Hướng dẫn về PKI – Khắc phục sự cố

Hướng dẫn về PKI – Khắc phục sự cố.Trong các phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị, lập kế hoạch và thiết kế PKI Microsoft. Chúng tôi cũng đưa ra một một chút kỹ thuật trong đó để thể hiện cho các bạn cách cài đặt PKI dựa trên Microsoft Certificate Services trong Windows Server 2003. Trong phần cuối này, chúng tôi sẽ giới thiệu tổng quan về cách bảo trì và khắc phục sự cố PKI của bạn bằng một số công cụ cơ bản nhưng...
Nội dung trích xuất từ tài liệu:
Hướng dẫn về PKI – Khắc phục sự cốHướng dẫn về PKI – Khắc phục sự cốTrong các phần trước của loạt bài này chúng tôi đã giới thiệu cho cácbạn tổng quan về cách chuẩn bị, lập kế hoạch và thiết kế PKI Microsoft.Chúng tôi cũng đưa ra một một chút kỹ thuật trong đó để thể hiện chocác bạn cách cài đặt PKI dựa trên Microsoft Certificate Services trongWindows Server 2003. Trong phần cuối này, chúng tôi sẽ giới thiệu tổngquan về cách bảo trì và khắc phục sự cố PKI của bạn bằng một số côngcụ cơ bản nhưng rất có giá trị.ToolboxMột trong những thành phần rất có giá trị đối với bạn và PKI đó là toolbox,nó gồm có các rất nhiều công cụ. Các công cụ này sẽ giúp bạn duy trì sự ổnđịnh của PKI và giải quyết các vấn đề một cách nhanh chóng, không bị nhiềuphiền toái. Mặc dù vậy hộp công cụ này không dễ dàng cho việc thực hiệnthao tác nhiệm vụ ngay tức thì vì nó không có nhiều công cụ có sẵn, do đóphải sử dụng chúng một cách tốt nhất với những gì chúng ta có. Dưới đâychúng tôi liệt kê các tùy chọn của bạn đối với Microsoft PKI toolbox (khôngtheo thứ tự): Certificate Services (certsrv.msc) – Giao diện quản lý này gồm có các chức năng chính bạn sẽ cần đến khi cấu hình và duy trì PKI Certificate Templates (certtmpl.msc) – Giao diện này được sử dụng để duy trì và bảo vệ các mẫu chứng chỉ Certificate Manager (certmgr.msc) – Giao diện này được sử dụng để kiểm soát các chứng chỉ được cài đặt trên máy tính hoặc người dùng hiện hành. Certutil.exe – Tiện ích chứng chỉ dựa trên dòng lệnh thực hiện như Certificate Services MMC plus Event Viewer (Eventvwr.msc) – Công cụ này rất quan trọng khi khắc phục sự cố PKI Enterprise PKI tools (PKIview.msc) – Công cụ sức khỏe PKI dựa trên MMC. Capimon.exe – Cho phép quản trị viên có thể kiểm tra các cuộc gọi  CryptoAPI của các ứng dụng bảo mật và kết quả của nó.Tất cả các công cụ này đều rất hữu dụng với PKI, tuy nhiên chúng cũng cómột số thông tin quan trọng giúp bạn có thể khắc phục sự cố PKI. Cách tốtnhất để khắc phục sự cố PKI này là sử dụng quá trình đã cấu trúc từ trước.Phương pháp này được chúng tôi giới thiệu dưới đây:1. Luôn luôn bắt đầu việc khắc phục sự cố bằng cách kiểm tra các bản ghi sựkiện. Điều này có thể dường như hiển nhiên nhưng hầu hết tất cả PKI có dínhlíu tới lỗi sẽ bị ghi vào các bản ghi sự kiện. Chính vì vậy bạn có thể hiển thịthông báo lỗi từ các chương trình khác nhau như Certificate Services MMC,bản ghi sự kiện xét cho cùng vẫn là cách tốt nhất để đọc và gỡ rối các lỗi liênquan đến PKI.2. Sử dụng các công cụ PKIview.msc để có được một cách nhìn tổng quan vềtrạng thái PKI của bạn. PKIview.msc sẽ thể hiện một số lỗi chung nhất gồmcó CRL hết hạn hoặc bị mất hoặc một chứng chỉ CA hết hiệu lực. Nếu mọithứ dường như tốt đối với công cụ này thì bạn có thể chuyển lên và tập trungvào các vấn đề liên quan đến chứng chỉ cụ thể như các thiết lập bảo mật trênmẫu chứng chỉ,…3. Nếu lỗi không hiển nhiên hoặc khó khăn trong vấn đề khắc phục thì bạnhãy tìm kiếm sự trợ giúp từ danh sách tài nguyên của chúng tôi tại phần cuốicủa bài viết, hoặc tìm các giải pháp thông qua support.microsoft.com, cácnhóm hoặc forum.Một điều nữa có thể giúp ích cho bạn là phải có một danh sách kiểm tra saukhi cài đặt và trong quá trình bảo trì. Đây là một ví dụ mà bạn nên xem xét đểtham khảo: Khả năng có sẵn của PKI và các chứng chỉ gốc của bạn như thế nào?  CRL có sẵn có hay không?  Các chứng chỉ được phát hành có làm việc đúng cách hay không?  Các thành phần hoặc các ứng dụng cơ sở hạ tầng dựa trên chứng chỉ từ  PKI có làm việc đúng cách hay không? Hiệu suất trên các hệ thống sử dụng các chứng chỉ từ PKI như thế nào?  Có nhiều thông báo lỗi liên quan đến các chứng chỉ đã cài đặt trên máy  tính hay không?Hãy tiếp tục và xem xét một số tiện ích từ hộp công cụ của chúng ta, cáchchúng có thể cho phép thực hiện dễ dàng hơn như thế nào với khía cạnh PKIcủa bạn.Certificate Services và Certificates Templates MMC Snap-inCertificate Services MMC Snap-in (certsrv.msc) là giao diện quản trị PKIchính. Bạn nên đầu tư một chút thời gian với MMC Snap-in này và dần làmquen với công cụ vì nó có thể giúp bạn hiểu sâu về thế giới PKI củaMicrosoft. Với snap-in này, bạn sẽ hiểu được về các mẫu chứng chỉ AIA,CDP, V2,.. ý nghĩa và chúng liên kết như thế nào với một số lĩnh vực đãđược giới thiệu trong các phần trước. Trợ giúp của nó cũng rất có giá trị, nógồm có nhiều phần nhỏ cho phép thao tác tốt nhất (giống như nhiều các filetrợ giúp khác trong Windows Server 2003). Hầu hết các vấn đề với PKIthường liên quan đến các vấn đề về điều khoản, nơi chứng chỉ đang được sửdụng hoặc khả năng có sẵn của CRL. Vì vậy hãy xem xét một số ví dụ nơicông cụ này có thể trợ giúp đắc lực trong k ...