Dịch vụ chứng chỉ là một dịch vụ chạy trên hệ điều hành Windows, nhận các yêu cầu phát hành chứng chỉ mới qua giao thức RPC, HTTP. Kiểm tra tính hợp lệ và thiết lập các thuộc tính cần thiết cho việc phát hành các chứng chỉ. Dịch vụ chứng chỉ cho phép người quản trị thêm các chứng chỉ hết hạn vào danh sách các chứng chỉ thu hồi (CRL) và công bố các CRL đã được ký.
2.4.6.1 Kiến trúc dịch vụ chứng chỉ số
Dịch vụ chứng chỉ số là một môi trường cho phép xây dựng một CA cho các ứng dụng bảo mật cao. Khi được thiết lập, một CA sẽ thực hiện các chức năng như: phát hành, quản lý, thu hồi chứng chỉ với công sức bỏ ra là tối thiểu và đảm bảo tính bảo mật cao.
Dịch vụ chứng chỉ bao gồm máy chủ, cơ sở dữ liệu và các modul công cụ làm việc kết hợp với nhau. Các ứng dụng bên ngoài và các công cụ quản lý sử dụng mô hình COM để tương tác với máy chủ CA. Hình .. sau chỉ ra giao diện được sử dụng trong CA:
Hình 22: Kiến trúc dịch vụ chứng chỉ số của Microsoft
Một hệ thống Microsoft CA cơ bản gồm 04 cấu phần chính như sau:
Subsystem Description
Client Là phần mềm được sửu dụng bởi người sử dụng cuối, yêu cầu chứng chỉ số, gửi yêu cầu và nhận chứng chỉ. Ví dụ client là phần mềm IE, client sẽ tương tác với ứng dụng lớp trung gian qua một giao diện màn hình
Intermediary Ứng dụng trung gian là một hệ thống con bao gồm các thành phần và các giao diện dịch vụ chứng chỉ. Ứng dụng trung gian tương tác trực tiếp với client: nhận yêu cầu cấp chứng chỉ, và tạo ra các chứng chỉ theo yêu cầu. Nó giao tiếp với engine thông qua giao diện dịch vụ chứng chỉ số như ICertConfig và ICertReqest . Ứng dung trung gian ở đây là Microsoft Internet Information Services. Các thành phần trung gian có thể là các trang ASP.
Server Server là hệ thống bao gồm các module về chính sách. Module chính sách tương tác với server engine qua các giao diện ICertPolicy và ICertServerPolicy , ICertExit , ICertServerExit
interfaces.
Administrative Client
Là hệ thống giám sát và quản lý các chứng chỉ và các yêu cầu cấp phát. Sử dụng giao diện
ICertAdmin để giao tiếp với server engine.
2.4.6.2 Tiến trình cấp phát chứng chỉ số
Dịch vụ chứng chỉ thực hiện các bước sau để xử lý một yêu cầu cấp chứng chỉ:
1. Request reception: Yêu cầu cấp chứng chỉ được gửi bởi client tới ứng dụng trung gian (intermediary application) theo khuôn dạng PKCS #10, và sau đó được đưa đến Server engine
2. Requesr approval: Severver engine gọi Policy Module, truy vấn thuộc tính, quyết định liệu yêu cầu là hợp lệ hay không và thiết lập các thuộc tính tuỳ chọn.
3. Certificate formation: Nếu yêu cầu được chấp nhận, server engine sẽ thực hiện yêu cầu và tạo ra một chứng chỉ hoàn chỉnh
4. Certificate publication: Server engine lưu chữ các chứng chỉ đã phát hành trong CSDL và báo trạng thái tới ứng dụng trung gian. Ứng dụng trung gian sau đó sẽ báo tới client
Hình 23 sau mô tả tiến trình xử lý yêu cầu cấp chứng chỉ:
Hình 25 Tiến trình xử lý yêu cầu cấp chứng chỉ