Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.05 MB, 37 trang )
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Sau khi cài đặt xong RootCA. Chúng ta truy cập vào trang web để cấu hình và
quản lý RootCA theo địa chỉ https://rootca.actvn.net/pki/ca
Hình 5: Giao diện quản lý và cấu hình RootCA.
Trong mục PKI Init & Config chúng ta thực hiện việc khởi tạo cơ sở dữ liệu, khởi
tạo khóa riêng cho CA, tạo chứng chỉ CA , …
Hình 6: 3 bước thiết lập CA
Nhóm nghiên cứu khoa học
24
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
1.1 Khởi tạo CA.
Hình 7: Khởi tạo cơ sở dữ liệu, khóa CA, ...
• Khởi tạo cơ sở dữ liệu: Bước này sẽ tạo ra cơ sở dữ liệu dựa vào các tham số đã
thiết lập trong quá trình cài đặt openca. Nếu đã có 1 cơ sở dữ liệu trước đó thì ta
có thể chọn Upgrade Database để nâng cấp cơ sở dữ liệu, hoặc Re-init Database
để khởi tạo lại cơ sở dữ liệu ( lưu ý: nếu chọn thiết lập này sẽ làm mất cơ sở dữ
liệu hiện có ).
• Tạo khóa bí mật cho CA: Bước này thực hiện sinh khóa bí mật cho CA. Để thực
hiện việc sinh khóa bí mật chúng ta phải chọn thuật toán khóa, thuật toán mã hóa
khóa và độ dài của khóa.
Nhóm nghiên cứu khoa học
25
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 8: Tạo khóa bí mật cho CA.
Sau khi chọn xong các thuật toán và độ dài khóa, hệ thống sẽ sinh ra 1 khóa bí
mật cho CA như hình dưới đây. Hoặc có thể xem lại khóa được lưu trong máy theo
đường dẫn sau: /opt/OpenCA/var/openca/crypto/keys/cakey.pem ( /opt/OpenCA/ là thư
mục cài đặt OpenCA được thiết lập trong quá trình cài đặt ).
Nhóm nghiên cứu khoa học
26
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 9: Khóa bí mật của CA.
• Tạo yêu cầu cấp chứng chỉ cho CA: Sau khi tạo khóa bí mật cho CA xong,
chúng ta tạo 1 yêu cầu xin cấp chứng chỉ cho CA.
Hình 10: Tạo yêu cầu cấp chứng chỉ cho CA
Nhóm nghiên cứu khoa học
27
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 11: Nội dung yêu cầu chứng chỉ
Hình 12: Lựa chọn Self Signed CA để tự chứng thực CA.
Nhóm nghiên cứu khoa học
28
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
• Serial Number: số seri của chứng chỉ. Do đây là chứng chỉ đầu tiên cấp cho
CA nên chúng ta để Serial Number là 00.
• Certificate Validity: Thời hạn sử dụng chứng chỉ, mặc định là 730 ngày (2
năm). Chúng ta có thể thay đổi giá trị này tùy theo nhu cầu sử dụng hệ
thống.
• Extensions: Phần mở rộng, để ký chứng chỉ cho CA, chúng ta lựa chọn Self
Signed CA. Với lựa chọn này hệ thống sẽ tự ký vào yêu cầu này để tạo ra
chứng chỉ CA cho nó.
Sau khi lựa chọn xong hệ thống sẽ tạo chứng chỉ như hình dưới đây. Chúng ta
cũng có thể xem lại chứng chỉ tại /opt/OpenCA/var/openca/crypto/certs/00.pem
Hình 13: Chứng chỉ của CA.
• Xây dựng lại chuỗi chứng chỉ CA: Sau khi xây dựng xong SubCA chúng ta thêm
chứng chỉ của SubCA vào thư mục /opt/OpenCA/var/openca/crypto/chain/ rồi
chọn Rebuild CA Chain.
Nhóm nghiên cứu khoa học
29
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 14: Xây dựng lại chuỗi chứng chỉ CA.
1.2 Khởi tạo chứng chỉ cho người quản trị.
Sau khi đã thiết lập CA xong, chúng ta thực hiện việc khởi tạo chứng chỉ cho
người dùng đầu tiên (khuyến cáo nên khởi tạo cho người quản trị).
Hình 15: Tạo chứng chỉ cho người quản trị.
Nhóm nghiên cứu khoa học
30
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 16: Khai báo các thông tin cơ bản.
Hình 17: Khai báo chi tiết chứng chỉ.
Lựa chọn chứng chỉ theo mẫu User. Mức độ bảo mật, chế độ sinh khóa ...
Nhóm nghiên cứu khoa học
31
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 18: Khai báo mã PIN.
Chọn lược đồ ký, độ mạnh của khóa và đặt mã PIN. Mã PIN rất quan trọng, mỗi
chứng chỉ có 1 mã PIN duy nhất.
Hình 19: Thỏa thuận người dùng.
Nhóm nghiên cứu khoa học
32
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 20: Tạo yêu cầu.
Sau khi tạo xong yêu cầu, chúng ta phải vào mục Issue the certificate để chấp
thuận yêu cầu trên. Trong đây chúng ta có thể sửa lại yêu cầu, tạo chứng chỉ hoặc xóa bỏ
yêu cầu này.
Hình 21: Ký chứng chỉ.
Nhóm nghiên cứu khoa học
33
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 22: Chứng chỉ của người dùng.
Sau khi đã Issue certificate chúng ta có thể lấy chứng chỉ về máy bằng cách chọn
mục Handle the certificate. Tại đây chúng ta có thể thấy chứng chỉ được cấp cho người
dùng có serial number là 53:CF:7A:A8:D6:E7:1E:42:3D:01( chứng chỉ được lưu trong
hệ thống tại /opt/OpenCA/var/openca/crypto/certs/53cf7aa8d6e71e423d01.pem).
Chọn More info để xem chi tiết thông tin về chứng chỉ và lấy chứng chỉ về máy
người dùng.
Nhóm nghiên cứu khoa học
34
Học viện Kỹ Thuật Mật Mã