Hướng dẫn về PKI – Phần 3: Cài đặt

Chúng ta đã đi đến phần ba của loạt bài hướng dẫn về PKI. Trong phần đầu tiên, chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị và lập kế hoạch PKI.
Nội dung trích xuất từ tài liệu:
Hướng dẫn về PKI – Phần 3: Cài đặtHướng dẫn về PKI – Phần 3: Cài đặtNguồn:quantrimang.com Martin KiaerChúng ta đã đi đến phần ba của loạt bài hướng dẫn về PKI. Trong phần đầutiên, chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị và lậpkế hoạch PKI. Tiếp đến trong phần thứ hai, đi vào chế độ thiết kế và xemxét một số thiết lập thực hành tốt nhất. Trong phần ba này, chúng tôi sẽgiới thiệu rất nhiều đến vấn đề kỹ thuật và thể hiện cho bạn cách cài đặtPKI dựa trên Microsoft Certificate Services trong Windows Server 2003.Cài đặt PKIDựa vào một số kết quả thiết kế từ hai phần trước, bây giờ chúng ta hãy bắt đầuviệc cài đặt PKI. Do đây là một hướng dẫn nhanh nên chúng tôi sẽ chỉ giới thiệumột số bước. Phần cuối của bài này, sẽ giới thiệu cho bạn cách cài đặt kiến trúc2 mức gồm có một CA gốc offline và một CA đang phát hành online trong cùngmột PKI có sử dụng các phương pháp thực hành tốt nhất. Mặc dù vậy, trước khibắt đầu cái đặt, hãy làm quen với một số thứ.Trong hình 1, chúng tôi đã đưa ra một chu kỳ hợp lệ cho việc thực hành tốt nhấtđối với mỗi CA tại mỗi mức (dựa trên kiến trúc 3 mức đối với mô hình tổng thểhoàn tất). Ưu điểm của mô hình này là sẽ bảo đảm cho bạn luôn luôn có sự kiênđịnh đối với các chứng chỉ đã được phát hành tại mỗi mức. Nếu bạn chỉ muốntriển khai kiến trúc 2 mức, đơn giản chỉ cần xóa CA mức 3. Mô hình sẽ vẫn đượcáp dụng. Hình 1: Chu kỳ hợp lệ trong thực hành nhất đối với mỗi CA ở mỗi mứcMột thứ nữa mà bạn nên chuẩn bị trước khi bắt đầu cài đặt là một file văn bản cótên CAPolicy.inf. File này được sử dụng để tùy chỉnh cấu hình WindowsCertificates Services của bạn. Trong file này, bạn sẽ tìm thấy những thứ rất quantrọng như: Câu lệnh CDP • Các thiết lập làm mới chứng chỉ như chu kỳ hợp lệ và kích thước khóa • Các liên kết cho CDP và các đường dẫn AIA • Tần suất CRL được công bố như thế nào •Tạo file bằng Notepad và lưu nó vào %windir%capolicy.inf (ví dụ nhưC:Windowscapolicy.inf).Thực hiện nhiệm vụ này quả thực rất đơn giản, bằng việc thực hiện theo các filetrong hướng dẫn từng bước dưới đây. Với các thứ mà chúng tôi cung cấp dướiđây, hãy đi sâu vào tính kỹ thuật của vấn đề.Cài đặt CA gốc offlineĐể cài đặt một CA gốc offline, bạn phải thực hiện tất cả gạch đầu dòng dưới đây: Chuẩn bị file CAPolicy.inf • Cài đặt Windows Certificate Services • Công bố danh sách CRL • Chạy kịch bản post-Configuration •Đây là cách nó được thực hiện như thế nào.1. Cài đặt máy chủ với Windows Server 2003 Standard Edition incl. SP1 hoặcphiên bản mới hơn và bảo đảm rằng nó chạy với tư cách là một máy chủ độc lập(nghĩa là không phải thành viên trong bất kỳ miền nào).2. Tạo các thay thế tham số cần thiết trong file CAPOlicy.inf bên dưới (đượcđánh dấu bằng màu đỏ) Hình 2: File CAPolicy.inf3. Copy file CAPolicy.INF vào %windir%capolicy.inf4. Điều hướng đến Start Menu / Control Panel / Add or Remove Programs |kích Add/Remove Windows Components5. Trong Windows Components Wizard, bạn hãy chọn Certificates Services sauđó kích Next6. Lưu ý những gì trong hộp thoại đang hiển thị. Bạn không nên đổi tên máy tínhkhi Windows Certificate Services được cài đặt, kích Yes Hình 37. Trong trường CA Type, bạn kích Stand-alone root CA, tích vào hộp kiểm“Use custom settings to generate the key pair and CA certificate” và kíchNextLưu ý:Thông thường các CA gốc của doanh nghiệp và các tùy chọn CA cấp dướikhông thể được chọn vì máy chủ này không phải là thành viên nằm trong mộtmiền. Hình 48. Chọn CSP bạn muốn sử dụng cho CA gốc offline. Để đơn giản, chúng ta hãychọn Microsoft Strong Cryptographic Provider v1.0, mặc dù có thể chọn CSPkhác ví dụ nếu bạn đã cài đặt Hardware Security Module (HSM) và đã kết nốimáy chủ đến giải pháp HSM, trước khi bắt đầu thủ tục cài đặt CA.Chọn thuật toán hash mặc định SHA-1Thiết lập chiều dài khóa là 4096Bảo đảm rằng cả hai tùy chọn “Allow this CSP to interact with the desktop” và“Use an existing key” đều không được chọn. Kích Next. Hình 59. Nhập vào tên chung cho CA gốc của bạn, cấu hình hậu tố tên phân biệt(O=domain, C=local) và thiết lậo chu kỳ hợp lệ đến 20 năm, sau đó kích Next. Hình 610. Chấp nhận đề xuất mặc định cho cơ sở dữ liệu chứng chỉ và các file bản ghi,sau đó kích Next. Hình 711. Nếu đây là một CA gốc offline, bạn không cần phải cài đặt IIS (InternetInformation Services) và đó lý do tại sao hộp thoại này được hiển thị. Kích OK. Hình 812. Kích Finish Hình 913. Kích Start / Programs / Administrative Tools / ...