Định nghĩa
Một certificate X.509 – certificate số là một giấy ủy nhiệm điện tử thường được sử dụng cho việc xác thực và bảo mật trao đổi thông tin trên hệ thống mạng mở chẳng hạn Internet, Extranets và Intranets.
Một certificate nối kết một public key với thực thể nắm giữ private key tương ứng. Chẳng hạn, bạn có thể mã hóa dữ liệu cho người nhận với public key của họ và chắc chắn rằng chỉ người nhận có private key dùng để giải mã dữ liệu.
Người cung cấp certificate được gọi là Certification Authority (CA). Certificate được cung cấp cho người dùng, máy tính hoặc một dịch vụ chẳng hạn IPSec.
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 55 Một trong những lợi ích chính của certificate là host sẽ không còn duy trì một tập password cho đối tượng riêng tư cần được xác thực như một điều kiện cho phép truy cập. Điều đó thay cho việc host chỉ đơn thuần thiết lập sự tin cậy trong một CA cung cấp certificate.
4.2 Tại sao dùng Certificates với IPSec để bảo mật lưu lượng.
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 56
Mục đích
Dùng certifiacate từ một CA đáng tin cậy được xem như phương pháp xác thực giữa hai host IPSec cho phép các doanh nghiệp liên lạc với nhau. Bạn cũng có thể dùng certificate để enable Windows Routing and Remote Access service để giao tiếp bảo mật trên Internet với router lớp 3 hỗ trợ IPSec. Tuy nhiên, vì certificate phức tạp hơn cả preshare keys hoặc giao thức Kerberos nên chúng đòi hỏi nhiều về việc thiết lập của admin. Certificate chỉ là một thành phần của giải pháp PKI. Mặc dù PKI đòi hỏi tài nguyên quản l. và lập kế hoạch nên
Giao thức Kerberos và preshared keys
Hai phương pháp khác cho việc xác thực giữa hai host dùng IPSec là:
Giao thức Kerberos: đối với lưu lượng giữa các máy tình trong cùng một hệ thống domain thì việc dùng giao thức Kerberos mặc định là phương pháp xác thực đơn giản nhất cho IPSec và không đòi hỏi bất cứ cấu hình nào. Giao thức Kerberos là một thành phần cả Active Directory vì thế nó cũng là thành phần của cấu trúc enterprise domain. Tuy nhiên, đối với các client không hỗ trợ giao thức Kerberos hoặc các client không là thành phần của kiến trúc Active Directory thì sử dụng preshared key hoặc X.509 certificate
Preshared keys: preshared key là chuỗi kí tự dài ngẫu nhiên được dùng làm password giữa hai host IPSec. Preshared keys không bảo mật như giao thức Kerberos hoặc certificate vì nó được cất trong đoạn clear text ở policy
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 57 IPSec. Nếu người tấn công giành được quyền truy cập của admin vào policy thì sẽ thấy được preshared key. Preshared key cũng không được dùng tốt cho cấu hình nhiều máy.