Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server
2006- Phần 1
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số kiến thức
cơ bản về chứng chỉ và việc thẩm định chứng chỉ. Cách sử dụng các
chứng chỉ trong một số kịch bản reverse proxy và cách khắc phục sự cố
trong sử dụng chứng chỉ cũng như thu hồi.
Chúng ta hãy bắt đầu với một số kiến thức cơ sở về PKI, chứng chỉ số và các
bộ thẩm định chứng chỉ.
PKI
Trong thuật ngữ mật mã, cơ sở hạ tầng khóa công - public key infrastructure
(PKI) là một khối kiến trúc được xây dựng cho một số công nghệ với mục
đích phát hành các chứng chỉ đến người dùng, máy tính và các dịch vụ từ
một bộ thẩm định chứng chỉ (CA) nào đó. Vai trò của PKI trong việc phát
hành các chứng chỉ được gọi là thẩm định đăng ký - Registration Authority
(RA).
Chứng chỉ
Một chứng chỉ khóa công (hoặc một chứng chỉ nhận dạng) là một tài liệu
điện tử kết hợp với một chữ ký số để ràng buộc một khóa công với các thông
tin nhận dạng chẳng hạn như tên của một người hoặc một tổ chức nào đó
cũng như địa chỉ của họ,… Chứng chỉ có thể được sử dụng để thẩm định
khóa công thuộc về một cá nhân hay một tổ chức nào đó. Trong lược đồ cơ
sở hạ tầng khóa công (PKI) điển hình, chữ ký sẽ được xác nhận bởi bộ thẩm
định chứng chỉ (CA).
Bộ thẩm định chứng chỉ CA
Một bộ thẩm định chứng chỉ CA là một máy chủ hoặc một tập các máy chủ
trong một tổ chức CA có hệ thống phát hành các chứng chỉ số đến người
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
dùng, máy tính và các dịch vụ. Windows Server 2003 (và các phiên bản cũ
hơn) đều có sự thực thi CA riêng.
Các bộ thẩm định chứng chỉ có thể là một máy chủ hoặc có thể được xâu
chuỗi vào các chuỗi chứng chỉ, nơi các kiến trúc có các nhiệm vụ đặc biệt
giống như intermediate CA, issuing CA,… Bạn có thể tham khảo một kiến
trúc CA trong hình 1 bên dưới.
Hình 1: Kiến trúc CA
Các file mở động được sử dụng trong mã hóa
Có một vài file mở rộng được sử dụng khi bạn làm việc với ISA Server 2006
và các chứng chỉ. Dưới đây là một số ví dụ:
Khóa Mô tả
CKS #12 Private Information Exchange
.PFX Private Information Exchange
.P12 Private Information Exchange
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
PCKS #7 Cryptographic Message Syntax Standard
.P7B PCKS #7 certificate
.CER DER-coded-binary X.509
Base-64-coded-X.509
.PFX Private Information Exchange PCKS #12
.CRL Certification Revocation List
.P7C Digital ID-file
.P7M PCKS #7 MIME-message
.P7R PCKS #7 certificate
.P7S PCKS #7 signature
Bảng 1: Các file mở rộng PKI
Cài đặt CA
Việc cài đặt và đưa vào hoạt động một CA là một quá trình khá dễ dàng.
Những gì làm cho các thiết kế PKI trở nên phức tạp là một số ứng dụng sử
dụng PKI cho một vài mục đích riêng.
Trong bài viết này chúng tôi sẽ không giới thiệu cho các bạn về toàn bộ quá
trình cài đặt này mà chỉ giới thiệu một số hình ảnh cơ bản.
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Hình 2: Cài đặt một Windows CA
Sau khi cài đặt một CA, không nên thay đổi tên Server và thành viên miền
(Nếu bạn cảm thấy điều này là bắt buộc, hãy tham khảo một số bài báo khác
để cung cấp cho bạn cách thức chuyển CA).
Có một vài kiểu CA. Cho ví dụ này, chúng tôi chọn một Enterprise Root CA
có tích hợp vào trong Active Directory.
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
