Mụ hỡnh Hub và Spoke (Bridge CA)

Một phần của tài liệu Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai (Trang 49)

Trong mụ hỡnh Hub và Spoke, thay bằng việc thiết lập xỏc thực chộo giữa cỏc CA, mỗi CA gốc thiết lập xỏc thực chộo với CA trung tõm. CA trung tõm này làm cho việc giao tiếp được thuận lợi hơn. CA trung tõm được gọi là hub (hoặc bridge) CA . Động cơ thỳc đẩy mụ hỡnh này là giảm số xỏc thực chộo từ n2 xuống n.

Một điểm quan trọng khỏc với cấu hỡnh này là CA trung tõm khụng tạo ra sự phõn cấp. Tất cả cỏc thực thể trong cấu hỡnh đều giữ khoỏ cụng khai của CA cục bộ, khụng cú khoỏ của CA trung tõm. Như vậy, rừ ràng mụ hỡnh này giảm đi nhược điểm của mụ hỡnh mạng nhưng lại gặp phải khú khăn trong việc thiết lập bridge CA làm việc với cỏc CA khỏc trong hạ tầng cơ sở để cỏc CA này cú thể hoạt động được với nhau.

Mụ hỡnh này do US Federal PKI phỏt triển đầu tiờn. Nú mở rộng PKIs qua một số tổ chức lớn chia sẻ những chớnh sỏch cú khả năng tương thớch một cỏch đặc biệt và cú những CA đó được thiết lập trước đõy. Minh hoạ biểu diễn cho mụ hỡnh hub và spoke được thể hiện trong hỡnh 2.11.

Hỡnh 2.11: Mụ hỡnh Hub và Spoke (Bridge CA) 2.4.5 Mụ hỡnh Web (Trust Lists)

Khỏi niệm về mụ hỡnh web được lấy ra từ tờn của nú (www). Trong mụ hỡnh này, mỗi nhà cung cấp trỡnh duyệt gắn vào trỡnh duyệt một hoặc nhiều khoỏ cụng khai của một số root CA phổ biến hoặc nổi tiếng. Mụ hỡnh này thiết lập một mụ hỡnh tin tưởng tự động giữa cỏc cỏc root CA mà khoỏ của cỏc CA này được gắn trong trỡnh duyệt và người sử dụng.

P-CA CA P-CA Bridge P- CA CA CA EE EE EE EE EE EE CA EE EE EE EE EE CA EE EE EE

EE: End Entity CA: Certificate Authority P-CA: Principle

Hỡnh 2.12 chỉ ra danh sỏch cỏc root CA được gắn trong trỡnh duyệt của IE

Hỡnh 2.12: Danh sỏch cỏc CA tin cậy trong Microsoft Explorer

Danh sỏch tin cậy phần lớn được sử dụng để xỏc thực web server mà những web server này được CA xỏc nhận trong danh sỏch trỡnh duyệt client. Quỏ trỡnh này được thực hiện một cỏch tự động với giao thức SSL.

* Ưu điểm:

- Dễ để triển khai vỡ danh sỏch đó cú sẵn trong trỡnh duyệt

- Khụng cần thay đổi khi làm việc với trỡnh duyệt web (Internet Explorer, Netscape Navigator) và tiện ớch e-mail (Outlook Express, Microsoft Outlook, Netscape Navigator).

* Nhược điểm:

- Về mặt cụng nghệ thỡ cú thể thờm hay sửa đổi một root CA mới nhưng hầu hết người dựng trỡnh duyệt lại khụng quen thuộc với cụng nghệ PKI và phụ thuộc vào những CA ở trong trỡnh duyệt này

- Người sử dụng phải tin tưởng vào danh sỏch CA trong trỡnh duyệt. Nhưng một cõu hỏi đặt ra là làm thế nào để cú thể đảm bảo chắc chắn về tớnh chất tin cậy của CA? Cỏc kết quả nghiờn cứu cho thấy rằng hiện nay chưa cú cỏch nào để phõn biệt mức độ xỏc thực giữa cỏc chứng chỉ.

- Khụng thể thụng bỏo đến tất cả trỡnh duyệt của người sử dụng nếu khoỏ cụng khai của một CA nào đú bị xõm hại.

Mụ hỡnh này đơn giản trong việc thực thi và đối với người dựng. Do đú cú khả năng để triển khai nhanh và sử dụng với cỏc giải phỏp COST (Commercial of the Shelf) sẵn cú.

Mụ hỡnh này đặc biệt thớch hợp cho yờu cầu PKI của những ứng dụng dựa trờn Web.

2.4.6 Mụ hỡnh người sử dụng trung tõm (User Centric Model)

Trong mụ hỡnh này, mỗi người sử dụng trực tiếp và hoàn toàn cú trỏch nhiệm trong việc quyết định tin tưởng hay từ chối chứng chỉ. Mỗi người sử dụng giữ một khoỏ vũng và khoỏ này đúng vai trũ như CA của họ. Khoỏ vũng chứa khoỏ cụng khai được tin cậy của những người sử dụng khỏc trong cộng đồng. Mụ hỡnh này được Zimmerman phỏt triển để sử dụng trong chương trỡnh phần mềm bảo mật PGP.

Mụ hỡnh này cú một số hạn chế sau:

- Khụng cú khả năng mở rộng và thớch hợp với những miền lớn.

- Khú để đặt mức độ tin cậy đối với khoỏ cụng được lấy từ người khỏc. Khụng cú sự nhất quỏn của quỏ trỡnh xỏc thực vỡ nú phụ thuộc vào người sử dụng

- Người sử dụng phải quản lý PKI và cần phải hiểu sõu về nú.

Mặc dự cú những nhược điểm song mụ hỡnh này vẫn thớch hợp cho việc sử dụng cỏ nhõn trờn Internet.

Mỗi mụ hỡnh đều cú ưu và nhược điểm riờng. Việc lựa chọn mụ hỡnh nào tuỳ thuộc vào những yờu cầu mục đớch của cộng đồng người dựng, tổng chi phớ, thời gian triển khai, nhõn lực quản lý, cụng nghệ hỗ trợ và một số vấn đề liờn quan khỏc.

CHƯƠNG 3

XÂY DỰNG HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ

Cỏc chương trờn đó trỡnh bày kiến trỳc, mụ hỡnh và chức năng cỏc thành phần trong hệ thống PKI. Chương này, chỳng tụi phõn tớch, xõy dựng hệ thống cung cấp chứng chỉ số MyCA ứng dụng trong phạm vi một cơ quan, đơn vị; Đưa ra qui trỡnh đăng ký cấp phỏt và huỷ bỏ chứng chỉ của hệ thống; Sử dụng chứng chỉ được cấp với dịch vụ web và mail; Lưu chứng chỉ số và khoỏ bớ mật trờn thiết bị iKey 2000, iKey 2032.

3.1 Tổng quan về hệ thống 3.1.1 Mụ hỡnh hệ thống 3.1.1 Mụ hỡnh hệ thống (adsbygoogle = window.adsbygoogle || []).push({});

Mụ hỡnh hệ thống được xõy dựng như sau:

Hỡnh 3.1: Mụ hỡnh hệ thống cung cấp chứng chỉ số

Hệ thống cung cấp chứng chỉ số bao gồm mỏy CA, mỏy RA và mỏy RAO. CA làm nhiệm vụ ký vào chứng chỉ. RA cú nhiệm vụ giao tiếp với CA, giao tiếp với mỏy làm dịch vụ LDAP và RAO. Ứng với một mỏy RA cú nhiều mỏy RAO, cỏc mỏy RAO làm nhiệm vụ tiếp xỳc trực tiếp với người yờu cầu dịch vụ. Cỏc mỏy chủ LDAP là nơi lưu trữ cỏc chứng chỉ đó được cấp và chứng chỉ đó được huỷ bỏ.

RAO1

RAO2

RA CA

3.1.2 Một sốđặc tớnh của hệ thống cung cấp chứng chỉ số

Hệ thống được xõy dựng tuõn theo cỏc thiết kế của PKIX: - Tỏch riờng cỏc chức năng cấp chứng chỉ (CA), đăng ký cấp chứng chỉ (RA), phục vụ cấp chứng chỉ (RAO).

- Cho phộp tại một trung tõm cấp chứng chỉ, cựng một lỳc phục vụ nhiều người. - Cho phộp phối hợp nhiều đơn vị trong việc triển khai dịch vụ.

- Mụ hỡnh quản lý CA theo nhiều tầng. Mỗi trung tõm được phõn một vựng chỉ số ID của người sử dụng.

- Cấp chứng chỉ cú thời hạn và cho phộp huỷ bỏ chứng chỉ (trước thời hạn).

Khuụn dạng của chứng chỉ: - Tuõn theo RFC 2459

- Cho phộp đưa cỏc thụng tin về người sử dụng như: họ tờn, ngày sinh, nơi sinh, …

Cỏc chuẩn mật mó được sử dụng:

- Chữ ký số RSA: theo chuẩn RSASSA-PKCS-v1_5 (signature scheme with appendix), kớch thước modulo từ 1024 bit trở lờn, cỏc số nguyờn tố được sinh nhằm chống lại tấn cụng phõn tớch số.

- Hàm băm SHA-1.

Cỏc tệp lưu trữ và yờu cầu sử dụng cỏc chuẩn PKCS:

- Tệp lưu trữ khoỏ bớ mật tuõn theo PKCS#1, PKCS#8. Khoỏ bớ mật được bảo vệ bằng mật khẩu theo PKCS#5.

- Tệp lưu trữ khoỏ cụng khai theo PKCS#7.

- Tệp yờu cầu cấp chứng chỉ và chứng chỉ được cấp tuõn theo PKCS#10. Hỡnh 3.2 là nội dung tệp yờu cầu cấp chứng chỉ do hệ thống MyCA cấp.

----BEGIN HEADER--- TYPE = PKCS#10

CERTTYPE = User Certificate ---END HEADER---

MIIB8zCCAVwCAQAwgbMxIjAgBgkqhkiG9w0BCQEWE2hvYWxuaEB0cmljaHNhaS5i Y2ExRTBDBgNVBAMTPEx1b25nIE5ndXllbiBIb2FuZyBIb2EtMjAwMDIwMy0xMjM0 NTY3OC0xMi0xMi0xOTk3LTE5LTEtMTk3OTEQMA4GA1UECBMHRTE1LkJDQTESMBAG A1UECxMJTXlDQSBVc2VyMRMwEQYDVQQKEwpNeUNBIEdyb3VwMQswCQYDVQQGEwJW TjCBnjANBgkqhkiG9w0BAQEFAAOBjAAwgYgCgYBAAAC9WqCMDvBU4AEYs0dpQqjS X0IBKKWNYKusKrjdhCE9HVLNq912t2oJgVDgNulxIQ1Nmuox489FVfkXY4cWP8SR 0vYDxu3LU4rTb8gJNkf/Ek27ma8Cc0cyWc3+/hj9s0ksstfEhMBf38ROGeqK8O5b OXKKL1+5S8Zb2oZJaQIDAQABoAAwDQYJKoZIhvcNAQEFBQADgYEABkH8kt2/NBUo fa6Gv600yxTJN3K3fLHX81y28y2ml79hZDwjxeo7fD30xD/dYmoyM0ljRq7MtEpL +bUr6FxAi8cSTFPgb+ao7ARede7Fhb6ZYU6HW6hkkWTbQfWDSIALrFZ6+1fwdMt9 kjCFYrevJO1JnG9cj59/EpEVSthgaHI=

---END CERTIFICATE REQUEST---

Hỡnh 3.2: Tệp yờu cầu cấp chứng chỉ

- Khoỏ bớ mật và chứng chỉ được lưu ở dạng PKCS#12.

- Khoỏ cụng khai của CA được người sử dụng lưu trữ ở dạng PKCS#12. Hỡnh 3.3 là nội dung chứng chỉ chứa khúa cụng khai của rootCA trong hệ thống.

---BEGIN CERTIFICATE--- MIICXzCCAcigAwIBAgIBADANBgkqhkiG9w0BAQUFADBiMR4wHAYJKoZIhvcNAQkB Fg9Sb290Q0FAcHZraC5jb20xDzANBgNVBAMTBlJvb3RDQTENMAsGA1UECxMEcHZr aDETMBEGA1UEChMKTXlDQSBHcm91cDELMAkGA1UEBhMCVk4wHhcNMDMwNjEwMDcw MDI0WhcNMDUwNjA5MDcwMDI0WjBiMR4wHAYJKoZIhvcNAQkBFg9Sb290Q0FAcHZr aC5jb20xDzANBgNVBAMTBlJvb3RDQTENMAsGA1UECxMEcHZraDETMBEGA1UEChMK TXlDQSBHcm91cDELMAkGA1UEBhMCVk4wgZ4wDQYJKoZIhvcNAQEBBQADgYwAMIGI AoGAQAAIAADgAAoAAGABkVmqO5jiCPjdOJ1n9uz/SUNbmyAZZDmfMryNpg06RKcw 4Kt12qqyx85IB7brmuCzyDKwPIatEjvZBqkrkGbUnmslVHg8/PauEf6UH+Z/WZ3L Lbvv779ne+M7Q3BVEXVMgmy7PE8tUdPI9JzAi1HzFKG++lcCAwEAAaMmMCQwDwYD

VR0TAQH/BAUwAwEB/zARBglghkgBhvhCAQEEBAMCAAcwDQYJKoZIhvcNAQEFBQAD gYEAPImXkaSUYbxKWoFLp7n/nTdw0du9MzYsWB098aC5aUcnxI36zoO0dIFj6s75 JFGuO5Ihe9lw4gsua0e91YnrDejXRhKX+YeSiblnksnBvAThkE+4nH2r7CjrvbvG V5nO8V6H9+Um7plr5r4DP1Lz5K8Ar/H1pX6uuYfbyZ9kzWo=

---END CERTIFICATE--- (adsbygoogle = window.adsbygoogle || []).push({});

Hỡnh 3.3: Chứng chỉ lưu khoỏ cụng khai của rootCA trong hệ thống MyCA

Hỡnh 3.4 dưới đõy là nội dung khoỏ cụng khai và chứng chỉ của người sử dụng.

Certificate: Data:

Version: 3 (0x2)

Serial Number: 2000203 (0x1e854b)

Signature Algorithm: sha1WithRSAEncryption

Issuer: Email=RootCA@trichsai.bca, CN=RootCA, OU=E15, O=MyCA Group, C=VN

Validity

Not Before: May 13 06:48:55 2004 GMT Not After : May 13 06:48:55 2006 GMT

Subject: Email=hoalnh@trichsai.bca, CN=Luong Nguyen Hoang Hoa- 2000203-12345678-12-12-1997-19-1-1979, ST=E15.BCA, OU=MyCA User, O=MyCA Group, C=VN

Subject Public Key Info:

Public Key Algorithm: rsaEncryption RSA Public Key: (1023 bit)

Modulus (1023 bit): 40:00:00:bd:5a:a0:8c:0e:f0:54:e0:01:18:b3:47: 69:42:a8:d2:5f:42:01:28:a5:8d:60:ab:ac:2a:b8: dd:84:21:3d:1d:52:cd:ab:dd:76:b7:6a:09:81:50: e0:36:e9:71:21:0d:4d:9a:ea:31:e3:cf:45:55:f9: 17:63:87:16:3f:c4:91:d2:f6:03:c6:ed:cb:53:8a: d3:6f:c8:09:36:47:ff:12:4d:bb:99:af:02:73:47: 32:59:cd:fe:fe:18:fd:b3:49:2c:b2:d7:c4:84:c0: 5f:df:c4:4e:19:ea:8a:f0:ee:5b:39:72:8a:2f:5f: b9:4b:c6:5b:da:86:49:69 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints:

Netscape Cert Type: SSL Client, S/MIME X509v3 Key Usage:

Digital Signature, Non Repudiation, Key Encipherment Netscape Comment:

MyCA User Certificate

Signature Algorithm: sha1WithRSAEncryption

0a:05:93:a6:5a:f4:c6:8d:96:7c:28:d5:69:9e:f9:31:2a:f8: 3b:15:7d:c3:a2:eb:0f:5a:67:91:ed:c2:9b:ea:68:f2:da:77: 16:1f:5e:92:cf:8e:b2:67:2b:f2:38:c6:be:c6:15:ea:1f:34: 3d:d8:b8:51:6a:33:93:84:6f:cb:62:07:3f:6b:66:da:83:ce: e4:ef:44:6f:7b:81:51:ca:14:b2:00:97:89:34:35:67:8b:95: 71:ad:db:9d:2d:cf:d0:2c:21:eb:07:ea:3a:82:e2:3a:c7:81: ef:d1:e1:1c:70:26:e3:25:f5:57:ea:23:c4:4b:6d:3c:7f:9c: 02:55 ---BEGIN CERTIFICATE--- MIIC4DCCAkmgAwIBAgIDHoVLMA0GCSqGSIb3DQEBBQUAMGIxHzAdBgkqhkiG9w0B CQEWEFJvb3RDQUB5YWhvby5jb20xDzANBgNVBAMTBlJvb3RDQTEMMAoGA1UECxMD RTE1MRMwEQYDVQQKEwpNeUNBIEdyb3VwMQswCQYDVQQGEwJWTjAeFw0wNDA1MTMw NjQ4NTVaFw0wNjA1MTMwNjQ4NTVaMIGzMSIwIAYJKoZIhvcNAQkBFhNob2FsbmhA dHJpY2hzYWkuYmNhMUUwQwYDVQQDEzxMdW9uZyBOZ3V5ZW4gSG9hbmcgSG9hLTIw MDAyMDMtMTIzNDU2NzgtMTItMTItMTk5Ny0xOS0xLTE5NzkxEDAOBgNVBAgTB0Ux NS5CQ0ExEjAQBgNVBAsTCU15Q0EgVXNlcjETMBEGA1UEChMKTXlDQSBHcm91cDEL MAkGA1UEBhMCVk4wgZ4wDQYJKoZIhvcNAQEBBQADgYwAMIGIAoGAQAAAvVqgjA7w VOABGLNHaUKo0l9CASiljWCrrCq43YQhPR1SzavddrdqCYFQ4DbpcSENTZrqMePP RVX5F2OHFj/EkdL2A8bty1OK02/ICTZH/xJNu5mvAnNHMlnN/v4Y/bNJLLLXxITA X9/EThnqivDuWzlyii9fuUvGW9qGSWkCAwEAAaNTMFEwCQYDVR0TBAIwADARBglg hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMCQGCWCGSAGG+EIBDQQXFhVNeUNB IFVzZXIgQ2VydGlmaWNhdGUwDQYJKoZIhvcNAQEFBQADgYEACgWTplr0xo2WfCjV aZ75MSr4OxV9w6LrD1pnke3Cm+po8tp3Fh9eks+Osmcr8jjGvsYV6h80Pdi4UWoz k4Rvy2IHP2tm2oPO5O9Eb3uBUcoUsgCXiTQ1Z4uVca3bnS3P0Cwh6wfqOoLiOseB 79HhHHAm4yX1V+ojxEttPH+cAlU= ---END CERTIFICATE--- Hỡnh 3.4: Chứng chỉ của người sử dụng

- Tệp yờu cầu huỷ bỏ chứng chỉ theo PKCS#7.

3.2 Chức năng và quỏ trỡnh khởi tạo cỏc thành phần trong hệ thống cung cấp chứng chỉ số MyCA cung cấp chứng chỉ số MyCA

3.2.1 Certificate Authority - CA

Đõy là thành phần quan trọng trong hệ thống. CA được thiết lập và khởi tạo khi chạy lần đầu để sinh cặp khoỏ và chứng chỉ cho CA.

CA cú chức năng cấp chứng chỉ cho cỏc thực thể, xử lý cỏc yờu cầu của RA, quản lý cỏc chứng chỉ được cấp và cỏc chứng chỉ hết hiệu lực.

Việc khởi tạo của CA được chia ra trong hai trường hợp: RootCA và nonRootCA.

* Trường hợp RootCA: CA sẽ tự ký certificate (self-signed). Qỳa trỡnh khởi tạo Intialization được chia ra thành ba bước:

+ Khởi tạo cơ sở dữ liệu dựng để lưu cỏc certificate trờn mỏy RootCA. + Thực hiện sinh tệp khoỏ và tệp self – sign certificate cho RootCA bằng chức năng “Generate Root CA key and empty CRL ”.

+ Sinh ra một tệp CRL trống “empty”, sau đú gửi empty CRL và chứng chỉ Root CA lờn LDAP server.

* Trường hợp NonRootCA: yờu cầu cấp chứng chỉ được CA ở mức cao hơn ký. Quỏ trỡnh khởi tạo gồm cỏc bước sau:

+ Khởi tạo cơ sở dữ liệu.

+ Tạo file khoỏ và yờu cầu cho nonRoot CA. (adsbygoogle = window.adsbygoogle || []).push({});

+ Gửi file yờu cầu lờn RootCA ký và nhận certificate về.

+ Ghộp nội dung tệp certificate vào đầu tệp chain.crt tạo nờn chuỗi chain cỏc certificate thụng qua việc sử dụng chức năng re-build chain.

+ Gửi chuỗi chain cỏc chứng chỉ CA (CA certificate chain) và empty CRL lờn LDAP server.

Hỡnh 3.5 dưới đõy là mụ hỡnh mụ phỏng hệ thống MyCA phõn cấp hai tầng.

Hỡnh 3.5: Mụ hỡnh mụ phỏng hệ thống MyCA phõn cấp hai tầng 3.2.2 Registration Authority - RA

RA cú chức năng xử lý cỏc yờu cầu từ User, xử lý cỏc CRR và CRL. Quỏ trỡnh khởi tạo Root RA và thiết lập quan hệ với RootCA gồm cỏc bước sau:

+ Sinh khoỏ và yờu cầu cấp chứng chỉ cho RA server.

+ Trờn mỏy CA, thực hiện ký Request của RA bằng cỏch ký yờu cầu chứng chỉ, yờu cầu Root RA, RAO.

+ Người quản trị tạo file định dạng PKCS#12 cho RA server. + Chuyển file định dạng PKCS#12 của RA vào trỡnh duyệt.

Root CA

nonRoot RA / RAO

Root CA / RAOs nonRoot CAs

Users Users

LDAP server

3.2.3 RAO

RAO cú một số chức năng chớnh sau:

- Nhập dữ liệu đăng ký của người sử dụng, tạo trỡnh sinh khoỏ với cỏc thụng tin đó đăng ký

- Lấy chứng chỉ, kiểm tra khoỏ cụng khai, in giấy chứng nhận cấp chứng chỉ, phỏt hành chứng chỉ lờn LDAP

- Cập nhật lại danh sỏch cỏc chứng chỉ đó huỷ bỏ và in giấy chứng nhận chứng chỉ hết hiệu lực cho người sử dụng

Việc thiết lập kết nối RA - RAO được hoạch định bởi người quản trị RA server, số lượng RAO cần thiết cho hệ thống (thuộc RA đú). Điều này cũn phụ thuộc vào số lượng ID mà RA được phộp cấp cho RAO. Thiết lập RAO gồm cỏc bước sau:

+ Sinh khoỏ và yờu cầu cấp chứng chỉ cho cỏc RAO (trờn mỏy RA). + Ký cỏc yờu cầu cấp chứng chỉ của RAO (RAO request) (trờn mỏy CA). + Tạo file định dạng PKCS#12 với cỏc chứng chỉ nhận được (trờn mỏy RA).

+ Cài file PKCS#12 vào trỡnh duyệt.

3.2.4 LDAP và Public Database Server

Trong hệ thống MyCA cỏc chứng chỉ và CRLs của người sử dụng được trung tõm phỏt hành cần được lưu trữ trờn một CSDL cụng khai để người sử dụng cú thể tải cỏc chứng chỉ hoặc cập nhật CRL từ cơ sở dữ liệu đú. Đồng thời đảm bảo yờu cầu việc cập nhật dữ liệu từ cỏc mỏy server (CA server) và query dữ liệu từ cỏc mỏy client phải nhanh chúng, chớnh xỏc, phự hợp với kiểu dữ liệu cú cấu trỳc như cỏc chứng chỉ. Để đạt được mục tiờu này hiện nay cú nhiều hệ quản trị cơ sở dữ liệu cú thể đỏp ứng. Trong hệ thống MyCA, chỳng tụi đó chọn LDAP làm hệ thống lưu trữ.

Mối quan hệ và trao đổi dữ liệu giữa cỏc thành phần trong hệ thống với Public Database Server được thể hiện trong mụ hỡnh sau:

Hỡnh 3.6: Mụ hỡnh quan hệ và trao đổi dữ liệu giữa cỏc thành phần trong hệ thống

Public Database Server là một hoặc nhiều mỏy cài đặt LDAP Server, trờn đú lưu trữ cỏc chứng chỉ đó được phỏt hành cho người sử dụng, cỏc chứng chỉ của cỏc mỏy server thuộc hệ thống, cỏc CRL do cỏc CA server phỏt hành. Trong hệ thống MyCA, người sử dụng truy cập đến Public Database Server thụng qua trang Web publicdatabase và cú thể thực hiện một trong ba chức năng sau:

- “Download CA certificates chain from LDAP”: chức năng này cho phộp nonRoot CA, Web Server và Web browser tỡm kiếm (theo tờn của CA cú cấp bậc thấp nhất trong cỏc CA phỏt hành ra chuỗi CA cần tỡm) chuỗi cỏc chứng chỉ của CA và tải chuỗi chứng chỉ đú về từ Public Database Server.

- “Download certificates from LDAP”: chức năng này cho phộp nonRoot CA, Web Server và Web browser tỡm kiếm chứng chỉ đó được phỏt hành trờn Public Database Server theo địa chỉ e-mail được đăng ký trong chứng chỉ cần tỡm và tải chứng chỉ đú về. (adsbygoogle = window.adsbygoogle || []).push({});

- “Update CRLs”: chức năng này cho phộp tất cả cỏc mỏy trờn hệ thống CA tỡm kiếm theo tờn CA đó phỏt hành ra CRL cần cập nhật và cập nhật CRL cho hệ thống của mỡnh. MyCA CA RAOs MyCA Users LDAP Server Export CRL, Cert

Export user’s certificates

Query CRLs

3.3 Qui trỡnh đăng ký, cấp phỏt và huỷ bỏ chứng chỉ 3.3.1 Qui trỡnh đăng ký và cấp chứng chỉ 3.3.1 Qui trỡnh đăng ký và cấp chứng chỉ

Người sử dụng cú nhu cầu được cấp chứng chỉ đến trung tõm làm thủ tục đăng ký. Khi đến trung tõm người sử dụng cần đem theo những giấy tờ cú liờn quan đến bản thõn (vớ dụ chứng minh thư). Việc thực hiện quỏ trỡnh đăng ký được nhõn viờn của hệ thống thực hiện qua form RAO.

Hỡnh 3.7: Mụ hỡnh đăng ký và cấp chứng chỉ số

Hỡnh 3.7 ở trờn là mụ hỡnh qui trỡnh đăng ký và cấp chứng chỉ. Cỏc thủ tục cần thực hiện được mụ tả cụ thể như sau:

1a. Cỏ nhõn (hoặc tổ chức) nào đú cú nhu cầu sử dụng chứng chỉ số lờn trung tõm đăng ký, cú đem theo một số giấy tờ cần thiết.

1b. Người quản trị mỏy RAO (nơi đăng ký) đưa thụng tin đó đăng ký từ phớa người sử dụng lờn mỏy RA thụng qua trang putDB (trang này đặt trờn mỏy RA và được thiết lập https). Sau bước này người sử dụng đó cú trỡnh sinh khoỏ riờng gắn với một IDkey duy nhất.

1c. Người sử dụng đem trỡnh sinh khoỏ về (bước này cú thể cú hoặc khụng). Nếu

Một phần của tài liệu Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai (Trang 49)

(78 trang)