Enterprise CA

Một phần của tài liệu Tìm hiểu và ứng dụng của CA trên môi trường windows server 2008 (Trang 67)

Người quản trị Enterprise có thể cài đặt dịch vụ chứng chỉ số để tạo một Enterprise CA. Enterprise có thể cấp phát chứng chỉ số cho các mục đích khác

nhau như : chữ ký điện tử, bảo mật Mail sử dụng S/MIME (Secure Multipurpose Internet Mail Extensions), xác thực để an toàn giao tiếp với Web Server dùng SSL hay TSL (Transport Layer Security), và log on sử dụng Smart Card.

Một Enterprise CA có các đặc điểm sau :

 Một Enterprise CA yêu cầu phải có dịch vụ thư mục AD.

 Khi cài đặt Enterprise Root CA, nó sẽ sử dụng Group Policy để truyền bá chứng chỉ số của nó tới nơi lưu trữ chứng chỉ số của Root CA tin tưởng cho tất cả User và Computer trong Domain.

Phải là thành viên của nhóm Domain Administrators hay là một Administrator có quyền Write đối với AD mới có thể cài đặt Enterprise Root CA.

 Công bố các chứng chỉ của người dùng và các CRLs cho toàn domain. Để công bố các chứng chỉ đến domain thì Server được cài đặt CA phải là thành viên của nhóm Certificate Publishers. Điều này hoàn toàn tự động cho các server trong domain, nhưng server đó phải được cấp quyền thích hợp để công bố các certificate cho các domain khác.

Một Enterprise sử dụng các loại chứng chỉ số dựa trên chứng chỉ số mẫu (Certificate Templates). Những chức năng dưới đây có thể có hiệu quả nếu sử dung chứng chỉ số mẫu.

 Enterprise CA bắt buộc kiểm tra sự tin cậy của các User trong suốt quá trình kết nạp chứng thực. Mỗi Certificate Template có một quyền bảo mật đươc gán trong AD để xác nhận người yêu cầu chứng thực có thẩm quyền hay không, để có thể nhận các kiểu chứng thực mà họ đã yêu cầu.

 Một tên chủ thể của chứng chỉ số có thể được tạo ra một cách tự động từ thông tin bên trong AD hay được cung cấp từ ngưới yêu cầu.

 Policy Module được thêm vào danh sách xác định trước của Field mở rộng (Extension) trong chứng chỉ số được cấp. Trường mở rộng được chỉ định bởi Certificate Template. Điều này làm giảm bớt số lượng thông tin mà người yêu cầu phải cung cấp về chứng chỉ số và mục đích sử dưng.

 Autoenrollment có thể được sử dụng để cấp phát chứng chỉ.

3.1.2.2 Stand-alone CA:

Ta có thể cài đặt dịch vụ chứng chỉ số để tạo ra một Stand-alone CA. một Stand- alone CA có thể cấp phát chứng chỉ số với các mục đích như chữ ký điện tử, bảo mật Mail sử dụng S/MIME, hay chứng thực WEB dùng SSL hay TLS.

Một Stand-alone có các đặc điểm sau :

 Không giống như Enterprise CA, một Stand-alone CA không yêu cầu dịch vụ thư mục AD. Mục đích chủ yếu của Stand-alone được sử dụng như một Trusted Offline Root CAs bên trong mô hình CA phân cấp hay khi Extranet và Internet bị tắt nghẻn (involved). Ngoài ra nếu muốn sử dụng một Policy Module theo yêu cầu cho CA, trước hết cài đặt Stand-alone CA, sau đó thay thế chính sách của Stand-alone bằng chính sách của mình.

 Khi thực hiện một yêu cầu tới một Stand-alone CA, người yêu cầu phải cung cấp đầy đủ thông tin cá nhân và mục đích sử dụng chứng chỉ số (điều này không yêu cầu khi thực hiện yêu cầu chứng chỉ số với Enterprise CA). Thông tin xác thực của người yêu cầu được chứa đựng trong một cơ sở dữ liệu Security Accounts Manager của máy tính cục bộ.

 Mặc định tất cả các yêu cầu chứng chỉ số gửi tới Stand-alone CA được đưa vào trong hàng đợi (pend) cho tới khi người quản trị kiểm tra thông tin nhận dạng của người yêu cầu và chấp nhận yêu cầu. Đây là lý do bảo mật, vì sự tin cậy của người yêu cầu chứng chỉ số không được kiểm tra trong Stand-alone CA.

 Không sử dụng chứng chỉ số mẫu.

 Người quản trị phải phân phối rõ ràng các chứng chỉ số của stand-alone tới phạm vi lưu trữ Trusted Root của User hay các User phải thực hiện nhiệm vụ đó.

Khi thực hiện Stand-alone sử dụng AD, có các đặt điểm sau:

 Nếu là thành viên của nhóm Administrator hay là Administrator thì có thể truy cập tới AD để thực hiện cài đặt Stand-alone Root CA, nó được tự động thêm vào bên trong nơi lưu trữ chứng chỉ số trusted Root CA cho tất cả các User và Computer trong Domain. Vì lý do này, nếu ta muốn cài đặt Stand- alone Root CA bên trong môt AD Domain, không nên thay đổi mặc định của CA khi nhận yêu cầu chứng thực (như mặc định đưa vào hàng đợi).

 Nếu một Stand-alone được cài đặt bởi một thành viên của nhóm Administrator của Domain hiện tại của một mô hình phân cấp Enterprise, hay Administrator có thể truy cập tới AD, sau đó Stand-alone CA sẽ xuất bản chứng chỉ số của nó và danh sách chứng chỉ số bị thu hồi tới AD.

3.2 Quá trình cài đặt một CA.3.2.1 Cài đặt Root CA: 3.2.1 Cài đặt Root CA:

Một Root CA có thể là một Stand-alone hay một Enterprise CA. Nếu có nhiều hơn một CA trong tổ chức, nhiều tổ chức giảm thiểu sự tiếp xúc của CA gốc của họ bằng cách giữ nó offline, trừ khi nó cần thiết để xử lý một yêu cầu cho một chứng chỉ CA cấp dưới.

Phải là thành viên trong nhóm Administrators cục bộ hoặc tương đương là yêu cầu tối thiểu để cài đặt Root CA. Nếu đây là một Enterprise CA thì phải là thành viên của nhóm Domain Admins hoặc tương đương.

Các bước thực hiện:

1. Mở Server Manager, chọn Add Role/ Next/ Active Directory Certificate Service/ Chọn Next hai lần.

3. Ở phần Specify Setup Type, ta chọn Stand-alone hay EnterpriseNext

4. Phần Specify CA Type, chọn Root CA  Next

6. Phần Configure Cryptography, chọn cryptographic service provider, key length và thuật toán Hash  Next

7. Ở phần Configure CA Name, ta tạo tên duy nhất trong domain cho CA để nhận diện Next.

8. Phần Set Validity Period, thiết lập thời hạn cho chứng chỉ của CA gốc. 

9. Phần Configure Certificate Database, chấp nhận các vị trí mặc định nếu ta không muốn chỉ rõ vị trí của Certificate Database và Certificate database log Next.

10. Phần Confirm Installation Options, xem lại các mục mà ta đã chọn. Nếu chấp nhận tất cả những thiết lập đó thì nhấn Install và chờ cho đến khi việc cài đặt hoàn tất.

3.2.2 Cài đặt Subordinate CA:

Sau khi một Root CA được cài đặt, nhiều tổ chức sẽ cài đặt thêm một hoặc nhiều CA cấp dưới thi hành những chính sách giới hạn trên PKI và cấp phát chứng chỉ đến các thực thể cuối. Việc sử dụng ít nhất một CA cấp thấp sẽ giúp bảo vệ Root CA khỏi những vấn đề không cần thiết.

Nếu một CA cấp thấp được sử dụng để cấp phát chứng chỉ cho các user và computer với các tài khoản trong Active Directory, thì việc cài đặt một CA cấp thấp như một Enterprise CA sẽ cho phép ta sử dụng dữ liệu về tài khoản đã có của client trong Active Directory Domain Services (AD DS) để cấp phát và quản lý các chứng chỉ và để phát hành các chứng chỉ cho AD DS.

Phải là thành viên trong nhóm Administrators cục bộ hoặc tương đương là yêu cầu tối thiểu để cài đặt Root CA. Nếu đây là một Enterprise CA thì phải là thành viên của nhóm Domain Admins hoặc tương đương.

Quá trình cài đặt một Subordinate CA tương tự như việc cài đặt Root CA từ bước 1 đến bước 6. Ở bước 7, phần Request Certificate, trỏ đến vị trí của Root CA hay nếu Root CA không được kết nối vào mạng thì ta lưu request certificate

vào một file để được xử lý sau, sau đó chọn Next. Các bước tiếp theo tương tự như cài đặt Root CA.

Chú ý: Subordinate CA sẽ không được dùng cho đến khi nó được cấp chứng chỉ CA gốc và chứng chỉ đó sẽ được sử dụng để hoàn tất việc cài đặt Subordinate CA.

3.3 Cấp phát và quản lý chứng chỉ số3.3.1 Cấp phát tự động 3.3.1 Cấp phát tự động

Autoenrollment là một đặc tính hữu dụng AD CS, cho phép người quản trị cấu hình cho các đối tượng tự động kết nạp, lấy lại những chứng chỉ đã được cấp phát hoặc làm mới các chứng chỉ đã hết hạn mà không cần phải có sự tác động từ các đối tượng (objects). Để dùng Autoenrollment thì phải có Domain chạy Windows Server 2008, một Enterprise CA chạy trên Windows Server 2008 và client có thể chạy Windows Xp hoặc Windows Vista. Điều khiển tiến trình Autoenrollment bằng sự phối hợp của Group Policy và chứng chỉ số mẩu (Certificate Template).

Cấu hình Autoenrollment cho Domain

1. Trên Domain Controller, chọn Start  Administrative tools  Group Policy Management.

2. Trong cây console, duoble click Group Policy Object  click phải chuột vào Default Domain Policy chọn Edit.

3. Lúc này sẽ xuất hiện hộp thoại Group Policy Management Console (GPMC)  chọn User Configuration  Windows Settings  Security Setting  Public Key Policies  double click vào Certificate Services Client – Auto – Enrollment.

4. Lúc này ta sẽ cấu định nghĩa (define) các lựa chọn cho Auto Enrollment như sau :

− Configuration Model : chọn Enable để bật tính năng Auto Enrollment lên.

− Chọn checkbox Renew expired certificates, update pending certificates, remove revoked certificates : để tự động làm mới các chứng chỉ hết hạn, cập nhật các chứng chỉ trong hàng đợi, xóa các chứng chỉ trong danh sách thu hồi.

− Chọn Update certificates that use certificate templates : cập nhật những chứng chỉ sử dụng chứng chỉ mẫu.

5. Chọn Ok để kết thúc

3.3.2 Cấp phát không tự động (Manual Enrollment)

Stand-alone không thể dùng Autoenrollment, vì vậy khi một Stand-alone CA nhận yêu cầu về chứng chỉ số từ Client, nó sẽ lưu trữ những yêu cầu đó vào trong hàng đợi cho tới khi người quản trị quyết định có cấp phát chứng chỉ số đó hay không. Cá yêu cầu này được lưu trong phần Pending Requests.

Sau khi đánh giá thông tin trong mổi yêu cầu, người quản trị có thể chọn để chấp nhận (issue) hay từ chối yêu cầu. Người quản trị cũng có thể xem đặt tính của việc cấp phát chứng chỉ số và thu hồi chứng chỉ số khi cần. Hình sau đây khi chứng chỉ số được cấp phát bởi người quản trị.

3.4 Chứng chỉ số mẫu:

Chứng chỉ số mẫu là phần không thể thiếu đối với một Enterprise CA. Chúng là một nhân tố quan trọng của chính sách chứng thực trong một môi trường mà thiết lập các luật lệ và định dạng cho việc cấp phát tự động, sử dụng và quản lý chứng chỉ. Các chứng chỉ số mẫu này được lưu trữ trong Active Directory và được các CA trong một “rừng” sử dụng.

Các CA của Microsoft hỗ trợ 3 loại chứng chỉ số mẫu: version 1, version 2, version 3. Các CA được thiết lập trên những server chạy Windows Server 2003, Standard Edition, Windows 2000 Server chỉ hỗ trợ mẫu version 1. Các hệ điều hành Windows Server 2003 Enpterprise Edition và DataCenter thì hỗ trợ hai mẫu version 1 và version 2. Còn các CA thiết lập trên Windows Server 2008 thì hỗ trợ tất cả các phiên bản trên: version 1, version 2 và version 3. Hơn nữa, chứng chỉ số mẫu version 3 chỉ có thể được sử dụng bởi các client trên những máy tính chạy Windows Server 2008 hay Windows Vista.

3.4.1 Version 1 certificate Templates:

Các mẫu chứng chỉ số version 1 được cung cấp khả năng tương thích ngược, chúng được tạo mặc định khi CA được cài đặt và ta không thể chỉnh sửa hay gỡ bỏ chúng được. Khi ta nhân đôi một chứng chỉ số mẫu version 1 (duplicate) thì bản sao đó sẽ như version 2 và version 3, cái mà ta có thể chỉnh sửa được.

3.4.2 Version 2 certificate Templates:

Các mẫu chứng chỉ số version 2 cho phép chúng ta tùy chọn các thiết lập mà không cần phải duplicate như version 1. Một vài mẫu chứng chỉ version 2 cấu hình sẵn được cung cấp trong cấu hình mặc định, hơn nữa có thể được thêm vào khi cần thiết. Điều này cho phép cấu hình một cách linh hoạt đối với các quản trị viên.

3.4.3 Version 3 certificate Templates:

Các mẫu chứng chỉ phiên bản này cho phép các quản trị viên thêm các thiết lập mã hóa Suite B đến các chứng chỉ của họ. Suite B gồm các tùy chọn được tăng cường cho việc mã hóa, chữ ký số, trao đổi khóa, và hàm băm. Các chứng chỉ thuộc version 3 chỉ có thể được cấp phát từ các CA được cài trên các server chạy Windows Server 2008 và được sử dụng trên các client cài Windows Server 2008 hay Windows Vista.

3.4.4 Các mẫu chứng chỉ mặc định trong Windows Server 2008:

Tên mẫu Mô tả Đối tượng Version

Administrator Cho phép ký danh sách tin tưởng và xác thực người dùng.

User 1

Authenticated Session

Cho phép các đối tượng được xác thực khi truy cập đến máy chủ

Web.

Basic EFS Sử dụng Encrypting File System (EFS) để mã hóa dữ liệu

User 1

CA Exchange Được dùng để lưu trữ khóa riêng tư.

Computer 2 CEP Encryption Cho phép người nắm giữ các

chứng chỉ có thể hoạt động như một Registration Authority (RA) cho các yêu cầu về Simple Certificate Enrollment Protocol (SCEP).

Computer 1

Code signing Sử dụng để ký số vào phần mềm. User 1 Computer Cho phép một máy tự chứng thực

trên mạng.

Computer 1 Cross-Certification

Authority

Được dùng cho việc xác thực chéo và các CA cấp dưới đạt chất lượng. Cross- certified CA 2 Directory E-mail Replication

Được dùng để tái tạo e-mail trong AD DS.

Computer 2 Domain controller Được sử dụng bởi các DC như là

các chứng chỉ đa mục đích (xác thực người dùng và máy tính) Computer 1 Domain Controller Authentication Dùng để xác thực các user và máy tính trong Active Directory

Computer 2 EGS Recovery

Agent

Cho phép các đối tượng giải mã các tập tin mà trước đây được mã hóa bằng EFS.

User 1

Enrollment Agent Được sử dụng để yêu cầu chứng chỉ thay mặt cho đối tượng khác.

User 1

(Computer) chỉ thay mặt cho máy tính khác. Exchange

Enrollment Agent (Offline request)

Được dùng để yêu cầu chứng chỉ cho đối tương khác và có cung cấp tên của đối tượng đó trong chứng chỉ

User 1

Exchange Signature Only

Được sử dụng bởi dịch vụ Microsoft Exchange Key Management Servicer để cấp phát các chứng chỉ cho các email có chữ ký số đến các user trong Mail Exchange.

User 1

Exchange User Tương tự như Exchange Signature Only nhưng giành cho việc mã hóa e-mail.

User 1

IPSec Được sử dụng bởi giao thức Internet Protocol để ký số, mã hóa và giải mã các cuộc giao tiếp trên mạng.

Computer 1

IPSEC (Offline request)

Được sử dụng bởi giao thức Internet Protocol (IPSec) để ký số, mã hóa và giải mã các cuộc giao tiếp trên mạng khi tên của đối tượng được cung cấp trong khi yêu cầu chứng chỉ.

Computer 1 Kerberos Authentication Được dùng để xác thực các user và máy tính trong AD Computer 2 Key Recovery Agent

Dùng để phục hồi khóa riêng tư trong trường hợp cần thiết, khóa riêng này được lưu trữ trên CA.

Key Recovery Agent

2

Signing Responder để phản hồi yêu cầu về tình trạng chứng chỉ.

RAS and IAS Server

Cho phép truy cập từ xa đến các máy chủ và các server Internet Authentication Service (IAS) để xác thực nhận dạng của chúng cho các máy tính khác. Computer 2 Root Certification Authority Dùng để chứng minh nhận dạng của Root CA CA 1 Router (Offline request)

Được sử dụng bởi một router thông qua một yêu cầu SCEP từ một CA chứa chứng chỉ CEP Encryption

Computer 1

Smartcard Logon Cho phép người sử dụng được xác thực bằng cách sử dụng thẻ smart-card.

User 1

Smartcard User Cho phép người dùng xác thực và bảo vệ e-mail với thẻ Smart-card

User 1 Subordinate Certification Authority Được dùng để chứng minh nhận dạng của CA gốc. Được cấp phát bởi CA cấp trên hoặc CA gốc.

CA 1

Trust List Signing Cho phép người dùng ký số vào một danh sách tin tưởng.

User 1

User Được dùng cho e-mail, mã hóa EFS và xác thực client bởi các người dùng.

User 1

User Signature Only

Cho phép user ký số vào dữ liệu User 1 Web Server Chứng minh nhận dạng của một

Một phần của tài liệu Tìm hiểu và ứng dụng của CA trên môi trường windows server 2008 (Trang 67)

Tải bản đầy đủ (DOC)

(95 trang)
w