chứng chỉ mà đơn giản làm trung gian giữa các end entity và CA. Nó nhận và chuyển tiếp các yêu cầu tới cho CA. Sau đó nó nhận phản hồi từ CA và gửi trả lời đó lại cho end entity. Có thể coi RA là client-side của CA và trong Windows nó cũng được nhắc tới như là Web Enrollment Support.
Bước 2-9: Cài đặt RA
Thực hiện tại máy RA
1 Đăng nhập vào domain bằng tài khoản quản trị.
2 Mở Add/Remove Windows Components và chọn cài gói Application Server (chọn cài luôn thành phần ASP.NET). Sau đó cài tiếp gói Certificate Services (lưu ý, nhấn Details và chỉ chọn cài mục Certificate Services Web
Enrollment Support).
3 Làm theo hướng dẫn của trình cài đặt, lưu ý Browse đến mục UIT Sub CA để RA sẽ làm trung gian giữa máy SubCA và các end entity.
4 Chờ cho quá trình cài đặt hoàn tất.
Hình 20 – Cài đặt RA
SSL Website
Kế tiếp, ta sẽ tạo và cấu hình một webiste có sử dụng SSL. Điều này giúp đảm bảo an toàn cho người dùng và CA thực hiện quá trình yêu cầu và cấp chứng chỉ qua giao diện web. Ở đây có thể sử dụng default Website (tự động được tạo ra khi cài IIS) tuy nhiên việc cài đặt CA đã đặt virtual directory của nó ngay dưới default Website. Vì thế, ta cần
tạo một website thay thế và cấu hình các thuộc tính của nó để hỗ trợ SSL để không làm ảnh hưởng tới cài đặt của default Website.
Bước 9-10: Cài đặt IIS và tạo một website
Thực hiện tại máy DMZW
1 Đăng nhập vào domain bằng tài khoản quản trị.
2 Mở Add/Remove Windows Components và chọn cài đặt gói Application Server.
3 Tạo một thư mục tại C:\inetpub\sslweb, trong đó tạo một file sslweb.html có nội dung sau:
<html> <head>
<title> A simple SSL site </title> </head>
<body>
<H1> This is a secure website </H1> <P> This site is protected via SSL. </P> </body>
</html>
4 Vào Administrative Tools | IIS Manager. Nhấn phải chuột lên Default Web Site và chọn Stop.
5 Tạo mới một website có các cài đặt sau: - Mục Web Site Description: sslweb
- Giữ nguyên các thiết lập IP address và listening port - Mục Web site home directory page: C:\inetpub\sslweb
- Giữ nguyên các thiết lập access permission - Chọn file sslweb.html làm trang chủ của website
6 Thử truy cập vào địa chỉ http://dmzw.uit.vm và xác nhận nội dung file
sslweb.html được hiển thị. Lưu ý, nếu gặp thông báo xác thực thì đăng nhập
bằng tài khoản quản trị domain hoặc nếu muốn bỏ qua việc xác thực thì vào
Properties của website, qua tab Directory Security, mục Authentication and access control nhấn Edit, sau đó bỏ chọn mục Integrated Windows authentication.
Hình 21 – Tạo một website (adsbygoogle = window.adsbygoogle || []).push({});
Bước 2-11: Cấu hình SSL cho website
Thực hiện trên nhiều máy tính
1 Trong IIS Manager, thực hiện Stop với website sslweb.
2 Trong Properties của sslweb, chọn tab Directory Security và tại mục Secure communications nhấn Server Certificate.
3 Trình cài đặt hiện ra, lần lượt chọn hoặc thiết lập như sau: - Nhấn Create A New Certificate
- Nhấn Prepare The Request Now, But Send It Later - Name là sslweb, Bit Length là 1024
- Organization là DMZW Sites, Organizational Unit là sslweb
- Common Name là sslweb.dmzw.uit.vm
- Country là Vietnam, State là Ho Chi Minh, City là Bien Hoa
- File chứa nội dung yêu cầu cấp chứng chỉ tên là sslwebreq.txt được lưu ở ổ
C:\
Hình 22 – Tạo một file yêu cầu cấp chứng chỉ cho website
5 Truy cập vào địa chỉ http://ra.uit.vm/certsrv (sử dụng tài khoản quản trị domain nếu được hỏi xác thực).
6 Tại giao diện Microsoft Certificate Services -- UIT Sub CA, lần lượt chọn
lựa hoặc thiết lập như sau: - Nhấn Request a certificate
- Nhấn Submit an advanced certificate request
- Nhấn Submit a certificate request by using a base-64-encoded CMC or
PKCS #10 file,...
- Paste nội dung của file sslwebreq.txt vào khung Saved Request và mục Certificate Template chọn Web Server rồi nhấn Submit.
- Chọn DER Encoded và nhấn Download CA certificate. - Lưu file tại C:\sslwebcert.cer
Hình 23 – Gửi yêu cầu cấp và tải về chứng chỉ cho website
7 Vào Properties của website sslweb, quay lại mục Secure communications,
nhấn Server Certificate rồi lần lượt:
- Chọn Process The Pending Request And Install The Certificate - Chọn chứng chỉ vừa tải về nằm ở C:\sslwebcert.cer
8 Dưới Secure Communications, nhấn Edit rồi đánh dấu vào mục Require Secure Channel và Require 128-bit Encryption.
Hình 25 – Bắt buộc người dùng truy cập webiste qua SSL
9 Qua tab Web Site và nhập 443 vào ô SSL Port. Nhấn OK.
10 Thực hiện Start với website sslweb.
11 Từ máy DMZW hoặc 1 máy khác trong mạng, truy cập vào địa chỉ http://dmzw.uit.vm. Ta sẽ nhận được thông báo là trang này bắt buộc phải truy cập qua HTTPS.
12 Thay bằng địa chỉ https://dmzw.uit.vm. Ta sẽ thấy Security Alert thông báo là Common name (trường Subject) trong chứng chỉ là sslweb.dmzw.uit.vm không khớp với tên miền trong địa chỉ là dmzw.uit.vm. Chọn Proceed để tiếp tục (adsbygoogle = window.adsbygoogle || []).push({});
Hình 26 – Kiểm tra việc truy cập website qua SSL
1.6.3 Thiết lập Linux CA
Trong phần này, để triển khai hạ tầng PKI CA trên nền Linux ta sẽ sử dụng phần mềm mã nguồn mở EJBCA thay cho trong sách là công cụ CAtool đã quá cũ và không còn được hỗ trợ.
Giới thiệu
Được xây dựng trên nền công nghệ JEE, EJBCA là một PKI CA mạnh mẽ, ổn định, hiệu suất cao và độc lập nền tảng, đáp ứng nhu cầu triển khai một hạ tầng PKI đầy đủ cho các tổ chức vừa và lớn.
Tham khảo thêm các tính năng của nó tại địa chỉ http://www.ejbca.org/features.html Mọi thông tin, tài liệu cần thiết để sử dụng nó có tại trang chủ http://www.ejbca.org/, sau đây là các bước cài đặt và cấu hình.
Bước 3-1: Cài đặt EJBCA
1 Đăng nhập với tài khoản root.
2 Mở một cửa sổ Termnial là ejbca.
3 Copy 2 bộ cài là jboss-5.1.0.GA-jdk6.zip (JBoss Application Server) và
ejbca_4_0_9.zip (EJBCA) vào thư mục /root. Địa chỉ tải về 2 gói này là:
http://ncu.dl.sourceforge.net/project/ejbca/ejbca4/ejbca_4_0_9/ejbca_4_0_9.zip http://nchc.dl.sourceforge.net/project/jboss/JBoss/JBoss-5.1.0.GA/jboss-5.1.0.GA- jdk6.zip
4 Cài đặt các gói phần mềm cần thiết bằng lệnh
#apt-get install openjdk-6-jdk ant ant-optional unzip ntp
(lưu ý, cần có kết nối Internet để tải các gói này về).
5 Giải nén 2 bộ cài ở trên
#unzip jboss-5.1.0.GA-jdk6.zip #unzip ejbca_4_0_9.zip
6 Cấu hình để EJBCA có thể tìm thấy JBoss
#echo "appserver.home=/home/user/jboss-5.1.0.GA" >> ejbca_4_0_9/conf/ejbca.properties
7 Build và deploy EJBCA cho JBoss
#cd ejbca_4_0_9 #ant bootstrap
8 Mở một cửa sổ Termnial mới là jboss và khởi chạy JBoss
#jboss-5.1.0.GA/bin/run.sh
9 Trở lại cửa sổ ejbca và chạy lệnh sau để khởi tạo CA
#ant install
Tới đây, khi được hỏi cung cấp các thông số, ta nhập vào như sau: - CA name: Linux Root CA
- CN=LinRootCA, O=UIT, C=VN
Hình 27 – Cài đặt EJBCA
Và chấp nhận tất cả các cài đặt mặc định còn lại. Sau đó, chạy tiếp lệnh:
#ant deploya (adsbygoogle = window.adsbygoogle || []).push({});
10 Trở lại cửa sổ jboss và khởi động lại JBoss
#ctrl-c
#jboss-5.1.0.GA/bin/run.sh
11 Client certificate dùng để xác thực người dùng SuperAdmin khi truy cập vào trang quản trị EJBCA là file nằm ở
/home/root/ejbca_4_0_9/p12/superadmin.p12.
Hình 28 – Import client certificate vào trình duyệt web
12 Truy cập vào địa chỉ https://linrootca.uit.vm:8443/ejbca để kiểm tra việc cài đặt EJBCA đã thành công.
Bước 3-2: Tạo và cấp chứng chỉ cho máy trạm Linux
Thực hiện tại máy LinClient1
1 Truy cập vào địa chỉ https://linrootca.uit.vm:8443/ejbca. Tại nhóm
Miscellaneous, chọn Administration.
2 Tại nhóm RA Functions, chọn Add End Entity.
3 Khung bên phải, nhập vào các thông tin sau: - End entity profile: EMPTY
- Username: linclient1 - Password: thangmv90
- Email address: linclient1@uit.vm - CN, Common name: LinClient1
- O, Organization: UIT
- C, Country: VN
- Certificate profile: ENDUSER
- CA: Linux Root CA - Token: P12 file
4 Chọn Public Web để trở về trang chủ của EJBCA.
5 Tại mục Enroll, chọn Create Browse Certificate, khung bên phải đăng nhập
với Username là linclient1 và Password là thangmv90.
6 Tại trang EJBCA Token Certificate Enrollment, mục Options chọn: - Key length: 1024 bits (hoặc cao hơn nếu muốn).
- Certificate profile: ENDUSER.
Rồi nhấn OK. Sau đó lưu chứng chỉ (file có tên linclient1.p12) tại Desktop.
Hình 31 – Tải về chứng chỉ cho máy trạm Linux
7 Thực hiện Import chứng chỉ vừa tải về ở trên vào trình duyệt với, với mật
Hình 32 – Import chứng chỉ của máy trạm Linux vào trình duyệt web
1.6.4 Tạo Cross Trust
Môi trường mạng tin cậy yêu cầu các loại mạng khác nhau phải có khả năng tin cậy lẫn nhau. Trong phần này, ta sẽ tạo cross trust cho 2 mạng là Windows và Linux để Root CA ở mạng này sẽ tin cậy Root CA ở mạng kia. (adsbygoogle = window.adsbygoogle || []).push({});
Bước 4-1: Trusting Linux Root CA
Thực hiện tại máy RootCA
1 Đăng nhập vào domain với quyền quản trị
2 Mở trình duyệt web Internet Explorer và thực hiện như bước 11 của mục Bước 3-1 để import client certificate dùng để truy cập vào trang quản trị của EJBCA.
3 Truy cập vào địa chỉ https://linrootca.uit.vm:8443/ejbca, mục Retrieve ta nhấn vào Fetch CA certificates.
4 Tại trang Fetch CA & OCSP certificates, nhấn vào Download to Internet Explorer rồi chọn lưu chứng chỉ về máy. Thử mở thì sẽ thấy chứng chỉ này của
Linux Root CA chưa được tin cậy. Giờ ta sẽ cài nó vào kho Trusted Root Certification Authorities của Windows.
Hình 33 – Tải về máy Windows chứng chỉ của Linux Root CA