Xây dựng hạ tầng PKI trên nền Windows Server 2008 – Phần 2


Xem thêm:
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 3
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 5
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.2

————-

Trước khi triển khai Windows Server 2008 PKI thì cần thiết phải dành thời gian để thiết kế mô hình hoạt động của CA đáp ứng với đòi hỏi và điều kiện của tổ chức. Để phát triển được cấu trúc thích hợp thì cần điều tra và xử lý các yêu cầu dành cho các ứng dụng, an ninh, kinh doanh, kỹ thuật và các nguồn lực bên ngoài. Các vấn đề sẽ được đề cập trong phần này là:

  • Số lượng các tầng trong hệ thống phân cấp CA
  • Các CA sẽ được bố trí như thế nào trong một hệ thống phân cấp CA
  • Các loại chứng chỉ mà mỗi CA sẽ cấp
  • Các loại CA được triển khai tại mỗi tầng
  • Chỉ định nơi mà các tài khoản máy tính CA sẽ tồn tại trong AD DS
  • Các biện pháp an ninh để bảo vệ các CA
  • Có cần tới các chính sách chứng chỉ khác nhau hay không

Phần 2 – Xác định số lượng các tầng trong hệ thống phân cấp CA

Có bao nhiêu tầng sẽ có trong hệ thống phân cấp CA là điều cơ bản cần xem xét trong quá trình thiết kế. Cũng cần thiết xác định số lượng các CA sẽ có tại mỗi tầng. Hầu hết các mô hình bao gồm hai cho tới bốn tầng; tuy nhiên, có thể áp dụng một tầng (chỉ gồm một CA) cho các tổ chức nhỏ.

Hệ thống phân cấp CA đơn tầng

Thích hợp cho các tổ chức nhỏ có ít hơn 300 tài khoản người dùng. Thay vì triển khai nhiều CA thì sẽ chỉ có một CA được cài đặt làm Enterprise Root CA.

Enterprise Root CA không bị tách rời khỏi mạng mà nó sẽ là một máy chủ thành viên của domain và luôn hiện diện trên mạng để cấp chứng chỉ theo yêu cầu của các máy tính, người dùng, dịch vụ hay thiết bị mạng. Nếu có thể thì không nên cài đặt Enterprise Root CA trên cùng một máy tính với máy domain controller vì lý do an ninh cũng như có phát sinh vấn đề trong tương lai nếu có ý định di chuyển CA sang một máy tính khác.

Ưu điểm của mô hình này là dễ dàng quản lý, chi phí thấp nhưng khả năng dự phòng, mở rộng kém lại là nhược điểm của nó. Nếu CA ngưng hoạt động thì dịch vụ Certificate Services không thể xử lý các yêu cầu cấp phát, thay mới chứng chỉ hoặc phát hành CRL cho tới khi CA được khôi phục trở lại.

Hệ thống phân cấp CA hai tầng

Mô hình này gồm một Root CA ở chế độ offline (không được kết nối vào mạng) và một hoặc hai Issuing CA. Ở đây, các Issuing CA đảm nhận luôn chức năng của Policy CA như được thể hiện trong Hình dưới đây:

Để đảm bảo an ninh, Root CA sẽ được cài đặt ở dạng Standalone Root CA, không cần thiết phải là thành viên của domain. Vì vậy mà Root CA này có thể hoạt động offline nhằm hạn chế các cuộc tấn công qua mạng tới nó.

Để tăng cường độ sẵn sàng cho dịch vụ Certificate Services, nên có nhiều hơn một Issuing CA nằm ở tầng hai để nếu một CA bị ngưng hoạt động thì dịch vụ Certificate Services vẫn chạy trên các CA còn lại. Số lượng các Issuing CA phụ thuộc vào yêu cầu cụ thể của tổ chức.

Hệ thống phân cấp CA ba tầng

Mô hình này linh hoạt và mang lại độ an toàn cao. Như được thể hiện trong Hình dưới đây, nó bao gồm các thành phần sau:

  • Một offline Root CA được cài đặt làm Standalone Root CA
  • Một hoặc nhiều offline Policy CA được cài đặt làm Standalone Subordinate CA
  • Một hoặc nhiều Issuing CA được cài đặt làm Enterprise Subordinate CA hoặc Standalone Subordinate CA

 

Các trường hợp sau được khuyến cáo nên áp dụng thiết kế này là:

  • Yêu cầu cao về an toàn vật lý cho hệ thống CA là điều bắt buộc trong chính sách an ninh của tổ chức. Vì vậy mà cần thiết phải triển khai offline đối với Root và Policy CA để bảo vệ chúng từ các cuộc tấn công qua mạng.
  • Các chứng chỉ được cấp dưới các mức độ bảo đảm khác nhau nên cần tới các chính sách chứng chỉ khác nhau. Nếu việc xác minh nhận dạng của đối tượng yêu cầu chứng chỉ cần tới các biện pháp khác nhau thì cần phân tách các Policy CA tại tầng hai. Ví dụ, sẽ cần tới các CPS (Certificate Practice Statement) khác nhau cho đối tượng là nhân viên và cho đối tượng là đối tượng hoặc khách hàng của tổ chức. Mỗi Policy CA sẽ áp dụng các CPS của riêng nó  cùng các chính sách chứng chỉ có liên quan.
  • Việc quản lý hệ thống CA được phân chia cho các nhóm quản trị khác nhau, ví dụ, sẽ có một nhóm quản lý PKI quản lý các CA ở Châu Âu trong khi có một nhóm khác sẽ quản lý ở khu vực châu Á. Trong tình huống này, trách nhiệm của mỗi nhóm là định nghĩa CPS cho các Policy CA mà họ quản lý.

Hệ thống phân cấp CA bốn tầng

Trong một số trường hợp nhất định vẫn cần tối hệ thống phân cấp CA gồm tới bốn tầng nhưng thường điều này được khuyến cáo. Trong mô hình này, các Issuing CA nằm ở cả tầng ba và bốn. Hình dưới đây thể hiện hai CA cấp vùng (Bờ Tây và Bờ Đông) tại tầng ba và các CA khác (cho nhân viên và nhà thầu) tại tầng bốn.

Ghi chú:

  • Chính sách an ninh (Security policy): là một tài liệu định nghĩa các tiêu chuẩn về vấn đề an ninh của tổ chức. Nó thường bao gồm kiểm kê tài sản có giá trị của tổ chức, các mối đe dọa tiềm tàng với các tài sản đó cũng như vạch ra các biện pháp để bảo về chúng.
  • Chính sách chứng chỉ (Certification policy): là một tài liệu mô tả các cách thức mà tổ chức sẽ sử dụng để xác minh nhận dạng của đối tượng yêu cầu cấp chứng chỉ và chỉ ra những mục đích sử dụng của chứng chỉ. Việc xác minh có thể đòi hỏi đối tượng cung cấp tài khoản và mật khẩu để đối chiếu thông tin với cơ sở dữ liệu của tổ chức.
  • Tuyên bố thực hành chứng chỉ (Certification practice statement – CPS ): là một tài liệu được công khai rộng rãi mô tả một CA được tổ chức quản lý như thế nào để duy trì an ninh và các chính sách chứng chỉ. Một CPS được phát hành bởi một CA và mô tả hoạt động của CA đó.

–manthang

8 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s