Trong quá trình sử dụng chứng chỉ khi chưa hết thời hạn sử dụng người dùng có thể yêu cầu huỷ bỏ chứng chỉ với nhiều lý do: chuyển công tác, thay đổi địa chỉ e-mail, nghi ngờ lộ khoá bí mật….
Hình 3.10 Mô hình huỷ bỏ chứng chỉ
1. Người sử dụng gửi yêu cầu huỷ bỏ chứng chỉ lên máy RA.
2. RA kiểm tra chữ ký trên yêu cầu huỷ bỏ chứng chỉ, nếu thấy đúng thì ký sau đó chuyển sang máy CA.
3. CA kiểm tra chữ ký của RA trên yêu cầu huỷ bỏ, nếu đúng thì ký và sau đó chuyển sang máy LDAP.
4a. Người quản trị cập nhật danh sách các chứng chỉ bị huỷ bỏ. 4b. Người dùng được cấp giấy chứng nhận huỷ bỏ chứng chỉ. 3.4 Thử nghiệm sản phẩm
Hệ thống sau khi xây dựng được đưa vào thử nghiệm ở hai phía: người quản trị và người sử dụng.
3.4.1 Thử nghiệm phía quản trị
Nội dung thử nghiệm cho người quản trị hệ thống cung cấp chứng chỉ số : - Thiết lập CA:
+ Khởi tạo CA
+ Xử lý yêu cầu của RA + Quản lý chứng chỉ
- Thiết lập RA:
+ Khởi tạo RA và RAOs
+ Xử lý các yêu cầu của người sử dụng - Thiết lập RAO:
+ Sinh khoá, yêu cầu cấp chứng chỉ cho các RAO + Ký các yêu cầu RAO
+ Tạo file định dạng PKCS#12 với các chứng chỉ nhận được + Cài đặt PKCS#12 vào trình duyệt (trên máy RAO)
3.4.3 Thử nghiệm phía người dùng
Người sử dụng sau khi thực hiện đăng ký được cấp phát mềm sinh khoá, sinh tệp yêu cầu chứng chỉ, chuyển đổi định dạng của chứng chỉ số khi được cấp và một số tiện ích khác phục vụ cho việc đăng ký và sử dụng chứng chỉ.
Nội dung thử nghiệm phía người sử dụng: - Đăng ký và nhận chứng chỉ:
+ Đăng ký
+ Sinh tệp khoá, tệp yêu cầu cấp chứng chỉ + Nhận chứng chỉ được cấp
- Cài đặt chứng chỉ cho trình duyệt IE: + Cài đặt tiện ích trợ giúp
+ Chuyển đổi định dạng chứng chỉ + Cài đặt chứng chỉ cho IE
Cập nhật chứng chỉ của người dùng khác
Tích hợp chứng chỉ số được cấp trong eToken (iKey 2000, iKey 2032) - Sử dụng chứng chỉ được cấp trong dịch vụ thư điện tử và web
Hình 3.11 Mô hình kết hợp hệ thống cung cấp chứng chỉ số cùng các giải pháp đảm bảo an toàn hệ thống mạng nội bộ
Chương 4 : Triển khai CA và quản lý chứng chỉ trên môi trường window server 2003
A Triển khai các dịch vụ CA trên môi trường window server 2003
Window server 2003 có thể được sử dụng như là một CA để cung cấp thêm tính năng bảo mật bằng việc đưa ra những hỗ trợ cho chứng chỉ số. Nếu bạn thực sự không có PKI trong phạm vi tổ chức của bạn và bạn muốn sử dụng những tính năng tiện ích như chứng chỉ số, sau đây là các bước cấu hình PKI cho Window Server 2003 giúp bạn tạo ra CA cho riêng mình.
Để sử dụng đầy đủ các tính năng bảo mật với window server 2003 đầu tiên bạn phải triển khai Micrisoft Active Directory hay một LDAP khác là nơi dễ dàng cho việc truy cập tới nơi lưu trữ chứng chỉ
Các bước cài đặt như sau: