Martin Kiaer
Bạn hiểu thế nào về PKI, đó là viết tắt của Public Key Infrastructure – cơ sở hạ tầng khóa công khai. Trong loạt bài gồm 4 phần này chúng tôi sẽ giới thiệu cho bạn vắn tắt về tổng quan cách thiết kế, cài đặt và khắc phục sự cố một PKI dựa trên Microsoft Certificate Services trong Windows Server 2003. Bên cạnh đó chúng tôi cũng giới thiệu cho bạn một số cạm bẫy thường gặp và cách thực hiện tốt nhất để xây dựng và thực thi một PKI, chúng tôi sẽ tập trung vào các vấn đề cần thiết trong việc xây dựng đúng và linh hoạt PKI ngay từ lúc bắt đầu.
Tại sao lại cần đến PKI
Một vài năm trở lại đây, hầu hết mọi người đều nói về năm 2000 như là năm của PKI. Nhiều người tin tưởng rằng, xu thế chủ đạo của thị trường cuối cùng cũng có khuynh hướng sử dụng tất cả các khía cạnh tốt mà PKI có thể cung cấp. Mặc dù vậy như những gì bạn có thể đoán, các chứng chỉ và PKI chưa từng thực sự cất cánh. Điều đơn giản là nó không đủ gây chú ý cho việc quản lý phân loại và nhân viên kỹ thuật (người có thể thấy được giá trị của PKI). Mặc dù vậy, sau một thời gian, PKI lại trở thành một trong những chủ đề nóng nhất trong các doanh nghiệp lớn và trung bình. Sự thay đổi trong vấn đề bảo mật, nơi bảo mật và các cải thiện trong Internet và khi các công nghệ truyền thông di động trở thành một ngành kinh doanh cho doanh nghiệp, điều đó có nghĩa rằng các chứng chỉ và PKI đã sẵn sàng cho xu thế chủ đạo của thị trường kinh doanh hơn bao giờ hết.
Chính vì vậy, vấn đề lớn PKI với bạn đó là tại sao lại cần phải quan tâm? Cơ bản mà nói đó chính là sự sa sút trong việc quản lý chứng chỉ. Bạn có thể thấy được rằng, ngày nay các chứng chỉ có ở bất cứ đâu và thường chúng được sử dụng mà không cần biết bạn đã bao giờ lo lắng về khả năng tồn tại của chúng. Một trong những kịch bản chung nhất mà các chứng chỉ được sử dụng đó là:
- Mã hóa file và đĩa (các chứng chỉ được sử dụng để bảo vệ khóa mật)
- Thẩm định đa hệ số giống như các thẻ thông minh
- IPSec
- Chữ ký số
- RADIUS và thẩm định 802.1x
- Các mạng không dây
- NAP (Network Access Control - Điều khiển truy cập mạng) và NAQ (Network Access Quarantine – Cách ly truy cập mạng) cho một nguyên tắc
- Dấu hiệu mã và driver
- SSL/TLS cho việc bảo vệ lưu lượng dựa trên HTTP
Như bạn có thể thấy, các chứng chỉ được sử dụng ở nhiều vị trí khác nhau và mục đích chính của nó là bổ sung tính bảo mật cho cơ sở hạ tầng và giải pháp CNTT của bạn. Nhưng nếu quan sát danh sách ở trên thì có thể hình dung được rằng điều này cũng có nghĩa là bạn phải quản lý rất nhiều chứng chỉ, số lượng nhiều hay ít lại phụ thuộc vào những tính năng mà bạn muốn sử dụng trong cơ sở hạ tầng và cách quyết định bổ sung chúng như thế nào. PKI đơn giản là cách quản lý tập trung việc phát hành, thay mới, hủy bỏ các chứng chỉ và xây dựng đường dẫn tin cậy của chính bạn. Các chứng chỉ và PKI mà chúng tôi sẽ giới thiệu trong loạt bài viết này dựa trên X.509 v3, điều đó có nghĩa rằng chúng ta có thể tận dụng một số ưu điểm về cách sử dụng chứng chỉ, và điều đó sẽ được thấy rõ hơn trong phần hai của loạt bài này.
Quan trọng:
Dự định của loạt bài này sẽ cho bạn biết nhanh chóng tổng quan của các lĩnh vực quan trọng nhất, để bạn có thể dễ dàng có được nền tảng về PKI. Mặc dù vậy việc xây dựng một PKI có thể là một dự án lớn và nếu bạn là một quản trị viên CNTT quan tâm đến vấn đề bảo mật thì có thể sẽ cần xem xét sâu hơn trong các liên kết được chúng tôi cung cấp ở cuối mỗi phần của bài.
Lên kế hoạch cho PKI
Tác giả đưa giai đoạn lập kế hoạch vào phần đầu của bài vì dù sao phần lập kế hoạch cũng rất quan trọng và muốn giới thiệu cách lập một kết hoạch như thế nào để có được hiệu quả tốt nhất thông qua một số lĩnh vực mà bạn nên tập trung. Lỗi thường xảy ra nhất đối với các công ty khi thực hiện cài đặt Microsoft Certificate Services (bằng cách đó thiết lập một PKI) là họ thường bỏ qua phần kế hoạch, và như vậy hậu quả làm tốn rất nhiều tài nguyên và tiền của, cuối cùng họ nhận ra rằng có thể không thấy một số vấn đề quan trọng khi vào menu Add/Remove Windows Components trong các máy chủ Windows 2000 hay Windows 2003 và đặt một dấu kiểm tra trước các thành phần Certificate Services.
Các khía cạnh bạn nên xem xét trong suốt quá trình lập kế hoặc cho PKI là:
- Kiểm tra xem chính sách bảo mật của bạn có sẵn sàng được cập nhật PKI hay không
- Tạo một hoặc nhiều chính sách chứng chỉ
- Tạo một tuyên bố trong sử dụng chứng chỉ
Chúng ta hãy xem xét một cách cẩn thận các phần dưới đây.
Kiểm tra xem chính sách bảo mật có sẵn sàng được cập nhật PKI hay không
Brian Komar, tác giả của cuốn sách nổi tiếng “Microsoft Windows Server 2003 PKI and Certificate Security”, đã viết rất nhiều bài báo cho Microsoft và có nhiều buổi làm thuyết trình về các chủ đề PKI khác nhau thường tuyên bố rằng: “PKI sẽ làm cho các chính sách bảo mật của tổ chức bạn có hiệu lực”, đó cũng là tất cả những gì ông muốn nói. Hãy bảo đảm rằng chính sách bảo mật trong công ty của bạn nhắm đến chiến lược CNTT và kinh doanh của công ty, sau đó thực hiện chiến lược này với các ứng dụng và dịch vụ bảo mật thì điều đó sẽ phụ thuộc vào các chứng chỉ. Khi một chính sách bảo mật cần được chấp thuận bởi bộ phận quản lý hoặc bởi các thành viên ủy ban (những người này phải chịu trách nhiệm cho chiến lược kinh doanh của công ty), thì cơ bản bạn sẽ có được một tia sáng xanh để tiến lên với sự thực thi PKI. Bạn có là người có đủ may mắn đó không, trong trường hợp công ty của bạn không có một chính sách bảo mật tập trung thì hãy xem xét đến URL dưới đây về các mẫu đối với các chính sách bảo mật khác nhau dựa trên chuẩn ISO 17799.
The SANS Security Policy Project
RFC 2196, “Site Security Handbook”
Open Directory Project – Security policy samples
Tạo một hay nhiều chính sách chứng chỉ
Quả thực các chính sách không phải là thứ thú vị nhất trên thế giới này, nhưng dù sao chúng vẫn rất quan trọng. Nếu bạn muốn tránh tất cả các vấn đề hợp lệ đối với PKI, cách tốt nhất bạn nên xem xét đến việc có một chính sách chứng chỉ (CP). Chính sách chứng chỉ miêu tả cách và ai phát hành, phân phối các chứng chỉ đối với một chủ đề (ví dụ như các chủ đề người dùng, máy tính và các thiết bị,…). Điều này có thể là một nhiệm vụ khó khăn nhưng bạn không nên quá lo lắng. Hãy tuân theo các bước dưới đây và bạn sẽ thực hiện một cách dễ dàng việc tạo chính sách chứng chỉ cho PKI của mình.
1. Hãy xem qua RFC 3647 (thành phần bạn có thể tìm thấy qua tài liệu này).
2. Sau đó hãy quan sát một chính sách chứng chỉ như thế nào, mặc dù chính sách này có thể chi tiết hơn chính sách bạn cần. The X.509 Certificate Policy for the United States Department of Defense (DoD) – Chính sách cho Ủy ban phòng chống của Mỹ (DoD).
Tạo một tuyên bố trong sử dụng chứng chỉ
Tới đây hầu như chúng ta đã thực hiện xong phần lập kế hoạch, tuy nhiên vẫn cần phải tạo tuyên bố trong sử dụng chứng chỉ (CPS). CPS rất giống với chính sách chứng chỉ, ngoại trừ nó tập trung vào vấn đề bảo mật của CA (quyền chứng chỉ) trong suốt các hoạt động và quản lý chứng chỉ được phát hành bởi CA. Một CPS thường ngắn hơn nhiều so với chính sách bảo mật và gồm có các thông tin về người có trách nhiệm trong trường hợp chứng chỉ không thể sử dụng để bảo vệ thỏa đáng những gì nó được đưa ra. Ví dụ một kết nối SSL/TLS khi một khách hàng đang nhập vào số thẻ tín dụng của họ. Các thành phần khác có trong một CPS là cách hợp lệ, tái sinh, hủy bỏ được quản lý như thế nào bởi bộ phận CA chịu trách nhiệm cho việc phát hành chứng chỉ. Bạn có thể xem một CPS như một thỏa thuận giữa người dùng chứng chỉ và công ty chịu trách nhiệm cho việc phát hành CA. Ở đây chúng tôi có một số ví dụ cho một CPS, các ví dụ này có thể sẽ quen thuộc hơn với bạn.
1. Bạn có thể xem thông qua RFC 3647 về CPS tại đây.
2. Ngoài ra bạn cũng có thể xem CDP của VeriSign tại đây
Không giống như chính sách chứng chỉ, một CPS luôn được tạo có sẵn công cộng để một người dùng nào đó có chứng chỉ luôn có thể truy cập vào CPS. Trong mỗi chứng chỉ mà CA của bạn phát hành, sẽ có một liên kết để chỉ ra vị trí nơi CPS được xuất bản. Chúng ta sẽ xem xét kỹ hơn vấn đề này trong phần hai của bài.
Kết luận
Chúng tôi đã giới thiệu cho các bạn cách nhìn tổng quan về một số vấn đề quan trọng để lưu ý đến giai đoạn lập kế hoạch trong việc xây dựng PKI, nó sẽ thật tốt nếu bạn xem xét các thông tin trong bài này từ một quan điểm quan trọng khi muốn xây dựng một PKI trong một môi trường bảo mật cao. Hãy nhớ rằng loạt bài này chỉ phục vụ như một hướng dẫn vắn tắt để giúp bạn có được một PKI với thời gian ngắn nhất. Nếu muốn có được các chi tiết hơn về việc lập kế hoạch, thiết kế và cài đặt, hãy xem trong những đường dẫn mà chúng tôi sẽ giới thiệu dưới đây. Trong bài tiếp theo chúng ta sẽ tiếp tục quan sát gần hơn đến các tùy chọn thiết kế và cài đặt khác nhau mà bạn có với những thực tiễn tốt nhất có thể.
Phần 2: Thiết kế
Phần 3: Cài đặt
Phần 4: Khắc phục sự cố
Các thông tin mở rộng
Tất cả các bài báo về Microsoft PKI http://www.microsoft.com/pki
Nếu muốn xem cách Microsoft thực hiện PKI như thế nào, hãy vào địa chỉ http://www.microsoft.com/technet/itsolutions/msit/security/deppkiin.mspx
Và cuối cùng là cuốn sách - Microsoft Windows Server 2003 PKI and Certificate Security tại địa chỉ http://www.microsoft.com/mspress/books/6745.asp