Nội dung của chương này giới thiệu gói phần mềm mã nguồn mở EJBCA, gó
8.3.2Mô hình triển kha
CA gốc (tên KCNTT) do Khoa CNTT quảnlý. Tại mỗi bộ môn sẽ có một CA con
củaCAgốcnàyđểcấpchứngnhậnchocácgiảngviênvàtrợgiảngtrongbộmôn. • BộmônTinhọcCơsở:CAcon“BMTHCS”.
• BộmônMạngMáytính:CAcon“BMMMT”. 134
• Bộ môn Hệ thống Thông tin: CA con “BMHTTT”. • BộmônCôngnghệPhầnmềm:CAcon“BMCNPM”. • BộmônCôngnghệTrithức:CAcon“BMCNTT”. • BộmônKhoahọcMáytính:CAcon“BMKHMT”.
Nhằmtổngquáthóahệthống,CAconvà“BMCNPM”sẽcóhaiCAconkháclàCA con “BMCNPMGV” để cấp chứng nhận cho các giảng viên CA con “BMCNPMTG” để cấp chứng nhận cho các trợ giảng trong bộ môn Công nghệ Phần mềm.
Hình8.3.MôhìnhtriểnkhaihệthốngchứngthựctạiKhoaCNTT,
trườngĐHKHTN,Tp.HCM
MỗiCA(gốcvàcon)sẽcócácquảntrịviênđượcchialàm4nhóm:
• QuảntrịviênCA(CAAdministrator)
Quảnlýhiệntrạngchứngnhận(CertificateProfile). Quản lý hiện trạng thực thể cuối (End-Entity Profile). Cấu hình log.
TạoquảntrịRA.
CA Tên
KCNTT CN=KCNTT, OU=Khoa CNTT, O=Truong DH KHTN, C=VN BMTHCS CN=BMTHCS, OU=Bo mon THCS, O=Khoa CNTT, C=VN BMMMT CN=BMMMT, OU=Bo mon MMT, O=Khoa CNTT, C=VN BMHTTT CN=BMHTTT, OU=Bo mon BMHTTT, O=Khoa CNTT, C=VN BMCNPM CN=BMCNPM, OU=Bo mon CNPM, O=Khoa CNTT, C=VN BMCNPMGV CN=BMCNPMGV, OU=Bo mon CNPM, O=Khoa CNTT, C=VN BMCNPMTG CN=BMCNPMTG, OU=Bo mon CNPM, O=Khoa CNTT, C=VN BMCNTT CN=BMCNTT, OU=Bo mon CNTT, O=Khoa CNTT, C=VN BMKHMT CN=BMKHMT, OU=Bo mon KHMT, O=Khoa CNTT, C=VN
135
• QuảntrịviênRA(RAAdministrator)
Xem, thêm, xóa, sửa thực thể cuối. Hủychứngnhậncủathựcthểcuối.
• Giámsátviên(Supervisor)
Xem thông tin các thực thể cuối được tạo. Tìm kiếm log và xem ai đã làm gì.
• Siêuquảntrịviên(SuperAdministrator)
Cótấtcảquyền. Cấu hình hệ thống. Quản lý các CA.
Quảnlýcácpublisher(LDAP,ADhoặctùychọn). Tạo quản trị CA, RA.
Nhằm đảm bảo tính an toàn hệ thống, chỉ có siêu quản trị viên mới có thể truy cập trực tiếp trên máy chủ của hệ thống còn các quản trị viên khác chỉ được phép truy cập vàohệthốngmộtcáchgiántiếpthôngquamáytínhkhác.
Tên các CA nói riêng cũng như tên thực thể được phát hành chứng nhận đều được đặt theochuẩntênphânbiệtX.500(PhụlụcA),cụthểnhưsau:
136
Ưuđiểmcủa EJBCAlàđộclậpvớimôitrường nêncóthểtriểnkhaitrêncáchệ điều hành khác nhau như Windows và Linux. Hơn nữa, EJBCA có khả năng kết nối với các hệ quản trị cơ sở dữ liệu sau:
• Hypersoniq (hsqldb) (mặc định trong JBoss)
• PostegreSQL7.2và8.x(http://www.postgresql.org/) • MySQL 4.x và 5.x (http://www.mysql.com/)
• Oracle8i,9ivà10g(http://www.oracle.com/) • Sybase
• MS-SQL2000và2003 • Informix 9.2
Hệ quản trị cơ sơ dữ liệu mặc định trong EJBCA là Hypersoniq (hsqldb) có sẵn trong JBosskhôngnênđượcsửdụngdocómộtsốkhuyếtđiểmnhưsau:
• Cơ sở dữ liệu Hypersonic nằm trực tiếp trong bộ nhớ, nghĩa là càng sử dụng nhiều càng tốn bộ nhớ. Khi một số lượng lớn chứng nhận được phát hành, điều thành trở thành trở ngại cho hệ thống. Do đó hệ quản trị cơ sở dữ liệu này không thích hợp cho các hệ thống lớn. (adsbygoogle = window.adsbygoogle || []).push({});
• Hypersonic không hỗ trợ đầy đủ SQL, đặc biệt trong các câu lệnh ALTER. Điều này làm cho việc nâng cấphệ thống trở nên khó khăn vì khi một phiên bản mới của EJBCA được phát hành, ta không không thể tạo các tập lệnh (script)đểcậpnhậtcơsởdữliệunếumộtsốbảngđãthayđổi.
Vì lý do đó, chúng tôi chọn hệ quản trị cơ sở dữ liệu MySQL (cũng là một gói phần mềm mã nguồn mở) để triển khai. Hệ thống được chúng tôi triển khai trên cả hai môi trườngWindows vàLinux,sửdụngcơsởdữliệuMySQL(cáchtriểnkhaiđược trình bày ở Phụ lục B). Hệ thống sau khi triển khai đã có thể đi vào hoạt động, cung cấp các tính năng cho người sử dụng (yêu cầu cấp chứng nhận, chứng thực người sử dụng web, ký vàmã hóathư điệntử, ký vănbản, …) vàquản trịviên (cấuhình CA, thêm CA con, thêm RA, …).
137