Trong đó:
Hệ thống mạng Trung tâm CA
Hệ thống mạng của Trung tâm CA bao gồm các máy chủ (một máy chủ RootCA, 2 máy chủ SubCA, một máy chủ Root directory, hai máy chủ directory cho người dùng nhóm 1 và người dùng nhóm 2 và các máy trạm RA. Hệ thống được chia thành 3 phân vùng:
- Vùng bảo mật đặc biệt: gồm máy chủ RootCA, 2 máy chủ SubCA cho người dùng nội bộ và người dùng bên ngoài, HSM.
- Vùng bảo mật cao: gồm máy chủ Root directory và hai máy chủ directory cho người dùng nội bộ và người dùng bên ngoài, máy chủ lưu trữ NAS
- Vùng điều hành: gồm các máy Registration Authority (RA)
Máy chủ RootCA
Máy chủ này có nhiệm vụ:
Cấp chứng chỉ cho SubCA để cấp phát cho các đối tượng người dùng;
Thu hồi chứng chỉ số của SubCA thông qua Authority Revocation List, và cho phép cập nhật Authority Revocation List tới hệ thống thư mục;
Đảm bảo chứng thực cho chứng chỉ được phát hành;
Khả năng tạo kênh xác thực chéo với các CA khác khi có nhu cầu;
Có thể thêm SubCA khi cần;
Cho lưu chứng chỉ gốc ra thiết bị lưu trữ chuyên dụng Hardware Security Module – HSM.
Hai máy chủ SubCA cho người dùng
Các máy chủ SubCA có nhiệm vụ:
Cấp phát và quản lý chứng chỉ cho các người dùng;
Thu hồi chứng chỉ qua Certificate Revocation List và công bố danh sách trên hệ thống thư mục;
Đảm bảo chứng thực cho chứng chỉ được phát hành;
Có thể hỗ trợ nhiều cặp khóa cho một chứng chỉ số, phù hợp với các tính năng khác nhau.
Có thể lưu chứng chỉ số lên các thiết bị lưu chuyên dụng như USB Token,…
Máy chủ quản trị CA
Máy chủ quản trị CA (Administration Services) có thể cho phép admin quản trị người dùng qua giao diện web; cho phép người dùng tự đăng ký xin cấp chứng chỉ với CA. Nhiệm vụ của admin chỉ là thẩm tra lại tính chính xác của thông tin và chấp thuận hay không chấp thuận thông tin đăng ký của người dùng.
Máy chủ Entrust Authority Enrollment Server for Web
Máy chủ này co nhiệm vụ cấp chứng chỉ cho các ứng dụng và thiết bị trong hệ thống như máy chủ web và web browser để làm SSL, mạng riêng ảo (VPN), mã hóa thư điện tử.
Máy chủ Roaming
Máy chủ Roaming cho phép lưu chứng chỉ số một cách tập trung, đáp ứng cho người dùng di động (mobile user) vẫn có thể truy cập được chứng chỉ số của mình trong thực hiện các giao dịch có yêu cầu sử dụng chứng chỉ số.
Các máy trạm Registration Authority này để quản trị hệ thống CA, quản lý việc đăng ký CA của các đối tượng người dùng, có thể quản trị qua giao diện web.
Máy chủ sao lưu dự phòng
Là máy chủ dùng vào mục đích sao lưu dự phòng, có thể sử dụng công nghệ Network Attached Storage – NAS.
Thiết bị Hardware Security Module - HSM
Là thiết bị bảo mật bằng phần cứng tuyệt đối cho các CA, được thiết kế nhằm bảo vệ các RootCA dựa trên nền phần cứng tuân thủ theo các chuẩn chẳng hạn như FIPS.
Hệ thống mạng Trung tâm Dự phòng (tương tự như hệ thống CA trung tâm mô tả ở trên)
Hệ thống an ninh mạng
Hệ thống tường lửa
Sử dụng một thiết bị tường lửa chuyên dụng (VD Check Point UTM-1 1050) đặt tại cổng mạng trung tâm CA và trung tâm dự phòng, bảo vệ chống các tấn công từ bên ngoài nhằm vào hệ thống CA của mạng đấu thầu quốc gia.
Hệ thống tường lửa này cung cấp các chức năng sau:
Tạo ra hệ thống phòng thủ mạnh toàn diện, bảo vệ mạng trung tâm CA và trung tâm dự phòng bên trong trước các tấn công và truy cập trái phép từ bên ngoài Internet và mạng WAN
Có thể cho phép tạo mạng riêng ảo – VPN, mã hóa và bảo vệ dữ liệu truyền trung tâm CA với các trung tâm vùng
Phân hoạch và bảo vệ chặt chẽ các vùng mạng máy chủ quan trọng, ngăn chặn truy cập trái phép từ mạng người dùng, ngăn chặn sự lây nhiễm virus từ các máy trạm vào máy chủ ngay bên trong mạng nội bộ.
Hệ thống quét virus
Hệ thống quét virus được cài lên các máy trạm RA của trung tâm CA và trung tâm dự phòng cũng như các máy chủ Windows làm Shadow Directory ở 3 trung tâm vùng nhằm mục đích quét các loại virus, spyware và các mã độc hại.
Hệ thống chống xâm nhập mạng
Hệ thống chống xâm nhập mạng được đặt tại cổng mạng của trung tâm CA và trung tâm dự phòng, phía sau thiết bị tường lửa, bảo vệ hệ thống PKI khỏi sự tấn công, xâm nhập bất hợp pháp cũng như chống lại các tấn công
mức network trên các kết nối Internet hay kết nối mạng WAN. Đồng thời cũng ngăn chặn các hành vi khai thác điểm yếu an ninh xuất phát từ các vùng mạng bên trong của hệ thống đấu thầu qua mạng vào các máy chủ trong trung tâm CA và trung tâm dự phòng.
Hệ thống thư mục
Ngoài ra, tại 3 trung tâm vùng Bắc, Trung, Nam có đặt tại mỗi vùng một máy chủ Shadow Directory (chạy hệ điều hành Windows) nhằm giảm tải cho hệ thống thư mục tại trung tâm CA.
Hệ thống thư mục có các chức năng chính như sau:
Lưu trữ chứng chỉ số của người dùng
Cho phép lưu trữ Certificate Revocation List
Lưu trữ các thông tin về chính sách người dùng
Yêu cầu đối với hệ thống thư mục là việc cập nhật cơ sở dữ liệu từ các máy CA server và truy vấn dữ liệu từ các máy client phải nhanh chóng, chính xác, phù hợp với kiểu dữ liệu có cấu trúc như của chứng chỉ. Để đạt được mục tiêu này, hiện có nhiều hệ cơ sở dữ liệu có thể đáp ứng, tuy nhiên qua tìm hiểu (từ các nguồn tài liệu) các hệ thống PKI hiện tại đã triển khai thì LDAP được sử dụng phổ biến nhất.
Mối quan hệ giữa máy chủ cài LDAP và các máy khác trong hệ thống có thể được phân thành hai loại sau:
- Máy chủ CA khi phát hành CRL sẽ cập nhật CRL này ra LDAP Server. Khi người sử dụng được cấp chứng chỉ thì chứng chỉ này cũng được cập nhật từ CA server ra LDAP server;
- Người sử dụng có thể thông qua một trình duyệt web để truy nhập vào LDAP server để tải chứng chỉ cũng như cập nhật các CRL
3.3. QUẢN TRỊ VẬN HÀNH PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG THẦU QUA MẠNG
3.3.1. Quản trị hệ thống CA
Giải pháp CA cho hệ thống đấu thầu qua mạng chia việc quản trị bảo mật và quản trị hệ thống theo nhiều mức khác nhau tương ứng với vai trò và khả năng đáp ứng các nhiệm vụ trong hệ thống. Những người có chức năng quản trị trong hệ thống CA được định nghĩa rõ ràng về khả năng và vai trò của từng vị trí trong quản trị và vận hành hệ thống. Các nhóm người có chức năng quản trị trong hệ thống bao gồm:
3.3.1.1. Quản trị chính hệ thống CA
Quản trị chính hệ thống CA có thể coi là những người chủ hệ thống. Là người có quyền cao nhất cho phép cài đặt và cấu hình CA và cũng là những người duy nhất có quyền thực hiện những thao tác ở mức thấp của hệ thống. Các chức năng chính của Quản trị chính hệ thống CA:
Duy trì hoạt động của hệ thống CA, bao gồm các công việc nhằm duy trì khả năng hoạt động của hệ thống như bật / tắt dịch vụ CA, xem và xuất các chứng chỉ gốc của các CA, xem và điều khiển các file log, thay đổi thời gian hợp lệ của các chứng chỉ, thiết lập lại bộ đếm serial number của chứng chỉ, cập nhật, thu hồi cặp khóa của RootCA, khôi phục lại các tài khoản người sử dụng trong hệ thống. Ngoài ra, quản trị chính hệ thống CA còn phải quản lý cây CA phân cấp hoặc việc chứng thực chéo giữa các hệ thống CA,….
Thao tác thư mục đối với CA bao gồm: sao lưu dữ liệu CA của thư mục, ghi lại Certificate Revocation List, Authority Revocation List vào thư mục, thay đổi tên quản trị thư mục, thiết lập việc truy cập của CA tới nhiều thư mục, xác thực việc truy cập của CA vào các hệ thống thư mục.
Quản lý các quản trị viên an ninh: Quản trị chính hệ thống CA còn có chức năng quan trọng là quản lý các quản trị viên an ninh. Nhiệm vụ này bao gồm các việc như thêm / bớt một quản trị viên an ninh vào hệ thống, cấp phát lại các chứng chỉ chính sách của quản trị viên an ninh, quản lý các hồ sơ về các quản trị viên an ninh,…
Customize chính sách bảo mật của CA: Quản trị chính hệ thống CA có thể thay đổi các thiết lập, thay đổi các giải thuật hay độ dài khóa mã CA.
Quản lý dữ liệu của quản trị viên an ninh: Thao tác với cơ sở dữ liệu của hệ thống PKI bao gồm cặp khóa ký của CA, lịch sử cặp khóa mã hóa của người dùng, thông tin của người dùng,…
Thao tác với Hardware Security Module: Sử dụng thiết bị bảo mật chuyên dụng được dùng để lưu trữ các cặp khóa ký của CA để ký cho các chứng chỉ số mà CA đó phát hành ra hay cặp khóa để bảo mật cho cơ sở dữ liệu sử dụng trong hệ thống CA đó.
3.4.1.2. Quản trị viên an ninh
Quản trị viên an ninh được quản trị chính hệ thống CA cấp quyền thực hiện các thao tác quản trị. Quản trị viên an ninh là người thiết lập các chính sách bảo mật cho hệ thống CA.
Thiết lập hệ thống CA sao cho phù hợp với bộ chính sách bảo mật
Quản lý các quản trị viên (thay đổi mật khẩu quản trị, thêm / bớt quyền cho người quản trị,…)
Quan hệ chứng thực với các nhà cung cấp CA khác.
3.3.1.3. Quản trị viên
Quản trị viên chính là những người thi hành các tác vụ chính của hệ thống CA. Các chức năng chính của quản trị viên là:
Thiết đặt hoạt động của hệ thống CA: thiết lập các chính sách bảo mật của hệ thống, các rules, các tính chất của chứng chỉ, các chính sách đối với người dùng,…
Quản lý các mã kích hoạt: quản trị viên quyết định cách thức phân phối mã kích hoạt cho các hoạt động xin cấp chứng chỉ số qua các kênh khác nhau như điện thoại, email, ...
Quản trị người dùng: quản trị viên có quyền tìm kiếm, thêm / bớt hay kích hoạt / vô hiệu hóa / tái kích hoạt, thu hồi / khôi phục chứng chỉ của người dùng hoặc thiết lập thời gian hoạt động của khóa. Quản trị viên cũng có các chức năng thực hiện các tác vụ liên quan đến người dùng như thay đổi profile, thêm / xóa người dùng, thay đổi các thuộc tính, hạn chế quyền, cập nhật cặp khóa hay lưu trữ chứng chỉ người dùng vào thư mục.
Cấu hình các cặp khóa của người dùng: quản trị viên xác định mô hình cặp khóa tốt nhất để áp dụng cho người dùng hay một nhóm người dung, áp dụng các chính sách chứng chỉ để tạo các cặp khóa tùy biến cho từng loại đối tượng khác nhau.
3.3.1.4. Quản trị hệ thống directory
Quản trị hệ thống directory có chức năng chính là thực hiện các tác vụ liên quan đến thông tin trong hệ thống thư mục của hệ thống CA, cụ thể như thêm/bớt người dùng trong thư mục hoặc thêm/bớt hay thay đổi các thông tin thuộc tính người dùng trong hệ thống thư mục.
3.3.1.5. Kiểm soát viên
Kiểm soát viên là người kiểm soát các hoạt động của hệ thống, có các quyền định rõ thông qua các quy tắc trong Entrust Authority Security Manager Administration. Kiểm soát viên có quyền xem các file nhật ký, các báo cáo, chính sách bảo mật, các thuộc tính của người dùng nhưng không có quyền thay đổi các thông tin này.
3.3.2. Vận hành hệ thống
3.3.2.1. Qui trình cấp phát chứng chỉ mới
Qui trình cấp phát chứng chỉ mới gồm 6 bước:
Bước 1 – Quản trị viên an ninh tạo người dùng mới theo thông tin người dùng đăng ký. Thêm các thông tin về chứng chỉ số: kiểu user, kiểu chứng chỉ số. Các thao tác này được thực hiện tại máy RA và gửi yêu cầu tới CA server.
Bước 2 – CA server sẽ yêu cầu tạo người dùng mới ở tình trạng chưa kích hoạt, tạo thư mục cho người dùng trên database, tạo số tham chiếu và mã quyền hạn cho người dùng đó.
Bước 3 – Gửi trả các thông số này lại cho người dùng.
Bước 4 – Người dùng sau khi nhận các thông số CA gửi cho sẽ tạo profile của mình trên client PC, sau đó nhập số tham chiếu và mã quyền hạn, tạo profile, tạo khoá ký và tạo yêu cầu cấp chứng chỉ số để gửi tới CA server.
Bước 5 – CA server nhận được yêu cầu từ người dùng sẽ tạo khoá mã hóa riêng, mã khoá công khai cho người dùng, tạo chứng chỉ số theo yêu cầu, tạo profile cho người dùng trên CA, thêm chứng chỉ số và các khoá vào profile và database. Sau đó sẽ gửi profile lại cho người dùng, thêm mã khoá public và chứng chỉ số vào database. Lúc này người dùng đã ở trạng thái được kích hoạt.
Bước 6 – Profile của người dùng đã được tái tạo lại cho client PC. Chứng chỉ số của root và danh sách chứng chỉ số bị thu hồi cũng được gửi tới cho client PC.
3.3.2.2. Qui trình cập nhật chứng chỉ
Quy trình thực hiện việc cập nhật chứng chỉ số có 4 bước:
Bước 1 – máy client thông báo cập nhật khoá và chứng chỉ số khi thời hạn hiệu lực của chứng chỉ số sắp hết.
Bước 2 – Người dùng gửi yêu cầu cập nhật tới CA server
Bước 3 – CA server tạo chứng chỉ số mới dựa trên database cũ của người dùng trong database của CA. Trên cơ sở dữ liệu dạng cây, thư mục của người dùng cũng được cập nhật, cùng với đó là việc cập nhật database của CA. Chứng chỉ số và khoá được gửi lại cho client.
Bước 4 – người dùng nhận chứng chỉ số và khoá từ CA server, sau đó cập nhật lại profile của họ.
3.3.2.3. Qui trình hủy bỏ chứng chỉ
Việc hủy bỏ chứng chỉ (do khóa bí mật bị lộ hay người dùng nghỉ việc) phải trải qua 3 giai đoạn
Khởi tạo yêu cầu hủy chứng chỉ
Để yêu cầu hủy một chứng chỉ, người dùng phải cung cấp các thông tin sau:
Serial number của chứng chỉ cần hủy
Mật khẩu bảo vệ mà người dùng đã cung cấp trong yêu cầu cấp chứng chỉ, tránh trường hợp người dùng yêu cầu hủy chứng chỉ không phải của mình.
Sau khi có yêu cầu hủy chứng chỉ, yêu cầu sẽ được chuyển đến Trung tâm CA xử lý.
Kiểm tra yêu cầu
Trung tâm CA sẽ tiến hành kiểm tra nội dung yêu cầu khi nhận được yêu cầu hủy chứng chỉ
Kiểm tra serial number của chứng chỉ yêu cầu hủy có tồn tại trong kho chứng chỉ không?
Kiểm tra mật khẩu mà người dùng cung cấp có khớp với chứng chỉ có serial number đó không?
Nếu bất kỳ một bước kiểm tra nào không thành công, trung tâm CA sẽ gửi thông báo lỗi về cho người dùng. Nếu kiểm tra thấy đúng, hệ thống sẽ ghi lại serial number của chứng chỉ này vào danh sách các chứng chỉ đã được chấp nhận hủy và gửi thông báo “chấp nhận hủy bỏ chứng chỉ” về cho người dùng. Chứng chỉ sẽ chính thức bị hủy khi hệ thống thực hiện cập nhật Certificate Revocation List.
Cập nhật Certificate Revocation List
Certificate Revocation List được cập nhật định kỳ. Khi đến kỳ hạn, Certificate Revocation List sẽ được cập nhật. Việc cập nhật Certificate Revocation List cụ thể như sau:
Thêm vào Certificate Revocation List danh sách các chứng chỉ đã được chấp nhận hủy.
Cập nhật trường “last update” và “next update”.
CA ký vào Certificate Revocation List vừa cập nhật.
Khi Certificate Revocation List cập nhật xong, CA xóa các chứng chỉ tương ứng trong kho.