CHƢƠNG 3 : THIẾT KẾ MÔ HÌNH HỆ THỐNG QUẢN LÝ
4.1. Xây dựng hệ thống cấp phát chứng chỉ
4.1.4. Cấp phát và quản lý các chứng chỉ số
4.1.4.1. C p phát t ng (Auto - Enrollment) ấ ự độ
Auto – Enrollment cho phép client yêu cầu tự động và nhận chứng chỉ số từ CA mà không cần sự can thiệp của người quản trị. Để dùng Auto Enrollment thì – phải có domain chạy Windows XP Professional. Điều khiển tiến trình Auto – Enrollment bằng sự phối hợp của group policy và mẫu chứng chỉ số.
Mặc định, Group Policy Object (GPOs) cho phép Auto Enrollment cho t– ất cả người dùng và máy tính nằm trong domain. Để cài đặt, bạn mở chính sách cài đặt Auto – Enrollment, nằm trong thư mục Windows Settings\Sercurity Settings\Public Key Policies trong cả 2 node Computer Configuration và User Configuration của Group Pilicy Object Editor. Hộp thoại Autoenrollment Settings Properties xuất hiện, bạn có thể cho phép các đối tượng thay đổi hoặc cập nhật chứng chỉ số của chúng một cách tự động.
Một kỹ thuật khác bạn có thể điều khiển Auto Enrollment – là xây dựng mẫu chứng chỉ có xác định đặc tính của điều khiển chứng chỉ số rõ ràng. Để quản lý mẫu chứng chỉ số, bạn dùng mẫu chứng chỉ số có sẵn (Catificate Templates snap - in), như hình dưới. Sử dụng công cụ này, bạn có thể chỉ rõ thời gian hiệu lực và thời gian gia hạn của loại chứng chỉ số đã chọn, chọn dịch vụ mã hóa (cryptographic) cung cấp cho chúng. Dùng tab Security, bạn cũng có thể chỉ rõ những User và Group được phép yêu cầu chứng chỉ số dùng mẫu này.
Khi client yêu cầu một chứng chỉ số, CA kiểm tra đặc tính đối tượng Active Directory của client để quyết định liệu client có quyền tối thiểu được nhận chứng chỉ không? Nếu client có quyền thích hợp thì CA sẽ cấp phát chứng chỉ số một cách tự động.
4.1.4.2. C p phát không t ng (Manual - Enrollment) ấ ự độ
Stand alone CA– s không thể dùng Auto E– nrollment, vì vậy khi một stand – alone CA nhận yêu cầu về chứng chỉ số từ clinet, nó sẽ lưu trữ những yêu cầu đó vào trong một hàng đợi cho tới khi người quản trị quyết định liệu có cấp phát chứng chỉ số hay không? Để giám sát và xử lý các yêu cầu vào, người quản trị dùng Cerification Authority console, như hình sau:
Trong Certification Authority console, tất cả các yêu cầu cấp phát chứng chỉ số xuất hiện trong thư mục Pending Request. Sau khi đánh giá thông tin trong mỗi yêu cầu, người quản trị có thể chọn để chấp nhận (issue) hay từ chối yêu cầu. Người quản trị cũng có thể xem đặc tính của việc cấp phát chứng chỉ và thu hồi chứng chỉ khi cần.
4.1.4.3. Các cách c p phát CA ấ
Sử dụng Certificates Snap – i n: Sử dụng Certificates Snap – in là một công cụ dùng để xem và quản lý chứng chỉ của một user hoặc computer cụ thể. Màn hình chính của snap-in bao gồm nhiều thư mục chứa tất cả hạng mục chứng chỉ số được chỉ định cho user hoặc computer. Nếu tổ chức của người dùng sử dụng enterprise Cas, Certificates Snap – in cũng cho phép người dùng yêu cầu và thay đổi chứng chỉ số bằng cách dùng Certificate Request Winzard và Certificate Renewal Wizard.
Yêu cầu cấp phát thông qua Web (Web Enrollment)
Khi bạn cài đặt Certificate Services trên máy tính chạy Windows Server 2003, người dùng có thể chọn cài đặt module Certificate Services Web Enrollment Support. Để hoạt động một cách đúng đắn, module này yêu cầu người dùng phải cài đặt IIS trên máy tính trước. Chọn module này trong quá trình cài đặt Certificate Services tạo ra trang Web trên máy tính chạy CA, những trang Web này cho phép người dùng gửi yêu cầu cấp chứng chỉ số yêu cầu mà họ chọn.
Giao diện Web Enrollment Support được dùng cho người sử dụng bên ngoài ho c bêặ n trong truy xuất đến stand - alone Cas. Vì stand alone server không dùng – mẫu chứng chỉ số, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về chứng chỉ số và thông tin về người sử dụng chứng chỉ số.
Khi client yêu cầu chứng chỉ số dùng giao diện Web Enrollment Support, chúng có thể chọn từ danh sách loại chứng chỉ đã được định nghĩa trước hoặc tạo ra chứng chỉ cao cấp bằng cách chỉ rõ tất cả các thông tin yêu cầu trong from Web – based.
4.1.4.4. Thu h i ch ng ch s ồ ứ ỉ ố
Có vài nguyên nhân cảnh báo cho người quản trị thu hồi chứng chỉ. Nếu như khóa riêng (private key) bị lộ, hoặc người dùng trái phép lợi dụng truy xuất đến CA, thậm chí bạn muốn cấp phát chứng chỉ dùng tham số khác như là khóa dài hơn, bạn phải được thu hồi chứng chỉ trước đó. Một CA duy trì một CRL (Certificate
Revocation List). Enterprise CAs xuất bản CRLs của chúng trong cơ sở dữ liệu Active Directory, vì vậy client có thể truy xuất chúng dùng giao thức truyền thông Active Directory chuẩn, gọi là Lightweight Directory Access Protocol (LDAP). Một stand - alone CA lưu trữ CRL của nó như là một file trên đĩa cục bộ của server, vì vậy client truy xuất dùng giao thức truyền thông Internet như Hypertext Transfer Protocol (HTTP) hoặc File Transfer Protocol (FTP).
Mỗi chứng chỉ số chứa đường dẫn tới điểm phân phối của CA cho CRLs. Có thể sửa đường dẫn này trong Certification Authority onsole bằng cách hiển thị hộp C thoại Properties cho CA, click vào tab Extension. Khi một ứng dụng chứng thực client đang dùng chứng chỉ số, nó kiểm tra điểm phân phối CRL đã định rõ trong chứng chỉ số, để chắc chắn rằng chứng chỉ số không bị thu hồi. Nếu CRL không có tại điểm phân phối đã định rõ của nó, ứng dụng từ chối chứng chỉ.
rtification Authority Bằng cách chọn thư mục Revoked Certificates trong Ce
Console và sau đó hiển thị hộp thoại Properties của nó, bạn có thể chỉ rõ bao nhiêu lâu thì CA nên xuất bản một CRL mới và cũng cần cấu hình CA để xuất bản delta CRLs. Một delta CRL là một danh sách tất cả các chứng chỉ đã thu hồi từ khi CRL cuối cùng xuất bản. Trong tổ chức với số lượng chứng chỉ số lớn, sử dụng CRLs thay vì CRLs cơ bản có thể lưu một số lớn.