Xây dựng hạ tầng PKI trên nền Windows Server 2008 – Phần 3


Xem thêm:
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 3
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 5
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.2

————-

Phần 3 – Lựa chọn kiểu kiến trúc và tổ chức các CA

Không có một công thức chung và đơn giản cho việc lựa chọn kiến trúc nào (đơn cấp, hai cấp, ba cấp hay bốn cấp) để triển khai cũng như cách sắp đặt các CA. Các yếu tố cần xem xét khi thiết kế hệ thống phân cấp CA bao gồm:

  • Số lượng các chứng chỉ sẽ được cấp phát: càng nhiều chứng chỉ mà hệ thống cần cung cấp thì càng cần nhiều Issuing CA và điều này cũng làm tăng độ dự phòng nếu chẳng may có sự cố xảy ra với một CA nào đó.
  • Cấu trúc của tổ chức: nếu tổ chức bị phân tán về mặt địa lý qua nhiều châu lục hoặc vùng miền thì một Issuing CA nên được đặt tại mỗi vị trí này. Và tất cả các Issuing CA có thể cùng tuân theo chính sách từ một Policy CA duy nhất (như ví dụ được thể hiển trong Hình 1) hoặc sẽ có các Policy CA riêng biệt cho mỗi vị trí (như ví dụ được thể hiện trong Hình 2).

Hình 1 – Các Issuing CA được phân tán theo vị trí địa lý với một Policy CA duy nhất

 

Hình 2 – Các Issuing CA được phân tán và có các Policy CA riêng tại mỗi vị trí

Ngoài ra, nếu tổ chức được cấu thành bởi nhiều tổ chức tự trị nhưng có mối liên hệ, hợp tác với nhau như trong ví dụ ở Hình 3 thì có thể phân tách các Policy và Issuing CA cho mỗi tổ chức.

Hình 3 – Hệ thống phân cấp CA theo cấu trúc hành chính của tổ chức

  • Mô hình quản lý: với các tổ chức có mô hình quản lý tập trung thì thường chỉ có một vài CA đáp ứng dịch vụ cho toàn bộ hệ thống. Nhưng với các tổ chức có mô hình quản lý phân tán thì thường sẽ có một CA tách biệt cho mỗi nhóm. Ví dụ ở Hình 4, có một nhóm quản lý Secure E-mail CA mà cấp chứng chỉ cho mục đích bảo vệ email, một nhóm khác quản lý VPN CA mà cấp chứng chỉ cho môi trường mạng riêng ảo, và một nhóm quản lý EFS CA mà cấp chứng chỉ cho nhu cầu mã hóa EFS.

Hình 4 – Cấu trúc phân cấp CA theo mô hình quản lý PKI

–manthang

6 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s