Hướng dẫn về PKI – Phần 2: Thiết kế

Trong phần hai này, chúng tôi sẽ tiếp tục giới thiệu với thêm một chút kỹ thuật. Chúng ta sẽ xem xét một số vấn đề về thiết kế PKI. Xuyên suốt trong toàn bộ bài này, chúng tôi sẽ giới thiệu đến bạn cách để tránh những lỗi chung nhất trong quá trình thiết kế.
Nội dung trích xuất từ tài liệu:
Hướng dẫn về PKI – Phần 2: Thiết kếHướng dẫn về PKI – Phần 2: Thiết kếNguồn:quantrimang.com Martin KiaerTrong phần đầu tiên của loạt bài hướng dẫn về PKI này, chúng ta đã cóđược một cái nhìn tổng quan về cách chuẩn bị và lên kế hoạch cho PKI củabạn. Trong phần hai này, chúng tôi sẽ tiếp tục giới thiệu với thêm một chútkỹ thuật. Chúng ta sẽ xem xét một số vấn đề về thiết kế PKI. Xuyên suốttrong toàn bộ bài này, chúng tôi sẽ giới thiệu đến bạn cách để tránh nhữnglỗi chung nhất trong quá trình thiết kế.Thiết kế một PKIKhi thiết kế một PKI, có rất nhiều thứ mà bạn cần phải xem xét đến: Kiến trúc của CA sẽ như thế nào (ví dụ như số lượng CA và những role gì • sẽ có) Bạn muốn bảo vệ như các khóa riêng của CA như thế nào • Nơi nào bạn muốn tạo các điểm công bố •Chúng ta hãy xem xét sâu hơn nữa trong các vấn đề trênTạo kiến trúc CA có khả năng mở rộng tốtSố lượng và các mức của CA bạn nên bổ sung cơ bản dựa vào sự bảo mật củabạn và các yêu cầu về khả năng sẵn có. Bạn nên cố gắng tổ chức kiến trúc củamình theo những gì cần thiết. Thực sự không có một kinh nghiệm tốt nhất nàotrong việc chọn bao nhiêu mức CA bạn cần, tuy vậy thật hiếm khi có ai cần đếntrên bốn mức; mặc dù vậy vẫn có một nguyên tắc mà chúng tôi đã liệt kê trongbảng 1 dưới đây giúp bạn đi đúng hướng: Mức CA Chú thích - Độ bảo mật thấp - Các yêu cầu cần thiết về bảo mật CA thấp hơn - Gồm một CA gốc - Số lượng nhỏ các yêu cầu chứng chỉ - Độ bảo mật trung bình - Gồm một CA gốc offline và các CA cấp dưới online - CA gốc offline được xóa khỏi mạng - Đưa ra các CA online trên mạng - Có từ hai CA trở lên đưa ra với mỗi chứng chỉ - Độ bảo mật cao - Gồm có CA gốc offline và chính sách offline - Một hoặc nhiều CA thứ cấp online - Hợp với khu vực địa lý rộng và các tổ chức bảo mật cao Bảng 1: Số các mức CA cần thiếtNhư một lưu ý bổ sung, bạn có thể nhớ lại từ phần 1 của loạt bài này, có một thứđược gọi là chính sách chứng chỉ dùng để mô tả cách và ai phát hành/phân phốicác chứng chỉ đối với một chủ đề (ví dụ các chủ đề về người dùng đang tồn tại,các máy tính, thiết bị,…). Nếu bạn đã từng có lúc nghĩ mình cần nhiều hơn mộtchính sách chứng chỉ vì sự hợp lệ, tính địa lý, tính tổ chức hoặc cách sử dụngchứng chỉ thì cần phải định nghĩa một kiến trúc 3 mức, yêu cầu này sẽ cần đến 2hoặc nhiều CA chính sách ở mức 2 (các CA chính sách).Khi thực thi một PKI, bạn sẽ luôn luôn phải bắt đầu với một CA gốc, hoàn toànkhông quan trọng khi chúng ta xử lý với một kiến trúc PKI mức 1, mức 2 haymức 3. Khi CA gốc luôn là CA gốc và thường được thực thi bởi tự nó thì bạn cầnphải bảo vệ khóa riêng của CA gốc một cách tốt nhất có thể. Điều này luôn luôncần phải chú ý, không quan tâm đến việc kiến trúc PKI của bạn gồm bao nhiêumức. Nếu kiến trúc PKI của bạn gồm có hai mức hoặc nhiều hơn thì CA gốc cầncó một số lượng tối thiểu sự truy cập, vì chỉ có các CA cấp thứ mới yêu cầu sựtruy cập vào CA gốc. Mặc dù vậy, khi khoảng cách từ CA gốc tăng (nghĩa là cónhiều mức được bổ sung), các yêu cầu bảo mật sẽ giảm và sự truy cập tăng đốivới các CA cấp thứ. Đây sẽ là một hệ số quan trọng khi chúng ta bắt đầu cài đặtcác CA, thứ mà chúng tôi sẽ giới thiệu đến trong phần sau.Các khóa riêng CATrước khi cài đặt một CA, bạn nên có một kế hoạch về kích thước của khóariêng CA sẽ là bao nhiêu và nó được bảo vệ như thế nào. Chúng ta hãy xem xétđến kích thước khóa, điều rất quan trọng cho lý do bảo mật và khả năng tươngthích. Bảng 2 dưới đây liệt kê các kích thước khóa được khuyến khích: CA role Kích thước khóa 4096 Root CA 4096 Policy CA 2048 Issuing CA Bảng 2: Một số kích thước khóa CAThông thường, kích thước khóa 4096 được khuyến khích sử dụng để tăng độbảo mật, đặc biệt cho CA gốc. Mặc dù vậy, điều này có thể phát sinh các vấn đềkhông tương thích, ví dụ với các sản phẩm mạng của Cisco (phụ thuộc vàophiên bản nào Cisco IOS đang được sử dụng). Điều này là do nhiều sản phẩmcủa nhóm sản xuất thứ ba có các vấn đề trong việc quản lý kích thước khóa lớnhơn 2048. Và khi thiết bị mạng có thể được tích hợp trong các giải pháp như802.1x cho vấn đề hợp lệ và tính nguyên tắc thì kích thước khóa sẽ có tính chấtquan trọng. Vì vậy bạn phải bảo đảm rằng biết được thiết bị gì sẽ được sử dụng ...