vi chủ thể (Authorization) • Chứng thư số đủ điều kiện (Qualified Certificate): loại chứng thư số dùng để xác định người với mức an toàn định Chứng thư số đủ điều kiện thường gồm thông tin xác định chủ thể như, họ tên, ngày sinh, , thông tin sinh trắc (ảnh, vân tay ) • Card Verifiable Certificates (CVC): thiết kế để xử lý thiết bị có khả tính tốn hạn chế thẻ thơng minh Sử dụng cấu trúc (TLV) với trường cố định (mỗi trường chứng có độ dài cố định tối đa trường theo thứ tự xác định rõ) 1.4 Các chuẩn chứng thư số - Chứng thư số X.509 ( thường sử dụng nhiều nhất) - Chứng thư số SPKI (Simple Public Key Infrastructure) - Chứng thư số PGP (Pretty Good Privacy) - Chứng thư số SET (Secure Electronic Transaction) - PKCS #6 3.1 Chứng thư số X.509 -Chuẩn X.509 định nghĩa cấu trúc (các trường chuẩn mở rộng) chứng thư số CRL cho nhiều mục đích khác PKIX định nghĩa giới hạn số trường phù hợp với người dùng Internet Các trường phân thành nhóm : – Bắt buộc hỗ trợ – Có thể hỗ trợ – Có thể khơng hỗ trợ • Các trường mở rộng thuộc hai loại: – Quan trọng (critical) – Không quan trọng (non -critical) • RFC 5280 Certificate and CRL profile Cấu trúc: gồm có nhóm: trường chuẩn,trường mở rộng chuẩn trường mở rộng riêng -Trường chuẩn:  Version: chứa giá trị nguyên mô tả phiên chứng thư số (1, 3)  Serial Number: chứa số nguyên mô tả thứ tự, xác định chứng thư số có độ dài 20 chữ số  Signature: chứa định danh (OID-Object IDentification) giải thuật sử dụng ký số chứng thư VD OID cho SHA-1 với RSA 1.2.840.113549.1.1.5  Issuer: xâu ký tự xác định tên chủ thể ký phát hành chứng thư số Tên viết theo quy ước (Distinguised Name - DN) Trường bắt buộc không chứa xâu rỗng  Validity : khoảng thời gian mà khóa cơng khai chứng thư xem hợp lệ Chứa thời gian bắt đầu hợp lệ (Not Valid Before) thời gian hết hợp lệ (Not Valid After)  Subject : xác định tên chủ thể sở hữu chứng thư số Tên chủ thể sở hữu phải khác rỗng viết theo quy ước tên phân biệt (Distinguised Name- DN)  Subject Public Key Info: chứa khố cơng khai chủ thể sở hữu chứng thư số, trường ln tồn khơng rỗng • Issuer Unique ID: chứa định danh chủ thể phát hành chứng thư số Trường dự phòng tên chủ thể phát hành sử dụng lại trùng với miền CA khác  Subject Unique ID: chứa định danh chủ thể sở hữu chứng thư số (phiên 3) Trường để dự phòng khả tên chủ thể sở hữu sử dụng lại • Extensions: chứa trường mở rộng cung cấp thêm thông tin xác định chứng thư số Mỗi trường mở rộng kết hợp với cờ để xác định trường quan trọng không -Trường mở rộng chuẩn Các trường mở rộng khóa:  Authority Key Identifier: định danh để phân biệt khóa sở hữu CA chủ thể phát hành Trường sử dụng CA có nhiều khóa ký Trường bắt buộc đưa vào tất chứng thư CA trừ chứng thư tự ký  Subject Key Identifier : định danh khố cơng khai chứa chứng thư Định danh phân biệt khoá áp dụng cho chủ thể sở hữu chứng thư số Trường bắt buộc đưa vào chứng thư số CA, chứng thư số thực thể cuối  Key Usage: chuỗi bit mục đích sử dụng khóa Chuỗi bit xác định hạn chế tính dịch vụ sử dụng khố cơng khai chứng thư số Ví dụ ký số, mã mật, trao đổi khoá, ký chứng thư, ký CRL  Extended Key Usage: cho phép thêm thơng tin mục đích sử dụng khóa Nó danh sách OID cách sử dụng cụ thể khố cơng khai chứng thư số o VD số OID tương ứng với mở rộng này: xác thực máy chủ TLS, xác thực máy trạm TLS, ký mã lệnh, mã thư, dấu thời gian, ký OCSP (Online Certificate Status Protocol) Mở rộng thường sử dụng với chứng thư số thực thể cuối  Private Key Usage Periods (Thời hạn sử dụng khoá riêng): khoảng thời gian hợp lệ khoá riêng tương ứng với khoá công khai chứng thư số Thông tin chứa trường giống trường thời gian hợp lệ khóa cơng khai chứng thư (Not Valid Before Not Valid After) Trường cần thiết để kiểm tra chữ ký số thời gian sau khóa riêng hết hạn sử dụng 07/11/2020 http://ca.gov.vn 17 Các trường mở rộng sách:  Certificate Policies (các sách phát hành chứng thư): chứa danh sách thơng tin mơ tả sách Mỗi mục gồm định danh sách (OID), trỏ (URI) trỏ tới vị trí sách điều kiện áp dụng cho việc sử dụng chứng thư Nếu trường mở rộng đánh dấu quan trọng, ứng dụng cần phải tuân thủ điều kiện sách, chứng thư khơng sử dụng Hai sách định nghĩa: o Quy tắc phát hành chứng thư (Certification Practice Statement- CPS) sách áp dụng cho CA o Thông báo người sử dụng (User Notice)  Policy Mappings (các ánh xạ sách): sử dụng để tạo tương ứng sách chứng thư số định nghĩa bời thẩm quyền sách (policy authority) hai miền sách (CA) khác Trường mở rộng sử dụng chứng thư số CA Các trường mở rộng thông tin chủ thể sở hữu chủ thể phát hành:  Subject Alternative Name (tên khác chủ thể sở hữu): tùy chọn tám dạng tên khác dùng để xác định chủ thể sở hữu chứng thư (ví dụ, địa email, địa IP, URI, )  Issuer Alternative Name (tên khác chủ thể phát hành): tùy chọn tám dạng tên khác dùng để xác định chủ thể phát hành chứng thư (vd, địa email, địa IP, URI )  Subject Directory Attributes (các thuộc tính dẫn chủ thể sở hữu): gồm danh sách thuộc tính dùng để mang thêm thuộc tính nhận dạng chủ thể sở hữu chứng thư Đặc điểm thuộc tính linh hoạt thay đổi Các trường mở rộng ràng buộc đường dẫn chứng thực:  Basic Constraints (các ràng buộc bản): trường chứa hai trường CA PathLenConstraints Nếu giá trị trường CA true chứng thư số cấp cho CA ký phát hành chứng thư số khác Nếu giá trị trường CA false chứng thư số thực thể cuối Khi trường CA đặt true, trường PathLenConstraint "số cực đại" chứng thư CA đường dẫn chứng thực Giá trị trường có nghĩa CA phát hành chứng thư cho thực thể cuối  Name Constraints (các ràng buộc tên): xác định không gian tên chủ thể sở hữu (tên khác) phải tuân theo chứng thư số Trường mở rộng tồn chứng thư số CA Mở rộng cho phép xác định tên, tên bao gồm tên loại trừ thông qua thuộc tính Permitted Subtrees Excluded Subtrees Các tên xác định có dạng DN, URI, e-mail, dạng tên thêm vào cấu trúc phân cấp Nếu tồn tại, trường mở rộng đánh dấu quan trọng Policy Constraints (các ràng buộc sách): gồm hai trường RequireExplicitPolicy InhibitPolicyMapping  RequireExplicitPolicy: cho phép chủ thể phát hành yêu cầu chứng thư số đường dẫn phải chứa định danh sách chấp nhận InhibitPolicyMapping: cho phép chủ thể phát hành ngăn cản không sử dụng ánh xạ sách khác chứng thư số đường dẫn  Các trường mở rộng tồn chứng thư số CA Nếu có mở rộng cần phải đánh dấu quan trọng • Inhibit Any Policy (cấm sách bất kỳ): trường định danh sách khơng sử dụng (ví dụ giá trị OID 2.5.29.32.0) Trường mở rộng tồn chứng thư số CA Mở rộng đánh dấu quan trọng không Các trường mở rộng liện quan đến CRL  CRL Distribution Points (các điểm phân phối CRL): chứa thông tin xác định cách lấy thông tin thu hồi chứng thư số Nó chứa danh sách điểm phân phối CRL - trỏ (URI) tới vị trí phân hoạch CRL nơi chứa thơng tin thu hồi chứng thư số Nếu đánh dấu quan trọng chứng thư số phải kiểm tra thông tin thu hồi theo trỏ trường  Freshest CRL (CLR nhất): chứa thông tin xác định cách lấy thơng tin thu hồi delta hay cịn gọi Delta CRL Distribution Point Cú pháp trường giống CRL Distribution Points Nếu đánh dấu quan trọng chứng thư số phải kiểm tra thông tin thu hồi theo trỏ trường -Trường mở rộng riêng: Các trường mở rộng riêng định nghĩa để sử dụng trường hợp cụ thể Hai mở rộng riêng sử dụng cho Internet:  Authority Information Access (truy cập thông tin thẩm quyền): Trường chứa thông tin cách truy nhập thông tin dịch vụ cung cấp chủ thể phát hành chứng thư số Mỗi mục xác định dịch vụ Hai dịch vụ định nghĩa gồm: – Dịch vụ kiểm tra chứng thư trực tuyến OCSP – Dịch vụ xác định thông tin chủ thể phát hành chứng thư với mục tiêu tải thông tin CA phát hành chứng thư Thông tin sử dụng để xây dựng đường dẫn chứng thực  Subject Information Access (truy cập thông tin chủ thể): Trường chứa thông tin cách truy nhập thông tin dịch vụ cung cấp chủ thể sở hữu chứng thư số Cú pháp trường mở rộng giống trường Authority Information Access bao gồm kiểu vị trí thông tin Hai dịch vụ định nghĩa: – Với chứng thư CA, dịch vụ xác định vị trí kho chứng thư – Với chứng thư thực thể cuối, dịch vụ time stamp chủ thể cung cấp dịch vụ time stamp 1.5 Tổ chức cung cấp chứng thư số Chứng thư số tổ chức sau cấp: – Tổ chức cung cấp dịch vụ cấp chứng thực chữ ký số quốc gia; – Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng; – Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ; – Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dung quan tổ chức Quy trình tạo chứng thư số 2.1 Tạo chứng thư số Hình 1: Tạo chứng thư số + Bước 1: Chủ thể đăng ký có cặp khóa bao gồm khóa cơng khai khóa bí mật Khóa cơng khai gửi đến tổ chức cấp chứng thư số cịn khóa bí mật chủ thể giữ + Bước 2: Khi đăng ký thông tin chứng thư số, chủ thể đăng ký dùng thông tin định danh kèm theo khóa cơng khai thân để tạo CSR + Bước 3: CSR gửi đến tổ chức cung cấp chứng thư số Ở tổ chức xác thực danh tính sau dùng khóa bí mật để tạo chữ ký số với thông tin Trong mục Name nhập www Trong mục IP address nhập địa IP Server → Add Host Bước 8: Cấu hình phân giải ngược Chuột phải vào mục Reverse Lookup Zone chọn New Zone Trong mục Zone Type → chọn Primary Zone Trong mục Reverse Lookup Zone Name → chọn Ipv4 Lookup zone → Next Trong mục Network ID nhập dải địa IP máy chủ sử dụng: 192.168.1 → Next Trong mục Zone file để mặc định → Next Trong mục Dynamic Update chọn Allow both nonsecure and secure dynamic update → Next → Finish Bước 9: Tạo ghi phân giải ngược PTR Chuộc phải vào dải IP khai báo chọn New Pointer Nhập IP Server (192.168.1.) Trỏ đến ghi Host A phân giải xuôi Nhấn OK → Finish Bước 10: Kiểm tra phân giải tên miền Bật sổ dòng lệnh CMD, sử dụng lệnh nslookup để kiểm tra Kết trả có IP tương ứng với tên miền tạo 1.1.2 Cài đặt dịch vụ web IIS máy chủ Windows Server 2012 Thực lại bước mục 1.1.1 để vào mục Select server roles Tích chọn dịch vụ Web server (IIS) Chọn Next để tiếp tục Trong mục Select features để mặc định → chọn Next để tiếp tục Các bước để mặc định → Install Sau cài đặt thành công Server Manager xuất giao diện giám sát dịch vụ IIS Bước 4: Kiểm tra hoạt động web server Bật trình duyệt web IE gõ tên miền tạo trên: www.hvktmm.org Giao diện xuất trang web mặc định IIS Bước 5: Tạo trang web riêng Truy cập vào thư mục lưu trữ web IIS theo đường dẫn: C:\inetpub\wwwroot Tạo tệp tin có tên index.html, chỉnh sửa nội dung file theo ý muốn Bước 6: Cấu hình để IIS nhận tệp tin index.html Thực theo đường dẫn: Start → Internet Information Service Truy cập vào website mặc định: Default Web Site Chọn Default Document → Open feature Di chuyển vị trí file index.html lên hình đây: OK Bước 7: Kiểm tra kết Bật trình duyệt web IE truy cập theo tên miền tạo Trang web mặc định hiển thị trang index.html tạo 1.1.3 Cài đặt dịch vụ Certification Authority (CA) Bước 1: Thực lại bước mục 3.1.1 để truy cập đến dịch vụ cần cài đặt Bước 2: Tích chọn dịch vụ Active Directory Certificate Service Chọn Next để tiếp tục Trong mục Select features để mặc định → Next Trong mục Select role services chọn dịch vụ: Certification Authority Certification Authority Web Enrollment Chọn Next để tiếp tục, chọn Install để cài đặt dịch vụ Bước 3: Cấu hình dịch vụ CA Sau cài đặt dịch vụ CA thành cơng, phải cấu hình tiếp cho CA Kích chọn vào biểu tượng hình cờ giao diện Server Manager hình đây: Tiếp tục chọn Configure Active Directory Certificate Services Trong giao diện Credential để mặc định → chọn Next Trong giao diện Role Services tích chọn tùy chọn Certification Authority Certification Authority Web Enrollment Trong giao diện Setup Type chọn Standalone CA → Next Trong giao diện CA Type chọn Root CA → Next Trong giao diện Private Key chọn Create a new private key → Next Trong giao diện Cryptography for CA chọn mặc định → Next Trong giao diện CA Name đặt tên cho CA → Next Trong giao diện Validity Period để mặc định năm → Next Trong giao diện CA database để mặc định Cuối chọn Configure → Finish Hồn tất q trình cài đặt cấu hình dịch vụ cung cấp chứng thư số CA 1.1.4 Cấu hình SSL cho dịch vụ Web Bước 1: IIS gửi yêu cầu chứng thư số tới CA Bật dịch vụ IIS lên, chọn tên máy chủ web (DC-KMA), giao diện DC-KMA Home tìm đến dịch vụ Server Certificates → Open feature Trong giao diện Server Certificates, cột Action chọn Create Certificate Request Trong giao diện nhập thông tin máy chủ IIS Đặc biệt mục Common name phải nhập tên xác tên miền web Chọn Next để tiếp tục Trong giao diện tùy chọn độ dài khóa mã, mặc định 1024 bit Trong giao diện File Name, trỏ đến nơi lưu trữ file đặt tên cho file File lưu trữ thơng tin khóa Chọn Finish để kết thúc Bước 2: Gắn thông tin khóa với chứng thư số - Bật trình duyệt Web IE lên truy cập theo tên miền vào đường đường dẫn CA: http://www.hvktmm.org/certsrv - Chọn tùy chọn Request a Certificate → Advanced certificate request → Submit a certificate request by using… - Mở file key.txt vừa tạo trên, copy nội dung file dán vào ô Saved Request Chọn Submit Yêu cầu chứng thư số kèm với thơng tin khóa mã gửi tới CA Bước 3: Cấp chứng thư số cho IIS - Bật dịch vụ CA lên, truy cập vào mục Pending Requests, thấy có chứng thư chờ đợi duyệt CA - Chuột phải vào chứng thư số có ID chọn All Tasks → Issue Bây mục Issued Certificates thấy có chứng thư ID cấp với thông tin khai báo lúc yêu cầu - Tiếp tục thực bước 2, truy cập IE theo đường dẫn: http://www.hvktmm.org/certsrv - Chọn tùy chọn View the status of a pending certificate request Kích vào đường dẫn Saved-Request Certificate để lưu chứng thư Bước 4: Cài đặt chứng thư cho máy chủ IIS - Bật dịch vụ IIS, chọn máy chủ IIS, chọn Server Certificates, mục Action chọn Open feature - Chọn Complete Certificate Request Tiếp tục trỏ đến nơi lưu trữ chứng thư tải từ bước Nhấn OK để kết thúc Bước 5: Cấu hình để máy chủ IIS chạy dịch vụ SSL - Từ giao diện quản trị IIS truy cập tới Sites → Default Web Site, chức cột Default Web Site Home tìm đến chức SSL setting - Trong mục Action chọn Bindings… - Giao diện Site Bindings chọn Add Trong mục Type chọn https : Port 443 Trong mục SSL Certificate → Select → chọn chứng thư cài đặt Chọn OK để kết thúc - Trở lại giao diện Default Web Site Home chọn SSL Settings, mục Action chọn Open feature Tích chọn vào yêu cầu SSL, mục Action chọn Apply Kết thúc cài đặt cấu hình SSL Bước 6: Kiểm thử - Bật trình duyệt web IE gõ tên miền với https → Thành công ... cơng khai tổ chức cấp chứng thư số để giải mã chữ ký số chứng thư số người dùng ta mã thứ + Bước 2: Băm trường thơng tin khóa cơng khai chứng thư số người dùng mã thứ hai + Bước 3: So sánh hai. .. khai chứng thư số Ví dụ ký số, mã mật, trao đổi khoá, ký chứng thư, ký CRL  Extended Key Usage: cho phép thêm thông tin mục đích sử dụng khóa Nó danh sách OID cách sử dụng cụ thể khố cơng khai... thực khóa cơng khai (cịn gọi chứng thực số / chứng thực điện tử) chứng thực sử dụng chữ ký số để gắn khóa cơng khai với thực thể (cá nhân, máy chủ công ty ) Một chứng thực khóa cơng khai tiêu biểu