Advanced Certificate Request Wizard của Windows Vista và Windows Server 2008

Thomas Shinder

Sử dụng MMC Certificate Request Wizard như thế nào trên một máy chủ Windows 2008 để yêu cầu chứng chỉ từ một Windows Server 2008 CA. Chứng chỉ này sau đó sẽ được sử dụng để chứng thực.

Trong tất cả các vấn đề về việc quản trị doanh nghiệp và bảo mật Windows đang phải đối mặt ngày nay có một sự khó khăn lớn nhất trong vấn đề tìm hiểu và quản lý đó là Public Key Infrastructure. Vấn đề chứng chỉ này luôn phát sinh trong kế hoạch triển khai, và có một số sự nhầm lẫn hay lộn xộn liên quan đến kiểu chứng chỉ được yêu cầu, những thông tin gì cần thiết cần có trong chứng chỉ và cách cài đặt chứng chỉ đó như thế nào. Có một nhược điểm ở đây là Windows Server 2008 lại không cho phép thực hiện nhiệm vụ này một cách dễ dàng, những công việc bạn cần thực hiện để có được chứng chỉ máy tính rất khó khăn vì những thay đổi trong website kết nạp.

Mặc dù vậy, nếu quan tâm đến các chứng chỉ và tạo yêu cầu chứng chỉ, bạn cũng quan tâm đến những điều khiển tinh chỉnh trên yêu cầu chứng chỉ cũng như có thể sử dụng các mẫu chứng chỉ thì bạn sẽ hài lòng với Advanced Certificate Request Wizard, một tiện ích có sẵn trong Windows Server 2008 và Windows Vista Certificates MMC. Các tiện ích mới này sẽ cho phép bạn kiểm soát và điều khiển mọi khía cạnh yêu cầu của chứng chỉ bằng một giao diện kích chuột đơn giản.

Tiện ích mới này mang đến cho các bạn một giải pháp với kịch bản chung, nơi mà bạn cần yêu cầu chứng chỉ cho các máy tính thành viên không thuộc miền (non-domain). Đây không phải là lĩnh vực cho các máy tính nằm trong miền vì khi một máy tính nào đó ra nhập vào một miền, nó có thể dễ dàng yêu cầu một chứng chỉ máy tính từ CA trực tuyến. Một tùy chọn khác cho miền đã nhập các máy tính này là có thể cấu hình chúng để kết nạp chứng chỉ máy tính. Mặc dù vậy các máy tính không thuộc miền lại không có được tùy chọn này.

Trong các phần trước về website kết nạp, bạn có thể dễ dàng thu được chứng chỉ máy tính cho các máy không thuộc miền bằng cách sử dụng các mẫu Computer template. Với phiên bản Windows Server 2008 của website kết nạp (Web enrollment site), tùy chọn này được bỏ đi cho Windows Vista và Windows Server 2008. Chính vì vậy bạn cần phải thay đổi phương pháp yêu cầu chứng chỉ máy từ Web enrollment site của CA.

Đây chính là vấn đề mà tùy chọn Certificates snap-in Advanced Operations mới này có thể giải quyết. Sử dụng tiện ích yêu cầu chứng chỉ mới đã có trong Windows Server 2008 hoặc Windows Vista, bạn có thể dễ dàng tạo một file văn bản dựa trên các mẫu đã được cài đặt trước để có được bất kỳ kiểu chứng chỉ nào mà bạn muốn. Không những thế còn có thể tinh chỉnh các điều khiển trong cấu hình chứng chỉ để có thể mở rộng những cấu hình trước đây các mẫu có sẵn đã cung cấp cho bạn.

Hình bên dưới thể hiện cách truy cập vào tiện ích yêu cầu chứng chỉ mới này. Trong ví dụ này, chúng tôi đã tạo một Certificates MMC trong Windows Server 2008 domain controller có một CA đã được cài đặt trên đó. Trong giao diện điều khiển, bạn kích chuột phải vào Certificates rồi trỏ đến All Tasks, Advanced Operations. Sau đó kích vào Create custom request. Thao tác này sẽ cho phép bạn tạo một file văn bản để đệ trình lền Web enrollment site nhằm có được chứng chỉ.


Hình 1

Tiện ích chứng chỉ bắt đầu với trang Before You Begin. Kích Next trên trang này.


Hình 2

Trên trang Custom request, bạn có một số tùy chọn để chọn các mẫu chứng chỉ (Template) để sử dụng và các kiểu định dạng yêu cầu.


Hình 3

Khi kích vào mũi tên hướng xuống trong danh sách Template, bạn sẽ thấy một danh sách các mẫu có sẵn, các mẫu này được sử dụng để cấu hình một cách tự động chứng chỉ. Lưu ý rằng sau khi chọn mẫu, bạn vẫn có thể tùy chỉnh các thiết lập. Trong ví dụ này chúng tôi sẽ chọn chứng chỉ Computer.


Hình 4

Trong trang Certificate Information, bạn sẽ thấy các thiết lập Key usage, Application policies Validity period đối với các chứng chỉ sẽ được tạo. Mặc dù vậy chúng ta có thể tùy chỉnh một số khía cạnh của chứng chỉ này. Có thể thực hiện các tùy chỉnh này bằng cách kích vào nút Properties.


Hình 5

Để xuất hiện hộp thoại Certificate Properties. Trên tab General bạn có các tùy chọn để tạo một tên thân thiện dành cho việc phân biệt mục đích của các chứng chỉ, cũng có thêm một mô tả cho tùy chọn. Trong ví dụ này chúng ta sẽ lấy tên của nó là ComputerCert.


Hình 6

Trong tab Subject, bạn có thể gán tên của mạng cấp dưới (subnet name) cho chứng chỉ. Chủ đề của một chứng chỉ là một người dùng hoặc máy tính (như trong trường hợp này cho chứng chỉ máy mà chúng ta đang yêu cầu). Tên của mạng cấp dưới này được sử dụng để phân biệt người dùng hoặc máy tính với máy tính hoặc các ứng dụng yêu cầu các thông tin này. Trong ví dụ này, chúng ta lấy một tên chung là nyc-cl1.woodgrovebank.com trong hộp văn bản Value nằm trong phần Subject name. Sau đó kích Add và nó sẽ xuất hiện trong phần bên phải của trang. Chúng ta sẽ nhập vào cùng tên đó trong phần Alternative name và nhập vào tên DNS là cl1.woodgrovebank.com.

Lưu ý trong môi trường sản xuất, bạn có thể sử dụng một tên khác cho alternate name. Các máy chủ như Exchange 2007 và Office Communications Server 2007 sẽ sử dụng tên được chứa trong các chứng chỉ đã cài đặt này.


Hình 7

Có nhiều tùy chọn trên tab Extensions. Tùy chọn đầu tiên đó là Key usage. Lưu ý các tùy chọn Digital signature Key encipherment đã được chọn. Mặc dù vậy nếu bạn muốn chọn thêm các thiết lập về sử dụng khóa nữa thì cũng hoàn toàn có thể thực hiện ở tab này.


Hình 8

Trong phần Extended Key Usage (application polices), các tùy chọn Server AuthenticationClient Authentication đã được chọn. Tiếp đó nếu bạn thích kích hoạt các tùy chọn sử dụng khóa mở rộng thì hãy chọn chúng từ danh sách Available options.


Hình 9

Tùy chọn Basic constraints cho phép bạn kích hoạt các mở rộng ràng buộc cơ bản. Đây là tùy chọn không được cấu hình vì mẫu không được kích hoạt tùy chọn này.


Hình 10

Trong phần Include Symmetric algorithm, bạn có thể kích hoạt phần mở rộng để cung cấp thêm các thông tin về khả năng của các chứng chỉ hệ thống đã được phát hành bởi mẫu này. Tuy nhiên mẫu cũng không kích hoạt tùy chọn này nhưng bạn có thể kích hoạt nó nếu cảm thấy cần thiết.


Hình 11

Trong phần Custom extension definition, bạn có thể nhập vào các nhận dạng đối tượng Object Identifiers của chính mình và các giá trị. Đây là một tùy chọn rất hữu dụng nếu bạn có một ứng dụng hoặc gateway muốn nhận OID và các filter lọc truy cập CA đang sử dụng OID. Mẫu Computer Certificate không sử dụng các OID nào chính vì vậy không cần nhập vào ở đây.


Hình 12

Trong tab Private Key, bạn có thể cấu hình một khía cạnh hoàn toàn khác cho khóa riêng. Trong phần Cryptographic Service Programs (CSP), bạn có thể chọn CSP nếu mẫu chọn có hỗ trợ CSP. Ví dụ này đang sử dụng mẫu Computer Certificates nên chỉ có sẵn tùy chọn Microsoft RSA SChannel Cryptographic Provider (Encryption). Nếu tích vào hộp kiểm Show all CSPs bạn sẽ thấy phần còn lại của CSP không hợp lệ cho mẫu chứng chỉ này.


Hình 13

Trong phần Key options, bạn có thể chọn Key size. Thêm vào đó cũng có thể kích hoạt hoặc vô hiệu hóa các tùy chọn Make private key exportable, Allow private key to be archivedStrong private key protection. Lưu ý tùy chọn Make private key exportable không được kích hoạt bởi mẫu, nhưng chúng tôi đã kích hoạt nó trong ví dụ này để khóa riêng có khả năng export.


Hình 14

Phần Key type định nghĩa những sử dụng được phép cho khóa riêng có liên quan với chứng chỉ. Computer Template đã tự động chọn tùy chọn Exchange, đó chính là những gì bạn muốn khi sử dụng như dự định cho chứng chỉ để chứng thực máy khách và máy chủ.


Hình 15

Trong phần Key permissions bạn có thể thiết lập người có quyền truy cập với khóa riêng.


Hình 16

Sau khi đã chọn, bạn có thể thấy Key usage, Application policiesValidity trước đó. Thừa nhận rằng Validity period được quyết định bởi template vì không có tùy chọn nào để xác nhận tính hợp lệ trước đó.


Hình 17

Bước tiếp theo là đặt tên cho file văn bản yêu cầu chứng chỉ. Trong ví dụ này, chúng ta đặt tên cho nó là c:\NYC-CL1-CERT. Chúng ta lưu file văn bản này với mã Base 64, đây là loại mã hóa Windows Server 2008 Certificate Server sẽ chấp nhận.


Hình 18

Sau khi lưu file, bạn mở nó bằng notepad. Chọn tất cả văn bản trong file bằng cách sử dụng tùy chọn Select All từ menu Edit. Sau đó kích Copy từ menu Edit để copy các thông tin vào clipboard. Paste các thông tin này vào biểu mẫu Web enrollment site để thu được chứng chỉ.


Hình 19

Trong ví dụ này chúng ta sẽ sử dụng một CA. Tại sao lại vậy? Câu trả lời ở đây là nếu ta sử dụng một CA doanh nghiệp thì sẽ bị áp đặt phải sử dụng certificate template. Chúng ta không muốn sử dụng certificate template này trên CA vì đã tạo yêu cầu sử dụng certificate template mà chúng ta muốn sử dụng. Nếu bạn sử dụng CA doanh nghiệp và chủ đề yêu cầu của bạn sử dụng một trong các mẫu chứng chỉ có sẵn thì các thiết lập của mẫu chứng chỉ của CA sẽ ghi đè thiết lập mà chúng ta đã cấu hình trong tiện ích certificate request wizard, đây thực sự là điều không mong muốn.

Để kết nối với Web enrollment site của CA, bạn hãy nhập vào http://servername/certsrv. Đường dẫn trên sẽ dẫn bạn đến trang Welcome. Trên trang này, bạn hãy kích vào liên kết Request a certificate.


Hình 20

Trong trang Request a Certificate, bạn kích vào liên kết advanced certificate request


Hình 21

Trên trang Advanced Certificate Request, kích liên kết Submit a certificate request by using a base-64-encoded CMC or PKCS#10 file, or submit a renewal request by using a base-64-encoded PKCS#7 file.


Hình 22

Trong trang Submit a Certificate Request or Renewal Request, paste các nội dung của file yêu cầu chứng chỉ trong hộp văn bản Saved Request. Lưu ý rằng bạn không bị bắt buộc phải sử dụng mẫu chứng chỉ có sẵn nhưng nếu đây là một CA doanh nghiệp thì bạn sẽ bị bắt buộc sử dụng chúng và sẽ mất các thiết lập đã cấu hình khi sử dụng certificate request wizard. Kích Submit.


Hình 23

Trong trang Certificate Pending, bạn sẽ thấy yêu cầu được gán một Request Id. Lưu ý rằng chúng chỉ sẽ không được phát hành ngay lập tức vì đây là thiết lập mặc định cho các standalone CA. Với các standalone CA, yêu cầu chứng chỉ phải được chấp nhận trước khi chứng chỉ được phát hành. Tuy nhiên với chứng chỉ doanh nghiệp thì sẽ được phát hành ngay lập tức.


Hình 24

Bây giờ chúng ta hãy quay trở về trang chủ Web enrollment site. Kích liên kết View the status of a pending certificate request.


Hình 25

Trong trang View the Status of a Pending Certificate Request, bạn có thể thấy một liên kết cho yêu cầu chứng chỉ đã được lưu. Kích vào liên kết đó.


Hình 26

Liên kết đó sẽ đưa bạn đến trang Certificate Pending, trong trang này bạn sẽ thấy yêu cầu chứng chỉ của mình vẫn còn bỏ ngỏ đó. Để sửa hiện tượng này, chúng ta cần phải vào giao diện điều khiển Certificate Authority và phát hành chứng chỉ.


Hình 27

Trong giao diện điều khiển Certification Authority, bạn mở phần tên của CA và kích vào nút Pending Requests trong phần panel bên trái của giao diện. Trong phần panel bên phải bạn sẽ thấy một danh sách các yêu cầu chứng chỉ theo thứ tự của Request ID của chúng. Yêu cầu chứng chỉ của chúng ta có Request ID bằng 3, chính vì vậy kích phải vào nó và trỏ đến All Tasks sau đó kích Issue.


Hình 28

Bây giờ chứng chỉ đã được phát hành, bạn có thể lấy lại nó bằng cách sử dụng Web enrollment site. Trở về trang chủ của Web enrollment site và kích vào liên kết View the status of a pending certificate request.


Hình 29

Trong trang View the Status of a Pending Certificate Request, kích vào liên kết Save-Request.


Hình 30

Trong trang Certificate Issued, bạn có thể chọn để download chứng chỉ theo định dạng file mã DER hoặc Base 64. Nhìn chung, dù bạn có chọn kiểu nào cũng không thành vấn đề. Khi kích vào liên kết Download certificate, bạn chỉ lấy được chứng chỉ với khóa riêng của nó. Nếu chọn liên kết Download certificate chain thì bạn sẽ có được chứng chỉ máy với khóa riêng của nó và các chứng chỉ CA từ tất cả các CA trong chuỗi chứng chỉ. Liên kết này rất hữu dụng nếu bạn đang cài đặt chứng chỉ máy cho các thành viên không thuộc miền, vì bạn cần chứng chỉ CA đã được cài đặt trong kho lưu trữ Trusted Root Certification Authorities của máy tính để máy tính để được tin tưởng.

Trong ví dụ này, chúng ta sẽ download chứng chỉ để có thể xem xét sâu hơn về nó.


Hình 31

Kích Save trong hộp thoại File Download.


Hình 32

Lưu chứng chỉ này trên desktop.


Hình 33

Kích đúp vào chứng chỉ. Trên tab General, bạn có thể thấy chứng chỉ đã được phát hành với tên mà chúng ta đã cấu hình cho sử dụng.


Hình 34

Kích tab Details. Ở đây bạn có thể thấy tất cả các tùy chọn đã được cấu hình trong tiện ích.


Hình 35

Kết luận

Trong bài này chúng tôi đã giới thiệu cho các bạn một tiện ích yêu cầu chứng chỉ mới (advanced certificate request wizard) có trong Windows Server 2008 và Windows Vista. Tiện ích mới này cho phép chúng ta tạo file văn bản cho yêu cầu chứng chỉ để có thể đệ trình tới một CA phát hành cho chúng ta một chứng chỉ. Certificates MMC certificate request wizard cho phép bạn sử dụng các mẫu chứng chỉ kèm theo khi chạy tiện ích này từ máy tính đã được chứng thực chứng chỉ. Thêm vào đó, bạn có thể điều chỉnh thêm một số thiết lập tinh chỉnh hơn nữa trong chứng chỉ của mình bằng các tùy chọn có tính tùy chỉnh cao. Tiện ích yêu cầu chứng chỉ mới thực sự là một tiện ích rất hữu dụng trong Vista và Windows Server 2008, nơi không có khả năng tạo yêu cầu trực tuyến cho một chứng chỉ máy.

Thứ Ba, 03/06/2008 10:54
31 👨 1.718
0 Bình luận
Sắp xếp theo