Trang Chính
Trong các phần trước
của loạt bài này chúng tôi đã giới thiệu cho các bạn tổng quan về cách
chuẩn bị, lập kế hoạch và thiết kế PKI Microsoft. Chúng tôi cũng đưa ra
một một chút kỹ thuật trong đó để thể hiện cho các bạn cách cài đặt PKI
dựa trên Microsoft Certificate Services trong Windows Server 2003. Trong
phần cuối này, chúng tôi sẽ giới thiệu tổng quan về cách bảo trì và
khắc phục sự cố PKI của bạn bằng một số công cụ cơ bản nhưng rất có giá
trị.
Toolbox
Một
trong những thành phần rất có giá trị đối với bạn và PKI đó là toolbox,
nó gồm có các rất nhiều công cụ. Các công cụ này sẽ giúp bạn duy trì sự
ổn định của PKI và giải quyết các vấn đề một cách nhanh chóng, không bị
nhiều phiền toái. Mặc dù vậy hộp công cụ này không dễ dàng cho việc
thực hiện thao tác nhiệm vụ ngay tức thì vì nó không có nhiều công cụ có
sẵn, do đó phải sử dụng chúng một cách tốt nhất với những gì chúng ta
có. Dưới đây chúng tôi liệt kê các tùy chọn của bạn đối với Microsoft
PKI toolbox (không theo thứ tự):
Tất cả các công cụ này đều rất hữu dụng với PKI, tuy nhiên chúng cũng
có một số thông tin quan trọng giúp bạn có thể khắc phục sự cố PKI.
Cách tốt nhất để khắc phục sự cố PKI này là sử dụng quá trình đã cấu
trúc từ trước. Phương pháp này được chúng tôi giới thiệu dưới đây:
1.
Luôn luôn bắt đầu việc khắc phục sự cố bằng cách kiểm tra các bản ghi
sự kiện. Điều này có thể dường như hiển nhiên nhưng hầu hết tất cả PKI
có dính líu tới lỗi sẽ bị ghi vào các bản ghi sự kiện. Chính vì vậy bạn
có thể hiển thị thông báo lỗi từ các chương trình khác nhau như
Certificate Services MMC, bản ghi sự kiện xét cho cùng vẫn là cách tốt
nhất để đọc và gỡ rối các lỗi liên quan đến PKI.
2. Sử dụng các
công cụ PKIview.msc để có được một cách nhìn tổng quan về trạng thái PKI
của bạn. PKIview.msc sẽ thể hiện một số lỗi chung nhất gồm có CRL hết
hạn hoặc bị mất hoặc một chứng chỉ CA hết hiệu lực. Nếu mọi thứ dường
như tốt đối với công cụ này thì bạn có thể chuyển lên và tập trung vào
các vấn đề liên quan đến chứng chỉ cụ thể như các thiết lập bảo mật trên
mẫu chứng chỉ,…
3. Nếu lỗi không hiển nhiên hoặc khó khăn trong
vấn đề khắc phục thì bạn hãy tìm kiếm sự trợ giúp từ danh sách tài
nguyên của chúng tôi tại phần cuối của bài viết, hoặc tìm các giải pháp
thông qua [You must be registered and logged in to see this link.], các nhóm hoặc forum.
Một
điều nữa có thể giúp ích cho bạn là phải có một danh sách kiểm tra sau
khi cài đặt và trong quá trình bảo trì. Đây là một ví dụ mà bạn nên xem
xét để tham khảo:
Hãy tiếp tục và xem xét một số tiện ích từ hộp công cụ của chúng ta,
cách chúng có thể cho phép thực hiện dễ dàng hơn như thế nào với khía
cạnh PKI của bạn.
Certificate Services và Certificates Templates MMC Snap-in
Certificate
Services MMC Snap-in (certsrv.msc) là giao diện quản trị PKI chính. Bạn
nên đầu tư một chút thời gian với MMC Snap-in này và dần làm quen với
công cụ vì nó có thể giúp bạn hiểu sâu về thế giới PKI của Microsoft.
Với snap-in này, bạn sẽ hiểu được về các mẫu chứng chỉ AIA, CDP, V2,.. ý
nghĩa và chúng liên kết như thế nào với một số lĩnh vực đã được giới
thiệu trong các phần trước. Trợ giúp của nó cũng rất có giá trị, nó gồm
có nhiều phần nhỏ cho phép thao tác tốt nhất (giống như nhiều các file
trợ giúp khác trong Windows Server 2003). Hầu hết các vấn đề với PKI
thường liên quan đến các vấn đề về điều khoản, nơi chứng chỉ đang được
sử dụng hoặc khả năng có sẵn của CRL. Vì vậy hãy xem xét một số ví dụ
nơi công cụ này có thể trợ giúp đắc lực trong khi khắc phục sự cố PKI
của bạn.
Một trong những lỗi thường xuyên nhất mà bạn sẽ thấy
trong khía cạnh PKI là một CRL hết hạn hoặc không có khả năng truy cập.
Cách nhanh chóng để giải quyết vấn đề này là công bố CRL từ Certificate
Services MMC, nhưng điều này cũng có thể được soạn thảo từ dòng lệnh.
Hình 1: Công bố CRL
Bạn nên tạo dựng thói quen khi kiểm tra xem một chứng chỉ nào đó đã
được phát hành hay không bằng cách kiểm tra menu con “Failed Requests”
trên panel bên trái của giao diện MMC. Từ menu này, bạn sẽ có thể nghiên
cứu tỉ mỉ tại sao có một lỗi liên quan với việc thất bại khi đưa ra một
chứng chỉ. Thông thường lỗi này sẽ rất khó đọc từ phần “Failed
Request”. Cách tốt hơn là lỗi này sẽ được bổ sung vào bản ghi ứng dụng.
Do chúng ta hoàn toàn có thể dễ dàng copy một đầu vào bản ghi sự kiện từ
Event Viewer hơn Certificate Services MMC, do đó chúng ta nên lựa chọn
phương pháp này để kiểm tra các lỗi có liên quan đến PKI trừ khi bạn sử
dụng kiểu quản trị ủy nhiệm và MMC tùy chỉnh.
Một lỗi khác là
các thiết lập bảo mật sai trên các mẫu chứng chỉ. Bạn có thể thay đổi sự
bảo mật các mẫu chứng chỉ từ Certificate Services MMC bởi việc kích
chuột phải vào Certificate Templates và chọn Manage hoặc bắt đầu một MMC
mới, nơi bạn bổ sung thêm Certificate Templates (certtmpl.msc) snap-in.
Với cách từ Certificate Templates MMC, bạn chọn các thuộc tính của mẫu
chứng chỉ muốn sử dụng. Sau đó kích vào tab Security và bảo đảm rằng
nhóm bảo mật đúng được cho phép để nhận một chứng chỉ bằng việc kích
hoạt các điều khoản “Read” (đọc) và “Enroll” (nạp) cho nhóm đó.
Hình 2: Kiểm tra xem mẫu chứng chỉ có các thiết lập bảo mật đúng hay không
PKIview.msc
Một
trong những công cụ có giá trị nhất cho PKI của bạn là PKIview.msc,
công cụ này có sẵn trong Windows Server 2003 Resource Kit. Với công cụ
này, bạn có thể kiểm tra trạng thái của PKI. Khi bắt đầu công cụ đồ họa,
bạn sẽ thấy những chỉ thị khác nhau thông báo mọi thứ đều tốt với PKI
của bạn. Mặc dù chỉ thị màu vàng sẽ cho bạn thông báo rằng chứng chỉ
hoặc Certificate Revocation List (CRL) là sắp hết hạn. Nếu bạn nhìn thấy
các lỗi màu đỏ, màu đỏ là chỉ thị rằng CRL hoặc các vị trí Authority
Information Access (AIA) là ngoài tầm kiểm soát. Các lỗi màu đỏ cũng có
thể chỉ thị tằng một CA không được tin cậy. Nếu bạn gặp trường hợp này,
hãy kích chuột phải vào lỗi đó và kích “Copy URL” và paste URL vào trình
duyệt web, nếu nó là một vị trí HTTP ngoài tầm kiểm soát hoặc sử dụng
công cụ như adsiedit.msc của Windows Support Tools để kiểm tra xem vị
trí CDP đã công bố là sự hủy bỏ hay tin tưởng.
Công cụ này có
rất nhiều khả năng, tối thiểu bạn cũng nên chạy công cụ này mỗi tuần một
lần để bảo đảm tình trạng của PKI. Các chi tiết trong lỗi này sẽ chỉ
thị nhanh chính xác nơi lỗi ở đâu, mặc dù vậy nó sẽ không cho một giải
pháp chính xác. Vì vậy bạn cần thực hiện một số công việc phát hiện bằng
vài công cụ đã đề cập trong hộp công cụ ở phần trên của bài này hoặc
tìm trên Google cho sự kiện xuất hiện trong PKIview.msc.
Hình 3: PKIview.msc, một công cụ tuyệt vời cho việc khắc phục sự cố
Certutil.exe
Đây
là một tiện ích dòng lệnh thay thế cho bộ công cụ tài nguyên từ Windows
2000 có tên gọi là Dsstore.exe. Có một số ưu điểm trong việc sử dụng
Certutil.exe. Đầu tiên, bạn có thể hoàn toàn dễ dàng kịch bản hóa và có
thể thao tác nó một cách dễ dàng hơn rất nhiều khi mang ra so sánh với
tất cả các công cụ trong toolbox của PKI đối với sự cấu hình, tài liệu
hóa và khắc phục sự cố. Một ưu điểm khác thường không được đề cập đến đó
là nó có thể chạy nhiều tính năng thu thập dữ liệu với tư cách là một
người dùng thông thường. Điều này quả thực là một ưu điểm lớn cho việc
khắc phục sự cố các vấn đề chứng chỉ; không thỏa hiệp sự bảo mật của
PKI. Lý do tại sao việc khắc phục sự cố PKI với Certutil.exe sẽ không
thỏa hiệp sự bảo mật của PKI là vì có nhiều tùy chọn cấu hình không có
sẵn trừ khi bạn có các điều khoản cần thiết (đủ quyền).
Một ưu
điểm khác nữa của Certutil.exe là tính năng quản lý sự thay đổi (phân
loại). Nhiều thiết lập Certificates Services được lưu trong Windows
registry:
“My Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc”
Bất
cứ khi nào bạn thực hiện sự thay đổi cho PKI bằng tham số the “certutil
–setreg” thì tiện ích này sẽ hiển thị thiết lập cũ đầu tiên và theo sau
là thiết lập mới sau này.
Chúng ta sẽ không tìm hiểu tất cả các
tính năng và các tùy chọn khác nhau của Certutil.exe, vì chúng thực sự
có quá nhiều. Mặc dù vậy, nhập vào “Certutil -?” bạn sẽ có được một tổng
quan hoàn chỉnh. Một chút gợi ý của chúng tôi ở đây cho các bạn là
phiên bản Certutil.exe của Windows Server 2003 có thể được đưa vào
Windows Vista, Windows XP và Windows 2000. Tất cả những gì bạn cần để
thực hiện là copy các file Certutil.exe, Certcli.dll và Certadm.dll vào
vị trí trên máy tính Windows Vista, XP hay Windows 2000 của bạn. Không
có yêu cầu nào cho việc đăng ký file DDL. Hãy chạy tiện ích dòng lệnh từ
vị trí đó.
Kết luận
Thực
hiện vấn đề này có thể có nhiều cách nhưng bằng cách sử dụng quá trình
khắc phục sự cố đã cấu trúc từ trước, bạn có thể định vị một cách nhanh
chóng và xác định chính xác nơi PKI của bạn đang có hiện tượng bị mất.
Chúng tôi đã cố gắng giới thiệu một cách tổng quan và toàn bộ các công
cụ, tiện ích cần cho dịch vụ của bạn và chúng tôi cũng đã minh chứng
bằng tài liệu một số ví dụ về cách sử dụng các công cụ này. Tuy nhiên có
quá nhiều tùy chọn có sẵn, điều này phụ thuộc vào cách bạn trộn và kết
hợp các công cụ. Các ví dụ thể hiện trong bài này là gợi ý tạo nguồn cảm
hứng cho bạn. Trong danh sách các tài nguyên mở rộng được liệt kê bên
dưới, bạn sẽ thấy các liên kết chỉ đến các bài báo có giá trị sẽ giới
thiệu rất nhiều đến tùy chọn khắc phục sự cố. Với tất cả các tài nguyên
đã đề cập trong bài này, bạn sẽ có được một kiến thức tốt để bảo vệ tình
trạng và chạy PKI của bạn được tốt.
Nguồn thông tin thêm
Tất cả các bài báo về PKI [You must be registered and logged in to see this link.]
Nếu bạn muốn xem cách Microsoft thực hiện PKI như thế nào, hãy vào địa chỉ [You must be registered and logged in to see this link.]
Và cuối cùng là cuốn sách - Microsoft Windows Server 2003 PKI and Certificate Security tại địa chỉ [You must be registered and logged in to see this link.]
của loạt bài này chúng tôi đã giới thiệu cho các bạn tổng quan về cách
chuẩn bị, lập kế hoạch và thiết kế PKI Microsoft. Chúng tôi cũng đưa ra
một một chút kỹ thuật trong đó để thể hiện cho các bạn cách cài đặt PKI
dựa trên Microsoft Certificate Services trong Windows Server 2003. Trong
phần cuối này, chúng tôi sẽ giới thiệu tổng quan về cách bảo trì và
khắc phục sự cố PKI của bạn bằng một số công cụ cơ bản nhưng rất có giá
trị.
Toolbox
Một
trong những thành phần rất có giá trị đối với bạn và PKI đó là toolbox,
nó gồm có các rất nhiều công cụ. Các công cụ này sẽ giúp bạn duy trì sự
ổn định của PKI và giải quyết các vấn đề một cách nhanh chóng, không bị
nhiều phiền toái. Mặc dù vậy hộp công cụ này không dễ dàng cho việc
thực hiện thao tác nhiệm vụ ngay tức thì vì nó không có nhiều công cụ có
sẵn, do đó phải sử dụng chúng một cách tốt nhất với những gì chúng ta
có. Dưới đây chúng tôi liệt kê các tùy chọn của bạn đối với Microsoft
PKI toolbox (không theo thứ tự):
Certificate Services (certsrv.msc) – Giao diện quản lý này gồm có các chức năng chính bạn sẽ cần đến khi cấu hình và duy trì PKI
Certificate Templates (certtmpl.msc) – Giao diện này được sử dụng để duy trì và bảo vệ các mẫu chứng chỉ
Certificate Manager (certmgr.msc) – Giao diện này được sử dụng để kiểm soát các chứng chỉ được cài đặt trên máy tính hoặc người dùng hiện hành.
Certutil.exe – Tiện ích chứng chỉ dựa trên dòng lệnh thực hiện như Certificate Services MMC plus
Event Viewer (Eventvwr.msc) – Công cụ này rất quan trọng khi khắc phục sự cố PKI
Enterprise PKI tools (PKIview.msc) – Công cụ sức khỏe PKI dựa trên MMC.
Capimon.exe – Cho phép quản trị viên có thể kiểm tra các cuộc gọi CryptoAPI của các ứng dụng bảo mật và kết quả của nó.
Tất cả các công cụ này đều rất hữu dụng với PKI, tuy nhiên chúng cũng
có một số thông tin quan trọng giúp bạn có thể khắc phục sự cố PKI.
Cách tốt nhất để khắc phục sự cố PKI này là sử dụng quá trình đã cấu
trúc từ trước. Phương pháp này được chúng tôi giới thiệu dưới đây:
1.
Luôn luôn bắt đầu việc khắc phục sự cố bằng cách kiểm tra các bản ghi
sự kiện. Điều này có thể dường như hiển nhiên nhưng hầu hết tất cả PKI
có dính líu tới lỗi sẽ bị ghi vào các bản ghi sự kiện. Chính vì vậy bạn
có thể hiển thị thông báo lỗi từ các chương trình khác nhau như
Certificate Services MMC, bản ghi sự kiện xét cho cùng vẫn là cách tốt
nhất để đọc và gỡ rối các lỗi liên quan đến PKI.
2. Sử dụng các
công cụ PKIview.msc để có được một cách nhìn tổng quan về trạng thái PKI
của bạn. PKIview.msc sẽ thể hiện một số lỗi chung nhất gồm có CRL hết
hạn hoặc bị mất hoặc một chứng chỉ CA hết hiệu lực. Nếu mọi thứ dường
như tốt đối với công cụ này thì bạn có thể chuyển lên và tập trung vào
các vấn đề liên quan đến chứng chỉ cụ thể như các thiết lập bảo mật trên
mẫu chứng chỉ,…
3. Nếu lỗi không hiển nhiên hoặc khó khăn trong
vấn đề khắc phục thì bạn hãy tìm kiếm sự trợ giúp từ danh sách tài
nguyên của chúng tôi tại phần cuối của bài viết, hoặc tìm các giải pháp
thông qua [You must be registered and logged in to see this link.], các nhóm hoặc forum.
Một
điều nữa có thể giúp ích cho bạn là phải có một danh sách kiểm tra sau
khi cài đặt và trong quá trình bảo trì. Đây là một ví dụ mà bạn nên xem
xét để tham khảo:
- Khả năng có sẵn của PKI và các chứng chỉ gốc của bạn như thế nào?
- CRL có sẵn có hay không?
- Các chứng chỉ được phát hành có làm việc đúng cách hay không?
- Các thành phần hoặc các ứng dụng cơ sở hạ tầng dựa trên chứng chỉ từ PKI có làm việc đúng cách hay không?
- Hiệu suất trên các hệ thống sử dụng các chứng chỉ từ PKI như thế nào?
- Có nhiều thông báo lỗi liên quan đến các chứng chỉ đã cài đặt trên máy tính hay không?
Hãy tiếp tục và xem xét một số tiện ích từ hộp công cụ của chúng ta,
cách chúng có thể cho phép thực hiện dễ dàng hơn như thế nào với khía
cạnh PKI của bạn.
Certificate Services và Certificates Templates MMC Snap-in
Certificate
Services MMC Snap-in (certsrv.msc) là giao diện quản trị PKI chính. Bạn
nên đầu tư một chút thời gian với MMC Snap-in này và dần làm quen với
công cụ vì nó có thể giúp bạn hiểu sâu về thế giới PKI của Microsoft.
Với snap-in này, bạn sẽ hiểu được về các mẫu chứng chỉ AIA, CDP, V2,.. ý
nghĩa và chúng liên kết như thế nào với một số lĩnh vực đã được giới
thiệu trong các phần trước. Trợ giúp của nó cũng rất có giá trị, nó gồm
có nhiều phần nhỏ cho phép thao tác tốt nhất (giống như nhiều các file
trợ giúp khác trong Windows Server 2003). Hầu hết các vấn đề với PKI
thường liên quan đến các vấn đề về điều khoản, nơi chứng chỉ đang được
sử dụng hoặc khả năng có sẵn của CRL. Vì vậy hãy xem xét một số ví dụ
nơi công cụ này có thể trợ giúp đắc lực trong khi khắc phục sự cố PKI
của bạn.
Một trong những lỗi thường xuyên nhất mà bạn sẽ thấy
trong khía cạnh PKI là một CRL hết hạn hoặc không có khả năng truy cập.
Cách nhanh chóng để giải quyết vấn đề này là công bố CRL từ Certificate
Services MMC, nhưng điều này cũng có thể được soạn thảo từ dòng lệnh.
Hình 1: Công bố CRL
Bạn nên tạo dựng thói quen khi kiểm tra xem một chứng chỉ nào đó đã
được phát hành hay không bằng cách kiểm tra menu con “Failed Requests”
trên panel bên trái của giao diện MMC. Từ menu này, bạn sẽ có thể nghiên
cứu tỉ mỉ tại sao có một lỗi liên quan với việc thất bại khi đưa ra một
chứng chỉ. Thông thường lỗi này sẽ rất khó đọc từ phần “Failed
Request”. Cách tốt hơn là lỗi này sẽ được bổ sung vào bản ghi ứng dụng.
Do chúng ta hoàn toàn có thể dễ dàng copy một đầu vào bản ghi sự kiện từ
Event Viewer hơn Certificate Services MMC, do đó chúng ta nên lựa chọn
phương pháp này để kiểm tra các lỗi có liên quan đến PKI trừ khi bạn sử
dụng kiểu quản trị ủy nhiệm và MMC tùy chỉnh.
Một lỗi khác là
các thiết lập bảo mật sai trên các mẫu chứng chỉ. Bạn có thể thay đổi sự
bảo mật các mẫu chứng chỉ từ Certificate Services MMC bởi việc kích
chuột phải vào Certificate Templates và chọn Manage hoặc bắt đầu một MMC
mới, nơi bạn bổ sung thêm Certificate Templates (certtmpl.msc) snap-in.
Với cách từ Certificate Templates MMC, bạn chọn các thuộc tính của mẫu
chứng chỉ muốn sử dụng. Sau đó kích vào tab Security và bảo đảm rằng
nhóm bảo mật đúng được cho phép để nhận một chứng chỉ bằng việc kích
hoạt các điều khoản “Read” (đọc) và “Enroll” (nạp) cho nhóm đó.
Hình 2: Kiểm tra xem mẫu chứng chỉ có các thiết lập bảo mật đúng hay không
PKIview.msc
Một
trong những công cụ có giá trị nhất cho PKI của bạn là PKIview.msc,
công cụ này có sẵn trong Windows Server 2003 Resource Kit. Với công cụ
này, bạn có thể kiểm tra trạng thái của PKI. Khi bắt đầu công cụ đồ họa,
bạn sẽ thấy những chỉ thị khác nhau thông báo mọi thứ đều tốt với PKI
của bạn. Mặc dù chỉ thị màu vàng sẽ cho bạn thông báo rằng chứng chỉ
hoặc Certificate Revocation List (CRL) là sắp hết hạn. Nếu bạn nhìn thấy
các lỗi màu đỏ, màu đỏ là chỉ thị rằng CRL hoặc các vị trí Authority
Information Access (AIA) là ngoài tầm kiểm soát. Các lỗi màu đỏ cũng có
thể chỉ thị tằng một CA không được tin cậy. Nếu bạn gặp trường hợp này,
hãy kích chuột phải vào lỗi đó và kích “Copy URL” và paste URL vào trình
duyệt web, nếu nó là một vị trí HTTP ngoài tầm kiểm soát hoặc sử dụng
công cụ như adsiedit.msc của Windows Support Tools để kiểm tra xem vị
trí CDP đã công bố là sự hủy bỏ hay tin tưởng.
Công cụ này có
rất nhiều khả năng, tối thiểu bạn cũng nên chạy công cụ này mỗi tuần một
lần để bảo đảm tình trạng của PKI. Các chi tiết trong lỗi này sẽ chỉ
thị nhanh chính xác nơi lỗi ở đâu, mặc dù vậy nó sẽ không cho một giải
pháp chính xác. Vì vậy bạn cần thực hiện một số công việc phát hiện bằng
vài công cụ đã đề cập trong hộp công cụ ở phần trên của bài này hoặc
tìm trên Google cho sự kiện xuất hiện trong PKIview.msc.
Hình 3: PKIview.msc, một công cụ tuyệt vời cho việc khắc phục sự cố
Certutil.exe
Đây
là một tiện ích dòng lệnh thay thế cho bộ công cụ tài nguyên từ Windows
2000 có tên gọi là Dsstore.exe. Có một số ưu điểm trong việc sử dụng
Certutil.exe. Đầu tiên, bạn có thể hoàn toàn dễ dàng kịch bản hóa và có
thể thao tác nó một cách dễ dàng hơn rất nhiều khi mang ra so sánh với
tất cả các công cụ trong toolbox của PKI đối với sự cấu hình, tài liệu
hóa và khắc phục sự cố. Một ưu điểm khác thường không được đề cập đến đó
là nó có thể chạy nhiều tính năng thu thập dữ liệu với tư cách là một
người dùng thông thường. Điều này quả thực là một ưu điểm lớn cho việc
khắc phục sự cố các vấn đề chứng chỉ; không thỏa hiệp sự bảo mật của
PKI. Lý do tại sao việc khắc phục sự cố PKI với Certutil.exe sẽ không
thỏa hiệp sự bảo mật của PKI là vì có nhiều tùy chọn cấu hình không có
sẵn trừ khi bạn có các điều khoản cần thiết (đủ quyền).
Một ưu
điểm khác nữa của Certutil.exe là tính năng quản lý sự thay đổi (phân
loại). Nhiều thiết lập Certificates Services được lưu trong Windows
registry:
“My Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc”
Bất
cứ khi nào bạn thực hiện sự thay đổi cho PKI bằng tham số the “certutil
–setreg” thì tiện ích này sẽ hiển thị thiết lập cũ đầu tiên và theo sau
là thiết lập mới sau này.
Chúng ta sẽ không tìm hiểu tất cả các
tính năng và các tùy chọn khác nhau của Certutil.exe, vì chúng thực sự
có quá nhiều. Mặc dù vậy, nhập vào “Certutil -?” bạn sẽ có được một tổng
quan hoàn chỉnh. Một chút gợi ý của chúng tôi ở đây cho các bạn là
phiên bản Certutil.exe của Windows Server 2003 có thể được đưa vào
Windows Vista, Windows XP và Windows 2000. Tất cả những gì bạn cần để
thực hiện là copy các file Certutil.exe, Certcli.dll và Certadm.dll vào
vị trí trên máy tính Windows Vista, XP hay Windows 2000 của bạn. Không
có yêu cầu nào cho việc đăng ký file DDL. Hãy chạy tiện ích dòng lệnh từ
vị trí đó.
Kết luận
Thực
hiện vấn đề này có thể có nhiều cách nhưng bằng cách sử dụng quá trình
khắc phục sự cố đã cấu trúc từ trước, bạn có thể định vị một cách nhanh
chóng và xác định chính xác nơi PKI của bạn đang có hiện tượng bị mất.
Chúng tôi đã cố gắng giới thiệu một cách tổng quan và toàn bộ các công
cụ, tiện ích cần cho dịch vụ của bạn và chúng tôi cũng đã minh chứng
bằng tài liệu một số ví dụ về cách sử dụng các công cụ này. Tuy nhiên có
quá nhiều tùy chọn có sẵn, điều này phụ thuộc vào cách bạn trộn và kết
hợp các công cụ. Các ví dụ thể hiện trong bài này là gợi ý tạo nguồn cảm
hứng cho bạn. Trong danh sách các tài nguyên mở rộng được liệt kê bên
dưới, bạn sẽ thấy các liên kết chỉ đến các bài báo có giá trị sẽ giới
thiệu rất nhiều đến tùy chọn khắc phục sự cố. Với tất cả các tài nguyên
đã đề cập trong bài này, bạn sẽ có được một kiến thức tốt để bảo vệ tình
trạng và chạy PKI của bạn được tốt.
Nguồn thông tin thêm
Tất cả các bài báo về PKI [You must be registered and logged in to see this link.]
Nếu bạn muốn xem cách Microsoft thực hiện PKI như thế nào, hãy vào địa chỉ [You must be registered and logged in to see this link.]
Và cuối cùng là cuốn sách - Microsoft Windows Server 2003 PKI and Certificate Security tại địa chỉ [You must be registered and logged in to see this link.]
