Chứng thực đa hệ số trong Windows - Phần 2: Chuẩn bị các thiết bị cho XP và Windows 2003

Trước khi bắt đầu với một ví dụ về triển khai, chúng tôi sẽ giới thiệu cho các bạn CSP là gì và tại sao nó lại là một thành phần quan trọng đến vậy khi làm việc với việc chứng thực đa hệ số trong Windows.
Nội dung trích xuất từ tài liệu:
Chứng thực đa hệ số trong Windows - Phần 2: Chuẩn bị các thiết bị cho XP và Windows 2003Chứng thực đa hệ số trong Windows - Phần 2: Chuẩn bị các thiết bị cho XPvà Windows 2003Nguồn:quantrimang.com Martin KiaerTại sao bạn cần một CSP clientTrong bài báo trước, chúng tôi đã bảo đảm rằng chip OS trên thẻ thông minh làhoàn toàn tương thích với CSP mà bạn muốn sử dụng. Trước khi bắt đầu vớimột ví dụ về triển khai, chúng tôi sẽ giới thiệu cho các bạn CSP là gì và tại saonó lại là một thành phần quan trọng đến vậy khi làm việc với việc chứng thực đahệ số trong Windows.Cơ bản mà nói, Cryptographic Service Provider (CSP) là một bộ phận phần mềmnằm ở giữa thiết bị bảo mật và hệ điều hành Windows. Hình 1 bên dưới thể hiệnnó trong Windows XP và Windows Server 2003: Hình 1: Role của CSP trong Windows XP và Windows Server 2003Như những gì bạn thấy trong hình trên, việc truyền thông giữa một ứng dụng sửdụng chứng thực đa hệ số và thiết bị mật được thực hiện thông qua các chứcnăng CryptoAPI. Một số hãng có chức năng và các tính năng nâng cao kháctrong chính CSP của hãng, một số khác lại lợi dụng chức năng và tính năng đãcó sẵn trong Windows. Đây là một khái niệm quan trọng mà bạn cần phải hiểu, vìnó chính là những điểm khác nhau giữa Windows XP / Server 2003 và WindowsVista / Server 2008, và chúng tôi sẽ giải thích rõ hơn trong bài tiếp theo của loạtbài này.Ví dụ, các phiên bản Windows hiện được hỗ trợ bởi Microsoft có các hỗ trợ kèmtheo cho nhiều loại thẻ thông minh khác nhau. Điều này có nghĩa rằng bạnkhông cần phải cài đặt một CSP riêng. Tất cả truyền thông đến và đi từ thẻ thôngminh đều được thực hiện thông qua CryptoAPI như đã được đề cập từ trước.Mặc dù vậy, nếu giải pháp thẻ thông minh mà bạn thích lại không có trong danhsách thì bạn cần phải bảo đảm bổ sung một CSP có hỗ trợ bởi hãng sản xuấtthẻ, từ đó mới có thể sử dụng giải pháp thẻ thông minh với Windows. Vậy điềugì là quan trọng cần lưu ý ở đây? Đó chính là chức năng CSP luôn được cầnđến, dù bạn sử dụng các tính năng được hỗ trợ kèm theo hay sử dụng các tínhnăng nào đó của hãng có trong thiết bị bảo mật.Bây giờ chúng ta sẽ tìm hiểu cơ bản về CSP, trước tiên hãy xem qua cách CSPcó thể được thực hiện như thế nào trong thế giới thực.Cách chuẩn bị một CSP client của nhóm thứ ba cho Windows XP vàWindows Server 2003Chúng ta sẽ không đi vào hướng dẫn từng bước cơ bản về cách thực hiện nhưthế nào. Tuy nhiên chúng tôi sẽ giới thiệu cho các bạn một số cách khác nhaumà có cả CSP và cách bạn cài đặt một CSP client của nhóm thứ ba, khi đã gắnmột chính sách vào CSP client.Với ví dụ này, chúng tôi muốn thực hiện theo các bước dưới đây: Thi hành một giải pháp thẻ thông minh để chuẩn bị thẻ chúng tôi có thể sử • dụng Windows XP và Windows Server 2003 bằng cách tích hợp nó với một PKI của Microsoft. Gộp một chính sách bảo mật đã được kích hoạt khi người dùng nhập vào • mã pin của họ để truy cập vào các nội dung trên thẻ thông minh. Tạo một CSP client có thể dễ dàng được cài đặt trên các máy tính hoặc • máy chủ trong môi trường doanh nghiệp.Để giúp thực hiện các yêu cầu được liệt kê ở trên, chúng tôi sẽ sử dụng một sảnphẩm của SafeNet có tên gọi là “Borderless Security”. Chúng tôi không muốn tậptrung vào bản thân ứng dụng mà chỉ sử dụng nó để trình bày nguyên lý đằng sauthực thi thẻ thông minh, chính vì vậy bạn có thể có được ý tưởng về cách cấuhình một CSP của nhóm thứ ba cho giải pháp chứng thực đa hệ số của mình.Với tất cả các thông tin trên, chúng ta hãy bắt đầu đi vào ví dụ của mình.1. Chúng ta đã cài đặt ứng dụng SafeNet Borderless trên một máy chủ và chuẩnbị tạo và cấu hình một CSP client cho các máy tính sử dụng Windows XP vàWindows Server 2003.2. Chúng ta bắt đầu giao diện quản lý với SafeNet Borderless Security. Thứ đầutiên cần thực hiện đó là liên kết PKI tồn tại với giải pháp thẻ thông minh củamình. Đây là bước rất quan trọng trong ví dụ của chúng ta, vì sẽ sử dụng cácchứng chỉ để chứng thực khi đưa ra và cấu hình các thẻ thông minh cho ngườidùng trong hạ tầng cơ sở. Một giải pháp thẻ thông minh điển hình trong cơ sở hạtầng của Microsoft cần có một PKI đề cung cấp các chứng chỉ với cặp khóa riêngvà công để có thể ánh xạ hóa tài khoản trong Active Directory. Tuy vậy bạn cầnphải chú ý rằng mỗi một PKI lại không được yêu cầu nhất thiết khi thực thi giảipháp này, và điều này phụ thuộc vào giải pháp CSP của nhóm thứ ba. Một sốhãng có hỗ trợ vấn đề bảo mật bằng mật khẩu đối với nội dung được lưu bêntrong chip bảo mật. Các chứng chỉ rất hữu ích bao gồm việc nó cho phép chúngta vô hiệu hóa một thẻ thông minh bằng cách thu hồi lại chứng chỉ người dùngcó liên quan từ Active Directory. Lưu ý các mũi tên dưới đây trong hình 2. Hình 2: Đây là liên kết giải pháp thẻ thông minh với PKI đang tồn tại Certificate Aut ...