Trang Chính
Bạn hiểu thế nào về
PKI, đó là viết tắt của Public Key Infrastructure – cơ sở hạ tầng khóa
công khai. Trong loạt bài gồm 4 phần này chúng tôi sẽ giới thiệu cho bạn
vắn tắt về tổng quan cách thiết kế, cài đặt và khắc phục sự cố một PKI
dựa trên Microsoft Certificate Services trong Windows Server 2003.
Bên cạnh đó chúng tôi cũng giới thiệu cho bạn một số cạm bẫy thường gặp
và cách thực hiện tốt nhất để xây dựng và thực thi một PKI, chúng tôi
sẽ tập trung vào các vấn đề cần thiết trong việc xây dựng đúng và linh
hoạt PKI ngay từ lúc bắt đầu.
Tại sao lại cần đến PKI
Một
vài năm trở lại đây, hầu hết mọi người đều nói về năm 2000 như là năm
của PKI. Nhiều người tin tưởng rằng, xu thế chủ đạo của thị trường cuối
cùng cũng có khuynh hướng sử dụng tất cả các khía cạnh tốt mà PKI có thể
cung cấp. Mặc dù vậy như những gì bạn có thể đoán, các chứng chỉ và PKI
chưa từng thực sự cất cánh. Điều đơn giản là nó không đủ gây chú ý cho
việc quản lý phân loại và nhân viên kỹ thuật (người có thể thấy được giá
trị của PKI). Mặc dù vậy, sau một thời gian, PKI lại trở thành một
trong những chủ đề nóng nhất trong các doanh nghiệp lớn và trung bình.
Sự thay đổi trong vấn đề bảo mật, nơi bảo mật và các cải thiện trong
Internet và khi các công nghệ truyền thông di động trở thành một ngành
kinh doanh cho doanh nghiệp, điều đó có nghĩa rằng các chứng chỉ và PKI
đã sẵn sàng cho xu thế chủ đạo của thị trường kinh doanh hơn bao giờ
hết.
Chính vì vậy, vấn đề lớn PKI với bạn đó là tại sao lại cần
phải quan tâm? Cơ bản mà nói đó chính là sự sa sút trong việc quản lý
chứng chỉ. Bạn có thể thấy được rằng, ngày nay các chứng chỉ có ở bất cứ
đâu và thường chúng được sử dụng mà không cần biết bạn đã bao giờ lo
lắng về khả năng tồn tại của chúng. Một trong những kịch bản chung nhất
mà các chứng chỉ được sử dụng đó là:
Như bạn có thể thấy, các chứng chỉ được sử dụng ở
nhiều vị trí khác nhau và mục đích chính của nó là bổ sung tính bảo mật
cho cơ sở hạ tầng và giải pháp CNTT của bạn. Nhưng nếu quan sát danh
sách ở trên thì có thể hình dung được rằng điều này cũng có nghĩa là bạn
phải quản lý rất nhiều chứng chỉ, số lượng nhiều hay ít lại phụ thuộc
vào những tính năng mà bạn muốn sử dụng trong cơ sở hạ tầng và cách
quyết định bổ sung chúng như thế nào. PKI đơn giản là cách quản lý tập
trung việc phát hành, thay mới, hủy bỏ các chứng chỉ và xây dựng đường
dẫn tin cậy của chính bạn. Các chứng chỉ và PKI mà chúng tôi sẽ giới
thiệu trong loạt bài viết này dựa trên X.509 v3, điều đó có nghĩa rằng
chúng ta có thể tận dụng một số ưu điểm về cách sử dụng chứng chỉ, và
điều đó sẽ được thấy rõ hơn trong phần hai của loạt bài này.
Quan trọng:
Dự
định của loạt bài này sẽ cho bạn biết nhanh chóng tổng quan của các
lĩnh vực quan trọng nhất, để bạn có thể dễ dàng có được nền tảng về PKI.
Mặc dù vậy việc xây dựng một PKI có thể là một dự án lớn và nếu bạn là
một quản trị viên CNTT quan tâm đến vấn đề bảo mật thì có thể sẽ cần xem
xét sâu hơn trong các liên kết được chúng tôi cung cấp ở cuối mỗi phần
của bài.
Lên kế hoạch cho PKI
Tác
giả đưa giai đoạn lập kế hoạch vào phần đầu của bài vì dù sao phần lập
kế hoạch cũng rất quan trọng và muốn giới thiệu cách lập một kết hoạch
như thế nào để có được hiệu quả tốt nhất thông qua một số lĩnh vực mà
bạn nên tập trung. Lỗi thường xảy ra nhất đối với các công ty khi thực
hiện cài đặt Microsoft Certificate Services (bằng cách đó thiết lập một
PKI) là họ thường bỏ qua phần kế hoạch, và như vậy hậu quả làm tốn rất
nhiều tài nguyên và tiền của, cuối cùng họ nhận ra rằng có thể không
thấy một số vấn đề quan trọng khi vào menu Add/Remove Windows Components
trong các máy chủ Windows 2000 hay Windows 2003 và đặt một dấu kiểm tra
trước các thành phần Certificate Services.
Các khía cạnh bạn nên xem xét trong suốt quá trình lập kế hoặc cho PKI là:
Chúng ta hãy xem xét một cách cẩn thận các phần dưới đây.
Kiểm tra xem chính sách bảo mật có sẵn sàng được cập nhật PKI hay không
Brian Komar, tác giả của cuốn sách nổi tiếng “Microsoft Windows Server 2003 PKI and Certificate Security”, đã viết rất nhiều bài báo cho Microsoft và có nhiều buổi làm thuyết trình về các chủ đề PKI khác nhau thường tuyên bố rằng: “PKI sẽ làm cho các chính sách bảo mật của tổ chức bạn có hiệu lực”,
đó cũng là tất cả những gì ông muốn nói. Hãy bảo đảm rằng chính sách
bảo mật trong công ty của bạn nhắm đến chiến lược CNTT và kinh doanh của
công ty, sau đó thực hiện chiến lược này với các ứng dụng và dịch vụ
bảo mật thì điều đó sẽ phụ thuộc vào các chứng chỉ. Khi một chính sách
bảo mật cần được chấp thuận bởi bộ phận quản lý hoặc bởi các thành viên
ủy ban (những người này phải chịu trách nhiệm cho chiến lược kinh doanh
của công ty), thì cơ bản bạn sẽ có được một tia sáng xanh để tiến lên
với sự thực thi PKI. Bạn có là người có đủ may mắn đó không, trong
trường hợp công ty của bạn không có một chính sách bảo mật tập trung thì
hãy xem xét đến URL dưới đây về các mẫu đối với các chính sách bảo mật
khác nhau dựa trên chuẩn ISO 17799.
[You must be registered and logged in to see this link.]
Tạo một hay nhiều chính sách chứng chỉ
Quả
thực các chính sách không phải là thứ thú vị nhất trên thế giới này,
nhưng dù sao chúng vẫn rất quan trọng. Nếu bạn muốn tránh tất cả các vấn
đề hợp lệ đối với PKI, cách tốt nhất bạn nên xem xét đến việc có một
chính sách chứng chỉ (CP). Chính sách chứng chỉ miêu tả cách và ai phát
hành, phân phối các chứng chỉ đối với một chủ đề (ví dụ như các chủ đề
người dùng, máy tính và các thiết bị,…). Điều này có thể là một nhiệm vụ
khó khăn nhưng bạn không nên quá lo lắng. Hãy tuân theo các bước dưới
đây và bạn sẽ thực hiện một cách dễ dàng việc tạo chính sách chứng chỉ
cho PKI của mình.
1. Hãy xem qua RFC 3647 (thành phần bạn có thể tìm thấy qua [You must be registered and logged in to see this link.]).
2. Sau đó hãy quan sát một chính sách chứng chỉ như thế nào, mặc dù chính sách này có thể chi tiết hơn chính sách bạn cần. [You must be registered and logged in to see this link.] – Chính sách cho Ủy ban phòng chống của Mỹ (DoD).
Tạo một tuyên bố trong sử dụng chứng chỉ
Tới
đây hầu như chúng ta đã thực hiện xong phần lập kế hoạch, tuy nhiên vẫn
cần phải tạo tuyên bố trong sử dụng chứng chỉ (CPS). CPS rất giống với
chính sách chứng chỉ, ngoại trừ nó tập trung vào vấn đề bảo mật của CA
(quyền chứng chỉ) trong suốt các hoạt động và quản lý chứng chỉ được
phát hành bởi CA. Một CPS thường ngắn hơn nhiều so với chính sách bảo
mật và gồm có các thông tin về người có trách nhiệm trong trường hợp
chứng chỉ không thể sử dụng để bảo vệ thỏa đáng những gì nó được đưa ra.
Ví dụ một kết nối SSL/TLS khi một khách hàng đang nhập vào số thẻ tín
dụng của họ. Các thành phần khác có trong một CPS là cách hợp lệ, tái
sinh, hủy bỏ được quản lý như thế nào bởi bộ phận CA chịu trách nhiệm
cho việc phát hành chứng chỉ. Bạn có thể xem một CPS như một thỏa thuận
giữa người dùng chứng chỉ và công ty chịu trách nhiệm cho việc phát hành
CA. Ở đây chúng tôi có một số ví dụ cho một CPS, các ví dụ này có thể
sẽ quen thuộc hơn với bạn.
1. Bạn có thể xem thông qua RFC 3647 về CPS [You must be registered and logged in to see this link.].
2. Ngoài ra bạn cũng có thể xem CDP của VeriSign [You must be registered and logged in to see this link.]
Không
giống như chính sách chứng chỉ, một CPS luôn được tạo có sẵn công cộng
để một người dùng nào đó có chứng chỉ luôn có thể truy cập vào CPS.
Trong mỗi chứng chỉ mà CA của bạn phát hành, sẽ có một liên kết để chỉ
ra vị trí nơi CPS được xuất bản. Chúng ta sẽ xem xét kỹ hơn vấn đề này
trong phần hai của bài.
Kết luận
Chúng
tôi đã giới thiệu cho các bạn cách nhìn tổng quan về một số vấn đề quan
trọng để lưu ý đến giai đoạn lập kế hoạch trong việc xây dựng PKI, nó
sẽ thật tốt nếu bạn xem xét các thông tin trong bài này từ một quan điểm
quan trọng khi muốn xây dựng một PKI trong một môi trường bảo mật cao.
Hãy nhớ rằng loạt bài này chỉ phục vụ như một hướng dẫn vắn tắt để giúp
bạn có được một PKI với thời gian ngắn nhất. Nếu muốn có được các chi
tiết hơn về việc lập kế hoạch, thiết kế và cài đặt, hãy xem trong những
đường dẫn mà chúng tôi sẽ giới thiệu dưới đây. Trong bài tiếp theo chúng
ta sẽ tiếp tục quan sát gần hơn đến các tùy chọn thiết kế và cài đặt
khác nhau mà bạn có với những thực tiễn tốt nhất có thể.
[You must be registered and logged in to see this link.]
[You must be registered and logged in to see this link.]
[You must be registered and logged in to see this link.]
Các thông tin mở rộng
Tất cả các bài báo về Microsoft PKI [You must be registered and logged in to see this link.]
Nếu muốn xem cách Microsoft thực hiện PKI như thế nào, hãy vào địa chỉ [You must be registered and logged in to see this link.]
Và cuối cùng là cuốn sách - Microsoft Windows Server 2003 PKI and Certificate Security tại địa chỉ [You must be registered and logged in to see this link.]
PKI, đó là viết tắt của Public Key Infrastructure – cơ sở hạ tầng khóa
công khai. Trong loạt bài gồm 4 phần này chúng tôi sẽ giới thiệu cho bạn
vắn tắt về tổng quan cách thiết kế, cài đặt và khắc phục sự cố một PKI
dựa trên Microsoft Certificate Services trong Windows Server 2003.
Bên cạnh đó chúng tôi cũng giới thiệu cho bạn một số cạm bẫy thường gặp
và cách thực hiện tốt nhất để xây dựng và thực thi một PKI, chúng tôi
sẽ tập trung vào các vấn đề cần thiết trong việc xây dựng đúng và linh
hoạt PKI ngay từ lúc bắt đầu.
Tại sao lại cần đến PKI
Mộtvài năm trở lại đây, hầu hết mọi người đều nói về năm 2000 như là năm
của PKI. Nhiều người tin tưởng rằng, xu thế chủ đạo của thị trường cuối
cùng cũng có khuynh hướng sử dụng tất cả các khía cạnh tốt mà PKI có thể
cung cấp. Mặc dù vậy như những gì bạn có thể đoán, các chứng chỉ và PKI
chưa từng thực sự cất cánh. Điều đơn giản là nó không đủ gây chú ý cho
việc quản lý phân loại và nhân viên kỹ thuật (người có thể thấy được giá
trị của PKI). Mặc dù vậy, sau một thời gian, PKI lại trở thành một
trong những chủ đề nóng nhất trong các doanh nghiệp lớn và trung bình.
Sự thay đổi trong vấn đề bảo mật, nơi bảo mật và các cải thiện trong
Internet và khi các công nghệ truyền thông di động trở thành một ngành
kinh doanh cho doanh nghiệp, điều đó có nghĩa rằng các chứng chỉ và PKI
đã sẵn sàng cho xu thế chủ đạo của thị trường kinh doanh hơn bao giờ
hết.
Chính vì vậy, vấn đề lớn PKI với bạn đó là tại sao lại cần
phải quan tâm? Cơ bản mà nói đó chính là sự sa sút trong việc quản lý
chứng chỉ. Bạn có thể thấy được rằng, ngày nay các chứng chỉ có ở bất cứ
đâu và thường chúng được sử dụng mà không cần biết bạn đã bao giờ lo
lắng về khả năng tồn tại của chúng. Một trong những kịch bản chung nhất
mà các chứng chỉ được sử dụng đó là:
Mã hóa file và đĩa (các chứng chỉ được sử dụng để bảo vệ khóa mật)
Thẩm định đa hệ số giống như các thẻ thông minh
IPSec
Chữ ký số
RADIUS và thẩm định 802.1x
Các mạng không dây
NAP (Network Access Control - Điều khiển truy cập mạng) và NAQ
(Network Access Quarantine – Cách ly truy cập mạng) cho một nguyên tắc
Dấu hiệu mã và driver
SSL/TLS cho việc bảo vệ lưu lượng dựa trên HTTP
Như bạn có thể thấy, các chứng chỉ được sử dụng ở
nhiều vị trí khác nhau và mục đích chính của nó là bổ sung tính bảo mật
cho cơ sở hạ tầng và giải pháp CNTT của bạn. Nhưng nếu quan sát danh
sách ở trên thì có thể hình dung được rằng điều này cũng có nghĩa là bạn
phải quản lý rất nhiều chứng chỉ, số lượng nhiều hay ít lại phụ thuộc
vào những tính năng mà bạn muốn sử dụng trong cơ sở hạ tầng và cách
quyết định bổ sung chúng như thế nào. PKI đơn giản là cách quản lý tập
trung việc phát hành, thay mới, hủy bỏ các chứng chỉ và xây dựng đường
dẫn tin cậy của chính bạn. Các chứng chỉ và PKI mà chúng tôi sẽ giới
thiệu trong loạt bài viết này dựa trên X.509 v3, điều đó có nghĩa rằng
chúng ta có thể tận dụng một số ưu điểm về cách sử dụng chứng chỉ, và
điều đó sẽ được thấy rõ hơn trong phần hai của loạt bài này.
Quan trọng:
Dự
định của loạt bài này sẽ cho bạn biết nhanh chóng tổng quan của các
lĩnh vực quan trọng nhất, để bạn có thể dễ dàng có được nền tảng về PKI.
Mặc dù vậy việc xây dựng một PKI có thể là một dự án lớn và nếu bạn là
một quản trị viên CNTT quan tâm đến vấn đề bảo mật thì có thể sẽ cần xem
xét sâu hơn trong các liên kết được chúng tôi cung cấp ở cuối mỗi phần
của bài.
Lên kế hoạch cho PKI
Tác
giả đưa giai đoạn lập kế hoạch vào phần đầu của bài vì dù sao phần lập
kế hoạch cũng rất quan trọng và muốn giới thiệu cách lập một kết hoạch
như thế nào để có được hiệu quả tốt nhất thông qua một số lĩnh vực mà
bạn nên tập trung. Lỗi thường xảy ra nhất đối với các công ty khi thực
hiện cài đặt Microsoft Certificate Services (bằng cách đó thiết lập một
PKI) là họ thường bỏ qua phần kế hoạch, và như vậy hậu quả làm tốn rất
nhiều tài nguyên và tiền của, cuối cùng họ nhận ra rằng có thể không
thấy một số vấn đề quan trọng khi vào menu Add/Remove Windows Components
trong các máy chủ Windows 2000 hay Windows 2003 và đặt một dấu kiểm tra
trước các thành phần Certificate Services.
Các khía cạnh bạn nên xem xét trong suốt quá trình lập kế hoặc cho PKI là:
Kiểm tra xem chính sách bảo mật của bạn có sẵn sàng được cập nhật PKI hay không
Tạo một hoặc nhiều chính sách chứng chỉ
Tạo một tuyên bố trong sử dụng chứng chỉ
Chúng ta hãy xem xét một cách cẩn thận các phần dưới đây.
Kiểm tra xem chính sách bảo mật có sẵn sàng được cập nhật PKI hay không
Brian Komar, tác giả của cuốn sách nổi tiếng “Microsoft Windows Server 2003 PKI and Certificate Security”, đã viết rất nhiều bài báo cho Microsoft và có nhiều buổi làm thuyết trình về các chủ đề PKI khác nhau thường tuyên bố rằng: “PKI sẽ làm cho các chính sách bảo mật của tổ chức bạn có hiệu lực”,
đó cũng là tất cả những gì ông muốn nói. Hãy bảo đảm rằng chính sách
bảo mật trong công ty của bạn nhắm đến chiến lược CNTT và kinh doanh của
công ty, sau đó thực hiện chiến lược này với các ứng dụng và dịch vụ
bảo mật thì điều đó sẽ phụ thuộc vào các chứng chỉ. Khi một chính sách
bảo mật cần được chấp thuận bởi bộ phận quản lý hoặc bởi các thành viên
ủy ban (những người này phải chịu trách nhiệm cho chiến lược kinh doanh
của công ty), thì cơ bản bạn sẽ có được một tia sáng xanh để tiến lên
với sự thực thi PKI. Bạn có là người có đủ may mắn đó không, trong
trường hợp công ty của bạn không có một chính sách bảo mật tập trung thì
hãy xem xét đến URL dưới đây về các mẫu đối với các chính sách bảo mật
khác nhau dựa trên chuẩn ISO 17799.
[You must be registered and logged in to see this link.]
Tạo một hay nhiều chính sách chứng chỉ
Quả
thực các chính sách không phải là thứ thú vị nhất trên thế giới này,
nhưng dù sao chúng vẫn rất quan trọng. Nếu bạn muốn tránh tất cả các vấn
đề hợp lệ đối với PKI, cách tốt nhất bạn nên xem xét đến việc có một
chính sách chứng chỉ (CP). Chính sách chứng chỉ miêu tả cách và ai phát
hành, phân phối các chứng chỉ đối với một chủ đề (ví dụ như các chủ đề
người dùng, máy tính và các thiết bị,…). Điều này có thể là một nhiệm vụ
khó khăn nhưng bạn không nên quá lo lắng. Hãy tuân theo các bước dưới
đây và bạn sẽ thực hiện một cách dễ dàng việc tạo chính sách chứng chỉ
cho PKI của mình.
1. Hãy xem qua RFC 3647 (thành phần bạn có thể tìm thấy qua [You must be registered and logged in to see this link.]).
2. Sau đó hãy quan sát một chính sách chứng chỉ như thế nào, mặc dù chính sách này có thể chi tiết hơn chính sách bạn cần. [You must be registered and logged in to see this link.] – Chính sách cho Ủy ban phòng chống của Mỹ (DoD).
Tạo một tuyên bố trong sử dụng chứng chỉ
Tới
đây hầu như chúng ta đã thực hiện xong phần lập kế hoạch, tuy nhiên vẫn
cần phải tạo tuyên bố trong sử dụng chứng chỉ (CPS). CPS rất giống với
chính sách chứng chỉ, ngoại trừ nó tập trung vào vấn đề bảo mật của CA
(quyền chứng chỉ) trong suốt các hoạt động và quản lý chứng chỉ được
phát hành bởi CA. Một CPS thường ngắn hơn nhiều so với chính sách bảo
mật và gồm có các thông tin về người có trách nhiệm trong trường hợp
chứng chỉ không thể sử dụng để bảo vệ thỏa đáng những gì nó được đưa ra.
Ví dụ một kết nối SSL/TLS khi một khách hàng đang nhập vào số thẻ tín
dụng của họ. Các thành phần khác có trong một CPS là cách hợp lệ, tái
sinh, hủy bỏ được quản lý như thế nào bởi bộ phận CA chịu trách nhiệm
cho việc phát hành chứng chỉ. Bạn có thể xem một CPS như một thỏa thuận
giữa người dùng chứng chỉ và công ty chịu trách nhiệm cho việc phát hành
CA. Ở đây chúng tôi có một số ví dụ cho một CPS, các ví dụ này có thể
sẽ quen thuộc hơn với bạn.
1. Bạn có thể xem thông qua RFC 3647 về CPS [You must be registered and logged in to see this link.].
2. Ngoài ra bạn cũng có thể xem CDP của VeriSign [You must be registered and logged in to see this link.]
Không
giống như chính sách chứng chỉ, một CPS luôn được tạo có sẵn công cộng
để một người dùng nào đó có chứng chỉ luôn có thể truy cập vào CPS.
Trong mỗi chứng chỉ mà CA của bạn phát hành, sẽ có một liên kết để chỉ
ra vị trí nơi CPS được xuất bản. Chúng ta sẽ xem xét kỹ hơn vấn đề này
trong phần hai của bài.
Kết luận
Chúng
tôi đã giới thiệu cho các bạn cách nhìn tổng quan về một số vấn đề quan
trọng để lưu ý đến giai đoạn lập kế hoạch trong việc xây dựng PKI, nó
sẽ thật tốt nếu bạn xem xét các thông tin trong bài này từ một quan điểm
quan trọng khi muốn xây dựng một PKI trong một môi trường bảo mật cao.
Hãy nhớ rằng loạt bài này chỉ phục vụ như một hướng dẫn vắn tắt để giúp
bạn có được một PKI với thời gian ngắn nhất. Nếu muốn có được các chi
tiết hơn về việc lập kế hoạch, thiết kế và cài đặt, hãy xem trong những
đường dẫn mà chúng tôi sẽ giới thiệu dưới đây. Trong bài tiếp theo chúng
ta sẽ tiếp tục quan sát gần hơn đến các tùy chọn thiết kế và cài đặt
khác nhau mà bạn có với những thực tiễn tốt nhất có thể.
[You must be registered and logged in to see this link.][You must be registered and logged in to see this link.][You must be registered and logged in to see this link.]Các thông tin mở rộng
Tất cả các bài báo về Microsoft PKI [You must be registered and logged in to see this link.]
Nếu muốn xem cách Microsoft thực hiện PKI như thế nào, hãy vào địa chỉ [You must be registered and logged in to see this link.]
Và cuối cùng là cuốn sách - Microsoft Windows Server 2003 PKI and Certificate Security tại địa chỉ [You must be registered and logged in to see this link.]