Chương III: Xây dựng hệ thống PKI với OpenCA.

Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

Sau khi cài đặt xong RootCA. Chúng ta truy cập vào trang web để cấu hình và

quản lý RootCA theo địa chỉ https://rootca.actvn.net/pki/ca



Hình 5: Giao diện quản lý và cấu hình RootCA.

Trong mục PKI Init & Config chúng ta thực hiện việc khởi tạo cơ sở dữ liệu, khởi

tạo khóa riêng cho CA, tạo chứng chỉ CA , …



Hình 6: 3 bước thiết lập CA



Nhóm nghiên cứu khoa học



24



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

1.1 Khởi tạo CA.



Hình 7: Khởi tạo cơ sở dữ liệu, khóa CA, ...

• Khởi tạo cơ sở dữ liệu: Bước này sẽ tạo ra cơ sở dữ liệu dựa vào các tham số đã

thiết lập trong quá trình cài đặt openca. Nếu đã có 1 cơ sở dữ liệu trước đó thì ta

có thể chọn Upgrade Database để nâng cấp cơ sở dữ liệu, hoặc Re-init Database

để khởi tạo lại cơ sở dữ liệu ( lưu ý: nếu chọn thiết lập này sẽ làm mất cơ sở dữ

liệu hiện có ).

• Tạo khóa bí mật cho CA: Bước này thực hiện sinh khóa bí mật cho CA. Để thực

hiện việc sinh khóa bí mật chúng ta phải chọn thuật toán khóa, thuật toán mã hóa

khóa và độ dài của khóa.



Nhóm nghiên cứu khoa học



25



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 8: Tạo khóa bí mật cho CA.

Sau khi chọn xong các thuật toán và độ dài khóa, hệ thống sẽ sinh ra 1 khóa bí

mật cho CA như hình dưới đây. Hoặc có thể xem lại khóa được lưu trong máy theo

đường dẫn sau: /opt/OpenCA/var/openca/crypto/keys/cakey.pem ( /opt/OpenCA/ là thư

mục cài đặt OpenCA được thiết lập trong quá trình cài đặt ).



Nhóm nghiên cứu khoa học



26



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 9: Khóa bí mật của CA.

• Tạo yêu cầu cấp chứng chỉ cho CA: Sau khi tạo khóa bí mật cho CA xong,

chúng ta tạo 1 yêu cầu xin cấp chứng chỉ cho CA.



Hình 10: Tạo yêu cầu cấp chứng chỉ cho CA

Nhóm nghiên cứu khoa học



27



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 11: Nội dung yêu cầu chứng chỉ



Hình 12: Lựa chọn Self Signed CA để tự chứng thực CA.



Nhóm nghiên cứu khoa học



28



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

• Serial Number: số seri của chứng chỉ. Do đây là chứng chỉ đầu tiên cấp cho

CA nên chúng ta để Serial Number là 00.

• Certificate Validity: Thời hạn sử dụng chứng chỉ, mặc định là 730 ngày (2

năm). Chúng ta có thể thay đổi giá trị này tùy theo nhu cầu sử dụng hệ

thống.

• Extensions: Phần mở rộng, để ký chứng chỉ cho CA, chúng ta lựa chọn Self

Signed CA. Với lựa chọn này hệ thống sẽ tự ký vào yêu cầu này để tạo ra

chứng chỉ CA cho nó.

Sau khi lựa chọn xong hệ thống sẽ tạo chứng chỉ như hình dưới đây. Chúng ta

cũng có thể xem lại chứng chỉ tại /opt/OpenCA/var/openca/crypto/certs/00.pem



Hình 13: Chứng chỉ của CA.

• Xây dựng lại chuỗi chứng chỉ CA: Sau khi xây dựng xong SubCA chúng ta thêm

chứng chỉ của SubCA vào thư mục /opt/OpenCA/var/openca/crypto/chain/ rồi

chọn Rebuild CA Chain.



Nhóm nghiên cứu khoa học



29



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 14: Xây dựng lại chuỗi chứng chỉ CA.

1.2 Khởi tạo chứng chỉ cho người quản trị.

Sau khi đã thiết lập CA xong, chúng ta thực hiện việc khởi tạo chứng chỉ cho

người dùng đầu tiên (khuyến cáo nên khởi tạo cho người quản trị).



Hình 15: Tạo chứng chỉ cho người quản trị.

Nhóm nghiên cứu khoa học



30



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 16: Khai báo các thông tin cơ bản.



Hình 17: Khai báo chi tiết chứng chỉ.

Lựa chọn chứng chỉ theo mẫu User. Mức độ bảo mật, chế độ sinh khóa ...

Nhóm nghiên cứu khoa học



31



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 18: Khai báo mã PIN.

Chọn lược đồ ký, độ mạnh của khóa và đặt mã PIN. Mã PIN rất quan trọng, mỗi

chứng chỉ có 1 mã PIN duy nhất.



Hình 19: Thỏa thuận người dùng.

Nhóm nghiên cứu khoa học



32



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 20: Tạo yêu cầu.

Sau khi tạo xong yêu cầu, chúng ta phải vào mục Issue the certificate để chấp

thuận yêu cầu trên. Trong đây chúng ta có thể sửa lại yêu cầu, tạo chứng chỉ hoặc xóa bỏ

yêu cầu này.



Hình 21: Ký chứng chỉ.

Nhóm nghiên cứu khoa học



33



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 22: Chứng chỉ của người dùng.

Sau khi đã Issue certificate chúng ta có thể lấy chứng chỉ về máy bằng cách chọn

mục Handle the certificate. Tại đây chúng ta có thể thấy chứng chỉ được cấp cho người

dùng có serial number là 53:CF:7A:A8:D6:E7:1E:42:3D:01( chứng chỉ được lưu trong

hệ thống tại /opt/OpenCA/var/openca/crypto/certs/53cf7aa8d6e71e423d01.pem).

Chọn More info để xem chi tiết thông tin về chứng chỉ và lấy chứng chỉ về máy

người dùng.



Nhóm nghiên cứu khoa học



34



Học viện Kỹ Thuật Mật Mã