Hướng dẫn về PKI – Phần 3: Cài đặt

Chia sẻ: Hoang Nhan | Ngày: | Loại File: PDF | Số trang:11

Thêm vào BST

Báo xấu

315
lượt xem 124
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Chúng ta đã đi đến phần ba của loạt bài hướng dẫn về PKI. Trong phần đầu tiên, chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị và lập kế hoạch PKI.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Hướng dẫn về PKI – Phần 3: Cài đặt

Hướng dẫn về PKI – Phần 3: Cài đặt Nguồn : quantrimang.com Martin Kiaer Chúng ta đã đi đến phần ba của loạt bài hướng dẫn về PKI. Trong phần đầu tiên, chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị và lập kế hoạch PKI. Tiếp đến trong phần thứ hai, đi vào chế độ thiết kế và xem xét một số thiết lập thực hành tốt nhất. Trong phần ba này, chúng tôi sẽ giới thiệu rất nhiều đến vấn đề kỹ thuật và thể hiện cho bạn cách cài đặt PKI dựa trên Microsoft Certificate Services trong Windows Server 2003. Cài đặt PKI Dựa vào một số kết quả thiết kế từ hai phần trước, bây giờ chúng ta hãy bắt đầu việc cài đặt PKI. Do đây là một hướng dẫn nhanh nên chúng tôi sẽ chỉ giới thiệu một số bước. Phần cuối của bài này, sẽ giới thiệu cho bạn cách cài đặt kiến trúc 2 mức gồm có một CA gốc offline và một CA đang phát hành online trong cùng một PKI có sử dụng các phương pháp thực hành tốt nhất. Mặc dù vậy, trước khi bắt đầu cái đặt, hãy làm quen với một số thứ. Trong hình 1, chúng tôi đã đưa ra một chu kỳ hợp lệ cho việc thực hành tốt nhất đối với mỗi CA tại mỗi mức (dựa trên kiến trúc 3 mức đối với mô hình tổng thể hoàn tất). Ưu điểm của mô hình này là sẽ bảo đảm cho bạn luôn luôn có sự kiên định đối với các chứng chỉ đã được phát hành tại mỗi mức. Nếu bạn chỉ muốn triển khai kiến trúc 2 mức, đơn giản chỉ cần xóa CA mức 3. Mô hình sẽ vẫn được áp dụng.
Hình 1: Chu kỳ hợp lệ trong thực hành nhất đối với mỗi CA ở mỗi mức Một thứ nữa mà bạn nên chuẩn bị trước khi bắt đầu cài đặt là một file văn bản có tên CAPolicy.inf. File này được sử dụng để tùy chỉnh cấu hình Windows Certificates Services của bạn. Trong file này, bạn sẽ tìm thấy những thứ rất quan trọng như: Câu lệnh CDP • Các thiết lập làm mới chứng chỉ như chu kỳ hợp lệ và kích thước khóa • Các liên kết cho CDP và các đường dẫn AIA • Tần suất CRL được công bố như thế nào • Tạo file bằng Notepad và lưu nó vào %windir%\capolicy.inf (ví dụ như C:\Windows\capolicy.inf). Thực hiện nhiệm vụ này quả thực rất đơn giản, bằng việc thực hiện theo các file trong hướng dẫn từng bước dưới đây. Với các thứ mà chúng tôi cung cấp dưới đây, hãy đi sâu vào tính kỹ thuật của vấn đề. Cài đặt CA gốc offline Để cài đặt một CA gốc offline, bạn phải thực hiện tất cả gạch đầu dòng dưới đây: Chuẩn bị file CAPolicy.inf • Cài đặt Windows Certificate Services • Công bố danh sách CRL • Chạy kịch bản post-Configuration •
Đây là cách nó được thực hiện như thế nào. 1. Cài đặt máy chủ với Windows Server 2003 Standard Edition incl. SP1 hoặc phiên bản mới hơn và bảo đảm rằng nó chạy với tư cách là một máy chủ độc lập (nghĩa là không phải thành viên trong bất kỳ miền nào). 2. Tạo các thay thế tham số cần thiết trong file CAPOlicy.inf bên dưới (được đánh dấu bằng màu đỏ) Hình 2: File CAPolicy.inf 3. Copy file CAPolicy.INF vào %windir%\capolicy.inf 4. Điều hướng đến Start Menu / Control Panel / Add or Remove Programs | kích Add/Remove Windows Components 5. Trong Windows Components Wizard, bạn hãy chọn Certificates Services sau đó kích Next 6. Lưu ý những gì trong hộp thoại đang hiển thị. Bạn không nên đổi tên máy tính khi Windows Certificate Services được cài đặt, kích Yes
Hình 3 7. Trong trường CA Type, bạn kích Stand-alone root CA, tích vào hộp kiểm “Use custom settings to generate the key pair and CA certificate” và kích Next Lưu ý: Thông thường các CA gốc của doanh nghiệp và các tùy chọn CA cấp dưới không thể được chọn vì máy chủ này không phải là thành viên nằm trong một miền. Hình 4 8. Chọn CSP bạn muốn sử dụng cho CA gốc offline. Để đơn giản, chúng ta hãy chọn Microsoft Strong Cryptographic Provider v1.0, mặc dù có thể chọn CSP
khác ví dụ nếu bạn đã cài đặt Hardware Security Module (HSM) và đã kết nối máy chủ đến giải pháp HSM, trước khi bắt đầu thủ tục cài đặt CA. Chọn thuật toán hash mặc định SHA-1 Thiết lập chiều dài khóa là 4096 Bảo đảm rằng cả hai tùy chọn “Allow this CSP to interact with the desktop” và “Use an existing key” đều không được chọn. Kích Next. Hình 5 9. Nhập vào tên chung cho CA gốc của bạn, cấu hình hậu tố tên phân biệt (O=domain, C=local) và thiết lậo chu kỳ hợp lệ đến 20 năm, sau đó kích Next.
Hình 6 10. Chấp nhận đề xuất mặc định cho cơ sở dữ liệu chứng chỉ và các file bản ghi, sau đó kích Next.
Hình 7 11. Nếu đây là một CA gốc offline, bạn không cần phải cài đặt IIS (Internet Information Services) và đó lý do tại sao hộp thoại này được hiển thị. Kích OK. Hình 8 12. Kích Finish
Hình 9 13. Kích Start / Programs / Administrative Tools / Certificate Authority 14. Mở phần panel máy chủ CA của bạn, sau đó kích chuột phải vào Revoked Certificates và chọn All tasks / Publish
Hình 10 15. Chọn New CRL và kích OK 16. Copy %windir%\system32\certsrv\certenroll\*.crt và *.crl vào khóa USB. Bạn sẽ cần đến những file này cho CA thứ cấp tiếp theo sẽ được cài đặt. 17. Bạn cũng nên copy các file này vào vị trí CDP HTTP như đã được chỉ thị trong file caconfig.inf được liệt kê từ trước. 18. Tạo sự thay thế các tham số cần thiết trong file dưới đây (phần được bôi đỏ) và chạy file từ dấu nhắc lệnh.