- Mạng VPN mở rộng (Extranet VPN)
2.5.6.1Các thành phần PK
Các thành phần chính tạo thành khung PKI là
• Khách hàng PKI
• Người cấp giấy chứng nhận (CA)
• Người cấp giấy đăng ký (RA)
• Các giấy chứng nhận số
• Hệ thống phân phối các giấy chứng nhận (CDS)
a. Khách hàng PKI
Một khách hàng PKI là thực thể mà yêu cầu giấy chứng nhận số từ CA hoặc RA. Trườc khi một khách hàng PKI tham gia cvào các sự giao dịch dữ liệu, nó phải có được một giầy chứng nhận số. Để làm được điều này, khách hàng phát ra một yêu cầu về một giầy chứng nhận từ CA hoặc RA được chỉ định cho tổ chức. Khi một khách hàng được xác nhận thành công, nó nhận được giấy xác nhận mà nó yêu cầu. Sau khi nhận được giấy xác nhận, khách hàng sử dụng nó để nhận dạng mình. Tuy nhiên trách nhiệm duy nhất của khách hàng là bảo vệ giữ gìn giấy chứng nhận
b. Certification Authority (CA)
CA là một người thứ ba tin cậy cấp phát các gấiy chứng nhận số đến khách hàng PKI. Trườc khi cấp phát một xác nhận số, CA kiểm tra tính đồng nhất và tính xác thực của khách hàng PKI
CA sử dụng các thủ tục và các nguyên tắc thực hiện riêng của nó để cấp phát các giấy chứng nhận số. NHư bạn kỳ vọng, quá trình cấp giấy chứng nhận thay đổi phụ thuộc vào cơ sở hạ tầng hợp lệ được hỗ trợ bởi CA, các chính sách tổ chức của nó, mứ độ của giấy chứng nhận được yêu cầu. Quá trình có thể yêu cầu một vài thông tin, như bằng lái xe, notarization hoặc dấu vân tay.
Một ví dụ của một CA nổi tiếng là Verisign,Inc
c. Registration Authority ( RA)
Trước khi thỏa mãn một yêu cầu về giấy chứng nhận số, CA phải xác nhận và kiểm tra tính hợp lệ của yêu cầu. Tuy nhiên, bởi vì số lượng lớn các yêu cầu cho giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ của yêu cầu cho RA. RA nhận tất cả các yêu cầu cấp giấy chứng nhận và kiểm tra chúng
Sau khi một RA kiểm tra một yêu cầu thành công, nó chuyển yêu cầu tới CA.CA phát giấy chứng nhận yêu cầu và chuyển nó tới cho RA. Ra sau đ1o chuyển giấy chứng nhận tới khách hàng yêu cầu. Trong cách thực hiện này, RA đóng vai trò như một gnười trung gian giữa các khách hàng PKI và CA.
d. Các giấy chứng nhận số
Một giấy chứng nhận số là một tương đương về mặt điện tử của một thẻ xác nhận và được sử dụng để xác định duy nhất một thực thể trong suốt quá trình truyền. Bên cạnh việc xác định định dan của người chủ, các giấy chứng nhận số cũng loại bỏ cơ may của sự làm giả, vì thế giảm được nguy cơ của sự tạo ra dữ liệu, các giấy chứng nhận số cũng ngăn chặn có hiệu quả người gởi từ các thông tin không xác nhận
Một giấy chứng nhận số bao gồm các thông tin giúp xác nhận tính hợp lệ của người gửi và bao gồm các thông tin sau :
• Dãy số của giấy chứng nhận
• Hạn sử dụng của giấy chứng nhận
• Chữ ký số của CA
• Khóa công cộng của khách hàng PKI
Trong suốt một giao dịch, người gửi phải gửi giấy chứng nhận số của anh ấy hoặc cô ấy theo với tín hiệu đã mã hóa để xác nhận anh ấy hay cô ấy. Người nhận sử dụng khóa công cộng của CA để xác nhận tính hợp lệ của khóa công cộng của người gửi, cái mà được gắn vào thông tin gửi. Như trong trường hợp các khóa công cộng, khóa công công của CA được phổ biến rộng rãi và sẵn sàng cho tất cả. Khi người nhận đã đảm bào được định danh đúng của người gửi, người sử dụng dùng khóa công cộng của người gửi để giải mã thông tin thực sự
e. Hệ thông phân phối giấy chứng nhận
Hệ thống phân phối giấy chứng nhận là một kho chứa các giấy chứng nhận được cấp cho người sử dụng và tổ chức. Thêm nữa CDS sinh ra và lưu trữ các cặp khóa, mật hiệu các khóa công cộng sau khi đã xác nhận chúng, lưu trữ và thu hồi các khóa bị mất hay hết hạn.CDS cũng chịu trách nhiệm cho việc xuất các khóa công cộng tới các server dịch vụ thư mục