2 Khởi tạo chứng chỉ cho người quản trị.

Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 16: Khai báo các thông tin cơ bản.



Hình 17: Khai báo chi tiết chứng chỉ.

Lựa chọn chứng chỉ theo mẫu User. Mức độ bảo mật, chế độ sinh khóa ...

Nhóm nghiên cứu khoa học



31



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 18: Khai báo mã PIN.

Chọn lược đồ ký, độ mạnh của khóa và đặt mã PIN. Mã PIN rất quan trọng, mỗi

chứng chỉ có 1 mã PIN duy nhất.



Hình 19: Thỏa thuận người dùng.

Nhóm nghiên cứu khoa học



32



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 20: Tạo yêu cầu.

Sau khi tạo xong yêu cầu, chúng ta phải vào mục Issue the certificate để chấp

thuận yêu cầu trên. Trong đây chúng ta có thể sửa lại yêu cầu, tạo chứng chỉ hoặc xóa bỏ

yêu cầu này.



Hình 21: Ký chứng chỉ.

Nhóm nghiên cứu khoa học



33



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 22: Chứng chỉ của người dùng.

Sau khi đã Issue certificate chúng ta có thể lấy chứng chỉ về máy bằng cách chọn

mục Handle the certificate. Tại đây chúng ta có thể thấy chứng chỉ được cấp cho người

dùng có serial number là 53:CF:7A:A8:D6:E7:1E:42:3D:01( chứng chỉ được lưu trong

hệ thống tại /opt/OpenCA/var/openca/crypto/certs/53cf7aa8d6e71e423d01.pem).

Chọn More info để xem chi tiết thông tin về chứng chỉ và lấy chứng chỉ về máy

người dùng.



Nhóm nghiên cứu khoa học



34



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Hình 23: Download chứng chỉ về máy.



2. SubCA

Quá trình cài đặt SubCA tương tự như cài đặt RootCA.

Chúng ta cũng phải tạo khóa bí mật cho SubCA. Khởi tạo 1 yêu cầu cấp phát

chứng chỉ. Yêu cầu này sẽ được gửi cho RootCA để RootCA ký và chứng thực đây là 1

sub CA. Chứng chỉ sau khi được ký xong sẽ gửi trả lại cho SubCA.



3.RA

Quá trình cài đặt RA cũng tương tự như RootCA và SubCA. Có điểm khác là khi

cài đặt gói openca-base chúng ta chọn chế độ cài đặt là install-online.

Sau khi cài đặt xong RA. Người dùng sẽ đăng ký cấp chứng thư trực tiếp trên RA,

sau đó các yêu cầu cấp chứng thư sẽ được gửi đến cho SubCA để SubCA ký. Các chứng

thư sau khi được SubCA ký xong sẽ được gửi trả lại cho RA để người dùng lấy về, đồng

thời các chứng thư này cũng sẽ được công bố trên hệ thống kho lưu trữ (repositories)



Nhóm nghiên cứu khoa học



35



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Chương IV: Đánh giá và định hướng phát triển

Trong thời gian thực hiện đề tài, nhóm chúng em đã nghiên cứu và tìm hiểu về hệ

thống PKI dựa trên nền tảng mã nguồn mở OpenCA và thu được một số kết quả sau:

Về lý thuyết nhóm nghiên cứu đã tìm hiểu và nắm vững được các vấn đề sau

• Mật mã hóa khóa công khai

• Chữ ký số

• Các kiến thức cơ bản về cơ sở hạ tầng khóa công khai - PKI (một mô hình

được sử dụng rất nhiều cho việc truyền thông qua mạng Internet như gửi thư

an toàn, chứng thực web an toàn, … )

Về mặt thực nghiệm: nhóm đã thực hiện được các kết quả sau

• Xây dựng hệ thống PKI với OpenCA.

• Thử nghiệm xin cấp phát chứng thư và cấp phát chứng thư.

• Lưu trữ chứng thư trên kho lưu trữ repositories.

Do giới hạn về thời gian, cơ sở vật chất. Bên cạnh những mặt đạt được như trên

thì nhóm vẫn còn một số mặt hạn chế:

• Mô hình nhỏ chỉ phục vụ cho việc nghiên cứu, có khả năng đáp ứng cho doanh

nghiệp vừa và nhỏ.

• Chưa nghiên cứu được việc ứng dụng trong thẻ token, smart card, …

Hướng phát triển: Xây dựng hệ thống PKI kết hợp với các giải pháp an ninh

khác để đảm bảo an toàn và cung cấp môi trường truyền thông an toàn trong hệ thống

mạng cục bộ, mạng doanh nghiệp.



Nhóm nghiên cứu khoa học



36



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



Kết luận

Việc nghiên cứu và xây dựng hệ thống PKI dựa trên nền tảng mã nguồn mở

OpenCA là một vấn đề còn mới mẻ và luôn cần được hoàn thiện. Dự án OpenCA vẫn

đang được hoàn thiện với bộ thư viện libpki mới.

Hiện nay, việc áp dụng mật mã hóa khóa công khai và dịch vụ chứng thực điện tử

để đảm bảo an toàn thông tin trong các hoạt động giao dịch điện tử là giải pháp được

nhiều quốc gia trên thế giới sử dụng. Ở Việt Nam, tình hình triển khai cơ sở hạ tầng

khóa công khai (PKI) và chứng thực điện tử (CA) được đánh giá là đã đi đúng hướng và

bài bản, nhưng tiến độ vẫn còn chậm. Thực tế ở Việt Nam việc triển khai dịch vụ chứng

thực điện tử mới chỉ ở một số cơ quan nhà nước, cơ quan thuộc chính phủ. Còn các

doanh nghiệp cũng có sử dụng chứng thực điện tử nhưng còn ít và đều là mua của các tổ

chức cung cấp. Việc triển khai các dịch vụ cung cấp chứng thực điện tử yêu cầu một sự

đầu tư lâu dài và nghiêm túc mới mang lại kết quả như mong muốn. Phần khó khăn nhất

trong triển khai dịch vụ này là ở khâu tổ chức thực hiện và thay đổi nhận thức của con

người. Tính pháp lý của chữ ký số và dịch vụ chứng thực điện tử cũng là một vấn đề

đang được đặt ra. Hiện nay, ở Việt Nam đã ban hành một số các điều luật trong lĩnh vực

này như Luật công nghệ thông tin ban hành ngày 29/6/2006, Luật giao dịch điện tử ban

hành ngày 29/11/2005, Luật nội dung chữ ký số ban hành ngày 15/2/2007...Các tổ chức,

cá nhân cung cấp và sử dụng dịch vụ chứng thực điện tử cần phải được quản lý, đồng

thời có quyền , nghĩa vụ nhất định.

Ngoài ra nếu một cơ sở hạ tầng có công nghệ yếu thì sẽ không có sự tin tưởng và

nhà cung cấp dịch vụ và những e ngại về tâm lý của người dùng này cũng là các trở ngại

trong việc triển khai cơ sở hạ tầng an ninh rộng khắp.

Với OpenCA - một dự án mã nguồn mở, thì chi phí xây dựng hậ tầng khóa công

khai và chứng thực điện tử cho doanh nghiệp là rất thấp, dễ dàng triển khai. Tuy nhiên,

nếu nhiều doanh nghiệp cùng triển khai sẽ dần đến khó quản lý, không nhất quán giữa

các doanh nghiệp, do đó cần có một tổ chức cấp cao hơn sẽ quản lý các doanh nghiệp

này và xây dựng hệ thống chức thực chéo giữa các doanh nghiệp để đảm bảo sự tín

nhiệm giữa các doanh nghiệp.



Nhóm nghiên cứu khoa học



37



Học viện Kỹ Thuật Mật Mã