Theo nhƣ mô hình PKI đƣợc đề xuất ở trên thì mô hình hạ tầng triển khai PKI ở công ty IFI Solution sẽ đƣợc chia làm 3 khu vực: khu vực ngƣời sử dụng, khu vực quản trị và khu vực máy chủ. (Hình 2.3)
31
Hình 2.3: Đề xuất mô hình EJBCA triển khai ở công ty IFI Solution.
Khu vực ngƣời sử dụng (User Module): bao gồm các nhân viên hành chính
(ngƣời dùng RA) và các cá nhân sử dụng chứng chỉ số, chính là các vị trí làm việc hiện tại của nhân viên trong công ty.
Khu vực quản trị (Management Module): chính là nơi mà ngƣời quản trị
EJBCA của công ty: kiểm duyệt các yêu cầu và tạo các chứng chỉ số cho ngƣời dùng trong công ty. Vị trí này, có vai trò quyết định ảnh hƣởng đến tính đúng đắn của hoạt động trong hệ thống PKI của công ty. Thực vậy, giả sử nếu nhƣ vị trí này bị chiếm quyền bởi một cá nhân khác dẫn tới các thông tin về chứng chỉ số của ngƣời dùng trong công ty sẽ bị lộ, đồng nghĩa với việc xác thực chữ ký trong hệ thống PKI có thể sẽ không còn chính xác, và tính an toàn trong hệ thống bị phá vỡ. Do đó, để đảm bảo an toàn thì vị trí đặt máy quản trị EJBCA ngoài những biện pháp hạn chế truy nhập bằng phần mềm nhƣ: mật khẩu đăng nhập, thì cũng cần phải có những biện pháp giám sát và giới hạn vật lý nhƣ: camera giám sát, thẻ từ ra vào khu vực quản trị.
32
Do số lƣợng cấp chứng chỉ số chỉ trong phạm vi công ty không nhiều nên vị trí máy tính quản trị có thể đặt trực tiếp trong phòng máy chủ, chỉ khi nào có yêu cầu tạo mới chứng chỉ số thì ngƣời quản trị mới mở máy tính này.
Khu vực máy chủ (Server Module): là khu vực chứa máy chủ hoạt động
của công ty, nó sẽ chứa máy hai máy chủ của hệ thống PKI: máy chủ EJBCA và máy chủ RA. Máy chủ EJBCA sẽ chạy phần mềm EJBCA và chứa cơ sở dữ liệu của EJBCA (kho lƣu chứng chỉ số, CRL…). Sau khi cấu hình và chạy thì máy chủ EJBCA sẽ chỉ giao tiếp với ngƣời dùng thông qua máy chủ RA, hay nói cách khác là ngƣời sử dụng không có quyền truy nhập trực tiếp lên máy chủ EJBCA, mọi yêu cầu gửi đến EJBCA đều phải thông qua RA. Máy chủ RA cài đặt cơ sở dữ liệu và ứng dụng RA, có nhiệm vụ tiếp nhận, xử lý các yêu của ngƣời dùng RA và ngƣời quản trị. Về mặt an ninh, cũng giống nhƣ khu vực quản trị, khu vực máy chủ cũng cần phải có biện pháp hạn chế quyền truy nhập.