Hướng dẫn về PKI --Thiết kế

Trong phần đầu tiên của loạt bài hướng dẫn về PKI này, chúng ta đã có được một cái nhìn tổng quan về cách chuẩn bị và lên kế hoạch cho PKI của bạn. Trong phần hai này, chúng tôi sẽ tiếp tục giới thiệu với thêm một chút kỹ thuật. Chúng ta sẽ xem xét một số vấn đề về thiết kế PKI. Xuyên suốt trong toàn bộ bài này, chúng tôi sẽ giới thiệu đến bạn cách để tránh những lỗi chung nhất trong quá trình thiết kế. Thiết kế một PKI Khi thiết kế một PKI, có...
Nội dung trích xuất từ tài liệu:
Hướng dẫn về PKI --Thiết kế Hướng dẫn về PKI --Thiết kế Trong phần đầu tiên của loạt bài hướng dẫn về PKI này, chúng ta đã có được một cái nhìn tổng quan về cách chuẩn bị và lên kế hoạch cho PKI của bạn. Trong phần hai này, chúng tôi sẽ tiếp tục giới thiệu với thêm một chút kỹ thuật. Chúng ta sẽ xem xét một số vấn đề về thiết kế PKI. Xuyên suốt trong toàn bộ bài này, chúng tôi sẽ giới thiệu đến bạn cách để tránh những lỗi chung nhất trong quá trình thiết kế. Thiết kế một PKIKhi thiết kế một PKI, có rất nhiều thứ mà bạn cần phải xem xét đến: • Kiến trúc của CA sẽ như thế nào (ví dụ như số lượng CA và những role gì sẽ có) • Bạn muốn bảo vệ như các khóa riêng của CA như thế nào • Nơi nào bạn muốn tạo các điểm công bốChúng ta hãy xem xét sâu hơn nữa trong các vấn đề trênTạo kiến trúc CA có khả năng mở rộng tốtSố lượng và các mức của CA bạn nên bổ sung cơ bản dựa vào sự bảo mật của bạn và các yêu cầuvề khả năng sẵn có. Bạn nên cố gắng tổ chức kiến trúc của mình theo những gì cần thiết. Thực sựkhông có một kinh nghiệm tốt nhất nào trong việc chọn bao nhiêu mức CA bạn cần, tuy vậy thậthiếm khi có ai cần đến trên bốn mức; mặc dù vậy vẫn có một nguyên tắc mà chúng tôi đã liệt kêtrong bảng 1 dưới đây giúp bạn đi đúng hướng: Mức CA Chú thích - Độ bảo mật thấp - Các yêu cầu cần thiết về bảo mật CA thấp hơn - Gồm một CA gốc - Số lượng nhỏ các yêu cầu chứng chỉ - Độ bảo mật trung bình - Gồm một CA gốc offline và các CA cấp dưới online - CA gốc offline được xóa khỏi mạng - Đưa ra các CA online trên mạng - Có từ hai CA trở lên đưa ra với mỗi chứng chỉ - Độ bảo mật cao - Gồm có CA gốc offline và chính sách offline - Một hoặc nhiều CA thứ cấp online - Hợp với khu vực địa lý rộng và các tổ chức bảo mật cao Bảng 1: Số các mức CA cần thiếtNhư một lưu ý bổ sung, bạn có thể nhớ lại từ phần 1 của loạt bài này, có một thứ được gọi làchính sách chứng chỉ dùng để mô tả cách và ai phát hành/phân phối các chứng chỉ đối với mộtchủ đề (ví dụ các chủ đề về người dùng đang tồn tại, các máy tính, thiết bị,…). Nếu bạn đã từngcó lúc nghĩ mình cần nhiều hơn một chính sách chứng chỉ vì sự hợp lệ, tính địa lý, tính tổ chứchoặc cách sử dụng chứng chỉ thì cần phải định nghĩa một kiến trúc 3 mức, yêu cầu này sẽ cầnđến 2 hoặc nhiều CA chính sách ở mức 2 (các CA chính sách).Khi thực thi một PKI, bạn sẽ luôn luôn phải bắt đầu với một CA gốc, hoàn toàn không quantrọng khi chúng ta xử lý với một kiến trúc PKI mức 1, mức 2 hay mức 3. Khi CA gốc luôn là CAgốc và thường được thực thi bởi tự nó thì bạn cần phải bảo vệ khóa riêng của CA gốc một cáchtốt nhất có thể. Điều này luôn luôn cần phải chú ý, không quan tâm đến việc kiến trúc PKI củabạn gồm bao nhiêu mức. Nếu kiến trúc PKI của bạn gồm có hai mức hoặc nhiều hơn thì CA gốccần có một số lượng tối thiểu sự truy cập, vì chỉ có các CA cấp thứ mới yêu cầu sự truy cập vàoCA gốc. Mặc dù vậy, khi khoảng cách từ CA gốc tăng (nghĩa là có nhiều mức được bổ sung),các yêu cầu bảo mật sẽ giảm và sự truy cập tăng đối với các CA cấp thứ. Đây sẽ là một hệ sốquan trọng khi chúng ta bắt đầu cài đặt các CA, thứ mà chúng tôi sẽ giới thiệu đến trong phầnsau.Các khóa riêng CATrước khi cài đặt một CA, bạn nên có một kế hoạch về kích thước của khóa riêng CA sẽ là baonhiêu và nó được bảo vệ như thế nào. Chúng ta hãy xem xét đến kích thước khóa, điều rất quantrọng cho lý do bảo mật và khả năng tương thích. Bảng 2 dưới đây liệt kê các kích thước khóađược khuyến khích: CA role Kích thước khóa Root CA 4096 Policy CA 4096 Issuing CA 2048 Bảng 2: Một số kích thước khóa CAThông thường, kích thước khóa 4096 được khuyến khích sử dụng để tăng độ bảo mật, đặc biệtcho CA gốc. Mặc dù vậy, điều này có thể phát sinh các vấn đề không tương thích, ví dụ với cácsản phẩm mạng của Cisco (phụ thuộc vào phiên bản nào Cisco IOS đang được sử dụng). Điềunày là do nhiều sản phẩm của nhóm sản xuất thứ ba có các vấn đề trong việc quản lý kích thướckhóa lớn hơn 2048. Và khi thiết bị mạng có th ...