Hệ thống CA theo kiến trúc phẳng cơ bản thì chỉ sử dụng cho hệ thống nhỏ, các spoke sẽ đăng ký trực tiếp đến root CA.
Hình 3.7 Cấu trúc hệ thống CA phẳng [3].
Một PKI cho một mạng có hàng trăm hoặc nhiều hơn các spoke thì kiến trúc phẳng sẽ xuất hiện các vấn đề như: xử lý chậm, khó khăn trong việc quản lý và độ mở rộng. Để đáp ứng trường hợp này, một hệ thống CA có kiến trúc phân cấp sẽ được triển khai.
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Hình 3.8 Cấu trúc hệ thống CA phân cấp [3] Thiết kế hệ thống phân cấp có hai loại như sau:
Đầu tiên, nội dung chuỗi chứng thực được sử dụng cho phép tất cả các thiết bị cùng root-CA xác thực lẫn nhau. Nghĩa là mặc dù hai thiết bị đăng ký với hai sub- CA khác nhau vẫn chứng thực được với nhau. Ví dụ trong IKE (Internet Key Exchange), chuỗi chứng thực mặc định được thực hiện.
Cái còn lại, chuỗi chứng thực không được cho phép. Nghĩa là chỉ có các thiết bị cùng sub-CA mới chứng thực được lẫn nhau mặc dù các sub-CA có cùng một root- CA. Ví dụ trong SSL (Secure Sockets Layer), chuỗi chứng thực phải được enable một cách rõ ràng nếu muốn sử dụng.
Cấu hình root CA:
Đầu tiên, cần phải cấu hình một root CA cho hệ thống. Để cấu hình root-CA, thực hiện các bước sau:
1. Tạo một cặp RSA key dùng cho việc xác thực. 2. Cấu hình certificate server:
Tạo một cs-sever cho root CA.
Xác định định dạng tên cho chứng thực của server: có hai dạng là FQND (mặc định) và X500
Xác định nơi trữ các file dữ liệu của CA
Cấu hình cấp độ lưu trữ thông tin của cơ sở dữ liệu, có cấp độ là: nimimum, name, complete.
Router(config)#crypto pki server root-CA
Router(cs-server)#issuer-name CN=root-CA, OU=GETVPN, O=BachKhoa, C=VietNam
Router(cs-server)#database url nvram: Router(cs-server)#database level name 3. Cấu hình các chính sách ban hành cho CA:
Xác định thuật toán hash sử dụng cho quá trình ký nhận chứng thực, có hai cách là MD5 (mặc định) và SHA-1.
Xác định thời gian sống cho các chứng thực được ban hành (thường là 2 hoặc 3 năm), thời gian sống cho chứng thực của CA (mặc định là 5 năm).
Cấu hình phương pháp cấp chứng thực cho router, có 2 phương pháp: tự động và bằng tay.
o Tự động: trong mode phụ trustpoint dùng lệnh grant auto cho chứng thực của spoke, lệnh grant auto rollover ca-cert
o Bằng tay: ở mode priviledge, dùng lệnh crypto pki server root-CA
{grant|reject} req-id
Router(config)#crypto pki server root-CA
Router(cs-server)# hash sha1
Router(cs-server)# lifetime certificate 730 Router(cs-server)# lifetime ca-certificate 3650 Router(cs-server)# grant auto
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
4. Cấu hình chính sách thu hồi chứng thực:
Để điều chỉnh thời gian sống cho crl, trong modecs-server dùng lệnh lifetime crl giờ
(từ 0-366 giờ).
5. Cấu hình SCEP interface (nếu dùng SCEP enrollment) Trong mode config, dùng lệnh ip http server
6. Cho phép CS server hoạt động.
Dùng lệnh no shutdown trong mode phụ cs-server. Sau khi server được bật lên, nó không cho phép thay đổi cấu hình, nếu muốn thay đổi ta phải shutdown sever.
Cấu hình một sub-CA:
Để có hệ thống trên, cần phải cấu hình chính xác một sub-CA mới. Sub-CA phải đăng ký đến root CA và đại diện cho root CA cấp chứng thực cho các spoke. Để cài đặt sub-CA, cần thực hiện các bước sau:
1. Cấu hình server cho sub-CA: tương tự như cấu hình root CA. Để nó hoạt động như sub-CA, cần thêm vào câu lệnh:
Router(config)#crypto pki server sub-CA-1
Router(cs-server)#mode sub-cs
2. Thiết lập một trustpoint cho sub-CA:
Router(config)#crypto pki trustpoint sub-CA-1
Router(ca-trustpoint)#enrollment url http://địa-chỉ-IP-root-CA:80 Router(ca-trustpoint)#rsakeypair subca-key
Router(ca-trustpoint)#revocation crl none
3. Vào no shutdown cho server và chấp nhận chứng thực của root CA.
4. Trên root CA, phải cấp bằng tay cho yêu cầu đăng ký của sub CA bằng câu lệnh: Router#crypto pki server root-CA grant all
5. Trên sub CA, dùng các câu lệnh show để xác nhận đã nhận chứng thực. Router#show crypto pki server