Quá trình khởi tạo các thành phần trong hệ thống cung cấp chứng

Một phần của tài liệu Nghiên cứu cơ sở hạ tầng khóa công khai (Trang 107)

6.2.4 Quá trình khởi tạo các thành phần trong hệ thống cung cấp chứng chỉ số VnpCert VnpCert

Certificate Authority - CA

Quá trình khởi tạo CA được chia thành 2 trường hợp:

 Trường hợp RootCA: Trong trường hợp này RootCA sẽ tự ký chứng chỉ của mình, quá trình khởi tạo được chia thành 3 bước:

 Khởi tạo cơ sở dữ liệu dùng để lưu các chứng chỉ trên máy RootCA.

 Thực hiện sinh cặp khoá và tệp chứng chỉ cho RootCA

 Sinh ra một tệp CRL trống, sau đó gửi CRL trống và chứng chỉ của RootCA lên Directory Server.

 Trường hợp SubCA: Yêu cầu cấp chứng chỉ được RootCA ký, quá trình khởi tạo gồm các bước sau:

 Khởi tạo cơ sở dữ liệu dùng để lưu các chứng chỉ trên máy SubCA

 Sinh tệp yêu cầu chứng chỉ cho SubCA và gửi lên cho RootCA

 RootCA sinh cặp khoá cho SubCA, ký vào yêu cầu chứng chỉ của SubCA và gửi trả chứng chỉ về cho SubCA.

 Sinh ra một tệp CRL trống, sau đó gửi CRL trống và chứng chỉ của SubCA lên Directory Server

Registration Authority – RA

Quá trình khởi tạo RA và thiết lập quan hệ với CA gồm các bước sau:

 Khởi tạo cơ sở dữ liệu dùng để lưu các thông tin đăng ký của người dùng

 Sinh yêu cầu cấp chứng chỉ cho RA.

 Trên máy CA, thực hiện sinh cặp khoá cho RA, ký yêu cầu chứng chỉ của RA. Chứng chỉ đã ký được CA gửi trả về cho RA

RAO

Thiết lập RAO gồm các bước sau:

 RA sinh yêu cầu cấp chứng chỉ cho các RAO

 CA sinh ra các cặp khoá cho RAO, ký các yêu cầu cấp chứng chỉ của RAO. Các chứng chỉ đã ký được gửi trả về cho RAO

LDAP và Directory Server

Trong hệ thống VnpCert các chứng chỉ và CRLs của người sử dụng được lưu trữ trên một CSDL công khai để người sử dụng có thể tải các chứng chỉ hoặc cập nhật CRL từ cơ sở dữ liệu đó. Đồng thời đảm bảo yêu cầu việc cập nhật dữ liệu từ các máy server (CA server) và truy vấn dữ liệu từ các máy client phải nhanh chóng, chính xác, phù hợp với kiểu dữ liệu có cấu trúc như các chứng chỉ. Để đạt được mục tiêu này hiện nay có nhiều hệ quản trị cơ sở dữ liệu có thể đáp ứng. Trong hệ thống VnpCert, tôi đã chọn LDAP làm nơi lưu trữ chứng chỉ và CRL.

Directory Server là một hoặc nhiều máy cài đặt LDAP Server, trên đó lưu các chứng chỉ đã được phát hành cho người sử dụng , các chứng chỉ của các Server thuộc hệ thống, các CRLs do CA phát hành.

Một phần của tài liệu Nghiên cứu cơ sở hạ tầng khóa công khai (Trang 107)

Tải bản đầy đủ (PDF)

(124 trang)