Sử dụng các công cụ kiểm tra với Windows Server 2008

Robert J. Shimonski

Quản trị mạng - Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách Windows Server 2008 làm việc với các dịch vụ chứng chỉ Certificate Services như thế nào và các công cụ nào bạn có thể sử dụng để kiểm tra nó.

Một trong những đối tượng chính trong việc quản trị các chứng chỉ là thực hiện mức bảo mật nâng cao trong doanh nghiệp. Vấn đề quản lý truy cập và nhận dạng cần được thực hiện một cách khắt khe. Trong bài viết này chúng tôi sẽ giới thiệu một cách vắn tắt về sự thẩm định chứng chỉ (viết tắt là CA) là gì, sau đó sẽ giới thiệu đến các khía cạnh quan trọng khác trong việc sử dụng các công cụ kiểm tra chứng chỉ như PKIView.msc và certutil.exe với Windows Server 2008. Bạn cần biết được các chứng chỉ có tầm ảnh hưởng như thế nào với vấn đề bảo mật và chúng có được “khỏe mạnh” hoặc cần đến sự duy trì hay không, chẳng hạn như sự thay thế. Một chứng chỉ hết thời hạn có thể hiện một yêu cầu của một dịch vụ thể hiện rằng độ bảo mật của bạn đang ở trạng thái yếu hoặc không tồn tại; đôi khi thậm chí nó còn dẫn đến các mưu đồ tấn công. Cũng có thể chỉ thị rằng bạn không cần phải quan tâm đến các nâng cấp của mình, không cần việc bảo dưỡng bảo trì mang tính định kỳ và không nhận được email báo lỗi thời gian thực hoặc các cảnh báo bằng văn bản hoặc tồi tệ hơn. Trong bài này chúng tôi sẽ giới thiệu tầm quan trọng trong việc sử dụng các chứng chỉ và cách kiểm tra chúng trong Windows Server 2008 như thế nào.

Các chứng chỉ và vấn đề bảo mật

Bảo mật không phải là một vấn đề đơn giản mà trong thực tế đây là một vấn đề cần phải được xem xét ở tất cả các góc độ trong một sơ sở hạ tầng, từ các mạng LAN cơ bản nhất đến cách một máy chủ web sẽ cho phép người dùng bên ngoài truy cập vào trang web thông qua kết nối Secure Sockets Layer (SSL) như thế nào. Mọi khía cạnh bảo mật đều cần được nghiên cứu một cách kỹ lưỡng. Điều này lại hoàn toàn chính xác đối với việc triển khai CA hoặc sơ sở hạ tầng khóa công Public Key Infrastructure (PKI). Việc nâng cao được vị trí bảo mật trong mạng và các hệ thống sẽ giúp bảo vệ cho bạn tránh được các mối hiểm họa, rủi ro và các tấn công. Việc sử dụng Windows Server 2008, được thực hiện thông qua một số các phương pháp khác nhau, gồm có các chứng chỉ bảo mật, các biểu mẫu mã hóa khác nhau và một số các công nghệ mang tính truy cập xuyên suốt từ đầu đến cuối với bộ công cụ và tính năng có sẵn trong Windows Server 2008. Bạn cũng có thể sử dụng Add Role Wizard để cấu hình một CA trên Windows Server 2008.

Cài đặt ADCS - Active Directory Certificate Services

Bạn có thể cài đặt và cấu hình các dịch vụ chứng chỉ Certificate Services bằng cách chạy Add Roles Wizard. Bằng việc chọn Active Directory Certificate Services (ADCS) từ danh sách Server Roles, bạn có thể cho phép Windows Server 2008 hành động như một CA. ADCS được sử dụng để tạo một CA để phát hành hoặc quản lý các chứng chỉ cho các ứng dụng khác nhau.


Cấu hình các dịch vụ chứng chỉ Active Directory (Active Directory Certificate Services)

Bạn sẽ thấy có nhiều dịch vụ bảo mật của Windows làm việc với ADCS. Để kiểm tra các chứng chỉ, bạn cần phải hiểu được bạn sẽ kiểm tra cái gì. Tiếp đến chúng ta hãy quan sát Public Key Infrastructure (PKI).

KPI là gì?

Bất cứ khi nào một tổ chức sử dụng các công nghệ như thẻ thông minh, IPsec, Secure Sockets Layer (SSL), digital signatures, Encrypting File System (EFS) hoặc các công nghệ khác dựa vào việc sử dụng các mức mã hóa nào đó thì tổ chức đó cần phải tạo một hệ thống mã hóa công và sự nhận dạng của nó. Một PKI hoặc Public Key Infrastructure – sơ sở hạ tầng khóa công được sử dụng để bảo vệ tất cả các cá nhân đang sử dụng hệ thống được thẩm định để truy cập nó. Việc sử dụng PKI sẽ cho phép sử dụng chữ ký số giữa các thực thể được thẩm định và tin tưởng. Một chứng chỉ là một tài liệu điện tử để giúp máy khách kiểm tra sự thẩm định của host. Secure Sockets Layer (SSL) là kỹ thuật được sử dụng phổ biến nhất trong các hệ thống, đây là kỹ thuật thẩm định sự nhận dạng của người dùng và cho phép truyền tải dữ liệu một cách an toàn. Các chứng chỉ trong PKI được sử dụng để bảo vệ dữ liệu và quản lý các yếu tố nhận dạng tài nguyên bên trong và bên ngoài mỗi một tổ chức. Một Certificate Authority (CA) là một phần của Public Key Infrastructure (PKI) chịu trách nhiệm cho việc thẩm định hóa các chứng chỉ, phát hành các chứng chỉ cũng như thu hồi chúng. Xét ở mức tối giản nhất, một doanh nghiệp sử dụng Active Directory Certificate Services (ADCS) của Microsoft phải có tối thiểu một CA phát hành và thu hồi chứng chỉ. Để dự phòng, doanh nghiệp đó cần có thêm một CA được triển khai trong tổ chức. Các CA có thể nằm bên trong hoặc bên ngoài hoặc có thể tồn tại ở các mức khác nhau, hành động như một CA gốc hoặc một CA chỉ phát hành. Có nhiều cách khác nhau trong việc triển khai CA của bạn, chính vì vậy bạn cần hiểu được những nhu cầu của mình trước khi triển khai.

Sử dụng các công cụ kiểm tra chứng chỉ

Hai công cụ quan trọng và hữu dụng trong việc kiểm tra chứng chỉ có trong Windows Server 2008 là PKIView.msc và certutil.exe.

PKIView.msc

Khi sử dụng công cụ này, bạn sẽ mở giao diện quản lý sơ sở hạ tầng khóa công. Lệnh này sẽ khởi chạy công cụ PKI Health để cho phép bạn kiểm tra hành động và trạng thái sức khỏe đối với PKI hiện hành. PKIView cũng sẽ kiểm tra Authority Information Access (AIA) và các phần mở rộng CRL distribution (CDP) để bảo đảm rằng mọi thứ đều làm việc tốt, không bị gián đoạn trong dịch vụ. PKIView.msc có đầu tiên trong Windows Server 2003 Resource Kit. Bạn có thể download nó từ các download của Microsoft và sau đó có thể chạy một cách nhanh chóng. PKIView có thể giúp bạn kiểm tra được trạng thái của PKI, kiểm tra trạng thái sức khỏe của nó và toàn bộ các hành động. Bên cạnh đó còn có nhiều chỉ thị khác có thể giúp bạn đưa ra các cách giải quyết cho toàn bộ trạng thái “sức khỏe” của PKI. Cho ví dụ, checkmark màu xạnh sẽ chỉ thị rằng PKI hiện đang ở trạng thái “khỏe mạnh”, màu vàng báo hiệu rằng một chứng chỉ hoặc Certificate Revocation List (CRL) xắp hết hạn, còn màu đỏ chỉ thị rằng CRL hoặc các location truy cập thông tin thẩm định - Authority Information Access (AIA) không thể tìm thấy. Các lỗi đỏ cũng có thể chỉ thị rằng CA hiện không đáng tin cậy.

Lưu ý:
PKIView trước đây là một phần trong Windows Server 2003 Resource Kit và được gọi là PKI Health tool. Trong các phiên bản mới (MMC snap-in) nó là một phần của hệ điều hành. Trong phiên bản mới nhất cũng hỗ trợ Unicode.

certutil.exe

Lệnh này cho phép bạn xác định được sự hợp lệ của các chứng chỉ đã được phát hành thông qua sử dụng hai switch:

certutil -verify –urlfetch

Sử dụng switch có tên –verify –urlfetch FileName sẽ cho phép bạn thấy được đầu ra của URL của mỗi một chứng chỉ. Nếu thành công nó sẽ hiển thị đầu ra “verified” (nghĩa là đã được thẩm định) hoặc thất bại sẽ hiển thị đầu ra là “error”.

certutil -viewstore

Đầu ra –viewstore cho phép bạn thấy được nội dung của một kho lưu trữ hoặc đối tượng Active Directory Domain Services nào đó, cho phép bạn có thể xem tất cả các chứng chỉ trong kho lưu trữ đó.

Nếu lệnh “certutil” không thực hiện đúng chứng năng của nó, hoặc bạn không có chứng chỉ, khi đó bạn sẽ nhận được thông báo lỗi rằng nó đã thất bại.

Việc kiểm tra CRL rất quan trọng và là chức năng chính trong việc kiểm tra xác minh. Rõ ràng, bạn không muốn có một chứng chỉ hết hạn và không được thay thế hoặc nâng cấp đúng. CRL hoặc Certificate Revocation List, là một danh sách các chứng chỉ cần phải được thu hồi – giống như tên ngụ ý của nó. Việc kiểm tra CRL được sử dụng để xem chứng chỉ tin tưởng có còn hợp lệ hay không. Công cụ này rất quan trọng trong việc xác minh một cách chính xác tình trạng sức khỏe của một chứng chỉ. Nó là nhu cầu bắt buộc vì certutil.exe sẽ thẩm định CRL của CA, trong khi đó Certificate MMC Snap-In lại không thẩm định CRL của các chứng chỉ.

Sử dụng certreq

Certreq có thể được sử dụng để yêu cầu các chứng chỉ. Bạn có thể sử dụng nó để truy vấn một CA và tạo một yêu cầu mới cho chứng chỉ.

Kết luận

Trong bài này chúng tôi đã giới thiệu cho các bạn về Windows Server 2008 làm việc như thế nào với các dịch vụ chứng chỉ cũng như các công cụ nào bạn có thể sử dụng để kiểm tra nó. Bên cạnh đó là giới thiệu về cách sử dụng cả hai công cụ PKIView.msc và certutil.exe.

Thứ Năm, 15/01/2009 12:06
31 👨 2.530
0 Bình luận
Sắp xếp theo