Trong một hệ thống PKI, để có thể tham gia các giao dịch điện tử sử dụng chứng thực số, trƣớc hết mỗi bên tham gia giao dịch phải đƣợc cấp một chứng chỉ số từ nhà cung cấp chứng chỉ (CA). Chứng chỉ số này cần phải có đầy đủ các thông tin xác định cá nhân hay tổ chức sở hữu nó, cũng nhƣ thời hạn sử dụng của chứng chỉ, hay nói một cách khác, chứng chỉ số chính là con dấu điện tử của đối tƣợng tham gia giao dịch điện tử. Chính vì vậy nên quy trình đăng ký chứng chỉ số hay còn gọi là quy trình sinh khóa trong một hệ PKI là một trong những quy trình vô cùng quan trọng, tác động trực tiếp tới hoạt động của toàn hệ thống PKI. Cũng nhƣ các hệ PKI khác, quy trình đăng ký chứng chỉ số cũng đã đƣợc EJBCA tập trung xây dựng ngay từ những phiên bản đầu tiên, quy trình diễn ra nhƣ sau: (Hình 1.13)
20
Hình 1.13: Quá trình đăng ký chứng chỉ số.
Quá trình đăng ký chứng chỉ số gồm 3 bƣớc:[1,7]
Bƣớc 1: Ngƣời có nhu cầu sử dụng chứng chỉ số sẽ gửi yêu cầu tới RA theo mẫu thông tin đăng ký đƣợc EJBCA quy định. Dựa trên các thông tin đăng ký, EJBCA sẽ tạo chứng chỉ tƣơng ứng cho ngƣời dùng.
Bƣớc 2: Cơ quan quản lý đăng ký (RA), tiếp nhận thông tin đăng ký của
ngƣời dùng. Tiến hành quá trình kiểm duyệt thông tin đăng ký. Sau quá trình xác thực thông tin, yêu cầu tạo chứng chỉ số sẽ đƣợc chuyển
tiếp đến CA.
Bƣớc 3: EJBCA tiếp nhận các yêu cầu từ RA. Dựa trên thông tin đăng ký, EJBCA sẽ tạo cặp khóa private/public và chứng chỉ số cấp cho ngƣời dùng. Hiện nay, X.509v3 là chuẩn chứng chỉ số mà EJBCA đang sử dụng. Các thành phần của chuẩn chứng chỉ này đƣợc công bố trong RFC 2459[3], bao gồm:
21
Serial number chứng chỉ số: mỗi chứng chỉ số sẽ có một dãy số serial và là duy nhất đối với CA đó.
Issuer name (DN) – tên CA ban hành chứng chỉ số. SignaturaValue: chữ ký của CA lên chứng chỉ số nó cấp.
Validity (start and end time): thời gian hiệu lực của chứng chỉ số.
Subject name (DN – Distinguish Name): tên cá nhân đƣợc cấp chứng chỉ số (duy nhất).
Public key: khóa công khai của chứng chỉ số. Các thông tin mở rộng:
Subject alternative name:
Key usage: phạm vi sử dụng
Tùy theo mục đích sử dụng chứng chỉ số mà các thông tin đăng ký của ngƣời dùng có mức độ cụ thể khác nhau. Ví dụ nhƣ:
Đối với mục đích chỉ để cho ngƣời sử dụng làm quen với chứng chỉ số, hoặc phục vụ mục đích nghiên cứu, thì thông tin đăng ký có thể chỉ đơn giản là: tên ngƣời đăng ký và một địa chỉ email. Bƣớc xác thực của RA chỉ đơn giản là kiểm tra tính tồn tại của email đƣợc đăng ký. Chứng chỉ số có thể đƣợc gửi trực tiếp đến email của ngƣời đăng ký, khi quá trình sinh khóa hoàn tất.
Đối với các mục đích nhƣ: để doanh nghiệp sử dụng vào các hoạt động kinh doanh, tài chính… thì thông tin đăng ký phải chính xác và chi tiết. Các thông tin của doanh nghiệp nhƣ: tên doanh nghiệp, mã số thuế, địa chỉ… Bƣớc xác thực của RA cũng phải thông qua nhiều công đoạn kiểm tra để đảm bảo thông tin đăng ký là chính xác. Khi quá trình sinh khóa hoàn tất, chứng chỉ số đƣợc gửi đến cho doanh nghiệp cũng phải sử dụng những phƣơng thức đảm bảo an toàn nhƣ: sử dụng các thiết bị phần cứng lƣu trữ chuyên dụng: smart card, usb token…
22