CA gốc (tên KCNTT) do Khoa CNTT quản lý. Tại mỗi bộ môn sẽ có một CA con của CA gốc này để cấp chứng nhận cho các giảng viên và trợ giảng trong bộ môn.
Bộ môn Tin học Cơ sở: CA con “BMTHCS”.
Bộ môn Hệ thống Thông tin: CA con “BMHTTT”.
Bộ môn Công nghệ Phần mềm: CA con “BMCNPM”.
Bộ môn Công nghệ Tri thức: CA con “BMCNTT”.
Bộ môn Khoa học Máy tính: CA con “BMKHMT”.
Nhằm tổng quát hóa hệ thống, CA con và “BMCNPM” sẽ có hai CA con khác là CA con “BMCNPMGV” để cấp chứng nhận cho các giảng viên CA con “BMCNPMTG” để cấp chứng nhận cho các trợ giảng trong bộ môn Công nghệ Phần mềm.
Hình 8.3. Mô hình triển khai hệ thống chứng thực tại Khoa CNTT, trường ĐH KHTN, Tp.HCM
Mỗi CA (gốc và con) sẽ có các quản trị viên được chia làm 4 nhóm:
Quản trị viên CA (CA Administrator)
Quản lý hiện trạng chứng nhận (Certificate Profile). Quản lý hiện trạng thực thể cuối (End-Entity Profile). Cấu hình log.
Quản trị viên RA (RA Administrator)
Xem, thêm, xóa, sửa thực thể cuối. Hủy chứng nhận của thực thể cuối.
Giám sát viên (Supervisor)
Xem thông tin các thực thể cuối được tạo. Tìm kiếm log và xem ai đã làm gì.
Siêu quản trị viên (Super Administrator)
Có tất cả quyền. Cấu hình hệ thống. Quản lý các CA.
Quản lý các publisher (LDAP, AD hoặc tùy chọn). Tạo quản trị CA, RA.
Nhằm đảm bảo tính an toàn hệ thống, chỉ có siêu quản trị viên mới có thể truy cập trực tiếp trên máy chủ của hệ thống còn các quản trị viên khác chỉ được phép truy cập vào hệ thống một cách gián tiếp thông qua máy tính khác.
Tên các CA nói riêng cũng như tên thực thể được phát hành chứng nhận đều được đặt theo chuẩn tên phân biệt X.500 (Phụ lục A), cụ thể như sau:
Bảng 8.2. Tên của các CA theo chuẩn X.500
CA Tên
KCNTT CN=KCNTT, OU=Khoa CNTT, O=Truong DH KHTN, C=VN BMTHCS CN=BMTHCS, OU=Bo mon THCS, O=Khoa CNTT, C=VN BMMMT CN=BMMMT, OU=Bo mon MMT, O=Khoa CNTT, C=VN BMHTTT CN=BMHTTT, OU=Bo mon BMHTTT, O=Khoa CNTT, C=VN BMCNPM CN=BMCNPM, OU=Bo mon CNPM, O=Khoa CNTT, C=VN BMCNPMGV CN=BMCNPMGV, OU=Bo mon CNPM, O=Khoa CNTT, C=VN BMCNPMTG CN=BMCNPMTG, OU=Bo mon CNPM, O=Khoa CNTT, C=VN BMCNTT CN=BMCNTT, OU=Bo mon CNTT, O=Khoa CNTT, C=VN BMKHMT CN=BMKHMT, OU=Bo mon KHMT, O=Khoa CNTT, C=VN
Ưu điểm của EJBCA là độc lập với môi trường nên có thể triển khai trên các hệ điều hành khác nhau như Windows và Linux. Hơn nữa, EJBCA có khả năng kết nối với các hệ quản trị cơ sở dữ liệu sau:
Hypersoniq (hsqldb) (mặc định trong JBoss)
PostegreSQL 7.2 và 8.x (http://www.postgresql.org/)
MySQL 4.x và 5.x (http://www.mysql.com/)
Oracle 8i, 9i và 10g (http://www.oracle.com/)
Sybase
MS-SQL2000 và 2003
Informix 9.2 (adsbygoogle = window.adsbygoogle || []).push({});
DB2
Hệ quản trị cơ sơ dữ liệu mặc định trong EJBCA là Hypersoniq (hsqldb) có sẵn trong JBoss không nên được sử dụng do có một số khuyết điểm như sau:
Cơ sở dữ liệu Hypersonic nằm trực tiếp trong bộ nhớ, nghĩa là càng sử dụng nhiều càng tốn bộ nhớ. Khi một số lượng lớn chứng nhận được phát hành, điều thành trở thành trở ngại cho hệ thống. Do đó hệ quản trị cơ sở dữ liệu này không thích hợp cho các hệ thống lớn.
Hypersonic không hỗ trợ đầy đủ SQL, đặc biệt trong các câu lệnh ALTER. Điều này làm cho việc nâng cấp hệ thống trở nên khó khăn vì khi một phiên bản mới của EJBCA được phát hành, ta không không thể tạo các tập lệnh (script) để cập nhật cơ sở dữ liệu nếu một số bảng đã thay đổi.
Vì lý do đó, chúng tôi chọn hệ quản trị cơ sở dữ liệu MySQL (cũng là một gói phần mềm mã nguồn mở) để triển khai. Hệ thống được chúng tôi triển khai trên cả hai môi trường Windows và Linux, sử dụng cơ sở dữ liệu MySQL (cách triển khai được trình bày ở Phụ lục B). Hệ thống sau khi triển khai đã có thể đi vào hoạt động, cung cấp các tính năng cho người sử dụng (yêu cầu cấp chứng nhận, chứng thực người sử dụng web, ký và mã hóa thư điện tử, ký văn bản, …) và quản trị viên (cấu hình CA, thêm CA con, thêm RA, …).