0
Tải bản đầy đủ (.pdf) (37 trang)

Khởi tạo CA

Một phần của tài liệu NGHIÊN CỨU, XÂY DỰNG HẠ TẦNG KHÓA CÔNG KHAI PKI DỰA TRÊN OPENCA (Trang 25 -25 )

II. Mô hình hệ thống PKI với OpenCA

1. RootCA

1.1 Khởi tạo CA

Hình 7: Khởi tạo cơ sở dữ liệu, khóa CA, ...

Khởi tạo cơ sở dữ liệu: Bước này sẽ tạo ra cơ sở dữ liệu dựa vào các tham số đã thiết lập trong quá trình cài đặt openca. Nếu đã có 1 cơ sở dữ liệu trước đó thì ta có thể chọn Upgrade Database để nâng cấp cơ sở dữ liệu, hoặc Re-init Database để khởi tạo lại cơ sở dữ liệu ( lưu ý: nếu chọn thiết lập này sẽ làm mất cơ sở dữ liệu hiện có ).

Tạo khóa bí mật cho CA: Bước này thực hiện sinh khóa bí mật cho CA. Để thực hiện việc sinh khóa bí mật chúng ta phải chọn thuật toán khóa, thuật toán mã hóa khóa và độ dài của khóa.

Hình 8: Tạo khóa bí mật cho CA.

Sau khi chọn xong các thuật toán và độ dài khóa, hệ thống sẽ sinh ra 1 khóa bí mật cho CA như hình dưới đây. Hoặc có thể xem lại khóa được lưu trong máy theo đường dẫn sau: /opt/OpenCA/var/openca/crypto/keys/cakey.pem ( /opt/OpenCA/ là thư mục cài đặt OpenCA được thiết lập trong quá trình cài đặt ).

Hình 9: Khóa bí mật của CA.

Tạo yêu cầu cấp chứng chỉ cho CA: Sau khi tạo khóa bí mật cho CA xong, chúng ta tạo 1 yêu cầu xin cấp chứng chỉ cho CA.

Hình 11: Nội dung yêu cầu chứng chỉ

• Serial Number: số seri của chứng chỉ. Do đây là chứng chỉ đầu tiên cấp cho CA nên chúng ta để Serial Number là 00.

• Certificate Validity: Thời hạn sử dụng chứng chỉ, mặc định là 730 ngày (2 năm). Chúng ta có thể thay đổi giá trị này tùy theo nhu cầu sử dụng hệ thống.

• Extensions: Phần mở rộng, để ký chứng chỉ cho CA, chúng ta lựa chọn Self Signed CA. Với lựa chọn này hệ thống sẽ tự ký vào yêu cầu này để tạo ra chứng chỉ CA cho nó.

Sau khi lựa chọn xong hệ thống sẽ tạo chứng chỉ như hình dưới đây. Chúng ta cũng có thể xem lại chứng chỉ tại /opt/OpenCA/var/openca/crypto/certs/00.pem

Hình 13: Chứng chỉ của CA.

• Xây dựng lại chuỗi chứng chỉ CA: Sau khi xây dựng xong SubCA chúng ta thêm chứng chỉ của SubCA vào thư mục /opt/OpenCA/var/openca/crypto/chain/ rồi chọn Rebuild CA Chain.

Hình 14: Xây dựng lại chuỗi chứng chỉ CA. 1.

2 Khởi tạo chứng chỉ cho người quản trị.

Sau khi đã thiết lập CA xong, chúng ta thực hiện việc khởi tạo chứng chỉ cho người dùng đầu tiên (khuyến cáo nên khởi tạo cho người quản trị).

Hình 16: Khai báo các thông tin cơ bản.

Hình 17: Khai báo chi tiết chứng chỉ.

Hình 18: Khai báo mã PIN.

Chọn lược đồ ký, độ mạnh của khóa và đặt mã PIN. Mã PIN rất quan trọng, mỗi chứng chỉ có 1 mã PIN duy nhất.

Hình 20: Tạo yêu cầu.

Sau khi tạo xong yêu cầu, chúng ta phải vào mục Issue the certificate để chấp thuận yêu cầu trên. Trong đây chúng ta có thể sửa lại yêu cầu, tạo chứng chỉ hoặc xóa bỏ yêu cầu này.

Hình 22: Chứng chỉ của người dùng.

Sau khi đã Issue certificate chúng ta có thể lấy chứng chỉ về máy bằng cách chọn mục Handle the certificate. Tại đây chúng ta có thể thấy chứng chỉ được cấp cho người dùng có serial number là 53:CF:7A:A8:D6:E7:1E:42:3D:01( chứng chỉ được lưu trong hệ thống tại /opt/OpenCA/var/openca/crypto/certs/53cf7aa8d6e71e423d01.pem).

Chọn More info để xem chi tiết thông tin về chứng chỉ và lấy chứng chỉ về máy người dùng.

Hình 23: Download chứng chỉ về máy.

2. SubCA

Quá trình cài đặt SubCA tương tự như cài đặt RootCA.

Chúng ta cũng phải tạo khóa bí mật cho SubCA. Khởi tạo 1 yêu cầu cấp phát chứng chỉ. Yêu cầu này sẽ được gửi cho RootCA để RootCA ký và chứng thực đây là 1 sub CA. Chứng chỉ sau khi được ký xong sẽ gửi trả lại cho SubCA.

3.RA


Quá trình cài đặt RA cũng tương tự như RootCA và SubCA. Có điểm khác là khi cài đặt gói openca-base chúng ta chọn chế độ cài đặt là install-online.

Sau khi cài đặt xong RA. Người dùng sẽ đăng ký cấp chứng thư trực tiếp trên RA, sau đó các yêu cầu cấp chứng thư sẽ được gửi đến cho SubCA để SubCA ký. Các chứng thư sau khi được SubCA ký xong sẽ được gửi trả lại cho RA để người dùng lấy về, đồng thời các chứng thư này cũng sẽ được công bố trên hệ thống kho lưu trữ (repositories)

Chương IV: Đánh giá và định hướng phát triển

Trong thời gian thực hiện đề tài, nhóm chúng em đã nghiên cứu và tìm hiểu về hệ thống PKI dựa trên nền tảng mã nguồn mở OpenCA và thu được một số kết quả sau:

Về lý thuyết nhóm nghiên cứu đã tìm hiểu và nắm vững được các vấn đề sau

• Mật mã hóa khóa công khai

• Chữ ký số

• Các kiến thức cơ bản về cơ sở hạ tầng khóa công khai - PKI (một mô hình được sử dụng rất nhiều cho việc truyền thông qua mạng Internet như gửi thư an toàn, chứng thực web an toàn, … )

Về mặt thực nghiệm: nhóm đã thực hiện được các kết quả sau

• Xây dựng hệ thống PKI với OpenCA.

• Thử nghiệm xin cấp phát chứng thư và cấp phát chứng thư.

• Lưu trữ chứng thư trên kho lưu trữ repositories.

Do giới hạn về thời gian, cơ sở vật chất. Bên cạnh những mặt đạt được như trên thì nhóm vẫn còn một số mặt hạn chế:

• Mô hình nhỏ chỉ phục vụ cho việc nghiên cứu, có khả năng đáp ứng cho doanh nghiệp vừa và nhỏ.

• Chưa nghiên cứu được việc ứng dụng trong thẻ token, smart card, …

Hướng phát triển: Xây dựng hệ thống PKI kết hợp với các giải pháp an ninh khác để đảm bảo an toàn và cung cấp môi trường truyền thông an toàn trong hệ thống mạng cục bộ, mạng doanh nghiệp.

Kết luận

Việc nghiên cứu và xây dựng hệ thống PKI dựa trên nền tảng mã nguồn mở OpenCA là một vấn đề còn mới mẻ và luôn cần được hoàn thiện. Dự án OpenCA vẫn đang được hoàn thiện với bộ thư viện libpki mới.

Hiện nay, việc áp dụng mật mã hóa khóa công khai và dịch vụ chứng thực điện tử để đảm bảo an toàn thông tin trong các hoạt động giao dịch điện tử là giải pháp được nhiều quốc gia trên thế giới sử dụng. Ở Việt Nam, tình hình triển khai cơ sở hạ tầng khóa công khai (PKI) và chứng thực điện tử (CA) được đánh giá là đã đi đúng hướng và bài bản, nhưng tiến độ vẫn còn chậm. Thực tế ở Việt Nam việc triển khai dịch vụ chứng thực điện tử mới chỉ ở một số cơ quan nhà nước, cơ quan thuộc chính phủ. Còn các doanh nghiệp cũng có sử dụng chứng thực điện tử nhưng còn ít và đều là mua của các tổ chức cung cấp. Việc triển khai các dịch vụ cung cấp chứng thực điện tử yêu cầu một sự đầu tư lâu dài và nghiêm túc mới mang lại kết quả như mong muốn. Phần khó khăn nhất trong triển khai dịch vụ này là ở khâu tổ chức thực hiện và thay đổi nhận thức của con người. Tính pháp lý của chữ ký số và dịch vụ chứng thực điện tử cũng là một vấn đề đang được đặt ra. Hiện nay, ở Việt Nam đã ban hành một số các điều luật trong lĩnh vực này như Luật công nghệ thông tin ban hành ngày 29/6/2006, Luật giao dịch điện tử ban hành ngày 29/11/2005, Luật nội dung chữ ký số ban hành ngày 15/2/2007...Các tổ chức, cá nhân cung cấp và sử dụng dịch vụ chứng thực điện tử cần phải được quản lý, đồng thời có quyền , nghĩa vụ nhất định.

Ngoài ra nếu một cơ sở hạ tầng có công nghệ yếu thì sẽ không có sự tin tưởng và nhà cung cấp dịch vụ và những e ngại về tâm lý của người dùng này cũng là các trở ngại trong việc triển khai cơ sở hạ tầng an ninh rộng khắp.

Với OpenCA - một dự án mã nguồn mở, thì chi phí xây dựng hậ tầng khóa công khai và chứng thực điện tử cho doanh nghiệp là rất thấp, dễ dàng triển khai. Tuy nhiên, nếu nhiều doanh nghiệp cùng triển khai sẽ dần đến khó quản lý, không nhất quán giữa các doanh nghiệp, do đó cần có một tổ chức cấp cao hơn sẽ quản lý các doanh nghiệp này và xây dựng hệ thống chức thực chéo giữa các doanh nghiệp để đảm bảo sự tín nhiệm giữa các doanh nghiệp.

Một phần của tài liệu NGHIÊN CỨU, XÂY DỰNG HẠ TẦNG KHÓA CÔNG KHAI PKI DỰA TRÊN OPENCA (Trang 25 -25 )

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×