Cấu hình hệ thống cấp phát chứng chỉ số
Để bảo vệ hệ thống khỏi sự xâm nhập từ bên ngoài, ngoài cơ chế tự bảo vệ của giải pháp và hệ điều hành, cần phải cài đặt Firewall và phần mềm phòng chống - phát hiện đột nhập (IDS).
Đối với IDS, có thể sử dụng phần mềm mã nguồn mở SnorthTM hoặc Synmatec Host IDS của hãng Synmatec [19].
Hình 3.8: Topo mạng của hệ thống cấp phát chứng chỉ
Máy chủ thứ nhất cài đặt hệ thống quản lý cấp phát và thu hồi chứng chỉ (CA Server) và Web server.
Máy chủ thứ hai là máy chủ RA (RA Server) và Web server.
Máy chủ thứ 3 và thứ 4 làm kho dữ liệu cho hệ thống. Dịch vụ thƣ mục Microsoft Active Directory đƣợc dùng để lƣu dữ liệu. Máy chủ thứ 4 có nhiệm vụ backup dữ liệu từ máy chủ thứ 3. Khi dữ liệu cập nhật vào máy chủ thứ 3, sẽ đƣợc tự động cập nhật sang máy chủ thứ 4 (Replication).
Internet Administrator Administrator Application & secureID Passage LDAP Server
Replicated LDAP Server
High Speed
LAN Router Router/RAS
PSTN WAN Application & secureID Passage SmartCard SmartCard RA & Webserver CA & Webserver
Nguyên lý vận hành và quản trị hệ thống cấp phát chứng chỉ số
Ngƣời quản trị hệ thống truy cập Administration server trên CA Server và RA Server thông qua giao diện Web và dùng giao thức https. Để truy nhập chức năng quản trị hệ thống, quá trình chứng thực hai bên giữa ngƣời quản trị hệ thống và hệ thống phải thành công. Qua giao diện web, ngƣời quản trị có thể quản trị và thay đổi cấu hình toàn bộ hệ thống.
Tích hợp vào các ứng dụng hệ thống
Hệ thống phải sẵn sàng tích hợp đƣợc với nhiều ứng dụng phổ biến khác nhau nhƣ Firewall, Email, Directory Service, Web, truy nhập từ xa, mạng riêng ảo (VPN),… Việc tích hợp này mang lại lợi ích lớn cho ngƣời sử dụng các dịch vụ an toàn và bảo mật thông tin.
Tích hợp vào các ứng dụng nghiệp vụ
Đối với các đối tƣợng dùng thẻ thông minh, việc tích hợp các chức năng mã hoá, tạo chữ ký số,… sẽ tƣơng đối dễ dàng và an toàn do chúng ta có thể tích hợp để thẻ thông minh trực tiếp thực hiện chức năng đó.
Khi xây dựng hệ thống cần tuân theo các chuẩn mở nhƣ JavaCard và PKCS#11. Điều này sẽ làm đơn giản việc xây dựng các module phần mềm truy xuất, khai thác các tài nguyên và chức năng trên thẻ thông minh bằng nhiều ngôn ngữ lập trình khác nhau.
Đối với đối tƣợng không dùng thẻ thông minh, việc xây dựng các module phần mềm thực hiện các chức năng mã hoá, tạo chữ ký số, kiểm tra chữ ký số để tích hợp với hệ thống có thể dựa trên các chuẩn mở X.509, LDAP, OCSP, PKCS#11.
Nếu lựa chọn giải pháp mua công nghệ sẵn có, chúng ta phải xây dựng các module chƣơng trình, các thƣ viện liên kết động (DLL) để gọi các chức năng ký, kiểm tra chữ ký, xác thực ngƣời ký, ghi/ đọc các thiết bị lƣu chữ ký căn cứ trên các hàm API, cụ thể:
Đối với các ứng dụng phát triển bằng JSP, cần xây dựng các module giao diện nhƣ Applets, JavaBean,…
Đối với các ứng dụng phát triển trên nền công nghệ .Net, cần phải xây dựng các thƣ viện liên kết động (DLL).
Đối với các ứng dụng phát triển trên nền Oracal, cần xây dựng các module trên ngôn ngữ PL/SQL nhằm đảm bảo độ tƣơng thích tối đa.