Đang tải... (xem toàn văn)
Giới thiệu Một Certification Authority phát hành các chứng chỉ kỹ thuật số trong đó có chứa một khóa công khai và danh tính của chủ sở hữu. Các chứng chỉ được cấp dưới định dạng PFX (Personal inFormation eXchange) được bảo vệ bởi mật khẩu. Chứng chỉ cung cấp nền tảng của một cơ sở hạ tầng khóa công khai (PKI). Đây là những thông tin điện tử, do cơ quan cấp giấy chứng nhận (CA), được liên kết với một cặp khóa công khai và khóa bí mật. Certification Authority Server của chúng tôi hoạt động như một ứng dụng IIS cho hầu hết các máy chủ web Windows. Điều đó có nghĩa là nó không cần thiết vận hành thêm một máy CA. Cảnh báo và lưu ý Với mọi cố gắng để làm cho hướng dẫn này là đầy đủ và càng chính xác càng tốt, nhưng chúng tôi không đảm bảo mọi thứ đều hoàn hảo. Các thông tin cung cấp trên như là một cơ sở khách quan và chúng tôi cũng không chịu trách nhiệm cho bất kỳ người nào hoặc tổ chức đối với bất kỳ tổn thất hoặc thiệt hại phát sinh từ các thông tin trong tài liệu này. Thương hiệu .NET, Visual Studio .NET là thương hiệu của Microsoft Inc. Adobe, Adobe Reader là thương hiệu của Adobe Systems Inc. Tất cả các thương hiệu khác là tài sản của chủ sở hữu tương ứng của họ .
Hướng dẫn cài đặt Certification Authority Server Giới thiệu Một Certification Authority phát hành chứng kỹ thuật số có chứa khóa công khai danh tính chủ sở hữu Các chứng cấp định dạng PFX (Personal inFormation eXchange) bảo vệ mật Chứng cung cấp tảng sở hạ tầng khóa công khai (PKI) Đây thông tin điện tử, quan cấp giấy chứng nhận (CA), liên kết với cặp khóa công khai khóa bí mật Certification Authority Server hoạt động ứng dụng IIS cho hầu hết máy chủ web Windows Điều có nghĩa không cần thiết vận hành thêm máy CA Cảnh báo lưu ý Với cố gắng để làm cho hướng dẫn đầy đủ xác tốt, không đảm bảo thứ hoàn hảo Các thông tin cung cấp sở khách quan không chịu trách nhiệm cho người tổ chức tổn thất thiệt hại phát sinh từ thông tin tài liệu Thương hiệu NET, Visual Studio NET thương hiệu Microsoft Inc Adobe, Adobe Reader thương hiệu Adobe Systems Inc Tất thương hiệu khác tài sản chủ sở hữu tương ứng họ CA server – tính CA Server có sẵn cho mục đích thử nghiệm liên kết này: http://ca.signfiles.com/ca/ Phiên máy chủ CA bao gồm tính sau: - Chứng ký số tải từ Microsoft Certificate Store - Hỗ trợ OCSP (Online Certificate Status Protocol) - Chứng mẫu CSR Microsoft Store Root Certificate Nếu bạn muốn sử dụng chứng HSM Root, phải xuất Microsoft Certificate Store - Personal Tab CA Server sử dụng chứng gốc có chứng CA (phương pháp ưa thích) bạn tạo chứng gốc vào CSP bạn Chứng gốc phải có sẵn cho hoạt động CA Các hoạt động là: Phát hành chứng chỉ, phát hành CRL, ký số phản hồi OCSP Root Certificate Generator Nếu CSP bạn không cung cấp phương thức để tạo chứng trực tiếp CSP, bạn sử dụng Root Certificate Generator Cách để tạo chứng gốc sử dụng Root Certificate Generator: - Khởi động Root Certificate Generator Trong danh sách trỏ xuống Smart Card Certificate Service Provider, chọn CSP bạn Nếu CSP bạn không xuất danh sách, chứng không tạo Điền vào trường liệu bạn (Organization, email, vv) Chọn mẫu Root Certificate Tùy chọn, thiết lập kích thước khóa, thời hạn hiệu lực, vv Bấm Generate Certificate Nhập thông tin CSP (PIN PED, mật khẩu, chế khác) Đọc hướng dẫn CSP để nhập chứng tạo Microsoft Certificate Store - Personal tab (not Trusted Root Certification Authorities or Other People) OCSP Validation Service Cách OCSP Validation Service hoạt động OCSP Certificate phải phát hành Root Certificate giống User Certificate, hình - Client phải bao gồm OCSP Request the User Certificate Serial Number, tức cần xác nhận Root Certificate Public Key Hash The OCSP Request is send the OCSP Server URL The OCSP URL is extracted from the User Certificate - Authority Info Access field, giống sau: [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ca.signfiles.com/OCSP.aspx Máy chủ OCSP (http://ca.signfiles.com/OCSP.aspx) thực bước sau: • Xác thực Chứng OCSP Nếu Chứng OCSP không hợp lệ, thông báo lỗi trả (POST byte []) hoặc: OCSPRespGenerator.InternalError • Xác thực file CRL Nếu file CRL không hợp lệ sẵn, thông báo: OCSPRespGenerator.InternalError trả • Xác nhận cấu trúc OCSP Request Nếu OCSP Requet chữ ký Root CA tại, trạng thái OCSPRespGenerator.Unauthorized trả (Observation: Some OCSP clients could return Unknown status but the pupular CA's like Verisign or Thawte returns OCSPRespGenerator.Unauthorized) • User Certificate serial number chiết xuất từ OCSP Request tìm thấy CRL, trạng thái Revoked (thu hồi) trả cho Client • Nếu User Certificate serial number không xuất CRL, chứng coi hợp lệ trạng thái Good trả cho Client • Nếu có ngoại lệ xuất tiến trình, trạng thái OCSPRespGenerator.InternalError trả • Tất lỗi xuất Audit Trail Kiểm thử OCSP Dịch vụ OCSP kiểm thử sau Sau Chứng gốc cài đặt Microsoft Certificate Store - Trusted Root Authorities, sử dụng PDF Signer để tạo chữ ký số để thu hồi thông tin mẫu thu từ OCSP Responder CA Chứng gốc tải từ đây: http://ca.signfiles.com/caOCSP/RootCertificate.cer Để tạo chữ ký số PDF, bạn cần có Chứng từ CA Server (http://ca.signfiles.com/caOCSP/IssueUserCertificate.aspx) Các phản hồi OCSP nhúng vào chữ ký PDF chứng Root mà phát hành chứng User tồn Microsoft Certificate Store Ngoài ra, Chứng OCSP phải phát hành Chứng Root giống Chứng User: Dịch vụ xác thực OCSP xác nhận cách sử dụng câu lệnh sau: certutil -url - select OCSP (from AIA) option Xác thực chữ ký PDF Chữ ký tạo PDF Signer thường không đáng tin cậy, bạn cần xác thực chữ ký Click nút Add to Trusted Identities, đánh dấu tất checkbox, click OK tái xác nhận chữ ký Sau chứng coi đáng tin cậy Adobe, chữ ký hợp lệ Phản hồi OCSP giống hình dưới: Điều có nghĩa OCSP Server làm việc Nếu chữ ký số tạo cách sử dụng Chứng bị thu hồi (Revoked Certificate), tài liệu PDF giống sau: Một chứng số bị thu hồi xuất hiên CRL: Điều kiện tiên CA Server yêu cầu cần có: - Hệ điều hành Windows với IIS - Microsoft NET Framework 2.0 - ASP.NET kích hoạt IIS bạn Để kích hoạt ASP.NET IIS webserver bạn, vào Control Panel Programs and Features - Turn Windows features on or off Internet Information Services Features, chọn ASP.NET hình Kích hoạt ASP.NET on IIS Cài đặt Tải CA Server, giải nén nội dung IIS webserver bạn (ví dụ: C:\CAServer) Nội dung thư mục CA Server Ngay bây giờ, CA Server phải thêm vào ứng dụng IIS webserver Tới biểu tượng Computer - Nhấn chuột phải vào Manage - Computer Management – Services and Applications – Internet Information Services (IIS) Manager IIS Management Trên trang web bạn, CA Server phải thêm vào ứng dụng Nhấp chuột phải vào trang web IIS bạn (Default Web Site) - Add Application … thiết lập định danh ứng dụng đường dẫn vật lý Chú ý: CA Server yêu cầu quyền Đọc, Viết Thực thi để kích hoạt cho đường dẫn vật lý Người sử dụng IIS phải có quyền cho đường dẫn vật lý đặc biệt Tại thời điểm này, CA Server cài đặt Để kiểm tra cài đặt, vào: http://localhost/ca Chứng Root CA CA Server cần chứng kỹ thuật số đặc biệt (Chứng Root CA) sử dụng để ký số chứng khác Chứng CA loại đặc biệt chứng phải tạo sau: - Sử dụng RSA 2048 - Ngày hết hạn: tối thiểu năm Cấp chứng Root CA Chứng Root CA cấp máy chủ CA theo liên kết này: http://localhost/ca/IssueRootCertificate.aspx Cấp chứng Cấp chứng người dùng Cấp chứng người dùng theo liên kết này: http: //localhost/ca/IssueUserCertificate.aspx Các chứng cấp định dạng PFX cài đặt Microsoft Certificate Store sử dụng ứng dụng bạn Các chứng ký số chứng Root CA Cấp chứng từ CSR (Certificate Signing Request) Để cấp chứng từ file CSR cần truy cập liên kết này: http: //localhost/ca/IssueFromCSR.aspx Thông thường, tập tin CSR tạo máy chủ web bạn thiết bị HSM Giấy chứng nhận cấp định dạng CER ký số chứng Root CA Thu hồi chứng Khi chứng phát hành, mật thu hồi thiết lập Để thu hồi chứng truy cập liên kết này: http: //localhost/ca/RevokeCertificate.aspx Để thu hồi chứng cấp máy chủ CA, bắt buộc phải có số serial chứng mật thu hồi Chứng thu hồi xuất CRL (Certificate Revocation List), ứng dụng khác biết giấy chứng nhận không giá trị CRL Certificate Revocation List (CRL) danh sách chứng (hoặc cụ thể danh sách số serial chứng chỉ) bị thu hồi, không nên tin cậy Mỗi chứng cấp bới máy chủ CA bao gồm URL CRL để CRL phải cập nhật CRL có giá trị ngày phải cấp vào khoảng thời gian Để cấp CRL, trang phải truy cập ngày: http://localhost/ca/EmitCRL.aspx?emit=true Bởi IIS không hỗ trợ cron jobs Apahe, trang EmitCRL.aspx?emit=true phải gọi theo thời gian (thường ngày) để phát hành CRL Nếu CRL hết hạn, tất chứng CA coi không hợp lệ Trang http://localhost/ca/EmitCRL.aspx?emit=true đặt Task Scheduler truy cập tay theo thời gian Quản lý CA Quản lý chứng Để quản lý chứng cấp truy cập liên kết này: http://localhost/ca/Manage.aspx Trên trang xuất thông tin liên quan đến chứng cấp máy chủ CA Ngoài ra, chứng thu hồi, tải xuất Nhật ký Mỗi hành động thực máy chủ CA mã hóa lưu lại tập tin Audit Trail Log Truy cập vào Nhật ký theo liên kết này: http://localhost/ca/Audit.aspx Mỗi lỗi xảy việc cấp chứng có sẵn [...]... (Default Web Site) - Add Application … và thiết lập các định danh ứng dụng và đường dẫn vật lý như dưới đây Chú ý: CA Server yêu cầu quyền Đọc, Viết và Thực thi để kích hoạt cho đường dẫn vật lý Người sử dụng IIS phải có quyền này cho các đường dẫn vật lý đặc biệt Tại thời điểm này, CA Server sẽ được cài đặt Để kiểm tra các cài đặt, hãy vào: http://localhost /ca Chứng chỉ Root CA CA Server cần một chứng chỉ... giải nén các nội dung trên IIS webserver của bạn (ví dụ: C:\CAServer) Nội dung thư mục CA Server Ngay bây giờ, CA Server phải được thêm vào như là một ứng dụng trên IIS webserver Tới biểu tượng Computer - Nhấn chuột phải vào Manage - Computer Management – Services and Applications – Internet Information Services (IIS) Manager IIS Management Trên trang web của bạn, CA Server phải được thêm vào như là... này: http: //localhost /ca/ IssueUserCertificate.aspx Các chứng chỉ được cấp ở định dạng PFX và nó có thể được cài đặt trong Microsoft Certificate Store hoặc nó có thể được sử dụng trong các ứng dụng của bạn Các chứng chỉ được ký số bằng chứng chỉ Root CA Cấp chứng chỉ từ CSR (Certificate Signing Request) Để cấp một chứng chỉ từ một file CSR cần truy cập liên kết này: http: //localhost /ca/ IssueFromCSR.aspx... một chứng chỉ kỹ thuật số đặc biệt (Chứng chỉ Root CA) được sử dụng để ký số các chứng chỉ khác Chứng chỉ CA là một loại đặc biệt của chứng chỉ và phải được tạo ra như sau: - Sử dụng RSA 2048 - Ngày hết hạn: tối thiểu 5 năm Cấp chứng chỉ Root CA Chứng chỉ Root CA có thể được cấp bởi các máy chủ CA theo liên kết này: http://localhost /ca/ IssueRootCertificate.aspx Cấp chứng chỉ Cấp chứng chỉ người dùng... tiên quyết CA Server yêu cầu cần có: - Hệ điều hành Windows với IIS - Microsoft NET Framework 2.0 - ASP.NET được kích hoạt trên IIS của bạn Để kích hoạt ASP.NET trong IIS webserver của bạn, hãy vào Control Panel Programs and Features - Turn Windows features on or off và trên Internet Information Services Features, chọn ASP.NET như hình dưới đây Kích hoạt ASP.NET on IIS Cài đặt Tải về CA Server, giải... số bằng chứng chỉ Root CA Thu hồi chứng chỉ Khi một chứng chỉ được phát hành, một mật khẩu thu hồi có thể được thiết lập Để thu hồi chứng chỉ truy cập liên kết này: http: //localhost /ca/ RevokeCertificate.aspx Để thu hồi chứng chỉ được cấp bởi các máy chủ CA, bắt buộc phải có số serial chứng chỉ và mật khẩu thu hồi Chứng chỉ đã thu hồi sẽ xuất hiện trên các CRL (Certificate Revocation List), để cho các... http://localhost /ca/ EmitCRL.aspx?emit=true Bởi vì IIS không hỗ trợ cron jobs như Apahe, trang EmitCRL.aspx?emit=true phải được gọi theo thời gian (thường là 6 ngày) để phát hành CRL Nếu CRL sẽ hết hạn, tất cả các chứng chỉ do CA sẽ được coi là không hợp lệ Trang http://localhost /ca/ EmitCRL.aspx?emit=true có thể được đặt trên Task Scheduler hoặc truy cập bằng tay theo thời gian Quản lý CA Quản lý chứng... cập liên kết này: http://localhost /ca/ Manage.aspx Trên trang này sẽ xuất hiện các thông tin liên quan đến các chứng chỉ được cấp bởi máy chủ CA Ngoài ra, các chứng chỉ có thể được thu hồi, tải về hoặc xuất ra Nhật ký Mỗi hành động được thực hiện trên máy chủ CA được mã hóa và lưu lại trên một tập tin Audit Trail Log Truy cập vào Nhật ký theo liên kết này: http://localhost /ca/ Audit.aspx Mỗi lỗi xảy... Certificate Revocation List (CRL) là một danh sách các chứng chỉ (hoặc cụ thể hơn là một danh sách các số serial của các chứng chỉ) đã bị thu hồi, và do đó không nên tin cậy Mỗi chứng chỉ được cấp bới máy chủ CA bao gồm các URL CRL để CRL phải được cập nhật CRL có giá trị 7 ngày vì vậy nó phải được cấp vào khoảng thời gian này Để cấp CRL, các trang dưới đây phải được truy cập mỗi 6 ngày: http://localhost /ca/ EmitCRL.aspx?emit=true