3.2.1 Cài đặt Root CA:
Một Root CA có thể là một Stand-alone hay một Enterprise CA. Nếu có nhiều hơn một CA trong tổ chức, nhiều tổ chức giảm thiểu sự tiếp xúc của CA gốc của họ bằng cách giữ nó offline, trừ khi nó cần thiết để xử lý một yêu cầu cho một chứng chỉ CA cấp dưới.
Phải là thành viên trong nhóm Administrators cục bộ hoặc tương đương là yêu cầu tối thiểu để cài đặt Root CA. Nếu đây là một Enterprise CA thì phải là thành viên của nhóm Domain Admins hoặc tương đương.
Các bước thực hiện:
1. Mở Server Manager, chọn Add Role/ Next/ Active Directory Certificate Service/ Chọn Next hai lần.
3. Ở phần Specify Setup Type, ta chọn Stand-alone hay EnterpriseNext
4. Phần Specify CA Type, chọn Root CA Next
6. Phần Configure Cryptography, chọn cryptographic service provider, key length và thuật toán Hash Next
7. Ở phần Configure CA Name, ta tạo tên duy nhất trong domain cho CA để nhận diện Next.
8. Phần Set Validity Period, thiết lập thời hạn cho chứng chỉ của CA gốc.
9. Phần Configure Certificate Database, chấp nhận các vị trí mặc định nếu ta không muốn chỉ rõ vị trí của Certificate Database và Certificate database log Next.
10. Phần Confirm Installation Options, xem lại các mục mà ta đã chọn. Nếu chấp nhận tất cả những thiết lập đó thì nhấn Install và chờ cho đến khi việc cài đặt hoàn tất.
3.2.2 Cài đặt Subordinate CA:
Sau khi một Root CA được cài đặt, nhiều tổ chức sẽ cài đặt thêm một hoặc nhiều CA cấp dưới thi hành những chính sách giới hạn trên PKI và cấp phát chứng chỉ đến các thực thể cuối. Việc sử dụng ít nhất một CA cấp thấp sẽ giúp bảo vệ Root CA khỏi những vấn đề không cần thiết.
Nếu một CA cấp thấp được sử dụng để cấp phát chứng chỉ cho các user và computer với các tài khoản trong Active Directory, thì việc cài đặt một CA cấp thấp như một Enterprise CA sẽ cho phép ta sử dụng dữ liệu về tài khoản đã có của client trong Active Directory Domain Services (AD DS) để cấp phát và quản lý các chứng chỉ và để phát hành các chứng chỉ cho AD DS.
Phải là thành viên trong nhóm Administrators cục bộ hoặc tương đương là yêu cầu tối thiểu để cài đặt Root CA. Nếu đây là một Enterprise CA thì phải là thành viên của nhóm Domain Admins hoặc tương đương.
Quá trình cài đặt một Subordinate CA tương tự như việc cài đặt Root CA từ bước 1 đến bước 6. Ở bước 7, phần Request Certificate, trỏ đến vị trí của Root CA hay nếu Root CA không được kết nối vào mạng thì ta lưu request certificate
vào một file để được xử lý sau, sau đó chọn Next. Các bước tiếp theo tương tự như cài đặt Root CA.
Chú ý: Subordinate CA sẽ không được dùng cho đến khi nó được cấp chứng chỉ CA gốc và chứng chỉ đó sẽ được sử dụng để hoàn tất việc cài đặt Subordinate CA.
3.3 Cấp phát và quản lý chứng chỉ số3.3.1 Cấp phát tự động 3.3.1 Cấp phát tự động
Autoenrollment là một đặc tính hữu dụng AD CS, cho phép người quản trị cấu hình cho các đối tượng tự động kết nạp, lấy lại những chứng chỉ đã được cấp phát hoặc làm mới các chứng chỉ đã hết hạn mà không cần phải có sự tác động từ các đối tượng (objects). Để dùng Autoenrollment thì phải có Domain chạy Windows Server 2008, một Enterprise CA chạy trên Windows Server 2008 và client có thể chạy Windows Xp hoặc Windows Vista. Điều khiển tiến trình Autoenrollment bằng sự phối hợp của Group Policy và chứng chỉ số mẩu (Certificate Template).
Cấu hình Autoenrollment cho Domain
1. Trên Domain Controller, chọn Start Administrative tools Group Policy Management.
2. Trong cây console, duoble click Group Policy Object click phải chuột vào Default Domain Policy chọn Edit.
3. Lúc này sẽ xuất hiện hộp thoại Group Policy Management Console (GPMC) chọn User Configuration Windows Settings Security Setting Public Key Policies double click vào Certificate Services Client – Auto – Enrollment.
4. Lúc này ta sẽ cấu định nghĩa (define) các lựa chọn cho Auto Enrollment như sau :
− Configuration Model : chọn Enable để bật tính năng Auto Enrollment lên.
− Chọn checkbox Renew expired certificates, update pending certificates, remove revoked certificates : để tự động làm mới các chứng chỉ hết hạn, cập nhật các chứng chỉ trong hàng đợi, xóa các chứng chỉ trong danh sách thu hồi.
− Chọn Update certificates that use certificate templates : cập nhật những chứng chỉ sử dụng chứng chỉ mẫu.
5. Chọn Ok để kết thúc
3.3.2 Cấp phát không tự động (Manual Enrollment)
Stand-alone không thể dùng Autoenrollment, vì vậy khi một Stand-alone CA nhận yêu cầu về chứng chỉ số từ Client, nó sẽ lưu trữ những yêu cầu đó vào trong hàng đợi cho tới khi người quản trị quyết định có cấp phát chứng chỉ số đó hay không. Cá yêu cầu này được lưu trong phần Pending Requests.
Sau khi đánh giá thông tin trong mổi yêu cầu, người quản trị có thể chọn để chấp nhận (issue) hay từ chối yêu cầu. Người quản trị cũng có thể xem đặt tính của việc cấp phát chứng chỉ số và thu hồi chứng chỉ số khi cần. Hình sau đây khi chứng chỉ số được cấp phát bởi người quản trị.
3.4 Chứng chỉ số mẫu:
Chứng chỉ số mẫu là phần không thể thiếu đối với một Enterprise CA. Chúng là một nhân tố quan trọng của chính sách chứng thực trong một môi trường mà thiết lập các luật lệ và định dạng cho việc cấp phát tự động, sử dụng và quản lý chứng chỉ. Các chứng chỉ số mẫu này được lưu trữ trong Active Directory và được các CA trong một “rừng” sử dụng.
Các CA của Microsoft hỗ trợ 3 loại chứng chỉ số mẫu: version 1, version 2, version 3. Các CA được thiết lập trên những server chạy Windows Server 2003, Standard Edition, Windows 2000 Server chỉ hỗ trợ mẫu version 1. Các hệ điều hành Windows Server 2003 Enpterprise Edition và DataCenter thì hỗ trợ hai mẫu version 1 và version 2. Còn các CA thiết lập trên Windows Server 2008 thì hỗ trợ tất cả các phiên bản trên: version 1, version 2 và version 3. Hơn nữa, chứng chỉ số mẫu version 3 chỉ có thể được sử dụng bởi các client trên những máy tính chạy Windows Server 2008 hay Windows Vista.
3.4.1 Version 1 certificate Templates:
Các mẫu chứng chỉ số version 1 được cung cấp khả năng tương thích ngược, chúng được tạo mặc định khi CA được cài đặt và ta không thể chỉnh sửa hay gỡ bỏ chúng được. Khi ta nhân đôi một chứng chỉ số mẫu version 1 (duplicate) thì bản sao đó sẽ như version 2 và version 3, cái mà ta có thể chỉnh sửa được.
3.4.2 Version 2 certificate Templates:
Các mẫu chứng chỉ số version 2 cho phép chúng ta tùy chọn các thiết lập mà không cần phải duplicate như version 1. Một vài mẫu chứng chỉ version 2 cấu hình sẵn được cung cấp trong cấu hình mặc định, hơn nữa có thể được thêm vào khi cần thiết. Điều này cho phép cấu hình một cách linh hoạt đối với các quản trị viên.
3.4.3 Version 3 certificate Templates:
Các mẫu chứng chỉ phiên bản này cho phép các quản trị viên thêm các thiết lập mã hóa Suite B đến các chứng chỉ của họ. Suite B gồm các tùy chọn được tăng cường cho việc mã hóa, chữ ký số, trao đổi khóa, và hàm băm. Các chứng chỉ thuộc version 3 chỉ có thể được cấp phát từ các CA được cài trên các server chạy Windows Server 2008 và được sử dụng trên các client cài Windows Server 2008 hay Windows Vista.
3.4.4 Các mẫu chứng chỉ mặc định trong Windows Server 2008:
Tên mẫu Mô tả Đối tượng Version
Administrator Cho phép ký danh sách tin tưởng và xác thực người dùng.
User 1
Authenticated Session
Cho phép các đối tượng được xác thực khi truy cập đến máy chủ
Web.
Basic EFS Sử dụng Encrypting File System (EFS) để mã hóa dữ liệu
User 1
CA Exchange Được dùng để lưu trữ khóa riêng tư.
Computer 2 CEP Encryption Cho phép người nắm giữ các
chứng chỉ có thể hoạt động như một Registration Authority (RA) cho các yêu cầu về Simple Certificate Enrollment Protocol (SCEP).
Computer 1
Code signing Sử dụng để ký số vào phần mềm. User 1 Computer Cho phép một máy tự chứng thực
trên mạng.
Computer 1 Cross-Certification
Authority
Được dùng cho việc xác thực chéo và các CA cấp dưới đạt chất lượng. Cross- certified CA 2 Directory E-mail Replication
Được dùng để tái tạo e-mail trong AD DS.
Computer 2 Domain controller Được sử dụng bởi các DC như là
các chứng chỉ đa mục đích (xác thực người dùng và máy tính) Computer 1 Domain Controller Authentication Dùng để xác thực các user và máy tính trong Active Directory
Computer 2 EGS Recovery
Agent
Cho phép các đối tượng giải mã các tập tin mà trước đây được mã hóa bằng EFS.
User 1
Enrollment Agent Được sử dụng để yêu cầu chứng chỉ thay mặt cho đối tượng khác.
User 1
(Computer) chỉ thay mặt cho máy tính khác. Exchange
Enrollment Agent (Offline request)
Được dùng để yêu cầu chứng chỉ cho đối tương khác và có cung cấp tên của đối tượng đó trong chứng chỉ
User 1
Exchange Signature Only
Được sử dụng bởi dịch vụ Microsoft Exchange Key Management Servicer để cấp phát các chứng chỉ cho các email có chữ ký số đến các user trong Mail Exchange.
User 1
Exchange User Tương tự như Exchange Signature Only nhưng giành cho việc mã hóa e-mail.
User 1
IPSec Được sử dụng bởi giao thức Internet Protocol để ký số, mã hóa và giải mã các cuộc giao tiếp trên mạng.
Computer 1
IPSEC (Offline request)
Được sử dụng bởi giao thức Internet Protocol (IPSec) để ký số, mã hóa và giải mã các cuộc giao tiếp trên mạng khi tên của đối tượng được cung cấp trong khi yêu cầu chứng chỉ.
Computer 1 Kerberos Authentication Được dùng để xác thực các user và máy tính trong AD Computer 2 Key Recovery Agent
Dùng để phục hồi khóa riêng tư trong trường hợp cần thiết, khóa riêng này được lưu trữ trên CA.
Key Recovery Agent
2
Signing Responder để phản hồi yêu cầu về tình trạng chứng chỉ.
RAS and IAS Server
Cho phép truy cập từ xa đến các máy chủ và các server Internet Authentication Service (IAS) để xác thực nhận dạng của chúng cho các máy tính khác. Computer 2 Root Certification Authority Dùng để chứng minh nhận dạng của Root CA CA 1 Router (Offline request)
Được sử dụng bởi một router thông qua một yêu cầu SCEP từ một CA chứa chứng chỉ CEP Encryption
Computer 1
Smartcard Logon Cho phép người sử dụng được xác thực bằng cách sử dụng thẻ smart-card.
User 1
Smartcard User Cho phép người dùng xác thực và bảo vệ e-mail với thẻ Smart-card
User 1 Subordinate Certification Authority Được dùng để chứng minh nhận dạng của CA gốc. Được cấp phát bởi CA cấp trên hoặc CA gốc.
CA 1
Trust List Signing Cho phép người dùng ký số vào một danh sách tin tưởng.
User 1
User Được dùng cho e-mail, mã hóa EFS và xác thực client bởi các người dùng.
User 1
User Signature Only
Cho phép user ký số vào dữ liệu User 1 Web Server Chứng minh nhận dạng của một
Web Server
Workstation Authentication
Cho phép các máy client xác thực nhận dạng đến máy chủ
Computer 2
3.5 Yêu cầu chứng chỉ số - Requesting Certificate
Yêu cầu chứng chỉ số phải được thực hiện bởi các user, máy tính, hoặc dịch vụ mà có quyền truy cập vào các khóa riêng liên kết với các khóa công khai. Tuỳ thuộc vào chính sách khóa công khai được thành lập bởi người quản trị hệ thống, máy tính và dịch vụ có thể yêu cầu chứng chỉ tự động mà không có sự can thiệp của người dùng.
Có hai cách để yêu cầu chứng chỉ số, ta có thể sử dụng Certificate Request Wizard hay Certificate Services Web pages để thực hiện việc này.
3.5.1 Sử dụng Certificate Request Wizard:
Chỉ có các Enterprise CA trong môi trường domain mới có thể cấp phát chứng chỉ bằng việc sử dụng Certificate Request Wizard Phải là thành viên của nhóm Users hay nhóm Administrators cục bộ là yêu cầu tối thiểu để thực hiện việc này. Để yêu cầu một chứng chỉ số ta làm theo các bước sau:
1. Vào Start/ Run gõ mmc OK.
2. Ở cửa sổ hiện ra ta chọn menu File/ Add/Remove Snap-in …
Khi nhấn Add sẽ hiện ra cửa sổ yêu cầu ta chọn snap-in này sẽ quản lý các chứng chỉ cho user, dịch vụ hay tài khoản máy tính:
4. Trong mục Console Root: ta chọn Certificates-Curent User/ Personal/ Certificate. Trong menu hoạt động, ta chọn All Tasks/ Request New
Certificate …để khởi động Certificate Enrollment Wizard. Nhấn Next để tiếp tục.
5. Chọn loại chứng chỉ mà ta muốn yêu cầu, ta có thể nhấn vào nút Details để xem thêm thông tin về mỗi loại chứng chỉ.
3.5.1 Sử dụng Web Enrollment:
Mỗi CA cài đặt trên Windows Server 2008 có trang web mà các user có thể truy cập để gửi yêu cầu chứng chỉ. Địa chỉ mặc định của trang này thường là: https://servername/certsrv. Phải là thành viên của nhóm Users hay nhóm Administrators cục bộ là yêu cầu tối thiểu để thực hiện việc này.
Để thực hiện việc này ta cần cài dịch vụ IIS vào máy tính trước.Khi cài đặt dịch vụ Active Directory Certificates Services ta phải chọn cài thêm mục
Certification Authority Web Enrollment để thực hiện việc yêu cầu chứng chỉ thông qua Web, dịch vụ này sẽ ra các trang Web trên máy cài CA và các trang Web này cho phép người dùng gửi yêu cầu cấp phát chứng chỉ số.
Đối với một Stand-alone CA thì cấp phát thông qua trang Web là cách chính để cấp chứng chỉ số. Bởi vì Certificate Snap-in không được sử dụng để yêu cầu chứng chỉ số trong Stand-alone CA. Enterprise CAs có thể chấp nhận yêu cầu chứng chỉ số qua Certificate Snap-in hay Web Enrollment.
Đây là thành phần riêng biệt của dịch vụ chứng chỉ số. Những trang Web này được cài mặc định khi thiết lập một CA và cho phép người yêu cầu chứng chỉ số gửi yêu cầu thông qua Web Browser.
A. Trên Stand-alone CA:
1. Cấu hình Web Server (https): Bước 1:Tạo public key cho web server:
Vào dịch vụ IIS Manager Server Certificate Create certificate request Điền các thông tin để mô tả về certificate của mình (ở mục Common Name, điền tên trang web của mình (nếu trên internet thì nên lấy tên từ DNS Name, còn nếu chỉ trong local thì nên lấy từ NetBios Name)) Chọn nhà cung cấp dịch vụ certificate và chiều dài của khóa mã Certificate request (public key) của ta được lưu như 1 file text, đặt tên file và chọn vị trí lưu file. Nhấn Next Finish.
Bước 2:Gởi yêu cầu chứng chỉ đến CA:
Sử dụng trình duyệt web để truy cập vào trang web certificate của CA theo địa chỉ http://ip_cua_CA_server/certsrv hoặc http://ten_trang_web/certsrv ( trong ví dụ này ta truy cập như sau http://192.168.1.1/certsrv hoặc http://web.com/certsrv ) Request a certificate xuất hiện yêu cầu chọn loại của certificate, ở đây có 3 loại:
− Web Brower Certificate : sử dụng cho web client
− Email Protection Certificate : sử dụng cho email client
− Advance Certificate Request : sử dụng cho web server hoặc mail server…
Chú ý: Nếu CA thuộc loại Stand-alone thì khi vào trang Web trên sẽ không yêu cầu username và password. Nếu là Enterprise CA sẽ xuất hiện hộp thoại Login, yêu cầu nhập username và password mới có thể yêu cầu chứng chỉ.
Ở đây ta chọn Advance Cerificate Request tùy theo loại CA mà có các policy khác nhau, tiếp theo chọn Submit a certificate request by using a base-64- encoded CMC or PKCS #10 file, or submit a renewal request by using a base- 64-encoded PKCS #7 file Next. Lúc này ta thấy textbox Base-64-encoded certificate request (CMC or PKCS #10 or PKCS #7) yêu cầu copy public key của Webserver ta vừa tạo ra, lúc này ta mở file text và copy toàn bộ nội trong file này vào textbox này, chọn Submit thông báo ta đã tạo Certificate Request thành