Hướng dẫn về PKI – Phần 4: Khắc phục sự cố

Phần 1: Lập kế hoạch
Phần 2: Thiết kế
Phần 3: Cài đặt

Martin Kiaer

Trong các phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị, lập kế hoạch và thiết kế PKI Microsoft. Chúng tôi cũng đưa ra một một chút kỹ thuật trong đó để thể hiện cho các bạn cách cài đặt PKI dựa trên Microsoft Certificate Services trong Windows Server 2003. Trong phần cuối này, chúng tôi sẽ giới thiệu tổng quan về cách bảo trì và khắc phục sự cố PKI của bạn bằng một số công cụ cơ bản nhưng rất có giá trị.

Toolbox

Một trong những thành phần rất có giá trị đối với bạn và PKI đó là toolbox, nó gồm có các rất nhiều công cụ. Các công cụ này sẽ giúp bạn duy trì sự ổn định của PKI và giải quyết các vấn đề một cách nhanh chóng, không bị nhiều phiền toái. Mặc dù vậy hộp công cụ này không dễ dàng cho việc thực hiện thao tác nhiệm vụ ngay tức thì vì nó không có nhiều công cụ có sẵn, do đó phải sử dụng chúng một cách tốt nhất với những gì chúng ta có. Dưới đây chúng tôi liệt kê các tùy chọn của bạn đối với Microsoft PKI toolbox (không theo thứ tự):

  • Certificate Services (certsrv.msc) – Giao diện quản lý này gồm có các chức năng chính bạn sẽ cần đến khi cấu hình và duy trì PKI
  • Certificate Templates (certtmpl.msc) – Giao diện này được sử dụng để duy trì và bảo vệ các mẫu chứng chỉ
  • Certificate Manager (certmgr.msc) – Giao diện này được sử dụng để kiểm soát các chứng chỉ được cài đặt trên máy tính hoặc người dùng hiện hành.
  • Certutil.exe – Tiện ích chứng chỉ dựa trên dòng lệnh thực hiện như Certificate Services MMC plus
  • Event Viewer (Eventvwr.msc) – Công cụ này rất quan trọng khi khắc phục sự cố PKI
  • Enterprise PKI tools (PKIview.msc) – Công cụ sức khỏe PKI dựa trên MMC.
  • Capimon.exe – Cho phép quản trị viên có thể kiểm tra các cuộc gọi CryptoAPI của các ứng dụng bảo mật và kết quả của nó.

Tất cả các công cụ này đều rất hữu dụng với PKI, tuy nhiên chúng cũng có một số thông tin quan trọng giúp bạn có thể khắc phục sự cố PKI. Cách tốt nhất để khắc phục sự cố PKI này là sử dụng quá trình đã cấu trúc từ trước. Phương pháp này được chúng tôi giới thiệu dưới đây:

1. Luôn luôn bắt đầu việc khắc phục sự cố bằng cách kiểm tra các bản ghi sự kiện. Điều này có thể dường như hiển nhiên nhưng hầu hết tất cả PKI có dính líu tới lỗi sẽ bị ghi vào các bản ghi sự kiện. Chính vì vậy bạn có thể hiển thị thông báo lỗi từ các chương trình khác nhau như Certificate Services MMC, bản ghi sự kiện xét cho cùng vẫn là cách tốt nhất để đọc và gỡ rối các lỗi liên quan đến PKI.

2. Sử dụng các công cụ PKIview.msc để có được một cách nhìn tổng quan về trạng thái PKI của bạn. PKIview.msc sẽ thể hiện một số lỗi chung nhất gồm có CRL hết hạn hoặc bị mất hoặc một chứng chỉ CA hết hiệu lực. Nếu mọi thứ dường như tốt đối với công cụ này thì bạn có thể chuyển lên và tập trung vào các vấn đề liên quan đến chứng chỉ cụ thể như các thiết lập bảo mật trên mẫu chứng chỉ,…

3. Nếu lỗi không hiển nhiên hoặc khó khăn trong vấn đề khắc phục thì bạn hãy tìm kiếm sự trợ giúp từ danh sách tài nguyên của chúng tôi tại phần cuối của bài viết, hoặc tìm các giải pháp thông qua support.microsoft.com, các nhóm hoặc forum.

Một điều nữa có thể giúp ích cho bạn là phải có một danh sách kiểm tra sau khi cài đặt và trong quá trình bảo trì. Đây là một ví dụ mà bạn nên xem xét để tham khảo:

  • Khả năng có sẵn của PKI và các chứng chỉ gốc của bạn như thế nào?
  • CRL có sẵn có hay không?
  • Các chứng chỉ được phát hành có làm việc đúng cách hay không?
  • Các thành phần hoặc các ứng dụng cơ sở hạ tầng dựa trên chứng chỉ từ PKI có làm việc đúng cách hay không?
  • Hiệu suất trên các hệ thống sử dụng các chứng chỉ từ PKI như thế nào?
  • Có nhiều thông báo lỗi liên quan đến các chứng chỉ đã cài đặt trên máy tính hay không?

Hãy tiếp tục và xem xét một số tiện ích từ hộp công cụ của chúng ta, cách chúng có thể cho phép thực hiện dễ dàng hơn như thế nào với khía cạnh PKI của bạn.

Certificate Services và Certificates Templates MMC Snap-in

Certificate Services MMC Snap-in (certsrv.msc) là giao diện quản trị PKI chính. Bạn nên đầu tư một chút thời gian với MMC Snap-in này và dần làm quen với công cụ vì nó có thể giúp bạn hiểu sâu về thế giới PKI của Microsoft. Với snap-in này, bạn sẽ hiểu được về các mẫu chứng chỉ AIA, CDP, V2,.. ý nghĩa và chúng liên kết như thế nào với một số lĩnh vực đã được giới thiệu trong các phần trước. Trợ giúp của nó cũng rất có giá trị, nó gồm có nhiều phần nhỏ cho phép thao tác tốt nhất (giống như nhiều các file trợ giúp khác trong Windows Server 2003). Hầu hết các vấn đề với PKI thường liên quan đến các vấn đề về điều khoản, nơi chứng chỉ đang được sử dụng hoặc khả năng có sẵn của CRL. Vì vậy hãy xem xét một số ví dụ nơi công cụ này có thể trợ giúp đắc lực trong khi khắc phục sự cố PKI của bạn.

Một trong những lỗi thường xuyên nhất mà bạn sẽ thấy trong khía cạnh PKI là một CRL hết hạn hoặc không có khả năng truy cập. Cách nhanh chóng để giải quyết vấn đề này là công bố CRL từ Certificate Services MMC, nhưng điều này cũng có thể được soạn thảo từ dòng lệnh.


Hình 1: Công bố CRL

Bạn nên tạo dựng thói quen khi kiểm tra xem một chứng chỉ nào đó đã được phát hành hay không bằng cách kiểm tra menu con “Failed Requests” trên panel bên trái của giao diện MMC. Từ menu này, bạn sẽ có thể nghiên cứu tỉ mỉ tại sao có một lỗi liên quan với việc thất bại khi đưa ra một chứng chỉ. Thông thường lỗi này sẽ rất khó đọc từ phần “Failed Request”. Cách tốt hơn là lỗi này sẽ được bổ sung vào bản ghi ứng dụng. Do chúng ta hoàn toàn có thể dễ dàng copy một đầu vào bản ghi sự kiện từ Event Viewer hơn Certificate Services MMC, do đó chúng ta nên lựa chọn phương pháp này để kiểm tra các lỗi có liên quan đến PKI trừ khi bạn sử dụng kiểu quản trị ủy nhiệm và MMC tùy chỉnh.

Một lỗi khác là các thiết lập bảo mật sai trên các mẫu chứng chỉ. Bạn có thể thay đổi sự bảo mật các mẫu chứng chỉ từ Certificate Services MMC bởi việc kích chuột phải vào Certificate Templates và chọn Manage hoặc bắt đầu một MMC mới, nơi bạn bổ sung thêm Certificate Templates (certtmpl.msc) snap-in. Với cách từ Certificate Templates MMC, bạn chọn các thuộc tính của mẫu chứng chỉ muốn sử dụng. Sau đó kích vào tab Security và bảo đảm rằng nhóm bảo mật đúng được cho phép để nhận một chứng chỉ bằng việc kích hoạt các điều khoản “Read” (đọc) và “Enroll” (nạp) cho nhóm đó.


Hình 2: Kiểm tra xem mẫu chứng chỉ có các thiết lập bảo mật đúng hay không

PKIview.msc

Một trong những công cụ có giá trị nhất cho PKI của bạn là PKIview.msc, công cụ này có sẵn trong Windows Server 2003 Resource Kit. Với công cụ này, bạn có thể kiểm tra trạng thái của PKI. Khi bắt đầu công cụ đồ họa, bạn sẽ thấy những chỉ thị khác nhau thông báo mọi thứ đều tốt với PKI của bạn. Mặc dù chỉ thị màu vàng sẽ cho bạn thông báo rằng chứng chỉ hoặc Certificate Revocation List (CRL) là sắp hết hạn. Nếu bạn nhìn thấy các lỗi màu đỏ, màu đỏ là chỉ thị rằng CRL hoặc các vị trí Authority Information Access (AIA) là ngoài tầm kiểm soát. Các lỗi màu đỏ cũng có thể chỉ thị tằng một CA không được tin cậy. Nếu bạn gặp trường hợp này, hãy kích chuột phải vào lỗi đó và kích “Copy URL” và paste URL vào trình duyệt web, nếu nó là một vị trí HTTP ngoài tầm kiểm soát hoặc sử dụng công cụ như adsiedit.msc của Windows Support Tools để kiểm tra xem vị trí CDP đã công bố là sự hủy bỏ hay tin tưởng.

Công cụ này có rất nhiều khả năng, tối thiểu bạn cũng nên chạy công cụ này mỗi tuần một lần để bảo đảm tình trạng của PKI. Các chi tiết trong lỗi này sẽ chỉ thị nhanh chính xác nơi lỗi ở đâu, mặc dù vậy nó sẽ không cho một giải pháp chính xác. Vì vậy bạn cần thực hiện một số công việc phát hiện bằng vài công cụ đã đề cập trong hộp công cụ ở phần trên của bài này hoặc tìm trên Google cho sự kiện xuất hiện trong PKIview.msc.


Hình 3: PKIview.msc, một công cụ tuyệt vời cho việc khắc phục sự cố

Certutil.exe

Đây là một tiện ích dòng lệnh thay thế cho bộ công cụ tài nguyên từ Windows 2000 có tên gọi là Dsstore.exe. Có một số ưu điểm trong việc sử dụng Certutil.exe. Đầu tiên, bạn có thể hoàn toàn dễ dàng kịch bản hóa và có thể thao tác nó một cách dễ dàng hơn rất nhiều khi mang ra so sánh với tất cả các công cụ trong toolbox của PKI đối với sự cấu hình, tài liệu hóa và khắc phục sự cố. Một ưu điểm khác thường không được đề cập đến đó là nó có thể chạy nhiều tính năng thu thập dữ liệu với tư cách là một người dùng thông thường. Điều này quả thực là một ưu điểm lớn cho việc khắc phục sự cố các vấn đề chứng chỉ; không thỏa hiệp sự bảo mật của PKI. Lý do tại sao việc khắc phục sự cố PKI với Certutil.exe sẽ không thỏa hiệp sự bảo mật của PKI là vì có nhiều tùy chọn cấu hình không có sẵn trừ khi bạn có các điều khoản cần thiết (đủ quyền).

Một ưu điểm khác nữa của Certutil.exe là tính năng quản lý sự thay đổi (phân loại). Nhiều thiết lập Certificates Services được lưu trong Windows registry:
My Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Bất cứ khi nào bạn thực hiện sự thay đổi cho PKI bằng tham số the “certutil –setreg” thì tiện ích này sẽ hiển thị thiết lập cũ đầu tiên và theo sau là thiết lập mới sau này.

Chúng ta sẽ không tìm hiểu tất cả các tính năng và các tùy chọn khác nhau của Certutil.exe, vì chúng thực sự có quá nhiều. Mặc dù vậy, nhập vào “Certutil -?” bạn sẽ có được một tổng quan hoàn chỉnh. Một chút gợi ý của chúng tôi ở đây cho các bạn là phiên bản Certutil.exe của Windows Server 2003 có thể được đưa vào Windows Vista, Windows XP và Windows 2000. Tất cả những gì bạn cần để thực hiện là copy các file Certutil.exe, Certcli.dll và Certadm.dll vào vị trí trên máy tính Windows Vista, XP hay Windows 2000 của bạn. Không có yêu cầu nào cho việc đăng ký file DDL. Hãy chạy tiện ích dòng lệnh từ vị trí đó.

Kết luận

Thực hiện vấn đề này có thể có nhiều cách nhưng bằng cách sử dụng quá trình khắc phục sự cố đã cấu trúc từ trước, bạn có thể định vị một cách nhanh chóng và xác định chính xác nơi PKI của bạn đang có hiện tượng bị mất. Chúng tôi đã cố gắng giới thiệu một cách tổng quan và toàn bộ các công cụ, tiện ích cần cho dịch vụ của bạn và chúng tôi cũng đã minh chứng bằng tài liệu một số ví dụ về cách sử dụng các công cụ này. Tuy nhiên có quá nhiều tùy chọn có sẵn, điều này phụ thuộc vào cách bạn trộn và kết hợp các công cụ. Các ví dụ thể hiện trong bài này là gợi ý tạo nguồn cảm hứng cho bạn. Trong danh sách các tài nguyên mở rộng được liệt kê bên dưới, bạn sẽ thấy các liên kết chỉ đến các bài báo có giá trị sẽ giới thiệu rất nhiều đến tùy chọn khắc phục sự cố. Với tất cả các tài nguyên đã đề cập trong bài này, bạn sẽ có được một kiến thức tốt để bảo vệ tình trạng và chạy PKI của bạn được tốt.

Nguồn thông tin thêm

Tất cả các bài báo về PKI http://www.microsoft.com/pki

Nếu bạn muốn xem cách Microsoft thực hiện PKI như thế nào, hãy vào địa chỉ http://www.microsoft.com/technet/itsolutions/msit/security/deppkiin.mspx

Và cuối cùng là cuốn sách - Microsoft Windows Server 2003 PKI and Certificate Security tại địa chỉ http://www.microsoft.com/mspress/books/6745.asp

Thứ Hai, 29/10/2007 09:22
31 👨 1.930
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp