Về Certification Authority – PKI (5)


Xem thêm:
Tổng quan về hạ tầng khóa công khai (PKI) – Phần 1
Tổng quan về hạ tầng khóa công khai (PKI) – Phần 2
Tổng quan về hạ tầng khóa công khai (PKI) – Phần 3
Tổng quan về hạ tầng khóa công khai (PKI) – Phần 4
Tổng quan về hạ tầng khóa công khai (PKI) – Phần 5

————-

CA là một thành phần thiết yếu trong bất cứ thiết kế PKI nào. Đối với giải pháp PKI của Microsoft thì một CA là máy tính chạy hệ điều hành Windows Server (2003 hoặc 2008) được cài đặt dịch vụ Certificate Services. Nó thực thi các nhiệm vụ sau:

  • Xác minh nhận dạng của đối tượng yêu cầu chứng chỉ: CA phải thẩm định nhận dạng của đối tượng đầu cuối (như người dùng, máy tính, thiết bị mạng, dịch vụ, v.v..) trước khi cấp chứng chỉ cho họ. Điều này giúp đảm bảo đối tượng phải có đủ các quyền hạn cần thiết mới có thể yêu cầu CA cấp cho một loại chứng chỉ nào đó. Ngoài ra, tổ chức quản lý chứng chỉ có thể gặp mặt và phỏng vấn trực tiếp người yêu cầu.
  • Cấp phát chứng chỉ cho đối tượng yêu cầu: sau khi xác minh được nhận dạng của đối tượng, CA cấp loại chứng chỉ được yêu cầu cho đối tượng đó. Mỗi loại chứng chỉ sẽ có nội dung và mục đích sử dụng khác nhau. Ví dụ, nếu yêu cầu cấp chứng chỉ cho IPSec thì kết quả là chứng chỉ này chỉ có thể được dùng bởi máy chủ hoặc máy khách để xác thực các điểm đầu cuối trên kênh truyền thông được bảo vệ bởi IPSec.
  • Quản lý việc thu hồi chứng chỉ: CA sẽ định kỳ phát hành CRL sau một khoảng thời gian định trước. CRL chứa danh sách số thứ tự (serial number) của các chứng chỉ đã bị thu hồi và các mã số lý do (reason code) cho việc thu hồi.

Ở các tổ chức lớn thì PKI thường được triển khai với nhiều CA. Các CA được tổ chức thành một cấu trúc phân cấp bao gồm duy nhất một Root CA và một vài Subordinate CA như được thể hiện trong hình dưới đây:

Như đã giải thích ở phần 2, mô hình CA phân cấp (hay Hierarchical PKI) này có khả năng mở rộng cao và an toàn hơn khi mà các non-issuing CA (ở đây là Root CA và các Intermediate CA), là các CA không trực tiếp cấp chứng chỉ cho các đối tượng đầu cuối thường sẽ không được kết nối vào mạng. Vì vậy mà chúng được bảo vệ trước các cuộc tấn công thông qua môi trường mạng. Ngoài ra thì mô hình này cũng cho phép việc ủy quyền, phân tách vai trò quản lý các CA cho các bộ phận khác nhau trong tổ chức.

Đây là mô hình rất phổ biến và được áp dụng bởi tất cả các nhà cung cấp dịch vụ chứng chỉ số hàng đầu thế giới như RSA, Thawte, VeriSign. Nó cũng được hỗ trợ bởi hầu hết các ứng dụng và thiết bị mạng.

Root CA

Nằm ở đỉnh cao nhất trong mô hình CA phân cấp, Root CA là điểm tin cậy cho tất cả các chứng chỉ được cấp bởi các CA khác trong mô hình. Điều này có nghĩa là một chứng chỉ được coi là tin cậy chỉ khi nó đó được kiểm chứng xuyên qua chuỗi chứng chỉ với điểm kết thúc tại Root CA.

Root CA tự cấp chứng chỉ cho chính nó và lúc này các trường Issuer NameSubject Name trong chứng chỉ có cùng tên phân biệt (distinguished name). Cách duy nhất để xác minh chứng chỉ của Root CA có hợp lệ hay không là kiểm tra xem chứng chỉ đó có nằm trong Trusted Root Store hay không.

Root CA có thể cấp chứng chỉ cho các đối tượng đầu cuối nhưng thường nó chỉ cấp cho các CA khác. Khi thực hiện cấp chứng chỉ cho các thực thể, Root CA sẽ sử dụng khóa bí mật của nó để ký lên các chứng chỉ đó để chống lại các hành động thay đổi nội dung và chỉ ra rằng chứng chỉ được cấp bởi Root CA.

Intermediate CA

Trong mô hình CA phân cấp thì một Intermediate CA là CA cấp dưới của một CA khác. Nó sẽ cấp chứng chỉ cho các CA là cấp dưới của nó. Intermediate CA có thể nằm tại bất kỳ cấp độ nào trong mô hình phân cấp ngoại trừ vị trí của Root CA.

CA mà cấp chứng chỉ cho một CA khác thường được gọi là parent CA và Intermediate CA cũng được gọi là Subordinate CA.

Policy CA

Là một dạng đặc biệt của Intermediate CA, Policy CA mô tả các chính sách và thủ tục mà tổ chức cần triển khai để xác minh nhận dạng của chủ thể nắm giữ chứng chỉ và bảo đảm an toàn cho các CA. Một Policy CA sẽ chỉ cấp chứng chỉ cho các CA khác trông mô hình phân cấp. Tất cả các CA (ngoại trừ Root CA) sẽ là cấp dưới của Policy CA và tuân theo các chính sách và thủ tục được định nghĩa tại Policy CA.

Nếu tổ chức phải triển khai nhiều chính sách và thủ tục khác nhau cho việc cấp chứng chỉ thì cần thiết phải có nhiều Policy CA tồn tại như được thể hiện trong hình dưới đây:

Trong ví dụ này, có hai Policy CA. Một Internal Policy CA định nghĩa các chính sách và thủ tục được dùng để xác minh nhận dạng của các đối tượng yêu cầu cấp chứng chỉ, sẽ được hai Issuing CA (America CA và Europe CA) là nằm ngay dưới nó tuân theo. Một External Policy CA định nghĩa các chính sách và thủ tục được dùng để xác minh nhận dạng và bảo đảm an toàn cho quá trình cấp chứng chỉ cho các đối tượng không nằm trong nội bộ của tổ chức, sẽ được Customer CA nằm ngay dưới nó tuân theo.

Issuing CA

Thường nằm tại bậc thứ 3 trong mô hình phân cấp, một Issuing CA sẽ cấp chứng chỉ cho các đối tượng đầu cuối.

Như đã nói ở trên, Issuing CA cần tuân theo bất kỳ chính sách và thủ tục nào được định nghĩa bởi một Policy CA mà nằm giữa nó và Root CA. Issuing CA cũng có thể nằm ở bậc thứ 2 trong mô hình phân cấp và khi đó nó đóng vai trò của cả Policy CA và Issuing CA thông thường. Nó sẽ tự thẩm định và tuân theo các chính sách và thủ tục của chính nó.

–manthang

4 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s