Hình 6.2: CA và các thành phần liên kết với CA RAO RA CA DS Root CA SubCA3 SubCA2 SubCA1 A B
6.2.2 Các thành phần của hệ thống VnpCert
Hệ thống cung cấp chứng chỉ số bao gồm CA, RA, RAO
CA
Tạo các cặp khoá và lưu giữ các cặp khoá (đặc biệt có khoá bí mật).
Tạo các chứng chỉ, ký vào chứng chỉ.
Tạo các CRLs.
Công bố các chứng chỉ và CRLs tới thư mục LDAP/X.500.
Duy trì an toàn CSDL đã được ký đầy đủ.
Quản lý các quyền của các thực thể PKI (CA, RA, RAO) gắn với nó. RA được kết nối với CA. RAO được gắn với một RA đơn.
CA quản lý chính sách chứng chỉ.
Thu hồi khoá và tokens.
RA
Phê duyệt các yêu cầu cấp chứng chỉ và huỷ bỏ chứng chỉ trong đó có xác minh ID của từng user
RA duy trì một CSDL đăng ký cho tất cả các thực thể có chứng chỉ phát hành qua nó.
RA nắm giữ chi tiết chính sách chứng chỉ được truyền bởi CA. Nó cũng ghi lại những chính sách chứng chỉ nào được truyền cho RAO.
RAO
Nhập dữ liệu đăng ký của người sử dùng.
Tải chứng chỉ xuống, cấp cho người dùng và in giấy chứng nhận cấp chứng chỉ
Cập nhật lại danh sách các chứng chỉ đã huỷ bỏ, in giấy chứng nhận chứng chỉ hết hiệu lực cho người dùng.
6.2.3 Một số đặc tính của hệ thống cung cấp chứng chỉ số
Tách riêng các chức năng cấp chứng chỉ (CA), đăng ký cấp chứng chỉ (RA), phục vụ cấp chứng chỉ (RAO).
Cho phép tại một trung tâm cấp chứng chỉ (RAO), cùng một lúc phục vụ nhiều người.
Cho phép phối hợp nhiều đơn vị trong việc triển khai dịch vụ.
Cấp chứng chỉ có thời hạn và cho phép huỷ bỏ chứng chỉ (trước thời hạn)
Khuôn dạng của chứng chỉ:
Tuân theo RFC 2459.
Cho phép đưa các thông tin về người sử dụng như: họ tên, ngày sinh, các khoá công khai tương ứng …
Hình 6.3: Chứng chỉ do hệ thống VnpCert cung cấp
Các chuẩn mật mã đƣợc sử dụng (PKCS #1 V2.1 ):
Chữ ký số RSA: theo chuẩn RSASSA-PKCS-v1_5 (signature scheme with appendix)
Hàm băm SHA-256.
Các tệp lƣu trữ và yêu cầu sử dụng các chuẩn PKCS:
Tệp lưu trữ khoá bí mật tuân theo PKCS#8. Khoá bí mật được bảo vệ bằng mật khẩu theo PKCS#5.
Tệp lưu trữ khoá công khai theo PKCS#7.
Tệp yêu cầu cấp chứng chỉ tuân theo PKCS#10.
Khoá bí mật và chứng chỉ được lưu ở dạng PKCS#12.
Khoá công khai của CA được người sử dụng lưu trữ ở dạng PKCS#12.
Tệp yêu cầu huỷ bỏ chứng chỉ theo PKCS#7.
Tệp Certificate Revocation List – CRL theo PKCS#10.
Phƣơng tiện lƣu khoá bí mật và chứng chỉ số cho ngƣời dùng
Có nhiều cách để lưu khoá bí mật và chứng chỉ số như Smart Card, USB Tokens, USB thường… Với hệ thống VnpCert tôi xin giới thiệu phương tiện lưu là USB Tokens. Với USB Tokens người sử dụng sẽ cảm thấy rất thuận tiện, an toàn. Người dùng có thể mang theo mình và sử dụng mọi lúc, mọi nơi. Token được bảo vệ bởi mật khẩu của người dùng do đó khi một người dùng nào đó đánh mất token, thì người khác không thể sử dụng token đó được.
Hình 6.4: USB Token dùng trong hệ thống VnpCert
6.2.4 Quá trình khởi tạo các thành phần trong hệ thống cung cấp chứng chỉ số VnpCert VnpCert
Certificate Authority - CA
Quá trình khởi tạo CA được chia thành 2 trường hợp:
Trường hợp RootCA: Trong trường hợp này RootCA sẽ tự ký chứng chỉ của mình, quá trình khởi tạo được chia thành 3 bước:
Khởi tạo cơ sở dữ liệu dùng để lưu các chứng chỉ trên máy RootCA.
Thực hiện sinh cặp khoá và tệp chứng chỉ cho RootCA
Sinh ra một tệp CRL trống, sau đó gửi CRL trống và chứng chỉ của RootCA lên Directory Server.
Trường hợp SubCA: Yêu cầu cấp chứng chỉ được RootCA ký, quá trình khởi tạo gồm các bước sau:
Khởi tạo cơ sở dữ liệu dùng để lưu các chứng chỉ trên máy SubCA
Sinh tệp yêu cầu chứng chỉ cho SubCA và gửi lên cho RootCA
RootCA sinh cặp khoá cho SubCA, ký vào yêu cầu chứng chỉ của SubCA và gửi trả chứng chỉ về cho SubCA.
Sinh ra một tệp CRL trống, sau đó gửi CRL trống và chứng chỉ của SubCA lên Directory Server
Registration Authority – RA
Quá trình khởi tạo RA và thiết lập quan hệ với CA gồm các bước sau:
Khởi tạo cơ sở dữ liệu dùng để lưu các thông tin đăng ký của người dùng
Sinh yêu cầu cấp chứng chỉ cho RA.
Trên máy CA, thực hiện sinh cặp khoá cho RA, ký yêu cầu chứng chỉ của RA. Chứng chỉ đã ký được CA gửi trả về cho RA
RAO
Thiết lập RAO gồm các bước sau:
RA sinh yêu cầu cấp chứng chỉ cho các RAO
CA sinh ra các cặp khoá cho RAO, ký các yêu cầu cấp chứng chỉ của RAO. Các chứng chỉ đã ký được gửi trả về cho RAO
LDAP và Directory Server
Trong hệ thống VnpCert các chứng chỉ và CRLs của người sử dụng được lưu trữ trên một CSDL công khai để người sử dụng có thể tải các chứng chỉ hoặc cập nhật CRL từ cơ sở dữ liệu đó. Đồng thời đảm bảo yêu cầu việc cập nhật dữ liệu từ các máy server (CA server) và truy vấn dữ liệu từ các máy client phải nhanh chóng, chính xác, phù hợp với kiểu dữ liệu có cấu trúc như các chứng chỉ. Để đạt được mục tiêu này hiện nay có nhiều hệ quản trị cơ sở dữ liệu có thể đáp ứng. Trong hệ thống VnpCert, tôi đã chọn LDAP làm nơi lưu trữ chứng chỉ và CRL.
Directory Server là một hoặc nhiều máy cài đặt LDAP Server, trên đó lưu các chứng chỉ đã được phát hành cho người sử dụng , các chứng chỉ của các Server thuộc hệ thống, các CRLs do CA phát hành.
6.2.5 Qui trình đăng ký, cấp phát và huỷ bỏ chứng chỉ Qui trình đăng ký và cấp chứng chỉ Qui trình đăng ký và cấp chứng chỉ
Người sử dụng có nhu cầu được cấp chứng chỉ đến trung tâm (RAO) làm thủ tục đăng ký. Khi đến trung tâm người sử dụng cần đem theo những giấy tờ có liên
quan đến bản thân (ví dụ chứng minh thư, hộ chiếu...). Việc đăng ký được nhân viên của hệ thống thực hiện qua RAO.
Hình 6.5: Mô hình đăng ký và cấp chứng chỉ số Qui trình đăng ký được thực hiện cụ thể như sau: Qui trình đăng ký được thực hiện cụ thể như sau:
1a Cá nhân (hoặc tổ chức) nào đó có nhu cầu sử dụng chứng chỉ số lên trung tâm đăng ký (RAO), có đem theo một số giấy tờ cần thiết.
1b Tại RAO (nơi đăng ký) người quản trị máy RAO đưa thông tin đã đăng ký từ phía người sử dụng lên máy RA.
2. RA ký lên yêu cầu cấp chứng chỉ và gửi yêu cầu này sang máy CA
3. CA kiểm tra chữ ký của RA trên yêu cầu cấp chứng chỉ của người sử dụng. Nếu hợp lệ thì CA chấp nhận yêu cầu cấp chứng chỉ đó, sinh ra một cặp khoá cho người sử dụng, phát hành chứng chỉ (thực hiện ký trên chứng chỉ) và gửi trả về máy RA. Nếu ngược lại, CA không sinh cặp khoá và không chấp nhận yêu cầu cấp chứng chỉ đó. Khoá bí mật, khoá ký của người dùng được CA lưu trong token và lưu trong một thư mục được bảo vệ đặc biệt của CA.
User RAO RA CA DS 1a 5b 1b 5a 2 3 6 4
4. Người dùng đến CA để lấy khoá bí mật. 5a. RAO tải chứng chỉ số trên máy RA xuống.
5b. Người quản trị RAO cấp chứng chỉ số cùng giấy chứng nhận đã được cấp chứng chỉ số cho người dùng.
6. Chứng chỉ số của người dùng khi đó đã được công nhận trên toàn bộ hệ thống CA, được người quản trị máy CA đưa công khai lên Directory Server.
ĐĂNG KÝ CHỨNG CHỈ SỐ CHO CÁ NHÂN
Sử dụng biểu mẫu này để đăng ký chứng chỉ số cho cá nhân. Bạn nên xem toàn bộ nội dung biểu mẫu này trước khi điền các thông tin
Thông tin
Các thông tin dưới đây sẽ có trong chứng chỉ số của bạn. Bạn phải nhập đầy đủ các trường có dấu (*). Các ký tự sau đây là không hợp lệ :„,‟,‟=‟,‟+‟,‟<‟,‟>‟,‟#‟,‟”‟. Họ và tên *:
Ngày tháng năm sinh *: Số CMND *: Chứng chỉ dùng cho *: Mail Web VPN Tổ chức *:
Đơn vị*: Tỉnh/Thành phố*: Quận/Huyện*: Quốc Tịch * : Ngày có hiệu lực *: Ngày hết hạn *:
Thông tin thêm
Nếu như có bất kỳ một yêu cầu thêm, bạn hãy nhập vào ô thông tin dưới đây ……….
………. ……….
Hình 6.6: Mẫu đăng ký chứng chỉ số cho cá nhân do hệ thống VnpCert cung cấp
----BEGIN HEADER--- TYPE = PKCS#10
CERTTYPE = User Certificate ---END HEADER---
---BEGIN CERTIFICATE REQUEST---
MIIB8zCCAVwCAQAwgbMxIjAgBgkqhkiG9w0BCQEWE2hvYWxuaEB0cmljaHNhaS5i Y2ExRTBDBgNVBAMTPEx1b25nIE5ndXllbiBIb2FuZyBIb2EtMjAwMDIwMy0xMjM0
NTY3OC0xMi0xMi0xOTk3LTE5LTEtMTk3OTEQMA4GA1UECBMHRTE1LkJDQTESMBAG A1UECxMJTXlDQSBVc2VyMRMwEQYDVQQKEwpNeUNBIEdyb3VwMQswCQYDVQQGEwJW TjCBnjANBgkqhkiG9w0BAQEFAAOBjAAwgYgCgYBAAAC9WqCMDvBU4AEYs0dpQqjS X0IBKKWNYKusKrjdhCE9HVLNq912t2oJgVDgNulxIQ1Nmuox489FVfkXY4cWP8SR 0vYDxu3LU4rTb8gJNkf/Ek27ma8Cc0cyWc3+/hj9s0ksstfEhMBf38ROGeqK8O5b OXKKL1+5S8Zb2oZJaQIDAQABoAAwDQYJKoZIhvcNAQEFBQADgYEABkH8kt2/NBUo fa6Gv600yxTJN3K3fLHX81y28y2ml79hZDwjxeo7fD30xD/dYmoyM0ljRq7MtEpL +bUr6FxAi8cSTFPgb+ao7ARede7Fhb6ZYU6HW6hkkWTbQfWDSIALrFZ6+1fwdMt9 kjCFYrevJO1JnG9cj59/EpEVSthgaHI=
---END CERTIFICATE REQUEST---
Hình 6.7: Nội dung tệp yêu cầu cấp chứng chỉ
---BEGIN CERTIFICATE--- MIICXzCCAcigAwIBAgIBADANBgkqhkiG9w0BAQUFADBiMR4wHAYJKoZIhvcNAQkB Fg9Sb290Q0FAcHZraC5jb20xDzANBgNVBAMTBlJvb3RDQTENMAsGA1UECxMEcHZr aDETMBEGA1UEChMKTXlDQSBHcm91cDELMAkGA1UEBhMCVk4wHhcNMDMwNjEwMDcw MDI0WhcNMDUwNjA5MDcwMDI0WjBiMR4wHAYJKoZIhvcNAQkBFg9Sb290Q0FAcHZr aC5jb20xDzANBgNVBAMTBlJvb3RDQTENMAsGA1UECxMEcHZraDETMBEGA1UEChMK TXlDQSBHcm91cDELMAkGA1UEBhMCVk4wgZ4wDQYJKoZIhvcNAQEBBQADgYwAMIGI AoGAQAAIAADgAAoAAGABkVmqO5jiCPjdOJ1n9uz/SUNbmyAZZDmfMryNpg06RKcw 4Kt12qqyx85IB7brmuCzyDKwPIatEjvZBqkrkGbUnmslVHg8/PauEf6UH+Z/WZ3L Lbvv779ne+M7Q3BVEXVMgmy7PE8tUdPI9JzAi1HzFKG++lcCAwEAAaMmMCQwDwYD VR0TAQH/BAUwAwEB/zARBglghkgBhvhCAQEEBAMCAAcwDQYJKoZIhvcNAQEFBQAD gYEAPImXkaSUYbxKWoFLp7n/nTdw0du9MzYsWB098aC5aUcnxI36zoO0dIFj6s75 JFGuO5Ihe9lw4gsua0e91YnrDejXRhKX+YeSiblnksnBvAThkE+4nH2r7CjrvbvG
V5nO8V6H9+Um7plr5r4DP1Lz5K8Ar/H1pX6uuYfbyZ9kzWo= ---END CERTIFICATE---
Hình 6.8: Chứng chỉ lưu khoá công khai của RootCA trong hệ thống VnpCert
Thông tin chi tiết của chứng chỉ số
Certificate: Data:
Version: 3 (0x2)
Serial Number: 2000203 (0x1e854b)
Signature Algorithm: sha256WithRSAEncryption
Issuer: Email=VnpCA@gpc.com.vn, CN=VnpCert, OU=Vnp CA, O=VinaPhone,L=Ha Noi, ST=Ha Noi, C=VN
Validity
Not Before: Tue Sep 12 15:48:55 2007 GMT Not After : Tue Sep 12 15:48:55 2008 GMT
Subject: Email=ngabt.omc@gpc.com.vn, CN=Bui thi Nga-07-10-1981- 06061268, OU=OMC, O=Vinaphone, L= Cau Giay, ST= Ha Noi, C=VN
Subject Public Key Info:
Public Key Algorithm: rsaEncryption RSA Public Key: (1023 bit)
Modulus (1023 bit): 40:00:00:bd:5a:a0:8c:0e:f0:54:e0:01:18:b3:47: 69:42:a8:d2:5f:42:01:28:a5:8d:60:ab:ac:2a:b8: dd:84:21:3d:1d:52:cd:ab:dd:76:b7:6a:09:81:50: e0:36:e9:71:21:0d:4d:9a:ea:31:e3:cf:45:55:f9: 17:63:87:16:3f:c4:91:d2:f6:03:c6:ed:cb:53:8a: d3:6f:c8:09:36:47:ff:12:4d:bb:99:af:02:73:47: 32:59:cd:fe:fe:18:fd:b3:49:2c:b2:d7:c4:84:c0: 5f:df:c4:4e:19:ea:8a:f0:ee:5b:39:72:8a:2f:5f: b9:4b:c6:5b:da:86:49:69 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE
Netscape Cert Type: SSL Client, S/MIME X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment Netscape Comment:
VnpCert User Certificate
Signature Algorithm: sha256WithRSAEncryption
0a:05:93:a6:5a:f4:c6:8d:96:7c:28:d5:69:9e:f9:31:2a:f8: 3b:15:7d:c3:a2:eb:0f:5a:67:91:ed:c2:9b:ea:68:f2:da:77: 16:1f:5e:92:cf:8e:b2:67:2b:f2:38:c6:be:c6:15:ea:1f:34: 3d:d8:b8:51:6a:33:93:84:6f:cb:62:07:3f:6b:66:da:83:ce: e4:ef:44:6f:7b:81:51:ca:14:b2:00:97:89:34:35:67:8b:95: 71:ad:db:9d:2d:cf:d0:2c:21:eb:07:ea:3a:82:e2:3a:c7:81: ef:d1:e1:1c:70:26:e3:25:f5:57:ea:23:c4:4b:6d:3c:7f:9c: 02:55 ---BEGIN CERTIFICATE--- MIIC4DCCAkmgAwIBAgIDHoVLMA0GCSqGSIb3DQEBBQUAMGIxHzAdBgkqhkiG9w0B CQEWEFJvb3RDQUB5YWhvby5jb20xDzANBgNVBAMTBlJvb3RDQTEMMAoGA1UECxMD RTE1MRMwEQYDVQQKEwpNeUNBIEdyb3VwMQswCQYDVQQGEwJWTjAeFw0wNDA1MTMw NjQ4NTVaFw0wNjA1MTMwNjQ4NTVaMIGzMSIwIAYJKoZIhvcNAQkBFhNob2FsbmhA dHJpY2hzYWkuYmNhMUUwQwYDVQQDEzxMdW9uZyBOZ3V5ZW4gSG9hbmcgSG9hLTIw MDAyMDMtMTIzNDU2NzgtMTItMTItMTk5Ny0xOS0xLTE5NzkxEDAOBgNVBAgTB0Ux NS5CQ0ExEjAQBgNVBAsTCU15Q0EgVXNlcjETMBEGA1UEChMKTXlDQSBHcm91cDEL MAkGA1UEBhMCVk4wgZ4wDQYJKoZIhvcNAQEBBQADgYwAMIGIAoGAQAAAvVqgjA7w VOABGLNHaUKo0l9CASiljWCrrCq43YQhPR1SzavddrdqCYFQ4DbpcSENTZrqMePP RVX5F2OHFj/EkdL2A8bty1OK02/ICTZH/xJNu5mvAnNHMlnN/v4Y/bNJLLLXxITA X9/EThnqivDuWzlyii9fuUvGW9qGSWkCAwEAAaNTMFEwCQYDVR0TBAIwADARBglg hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMCQGCWCGSAGG+EIBDQQXFhVNeUNB IFVzZXIgQ2VydGlmaWNhdGUwDQYJKoZIhvcNAQEFBQADgYEACgWTplr0xo2WfCjV aZ75MSr4OxV9w6LrD1pnke3Cm+po8tp3Fh9eks+Osmcr8jjGvsYV6h80Pdi4UWoz k4Rvy2IHP2tm2oPO5O9Eb3uBUcoUsgCXiTQ1Z4uVca3bnS3P0Cwh6wfqOoLiOseB 79HhHHAm4yX1V+ojxEttPH+cAlU= ---END CERTIFICATE--- Hình 6.9: Chứng chỉ của người sử dụng
GIẤY CHỨNG NHẬN CHỨNG CHỈ SỐ
Họ và tên : Bùi Thị Nga
Ngày tháng năm sinh: 07/10/1981 Số CMND: 06061268
Chứng chỉ dùng cho: Mail Tổ chức: VinaPhone Đơn vị: OMC
Thành Phố: Hà Nội Quận: Cầu Giấy Quốc tịch: Việt Nam Tên CA: VnpCertCA
Phương pháp ký: Sha256withRASEncription
Chứng chỉ có hiệu lực từ 11:30:00 giờ, ngày 12/09/2007 đến 11:30:00 giờ, ngày 12/09/2008 Nội dung chứng chỉ là:
Khoá công khai dùng cho Mail(1023bit)
40:00:00:bd:5a:a0:8c:0e:f0:54:e0:01:18:b3:47: 69:42:a8:d2:5f:42:01:28:a5:8d:60:ab:ac:2a:b8: dd:84:21:3d:1d:52:cd:ab:dd:76:b7:6a:09:81:50: e0:36:e9:71:21:0d:4d:9a:ea:31:e3:cf:45:55:f9: 17:63:87:16:3f:c4:91:d2:f6:03:c6:ed:cb:53:8a: d3:6f:c8:09:36:47:ff:12:4d:bb:99:af:02:73:47: 32:59:cd:fe:fe:18:fd:b3:49:2c:b2:d7:c4:84:c0: 5f:df:c4:4e:19:ea:8a:f0:ee:5b:39:72:8a:2f:5f: b9:4b:c6:5b:da:86:49:69
Chữ ký số của chứng chỉ : 0a:05:93:a6:5a:f4:c6:8d:96:7c:28:d5:69:9e:f9:31:2a:f8: 3b:15:7d:c3:a2:eb:0f:5a:67:91:ed:c2:9b:ea:68:f2:da:77: 16:1f:5e:92:cf:8e:b2:67:2b:f2:38:c6:be:c6:15:ea:1f:34: 3d:d8:b8:51:6a:33:93:84:6f:cb:62:07:3f:6b:66:da:83:ce: e4:ef:44:6f:7b:81:51:ca:14:b2:00:97:89:34:35:67:8b:95: 71:ad:db:9d:2d:cf:d0:2c:21:eb:07:ea:3a:82:e2:3a:c7:81: ef:d1:e1:1c:70:26:e3:25:f5:57:ea:23:c4:4b:6d:3c:7f:9c: 02:55 Ngày 12/09/2007
Người sử dụng chứng chỉ Người đại diện cấp chứng chỉ
Hình 6.10: Giấy chứng nhận đã cấp chứng chỉ số cho người dùng
Qui trình huỷ bỏ chứng chỉ
Trong quá trình sử dụng chứng chỉ khi chưa hết thời hạn sử dụng người dùng có thể yêu cầu huỷ bỏ chứng chỉ với nhiều lý do: chuyển công tác, thay đổi địa chỉ e-mail, nghi ngờ lộ khoá bí mật….
Hình 6.11: Qui trình huỷ bỏ chứng chỉ
1a. Người sử dụng đến trung tâm RAO để thực hiện huỷ bỏ chứng chỉ 1b. Người quản trị RAO đưa yêu cầu huỷ bỏ chứng chỉ lên RA.
2. RA kiểm tra chữ ký của người dùng trên yêu cầu huỷ bỏ chứng chỉ, nếu thấy đúng thì ký sau đó chuyển sang máy CA. Nếu ngược lại thì không ký vào yêu cầu huỷ bỏ chứng chỉ và không chuyển sang máy CA, báo cho RAO biết. 3. CA kiểm tra chữ ký của RA trên yêu cầu huỷ bỏ, nếu đúng thì ký vào yêu cầu
huỷ bỏ chứng chỉ, đồng thời thu hồi lại khoá bí mật và token từ người dùng. Nếu không đúng thì không ký và thông báo lại cho RA.
4. CA cập nhật lại CRL trên Directory Server 5a. RAO cập nhật danh sách chứng chỉ bị huỷ bỏ
5b. Người dùng được RAO cấp giấy chứng nhận huỷ bỏ chứng chỉ.
6.3 Cấu trúc vật lý và các vấn đề đảm bảo an toàn cho của hệ thống
Có rất nhiều cách trong đó một PKI có thể được thiết kế vật lý. Ở đây các thành phần chính của PKI được thi hành trên các hệ thống riêng biệt, đó là, CA trên một hệ thống, RA trên hệ thống khác và các máy chủ thư mục trên các hệ thống
User RAO RA CA DS 1a 5b 1b 2 4 5a 3
khác. Bởi vì các hệ thống có các dữ liệu nhạy cảm, chúng nên được đặt sau một tường lửa internet của tổ chức. Hệ thống CA đặc biệt quan trọng bởi vì một tổn thương nào đó cho CA có thể phá vỡ toàn bộ hệ thống hoạt động PKI và phải bắt đầu với các chứng chỉ mới. Do đó, việc đặt hệ thống CA đằng sau tường lửa của công ty để nó được bảo vệ cả bởi từ internet và từ các hệ thống trong chính công ty. Dĩ nhiên, tường lửa của công ty cho phép các giao tiếp giữa CA và RA cũng như các hệ thống thích hợp khác. Song song với việc bảo vệ trên mạng như vậy, về mặt vật lý, hệ thống CA cũng cần được đặt trong một phòng riêng biệt được xây dựng và bảo vệ đặc biệt.
Hệ thống VnpCert được thiết kế thực hiện sao lưu toàn bộ khoá bí mật và chứng chỉ của người dùng một ngày một lần, để đảm bảo an toàn cho hệ thống thì dữ liệu sao lưu cũng cần được bảo vệ đặc biệt và tách biệt hoàn toàn với hệ thống CA đang hoạt động (đề phòng trường hợp hoả hoạn, nơi CA đang hoạt động bị phá huỷ...).
Hệ thống VnpCert liên quan nhiều tới vấn đề pháp lý do đó công ty cần kiểm tra chặt chẽ, đảm bảo các yêu cầu kỹ thuật và chất lượng dịch vụ của hệ thống CA. Việc báo cáo định kỳ về hoạt động của các CA cần được thực hiện một tuần một lần. Việc kiểm tra các CA cần được tiến hành định kỳ một ngày một lần và có thể kiểm tra đột xuất khi cần thiết. Đồng thời cần xây dựng chính sách chứng thực để đảm bảo hệ thống hoạt động an toàn và ổn định.
Để đảm bảo cho các user và các các hệ thống riêng biệt muốn truy cập các chứng chỉ của công ty thuận lợi đồng thời lại đảm bảo được an toàn cho hệ thống, các thư mục cần sẵn sằng cho các user và các tổ chức khác trên internet. Một giải pháp là tạo một thư mục mà chỉ chứa khoá công khai hay chứng chỉ, các CRLs và định vị thư mục này tại đường biên của công ty. Thư mục này được xem như là thư mục đường biên. Một vị trí phù hợp cho thư mục sẽ bên ngoài tường lửa của công ty và trên một đoạn mạng được bảo vệ để nó vẫn sẵn sàng công khai nhưng được bảo vệ tốt hơn khỏi tấn công.
Máy chủ thư mục chính định vị trong mạng được bảo vệ của tổ chức sẽ định kỳ làm mới lại thư mục đường biên với những chứng chỉ mới hay những sự cập nhật tới những chứng chỉ hiện hữu và các CRLs. Những người sử dụng bên trong công ty sử dụng máy chủ thư mục chính, trong khi những hệ thống, tổ chức khác và các user sẽ chỉ truy cập tới thư mục đường biên.
DS RootCA RA Firewall RAO Gate way Firewall Directory Border SubCA1 RA1 Firewall RAO1 SubCA2 RA2 Firewall RAO2 SubCA3 RA3 Firewall RAO3 WAN
Firewall Firewall Firewall
Hình 6.12: Mô hình cung cấp chứng chỉ số VnpCert cùng các giải pháp đảm bảo an toàn cho hệ thống cung cấp chứng chỉ số và mạng nội bộ
KẾT LUẬN
PKI là một chủ đề phức tạp và phong phú, bao quanh tất cả các khía cạnh đã yêu cầu để biến mật mã khoá công khai thành nền tảng CSHT cho các dịch vụ bảo