Quản lý SSL CA trên OS X

Chia sẻ: Cong Thanh | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

85
lượt xem 9
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Quản lý SSL CA trên OS X Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách add một chứng chỉ gốc của CA (Certificate Authority) trên hệ thống OS X, cho phép các dịch vụ OS X sử dụng SSL và OS X keychain có thể tin tưởng các chứng chỉ đã được phát hành bởi CA. Truyền thông an toàn trên web là một thứ gì đó mà chúng ta đặc biệt quan tâm trong một số năm trở lại đây. HTTPS hay HTTP trên SSL, là thứ mà chúng ta sử dụng cho việc đăng nhập...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Quản lý SSL CA trên OS X

Quản lý SSL CA trên OS X Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách add một chứng chỉ gốc của CA (Certificate Authority) trên hệ thống OS X, cho phép các dịch vụ OS X sử dụng SSL và OS X keychain có thể tin tưởng các chứng chỉ đã được phát hành bởi CA. Truyền thông an toàn trên web là một thứ gì đó mà chúng ta đặc biệt quan tâm trong một số năm trở lại đây. HTTPS hay HTTP trên SSL, là thứ mà chúng ta sử dụng cho việc đăng nhập vào các website, ngân hàng trực tuyến, thương mại điện tử và,... Không may cho những người điều hành dịch vụ trực tuyến cần đến sự mã hóa, hay thậm chí người muốn mã hóa cho site của họ, họ cần phải bỏ ra một chi phí nào đó để có được một chứng chỉ SSL được chứng nhận. Việc tạo một chứng chỉ tự ký (self-signed) có thể khá dễ
dàng, tuy nhiên khi thực hiện như vậy, các khách truy cập vào website của bạn phải tin tưởng rằng chứng chỉ là hợp lệ và rằng họ thực sự đang kết nối đến site của bạn. Đây là những gì làm cho CA trở nên cần thiết đến vậy – họ thực hiện công việc thẩm định chủ sở hữu site và cũng có các chứng chỉ gốc hiện diện trong tất cả các trình duyệt chủ đạo, có nghĩa bạn có thể kết nối đến một site mà không cần bị nhắc nhở vì trình duyệt đã nhận ra ban thẩm định đã ký chứng chỉ và có thể bảo đảm rằng nó là hợp lệ. Do việc sử dụng SSL rất hữu dụng không chỉ cho hoạt động ngân hàng và thương mại điện tử, thêm vào đó nó cũng quá đắt đỏ, chính vì vậy các CA khác đã bắt đầu cung cấp các chứng chỉ miễn phí hoặc giá thành thấp hơn; tuy nhiên họ không thể có được chứng chỉ gốc hiện diện trên hệ điều hành hoặc trong trình duyệt. So đó, việc cài đặt chứng chỉ gốc của CA nào đó trên hệ thống là một việc rất cần. Điều này thực sự đúng cho các tình huống công việc mà ở đó một doanh nghiệp có một CA bên trong được sử
dụng cho các site bên trong. Để thực hiện công việc này, nhiệm vụ của bạn là thu thập chứng chỉ SSL cho CA (từ một quản trị viên hoặc từ website của CA). Kích đúp vào file .crt, khi đó Keychain Access sẽ mở cửa sổ Add Certificate. Khi được hỏi keychain nào dùng để add chứng chỉ, hãy chọn System keychain từ cửa sổ lật xuống. Bạn sẽ được nhắc nhở nhập vào mật khẩu quản trị viên. Cửa sổ tiếp theo sẽ hỏi xem bạn có muốn máy tính tin tưởng các chứng chỉ từ CA này trong tương lai hay không. Ở đây bạn phải chọn thiết lập tin cậy cho CA này. Mở phần Details để xem các thông tin chi tiết của CA gốc; cần thẩm định các thông tin chi tiết của chứng chỉ, đặc biệt Signature, để bảo đảm nó hợp lệ với thông tin mà bạn đã được cung cấp. Khi bạn kiểm tra các thông tin chi tiết, mở phần Trust và chọn “Always Trust” cho cả “X.509 Basic Policy” và “When using this certificate”. Cuối cùng, kích nút “Always Trust”. Cung cấp mật khẩu quản trị viên lần
nữa và System keychain sẽ được cập nhật. Nếu bạn thực hiện một tìm kiếm đối với tên của chứng chỉ lúc này, nó sẽ có một ký hiệu “+” màu xanh và chỉ thị nó là một chứng chỉ được đánh dấu tin cậy cho tất cả người dùng. Tại điểm này, bất cứ dịch vụ OS X nào sử dụng SSL và OS X keychain sẽ tin cậy các chứng chỉ được phát bởi CA này. Vì vậy bạn có thể kết nối đến các dịch vụ có cho phép SSL với các chứng chỉ được ký bởi CA này trong Apple Mail, Safari, iChat cũng như các thành phần khác có liên quan với keychain chứng chỉ hệ thống.
Việc bổ sung thêm các chứng chỉ vào một hệ thống OS X có thể không đơn giản. Tuy nhiên với các tổ chức có SSL Certificate Authority riêng, việc thêm sự hỗ trợ cho chứng chỉ CA gốc tới các máy khách OS X lại cực kỳ đơn giản. Nếu bạn đang sử dụng các chứng chỉ được phát hành bởi các nhà thẩm định không có trong keychain chứng chỉ mặc định, chẳng hạn như các chứng chỉ được phát tự do bởi Cacert, khi đó việc import chứng chỉ gốc của CAcert rất dễ dàng và tránh được các popup từ các chứng chỉ đã phát hành, hợp lệ trên các website hoặc các dịch vụ khác nhau.