Thiết kế chung của CA

Một phần của tài liệu Nghiên cứu xây dựng hệ thống PKI dựa trên bộ phần mềm mã nguồn mở OpenCA (Trang 66 - 72)

Ý tưởng đầu tiên của dự án bao gồm ba phần chính: Giao diện web bằng Perl, mã nguồn mở OpenSSL trong hoạt động mật mã và cơ sở dữ liệu. Khái niệm đơn giản này cho đến nay vẫn được coi là khẩu hiệu . Gần như tất cả các hoạt động có thể được thực hiện thông qua giao diện web. Chúng ta có sáu giao diện được cấu hình trước và có rất nhiều giao diện có thể tạo được từ chúng, tuỳ thuộc vào nhu cầu

Hiện nay OpenCA hỗ trợ các nhân tố sau Giao diện Public (Public interface ) Giao diện LDAP (LDAP interface ) Giao diện RA (RA interface )

SCEP OCSP

Lọc IP đối với các giao diện :(IP-filters for interfaces)

Đăng nhập dựa vào cụm mật khẩu : (Passphrase based login)

Đăng nhập dựa trên chứng chỉ (bao gồm thẻ thông minh): ( Certificate based login (including smartcards))

Huỷ bỏ chứng chỉ dựa trên số định danh cá nhân : (PIN based revocation) Huỷ bỏ chứng chỉ dựa trên chữ ký số : (Digital signature based revocation)

CRL issuing

OpenCA được thiết kế cho cơ sở hạ tầng phân tán. Nó không chỉ xử lý một CA offline và một RA online, mà sử dụng nó, chúng ta có thể xây dựng một phân cấp tổng thể với ba hoặc nhiều mức. OpenCA không chỉ là một giải pháp nhỏ cho các phương tiện nghiên cứu nhỏ và trung bình. Mục đích của nó là hỗ trợ tính linh hoạt lớn nhất có thể cho các tổ chức lớn như các trường đại học, các công ty đa quốc gia

4.3.1.Phân cấp cơ bản

Ý tưởng cơ bản của mỗi PKI X.509 là một tổ chức phân cấp rõ rệt. Điều này sẽ hình thành nên một cây cơ sở dữ liệu nếu chúng ta cố gắng tạo ra kiến trúc PKI phân tán

Trao đổi dữ liệu giữa các cơ sở dữ liệu cô lập như vậy có thể được thực hiện tự động nếu ta sử dụng hệ thống cơ sở dữ liệu phân tán , nhưng trong OpenCA thì hệ thống cơ sở dữ liệu phân tán chỉ có duy nhất một cơ sở dữ liệu trong cây . Nếu ta thực sự có một cơ sở dữ liệu cô lập (ví dụ một CA offline) thì ta phải có công nghệ để trao đổi dữ liệu và quản lý các node trong phân cấp. Chức năng quản lý này được gói gọn trong giao diện được gọi là node hay quản lý node. Do đó, thiết kế Open CA như sau

Thông thường thì mỗi server trong cơ sở hạ tầng của trung tâm tin cậy đều có cơ sở dữ liệu của riêng nó nhằm mục đích an ninh. Sự phân cấp này là phần cốt lõi của trung tâm tin cậy

4.3.2.Các giao diện

Sau khi ta biết được hạ tầng cơ bản của OpenCA, ta cũng có thể muốn biết CA, RA, LDAP và giao diện công khai hay còn gọi là cổng web là gì. OpenCA hỗ trợ tất cả các thành phần phần mềm thông quan giao diện web

OpenCA hỗ trợ tất cả các giao diện sau

Node (for node management) CA RA LDAP Pub SCEP 4.3.2.1.Node

Giao diện này quản lý cơ sở dữ liệu và xử lý tất cả các chức năng xuất và nhập. Cơ sở dữ liệu có thể được bắt đầu theo phương thức mà OpenCA tạo ra tất cả các bảng nhưng bản thân OpenCA thì lại không thể tạo ra cơ sở dữ liệu cho chính nó bởi khác biệt của mỗi hãng sản xuất.Vì vậy chúng ta cần một cơ

này bao gồm một vài các chức năng cho việc dự phòng và phục hồi nhưng chúng ta phải có một hệ thống dự phòng riêng biệt cho khoá riêng và chứng chỉ của CA. Đây không phải là cơ chế mặc định trong OpenCA để dự phòng khoá riêng. Chúng tôi không thực hiện nó bởi vì thứ nhất chúng tôi thấy rằng đây không phải là cách an toàn thông thường để dự phòng khoá riêng và thứ hai là hầu hết CA sử dụng HSMs và do đó bạn cần một chiến lược dự phòng đúng đắn và khác biệt

Việc xuất và nhập cũng có thể được xử lý bằng giao diện này. Bạn có thể cấu hình các quy tắc khác nhau không đồng bộ với các node trên các mức cao hơn hoặc thấp hơn trong phân cấp.

4.3.2.2.CA

Giao diện CA có tất cả các chức năng mà bạn cần có để tạo ra các chứng chỉ và danh sách huỷ bỏ chứng chỉ

CA cũng bao gồm tất cả các chức năng ta có thể sử dụng để thay đổi cấu hình thông qua một giao diện web. Nhưng lại không thể thay đổi cấu hình thông qua giao diện web khác

CA cũng là lớp ngoài của bộ xử lý lô. OpenCA bao gồm các bộ xử lý lô rất mạnh để tạo chứng chỉ. Những bộ xử lý lô này có thể được sử dụng để tạo ra chứng chỉ số tự động từ hệ thống ERP(Enterprise Resource Planning- Hệ thống họach định nguồn tài nguyên) ( ví dụ như SAP, HIS, NIS)

4.3.2.3.RA

RA của OpenCA có khả năng xử lý tất cả các loại yêu cầu (request). Bao gồm có chọn lọc, chỉnh sửa yêu cầu, chấp thuận yêu cầu, tạo khoá riêng với thẻ thông minh, xoá các yêu cầu sai và gửi thư điện tử cho người dùng

4.3.2.4. LDAP

Giao diện LDAP được xây dựng để phân tách hoàn toàn phần quản lý LDAP. Điều này là cần thiết bởi vì có rất nhiều chức năng mà thực sự là riêng biệt cho người quản trị LDAP, chỉ với một vài người sử dụng mới cần thiết tới chức năng này

4.3.2.5.Pub

Giao diện Public bao gồm tất cả những chi tiết mà người dùng cần. Bao gồm

Tạo ra các yêu cầu ký chứng chỉ cho Microsoft Internet Explorer

Tạo ra các yêu cầu ký chứng chỉ cho Molilla 1.1 và Netscape Communitor và Navigato

Tạo ra các yêu cầu độc lập cho các client và khoá riêng ( ví dụ cho người quản trị server người mà không biết làm thế nào để tạo ra yêu cầu và khoá riêng)

Nhận PEM- định dạng theo PKCS #10 từ server Ký chứng chỉ

Ký vào CRLs

Hỗ trợ hai phương thức thu hồi chứng chỉ khác nhau Tìm kiếm chứng chỉ

Kiểm tra chứng chỉ người dùng trong trình duyệt ( Microsoft Internet Explorer và Netscape Communicator và Navigator 4.7x)

Một phần của tài liệu Nghiên cứu xây dựng hệ thống PKI dựa trên bộ phần mềm mã nguồn mở OpenCA (Trang 66 - 72)

Tải bản đầy đủ (DOC)

(85 trang)
w