Hướng dẫn về PKI – Phần 3: Cài đặt

Phần 1: Lập kế hoạch
Phần 2: Thiết kế

Martin Kiaer

Chúng ta đã đi đến phần ba của loạt bài hướng dẫn về PKI. Trong phần đầu tiên, chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị và lập kế hoạch PKI. Tiếp đến trong phần thứ hai, đi vào chế độ thiết kế và xem xét một số thiết lập thực hành tốt nhất. Trong phần ba này, chúng tôi sẽ giới thiệu rất nhiều đến vấn đề kỹ thuật và thể hiện cho bạn cách cài đặt PKI dựa trên Microsoft Certificate Services trong Windows Server 2003.

Cài đặt PKI

Dựa vào một số kết quả thiết kế từ hai phần trước, bây giờ chúng ta hãy bắt đầu việc cài đặt PKI. Do đây là một hướng dẫn nhanh nên chúng tôi sẽ chỉ giới thiệu một số bước. Phần cuối của bài này, sẽ giới thiệu cho bạn cách cài đặt kiến trúc 2 mức gồm có một CA gốc offline và một CA đang phát hành online trong cùng một PKI có sử dụng các phương pháp thực hành tốt nhất. Mặc dù vậy, trước khi bắt đầu cái đặt, hãy làm quen với một số thứ.

Trong hình 1, chúng tôi đã đưa ra một chu kỳ hợp lệ cho việc thực hành tốt nhất đối với mỗi CA tại mỗi mức (dựa trên kiến trúc 3 mức đối với mô hình tổng thể hoàn tất). Ưu điểm của mô hình này là sẽ bảo đảm cho bạn luôn luôn có sự kiên định đối với các chứng chỉ đã được phát hành tại mỗi mức. Nếu bạn chỉ muốn triển khai kiến trúc 2 mức, đơn giản chỉ cần xóa CA mức 3. Mô hình sẽ vẫn được áp dụng.


Hình 1: Chu kỳ hợp lệ trong thực hành nhất đối với mỗi CA ở mỗi mức

Một thứ nữa mà bạn nên chuẩn bị trước khi bắt đầu cài đặt là một file văn bản có tên CAPolicy.inf. File này được sử dụng để tùy chỉnh cấu hình Windows Certificates Services của bạn. Trong file này, bạn sẽ tìm thấy những thứ rất quan trọng như:

  • Câu lệnh CDP
  • Các thiết lập làm mới chứng chỉ như chu kỳ hợp lệ và kích thước khóa
  • Các liên kết cho CDP và các đường dẫn AIA
  • Tần suất CRL được công bố như thế nào

Tạo file bằng Notepad và lưu nó vào %windir%\capolicy.inf (ví dụ như C:\Windows\capolicy.inf).

Thực hiện nhiệm vụ này quả thực rất đơn giản, bằng việc thực hiện theo các file trong hướng dẫn từng bước dưới đây. Với các thứ mà chúng tôi cung cấp dưới đây, hãy đi sâu vào tính kỹ thuật của vấn đề.

Cài đặt CA gốc offline

Để cài đặt một CA gốc offline, bạn phải thực hiện tất cả gạch đầu dòng dưới đây:

  • Chuẩn bị file CAPolicy.inf
  • Cài đặt Windows Certificate Services
  • Công bố danh sách CRL
  • Chạy kịch bản post-Configuration

Đây là cách nó được thực hiện như thế nào.

1. Cài đặt máy chủ với Windows Server 2003 Standard Edition incl. SP1 hoặc phiên bản mới hơn và bảo đảm rằng nó chạy với tư cách là một máy chủ độc lập (nghĩa là không phải thành viên trong bất kỳ miền nào).

2. Tạo các thay thế tham số cần thiết trong file CAPOlicy.inf bên dưới (được đánh dấu bằng màu đỏ)


Hình 2: File CAPolicy.inf

3. Copy file CAPolicy.INF vào %windir%\capolicy.inf

4. Điều hướng đến Start Menu / Control Panel / Add or Remove Programs | kích Add/Remove Windows Components

5. Trong Windows Components Wizard, bạn hãy chọn Certificates Services sau đó kích Next

6. Lưu ý những gì trong hộp thoại đang hiển thị. Bạn không nên đổi tên máy tính khi Windows Certificate Services được cài đặt, kích Yes


Hình 3

7. Trong trường CA Type, bạn kích Stand-alone root CA, tích vào hộp kiểm “Use custom settings to generate the key pair and CA certificate” và kích Next

Lưu ý:
Thông thường các CA gốc của doanh nghiệp và các tùy chọn CA cấp dưới không thể được chọn vì máy chủ này không phải là thành viên nằm trong một miền.


Hình 4

8. Chọn CSP bạn muốn sử dụng cho CA gốc offline. Để đơn giản, chúng ta hãy chọn Microsoft Strong Cryptographic Provider v1.0, mặc dù có thể chọn CSP khác ví dụ nếu bạn đã cài đặt Hardware Security Module (HSM) và đã kết nối máy chủ đến giải pháp HSM, trước khi bắt đầu thủ tục cài đặt CA.

Chọn thuật toán hash mặc định SHA-1

Thiết lập chiều dài khóa là 4096

Bảo đảm rằng cả hai tùy chọn “Allow this CSP to interact with the desktop” và “Use an existing key” đều không được chọn. Kích Next.


Hình 5

9. Nhập vào tên chung cho CA gốc của bạn, cấu hình hậu tố tên phân biệt (O=domain, C=local) và thiết lậo chu kỳ hợp lệ đến 20 năm, sau đó kích Next.


Hình 6

10. Chấp nhận đề xuất mặc định cho cơ sở dữ liệu chứng chỉ và các file bản ghi, sau đó kích Next.


Hình 7

11. Nếu đây là một CA gốc offline, bạn không cần phải cài đặt IIS (Internet Information Services) và đó lý do tại sao hộp thoại này được hiển thị. Kích OK.


Hình 8

12. Kích Finish


Hình 9

13. Kích Start / Programs / Administrative Tools / Certificate Authority

14. Mở phần panel máy chủ CA của bạn, sau đó kích chuột phải vào Revoked Certificates và chọn All tasks / Publish


Hình 10

15. Chọn New CRL và kích OK

16. Copy %windir%\system32\certsrv\certenroll\*.crt*.crl vào khóa USB. Bạn sẽ cần đến những file này cho CA thứ cấp tiếp theo sẽ được cài đặt.

17. Bạn cũng nên copy các file này vào vị trí CDP HTTP như đã được chỉ thị trong file caconfig.inf được liệt kê từ trước.

18. Tạo sự thay thế các tham số cần thiết trong file dưới đây (phần được bôi đỏ) và chạy file từ dấu nhắc lệnh.


Hình 11

19. Đến đây bạn đã thực hiện xong việc cài đặt CA gốc

Chúng tôi đã đề cập đến từ trước rằng có nhiều lý do về bảo mật để giữ các CA chính sách và CA gốc offline. Chỉ nên giữa các CA đang phát hành ở chế độ online. Điều này chính là vì các CA chính sách và gốc được giữ offline thì chúng sẽ không phải thành viên của một miền.

Cài đặt CA doanh nghiệp đang phát hành online

Để cài đặt CA doanh nghiệp đang phát hành online, bạn cần phải thực hiện theo các bước sau:

  • Chuẩn bị file CAPolicy.inf
  • Cài đặt IIS (Internet Information Services)
  • Cài đặt Windows Certificate Services
  • Đệ trình yêu cầu chứng chỉ CA con đối với CA cha
  • Phát hành chứng chỉ CA con
  • Cài đặt chứng chỉ CA con tại CA cấp dưới doanh nghiệp
  • Chạy kịch bản post-Configuration (cấu hình)
  • Công bố danh sách CRL

Đây là cách thực hiện:

1. Cài đặt một máy chủ có Windows Server 2003 Enterprise Edition incl. SP1 hoặc phiên bản mới hơn và bảo đảm rằng nó là một thành viên của miền

2. Bảo đảm rằng IIS đã được cài đặt. Mặc dù vậy cũng có một chú ý đối với bước này. Nếu bạn thực sự muốn thực hiện đơn giản thì bỏ qua phần IIS. Bằng cách báo trước như vậy là để bạn phải hiểu một cách chính xác PKI trước khi bỏ qua thành phần IIS. Ưu điểm của cách làm này giúp cài đặt đơn giản hơn và giảm được hướng tấn công.

3. Thực hiện thay thế cho các tham số cần thiết trong file CAPOlicy.inf dưới đây (phần được đánh dấu đỏ)


Hình 12: File CAPolicy.inf

4. Copy file CAPolicy.INF vào %windir%\capolicy.inf

5. Điều hướng đến Start Menu / Control Panel / Add or Remove Programs / kích Add/Remove Windows Components

6. Trong Windows Components Wizard, bạn chọn Certificates Services và kích Next


Hình 13

7. Lưu ý với những gì hộp thoại đang hiển thị. Bạn không nên đổi tên máy tính khi Windows Certificate Services đã được cài đặt. Kích Yes

8. Trong trường CA Type, bạn kích CA cấp dưới doanh nghiệp (Enterprise subordinate CA) và tích vào hộp kiểm “Use custom settings to generate the key pair and CA certificate”, sau đó kích Next


Hình 14

9. Chọn CSP muốn sử dụng cho CA đang phát hành. Để đơn giản, chúng ta chọn Microsoft Strong Cryptographic Provider v1.0, mặc dù vậy bạn cũng có thể chọn CSP khác nếu muốn, ví dụ cài đặt Hardware Security Module (HSM) và kết nối máy chủ đối với giải pháp HSM trước khi bắt đầu thủ tục cài đặt CA.

Chọn thuật toán hash mặc định SHA-1

Thiết lập chiều dài khóa là 2048

Bảo đảm rằng cả hai tùy chọn the “Allow this CSP to interact with the desktop” và “Use an existing key” đều không bị tích chọn. Kích Next.


Hình 15

10. Nhập vào tên cho CA đang phát hành và thiết lập chu kỳ hợp lệ là 5 năm, sau đó kích Next


Hình 16

11. Chấp nhận đề nghị mặc định cho cơ sở dữ liệu chứng chỉ và các file bản ghi và kích Next

12. Cửa sổ yêu cầu chứng chỉ CA được hiển thị. Bạn chọn Save the request to a file và nhập vào đó đường dẫn và tên file (tiện ích sẽ tự động bổ sung phần mở rộng .req của file). Copy file vào một khóa USB để sử dụng sau này. Kích Next. Chúng ta sẽ sử dụng file yêu cầu này trong phần sau.


Hình 17

13. Một số thành phần ứng dụng IIS sẽ được bổ sung. Kích Yes


Hình 18

14. (Tùy chọn) Nếu bạn không được hỗ trợ ASP trong IIS, hãy thực hiện theo những gì mà hộp thoại hiển thị. Kích Yes


Hình 19

15. Ở đây vẫn chưa thực hiện xong, khi một hộp thoại xuất hiện thì bạn cần phải tạo một khóa riêng cho CA đang phát hành mới của bạn.


Hình 20

Kích OK và tiếp tục

16. Kích Finish


Hình 21

17. Trước khi tiếp tục, bạn nên công bố chứng chỉ và danh sách hủy bỏ cho CA gốc đối với Active Directory. Điều này được thực hiện một cách dễ dàng theo các bước dưới đây:

a) Copy cả hai file *.crt*.crl đã được sinh ra trong suốt quá trình cài đặt của CA gốc đến thư mục %systemroot%\system32\certsrv\certenroll trên máy chủ CA đang phát hành.

b) Chạy kịch bản dưới đây từ cửa sổ lệnh trong cùng một thư mục trên CA đang phát hành. Bạn phải chạy kịch bản như một người dùng thành viên của Cert Publishers Group trong Active Directory (thông thường là người có các quyền quản trị miền)


Hình 22

Kịch bản sẽ xử lý một cách tự động toàn bộ tên file và hoàn tất các lệnh cần thiết

18. Bảo đảm bạn phải có file yêu cầu chứng chỉ được tạo trong bước 12. Đăng nhập vào máy chủ CA gốc

19. Từ máy chủ CA gốc, bạn kích Start / Programs / Administrative Tools / Certificate Authority 

20. Mở phần panel máy chủ CA, kích chuột phải vào tên máy chủ. Kích All tasks / Submit new request…


Hình 23

21. Định vị file yêu cầu được tạo trong bước 12 và kích OK

22. Trong panel bên trái, kích Pending Requests. Định vị yêu cầu chứng chỉ trong panel phải / kích chuột phải vào yêu cầu chứng chỉ và chọn All Tasks / Issue

23. Tiếp theo, chúng ta cần export chứng chỉ. Trong panel bên trái, bạn kích Issued Certificates. Trong panel bên phải kích chuột phải vào chứng chỉ, sau đó kích Open


Hình 24

24. Kích tab Details và kích Copy to file…


Hình 25

25. Certificate Export Wizard được hiển thị. Kích Next


Hình 26

26. Chọn ”Cryptografic Message Syntax Standard...” và ”Include all certificates in the certification path if possible”. Kích Next


Hình 27

27. Lưu chứng chỉ vào cùng khóa USB được sử dụng trong bước 12. Kích Next


Hình 28

28. Kích Finish và kích OK

29. Bây giờ chúng ta quay trở lại việc phát hành CA và kích Start / Programs / Administrative Tools / Certificate Authority

30. Mở phần panel CA server và kích chuột phải vào tên máy chủ. Kích All tasks / Install CA certificate…


Hình 29

31. Định vị chứng chỉ đã phát hành trong bước 27 và kích OK

32. Mở phần panel máy chủ CA và kích chuột phải vào tên máy chủ. Kích Start service


Hình 30

33. Copy %windir%\system32\certsrv\certenroll\*.crt *.crl vào khóa USB. Bạn cần phải copy các file này vào máy chủ web đang được sử dụng như các điểm phân phối chứng chỉ Certificate Distribution Points (CDP) sử dụng giao thức HTTP. Đây là CDP URL dựa trên HTTP mà bạn đã định nghĩa trong các CA đang phát hành.

Lưu ý:
Nhiệm vụ này nên được lập lịch trình và chạy một cách tự động

34. Thực hiện thay đổi cần thiết cho các tham số trong file dưới đây (phần được đánh dấu đỏ) và chạy file từ dấu nhắc lệnh


Hình 31

35. Mở phần panel CA server của bạn và kích chuột phải vào Revoked Certificates. Sau đó kích All tasks / Publish


Hình 32

36. Chọn New CRL và kích OK

37. Cuối cùng là hoàn tất

Kết luận

Trong phần ba này, chúng tôi đã giới thiệu cho các bạn một số hướng dẫn vắn tắt những lời khuyên về cách thực hành tốt nhất trong việc thực thi PKI có kết hợp của cả CA đơn offline và CA đang phát hành online cho doanh nghiệp. Bạn nên hiểu rằng kịch bản được sử dụng cho việc công bố chứng chỉ CA gốc và file CRL đối với lưu trữ cục bộ của CA đang phát hành và Active Directory cần có sự thay đổi nếu bạn sử dụng kiến trúc 3 mức. Điều này là bởi vì CA chính sách cũng cần được công bố đối với lưu trữ chứng chỉ cục bộ của CA đang phát hành cho doanh nghiệp và cũng cần được công bố đối với Active Directory.

Đối với một phạm vi nào đó, bạn có thể cho là phần ba này quá cồng kềnh, đặc biệt trong thực thi một CA đang phát hành online. Nhưng khi tiến hành theo hướng dẫn thì bạn sẽ thấy được rằng nó thực sự cần thiết đối với việc thực thi một PKI hoàn chỉnh có khả năng mở rộng và bảo mật. Trong phần cuối cùng của loạt bài này, chúng tôi sẽ giới thiệu cách thẩm định các cài đặt cũng như duy trì và khắc phục sự cố một PKI bằng một số bước đơn giản.

Phần 4: Khắc phục sự cố

Thứ Sáu, 26/10/2007 13:54
31 👨 5.128