5. Phương pháp nghiên cứu
3.1.1. Mô hình triển khai hệ thống PKI nội bộ
3.1.1.1. Giới thiệu mô hình.
Công cụ luận văn sử dụng để triển khai mô hình hệ thống PKI nội bộ là Easy RSA [9] - một bộ công cụ nhẹ tải, nhưng hỗ trợ đầy đủ chuẩn quản lý chứng thư số X.509. 0 mô tả mô hình hệ thống PKI nội bộ dựa trên Easy RSA.
Hình 3. 1 Mô hình hệ thống PKI nội bộ dựa trên Easy RSA
48
- Đăng ký chứng thư số: Chức năng này hỗ trợ người dùng cung cấp thông tin cấp chứng thư số thông qua 1 web form. Thông tin người dùng bao gồm các thông tin cá nhân và thông tin nhận dạng.
- Xem xét phê duyệt chứng thư số: Khâu nay xem xét phê duyệt hoặc từ chối yêu cầu xin cấp chứng thư số từ người dùng do người quản trị thực hiện. Khâu nàyyđượccthực hiện theo 2 hướng như sau:
+ Phê duyệt: Yêu cầu xin cấp chứng thư số từ người dùng được duyệt, hệ thống PKI sẽ sinh 1 cặp khóa (khóa công khai và khóa riêng) cho người dùng. Một chứng thư số tích hợp khóa công khai và thông tin nhận dạng của người dùng được cấp theo chuẩn X.509 và lưu trữ trong hệ thống. Khóa công khai và khóa riêng của người dùng được lưu trữ thành các file theo chuẩn X.509 trong hệ thống. Đồng thời, file khóa riêng và mật khẩu truy cập được gửi cho người dùng thông qua email đã đăng ký.
+ Từ chối: Yêu cầu xin cấp chứng thư số từ người dùng bị từ chối và thông báo lỗi được gửi đến người dùng.
Ngoài 2 chức năng chính nêu trên, mô hình hệ thống PKI nội bộ còn hỗ trợ các tính năng quản lý chứng thư số khác, như thu hồi chứng thư số, xem danh sách chứng thư đang hoạt động, đã bị thu hồi và danh sách yêu cầu cấp chứng thư bị từ chối.
3.1.1.2. Easy RSA
Easy RSA [9] là một bộ công cụ cho phép quản lý hạ tầng khóa công khai theo chuẩn X.509. Mã Easy RSA được viết bằng mã vỏ POSIX độc lập nền tảng, nhờ vậy nó có thể hoạt động tốt trên nhiều nền tảng như Unix, Linux và Windows. Easy RSA cũng hỗ trợ giao diện cho phép tích hợp vào các ứng dụng khác như ứng dụng web, hay các website. Các tính năng chính của Easy RSA gồm:
- Cho phép quản lý đồng thời nhiều PKI, trong đó mỗi PKI có cấu hình, danh mục lưu trữ và xử lý các mở rộng chuẩn X.509 riêng;
49
- Hỗ trợ đầy đủ chuẩn X.509, bao gồm các tính năng CRL, CDP, các thuộc tính sử dụng khóa/eKU và các thuộc tính bổ sung. Có khả năng hỗ trợ các tính năng mở rộng hoặc tiên tiến;
- Hỗ trợ các chế độ hoạt động kiểu tương tác và tự động;
- Cấu hình mềm dẻo: các tính năng có thể được bật/tắt sử dụng dòng lệnh, các biến môi trường, file cấu hình, hoặc kết hợp;
- Cung cấp cấp hình ngầm định chuẩn cho phép sử dụng mà không cần chỉnh sửa file cấu hình.