Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006

Chia sẻ: Fgjỉ Guygh | Ngày: | Loại File: PDF | Số trang:23

0
80
lượt xem
18
download

Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản về chứng chỉ và việc thẩm định chứng chỉ. Cách sử dụng các chứng chỉ trong một số kịch bản reverse proxy và cách khắc phục sự cố trong sử dụng chứng chỉ cũng như thu hồi. Chúng ta hãy bắt đầu với một số kiến thức cơ sở về PKI, chứng chỉ số và các bộ thẩm định chứng chỉ. PKI Trong thuật ngữ mật mã, cơ sở hạ tầng khóa công - public key infrastructure (PKI) là một khối kiến...

Chủ đề:
Lưu

Nội dung Text: Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006

  1. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006- Phần 1
  2. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản về chứng chỉ và việc thẩm định chứng chỉ. Cách sử dụng các chứng chỉ trong một số kịch bản reverse proxy và cách khắc phục sự cố trong sử dụng chứng chỉ cũng như thu hồi. Chúng ta hãy bắt đầu với một số kiến thức cơ sở về PKI, chứng chỉ số và các bộ thẩm định chứng chỉ. PKI Trong thuật ngữ mật mã, cơ sở hạ tầng khóa công - public key infrastructure (PKI) là một khối kiến trúc được xây dựng cho một số công nghệ với mục đích phát hành các chứng chỉ đến người dùng, máy tính và các dịch vụ từ một bộ thẩm định chứng chỉ (CA) nào đó. Vai trò của PKI trong việc phát hành các chứng chỉ được gọi là thẩm định đăng ký - Registration Authority (RA). Chứng chỉ Một chứng chỉ khóa công (hoặc một chứng chỉ nhận dạng) là một tài liệu điện tử kết hợp với một chữ ký số để ràng buộc một khóa công với các thông tin nhận dạng chẳng hạn như tên của một người hoặc một tổ chức nào đó cũng như địa chỉ của họ,… Chứng chỉ có thể được sử dụng để thẩm định khóa công thuộc về một cá nhân hay một tổ chức nào đó. Trong lược đồ cơ sở hạ tầng khóa công (PKI) điển hình, chữ ký sẽ được xác nhận bởi bộ thẩm định chứng chỉ (CA). Bộ thẩm định chứng chỉ CA Một bộ thẩm định chứng chỉ CA là một máy chủ hoặc một tập các máy chủ trong một tổ chức CA có hệ thống phát hành các chứng chỉ số đến người
  3. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com dùng, máy tính và các dịch vụ. Windows Server 2003 (và các phiên bản cũ hơn) đều có sự thực thi CA riêng. Các bộ thẩm định chứng chỉ có thể là một máy chủ hoặc có thể được xâu chuỗi vào các chuỗi chứng chỉ, nơi các kiến trúc có các nhiệm vụ đặc biệt giống như intermediate CA, issuing CA,… Bạn có thể tham khảo một kiến trúc CA trong hình 1 bên dưới. Hình 1: Kiến trúc CA Các file mở động được sử dụng trong mã hóa Có một vài file mở rộng được sử dụng khi bạn làm việc với ISA Server 2006 và các chứng chỉ. Dưới đây là một số ví dụ: Khóa Mô tả CKS #12 Private Information Exchange .PFX Private Information Exchange .P12 Private Information Exchange
  4. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com PCKS #7 Cryptographic Message Syntax Standard .P7B PCKS #7 certificate .CER DER-coded-binary X.509 Base-64-coded-X.509 .PFX Private Information Exchange PCKS #12 .CRL Certification Revocation List .P7C Digital ID-file .P7M PCKS #7 MIME-message .P7R PCKS #7 certificate .P7S PCKS #7 signature Bảng 1: Các file mở rộng PKI Cài đặt CA Việc cài đặt và đưa vào hoạt động một CA là một quá trình khá dễ dàng. Những gì làm cho các thiết kế PKI trở nên phức tạp là một số ứng dụng sử dụng PKI cho một vài mục đích riêng. Trong bài viết này chúng tôi sẽ không giới thiệu cho các bạn về toàn bộ quá trình cài đặt này mà chỉ giới thiệu một số hình ảnh cơ bản.
  5. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 2: Cài đặt một Windows CA Sau khi cài đặt một CA, không nên thay đổi tên Server và thành viên miền (Nếu bạn cảm thấy điều này là bắt buộc, hãy tham khảo một số bài báo khác để cung cấp cho bạn cách thức chuyển CA). Có một vài kiểu CA. Cho ví dụ này, chúng tôi chọn một Enterprise Root CA có tích hợp vào trong Active Directory.
  6. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 3: Chọn kiểu CA Đặt tên cho CA và tên file Hình 4: Tên CA Sau khi cài đặt CA, CA có thể được sử dụng cho việc phát hành các chứng chỉ.
  7. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Snap-In cho chứng chỉ Các phiên bản Windows hiện đại đều có một Snap-In chứng chỉ dùng để quản lý các chứng chỉ được cài đặt nội bộ. Nếu được đăng nhập như một quản trị viên, bạn có thể quản lý các chứng chỉ cho tài khoản người dùng của riêng mình, một tài khoản dịch vụ và một tài khoản máy tính. Hình 5: Việc quản lý các chứng chỉ Một tài khoản người dùng thông thường chỉ có thể mở kho chứa chứng chỉ của riêng nó. Các chứng chỉ có thể được quản lý trong giao diện điều khiển (Import, export, request chứng chỉ mới và xóa chứng chỉ).
  8. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 6: Quản lý các chứng chỉ Có một website có thể được sử dụng để yêu cầu các chứng chỉ mới hoặc để download các chứng chỉ CA gốc. Hình 7: CA website Các thiết lập trong kịch bản reverse publish Nếu bạn muốn sử dụng ISA Server như một reverse publishing proxy để công bố các dịch vụ như Outlook Web Access (OWA) hoặc Outlook
  9. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Anywhere (OA), bạn hoàn toàn có thể kích hoạt SSL Bridging để nâng cao sự bảo mật cho ISA Server. Khi SSL Bridging được kích hoạt, ISA Server sẽ dừng kết nối SSL từ máy chủ với máy khách; sau đó ISA sẽ thanh tra lưu lượng và mã hóa lưu lượng HTTPS. Đây là một kịch bản an toàn nhất. Trong kịch bản này, ISA server cần chứng chỉ Root CA từ CA bên trong đã phát hành các chứng chỉ cho máy chủ để publish. ISA Server cũng cần một chứng chỉ cho bộ lắng nghe ISA mà Common Name (CN) có cùng entry như tên công cộng mà các máy khách nhập vào khi muốn thiết lập kết nối với máy chủ công cộng. Trong suốt quá trình publish, ISA Server 2006 có sự hỗ trợ chứng chỉ mới giúp bạn chọn đúng chứng chỉ. Chứng chỉ phải được phát hành từ một CA tin cậy, chứng chỉ phải hợp lệ và gần hơn với tên chung (Common Name) của chứng chỉ. CN phải hợp lệ với tên công cộng mà các máy khách có thể sử dụng để kết nối với máy chủ.
  10. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 8: Hỗ trợ chứng chỉ Tính năng Bridging trong ISA Server 2006 Bạn đã bao giờ cố gắng sử dụng tính năng Bridging trong publish rule hay chưa? Nếu bạn muốn chọn một chứng chỉ, ISA sẽ thường nói không có chứng chỉ? Để giải quyết vấn đề này, bạn phải phát hành một chứng chỉ người dùng cho người dùng thông thường. Chứng chỉ được phát hành này phải được import (với khóa riêng) vào kho chứa chứng chỉ nội bộ của dịch vụ Microsoft ISA Server Firewall. Sau đó bạn có thể sử dụng chứng chỉ để hướng yêu cầu gửi đến máy chủ bên trong yêu cầu sự thẩm định chứng chỉ.
  11. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 9: SSL Bridging Không có chứng chỉ có sẵn vì không có chứng chỉ được cài đặt trong kho chứng chỉ nội bộ của dịch vụ ISA Server Firewall. Hình 10: SSL Bridging – chọn một chứng chỉ Hủy bỏ chứng chỉ
  12. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Việc hủy bỏ chứng chỉ là một quá trình mà ở đó ứng dụng yêu cầu cỗ máy quản lý chuỗi chứng chỉ phải đánh giá chứng chỉ, sự hủy bỏ có thể được thực hiện đối với tất cả các chứng chỉ trong chuỗi. Gồm có mọi chứng chỉ đang được phát hành từ một CA nào đó đến các chứng chỉ đã được phát hành. Bước đầu tiên, chuỗi chứng chỉ sẽ được đánh giá. Nếu chuỗi chứng chỉ vẫn không bị ảnh hưởng, quá trình sẽ kiểm tra rằng: Chữ ký chứng chỉ có hợp lệ  Thẩm định thời điểm hiện hành từ khi chứng chỉ còn thời gian hợp lệ.  Thẩm định mỗi chứng chỉ không lỗi hoặc cũng không bị điều chỉnh.  Danh sách hủy bỏ chứng chỉ không có chứa các chứng chỉ hợp lệ. Một quá trình hoặc một phần mềm giống như ISA Server có thể kiểm tra các chứng chỉ được yêu cầu bằng danh sách hủy bỏ chứng chỉ. Người dùng hoàn toàn có thể cấu hình ISA Server cho một vài yêu cầu hợp lệ. ISA Server có thể thẩm định rằng các chứng chỉ gửi đến không nằm trong danh sách hủy bỏ chứng chỉ (CRL).
  13. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 11: Hủy bỏ chứng chỉ Verify that incoming client certificates are not revoked Thẩm định rằng các chứng chỉ máy khách gửi đến không bị thu hồi Bạn phải chọn chứng chỉ này nếu muốn cho phép ISA Server thực hiện hành động kiểm tra chứng chỉ gửi đến trong danh sách Certificate revocation List (CRL) nhằm xem chứng chỉ đã bị thu hồi hay chưa. Nếu chứng chỉ đã bị thu hồi, yêu cầu máy khách sẽ bị từ chối. Verify that incoming server certificates are not revoked in a forward scenario Thẩm định rằng các chứng chỉ máy chủ gửi đến không bị thu hồi trong kịch bản thuận Tùy chọn này hơi khác so với kịch bản ở trên. Trong kịch bản này, ISA server kiểm tra xem chứng chỉ Server gửi đến trong kịch bản SSL Bridging có bị thu hồi hay không. Nếu chứng chỉ bị thu hồi, yêu cầu sẽ bị từ chối.
  14. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Verify that incoming server certificates are not revoked in a reverse scenario Thẩm định rằng các chứng chỉ máy chủ gửi đến không bị thu hồi trong kịch bản ngược Chọn hộp kiểm này để chỉ định ISA Server sẽ tự động kiểm tra Certificate Revocation List (CRL) nhằm xem các chứng chỉ máy chủ, trong kịch bản Web publish có bị thu hồi hay không. Nếu chứng chỉ bị thu hồi, yêu cầu sẽ bị từ chối. Kết luận Trong phần một này, chúng tôi đã giới thiệu cho các bạn tất cả các khía cạnh sử dụng chứng chỉ trong ISA Server 2006 đối với các kịch bản reverse publish cho Outlook Web Access (OWA), Outlook Anywhere (OA),… Bên cạnh đó là một số kiến thức cơ bản về các chứng chỉ, bộ thẩm định chứng chỉ và cách kiểm tra chứng chỉ.
  15. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 – Phần 2 Trong phần hai này chúng tôi sẽ hướng dẫn các bạn cách sử dụng các chứng chỉ số trong các kịch bản web chain và reverse publish.
  16. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu Chúng ta sẽ bắt đầu bằng một giới thiệu vắn tắt về các kiểu chứng chỉ được sử dụng trong kịch bản publish an toàn và sau đó sẽ giới thiệu về chức năng mà các chứng chỉ SAN (SAN = Subject Alternate Name) cung cấp cũng như những điểm khác biệt của chúng với các chứng chỉ cổ điển, chẳng hạn như các chứng chỉ wildcard. Các kiểu chứng chỉ Có ba kiểu chứng chỉ thường được sử dụng: Chứng chỉ thông thường  Chứng chỉ wildcard  Chứng chỉ SAN (Subject Alternate Name)  Chứng chỉ thông thường Một chứng chỉ thông thường là một chứng chỉ “classic”. Kiểu chứng chỉ này được sử dụng cho một FQDN (Fully Qualified Domain Name) cũng được biết đến như một DNS hostname giống như owa.it-training-grote.de. Chứng chỉ Wildcard Chứng chỉ Wildcard thường được sử dụng khi một công ty cần publish các hostname khác nhau với cùng một tên miền. Thay vì sử dụng nhiều chứng chỉ thông thường, chúng ta có thể sử dụng kiểu chứng chỉ này. Ví dụ như nếu bạn mua một chứng chỉ wildcard cho *.it-training-grote.de, khi đó bạn hoàn toàn có thể sử dụng chứng chỉ để publish các webserver với nó, với các tên owa.it-training-grote.de và www.it-training-grote.de. Chứng chỉ SAN
  17. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Các chứng chỉ SAN (Subject Alternate Name) cũng được gọi là chứng chỉ miền hoặc chứng chỉ Unified Communication (UC). Với sự trợ giúp của các chứng chỉ SAN, chúng ta hoàn toàn có thể publish nhiều FQDN ới cùng một hoặc khác tên Top Level Domain (TLD). Cho ví dụ: owa.it-training-grote.de www.it-training-grote.de Server01 Server01.exchange.internal Autodiscover.exchange.internal Autodiscover.it-training-grote.de Chứng chỉ SAN được sử dụng rộng rãi trong các kịch bản publish của Exchange Server có hoặc không có ISA Server 2006. Những nâng cao trong ISA Server 2006 Service Pack 1 ISA Server 2006 Service Pack 1 hỗ trợ sử dụng các chứng chỉ SAN. Trước ISA Server 2006 Service Pack 1, ISA Server chỉ kiểm tra tên chứng chỉ và bỏ qua các tên bổ sung trong trường SAN của chứng chỉ. Sử dụng chứng chỉ tự ký Có một cách để sử dụng các chứng chỉ cho việc publish ISA Server là sử dụng công cụ SELFSSL.EXE từ bộ kit của IIS 6. Với sự trợ giúp của công cụ SELFSSL, các quản trị viên có thể tạo các chứng chỉ cho các Common Name (CN).
  18. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 1: SELFSSL từ IIS 6 Resource Kit Vì chứng chỉ tự ký không được phát hành bởi một CA Root tin cậy nên người dùng phải tự đặt chứng chỉ tự ký trong kho lưu trữ CA Root tin cậy trên ISA Server nội bộ. Hình 2: Snap-In bổ sung chứng chỉ
  19. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Tiếp đến, chọn tài khoản máy tính nội bộ với tư cách kho lưu trữ chứng chỉ để thấy tất cả các chứng chỉ đã được cài đặt, đây là các chứng chỉ mà ISA Server sẽ sử dụng cho các kịch bản publish và webchain. Hình 3: Hiển thị chứng chỉ trong kho lưu trữ Các chứng chỉ Root CA tin cậy ISA Server bảo đảm cho mỗi chứng chỉ được sử dụng có thể được thẩm định đối với CA phát hành. ISA Server kiểm tra chuỗi chứng chỉ đối với Root CA. Danh sách các CA root tin cậy có thể được tìm thấy trong kho lưu trữ máy tính nội bộ trên máy ISA Server 2006.
  20. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình 4: Các chứng chỉ Root CA tin cậy Các chứng chỉ được sử dụng trong kịch bản Web chain Một trong những tính năng kém được sử dụng trong ISA Server 2006 là việc sử dụng các chứng chỉ trong kịch bản web chain. Web chain được sử dụng để xâu chuỗi lưu lượng web từ ISA Server với Webproxy khác giống ISA Server. Để sử dụng một chứng chỉ trong kịch bản webchain, người dùng phải có các điều kiện tiên quyết dưới đây: Có một chứng chỉ thẩm định máy khách  Được tin tưởng bởi một CA root  Có khóa riêng được cài đặt trong kho lưu trữ chứng chỉ máy tính nội  bộ Kho lưu trữ chứng chỉ cá nhân Được cài đặt trong tài khoản dịch vụ  tường lửa

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản