Quản lý SSL CA trên OS X

Quản lý SSL CA trên OS XTrong bài này chúng tôi sẽ giới thiệu cho các bạn cách add một chứng chỉ gốc của CA (Certificate Authority) trên hệ thống OS X, cho phép các dịch vụ OS X sử dụng SSL và OS X keychain có thể tin tưởng các chứng chỉ đã được phát hành bởi CA. Truyền thông an toàn trên web là một thứ gì đó mà chúng ta đặc biệt quan tâm trong một số năm trở lại đây. HTTPS hay HTTP trên SSL, là thứ mà chúng ta sử dụng cho việc đăng nhập...
Nội dung trích xuất từ tài liệu:
Quản lý SSL CA trên OS X Quản lý SSL CA trên OS XTrong bài này chúng tôi sẽ giới thiệu cho các bạn cách addmột chứng chỉ gốc của CA (Certificate Authority) trên hệthống OS X, cho phép các dịch vụ OS X sử dụng SSL vàOS X keychain có thể tin tưởng các chứng chỉ đã được pháthành bởi CA.Truyền thông an toàn trên web là một thứ gì đó mà chúngta đặc biệt quan tâm trong một số năm trở lại đây. HTTPShay HTTP trên SSL, là thứ mà chúng ta sử dụng cho việcđăng nhập vào các website, ngân hàng trực tuyến, thươngmại điện tử và,... Không may cho những người điều hànhdịch vụ trực tuyến cần đến sự mã hóa, hay thậm chí ngườimuốn mã hóa cho site của họ, họ cần phải bỏ ra một chiphí nào đó để có được một chứng chỉ SSL được chứngnhận.Việc tạo một chứng chỉ tự ký (self-signed) có thể khá dễdàng, tuy nhiên khi thực hiện như vậy, các khách truy cậpvào website của bạn phải tin tưởng rằng chứng chỉ là hợplệ và rằng họ thực sự đang kết nối đến site của bạn. Đây lànhững gì làm cho CA trở nên cần thiết đến vậy – họ thựchiện công việc thẩm định chủ sở hữu site và cũng có cácchứng chỉ gốc hiện diện trong tất cả các trình duyệt chủđạo, có nghĩa bạn có thể kết nối đến một site mà không cầnbị nhắc nhở vì trình duyệt đã nhận ra ban thẩm định đã kýchứng chỉ và có thể bảo đảm rằng nó là hợp lệ.Do việc sử dụng SSL rất hữu dụng không chỉ cho hoạtđộng ngân hàng và thương mại điện tử, thêm vào đó nócũng quá đắt đỏ, chính vì vậy các CA khác đã bắt đầu cungcấp các chứng chỉ miễn phí hoặc giá thành thấp hơn; tuynhiên họ không thể có được chứng chỉ gốc hiện diện trênhệ điều hành hoặc trong trình duyệt. So đó, việc cài đặtchứng chỉ gốc của CA nào đó trên hệ thống là một việc rấtcần. Điều này thực sự đúng cho các tình huống công việcmà ở đó một doanh nghiệp có một CA bên trong được sửdụng cho các site bên trong.Để thực hiện công việc này, nhiệm vụ của bạn là thu thậpchứng chỉ SSL cho CA (từ một quản trị viên hoặc từwebsite của CA). Kích đúp vào file .crt, khi đó KeychainAccess sẽ mở cửa sổ Add Certificate. Khi được hỏikeychain nào dùng để add chứng chỉ, hãy chọn Systemkeychain từ cửa sổ lật xuống. Bạn sẽ được nhắc nhở nhậpvào mật khẩu quản trị viên.Cửa sổ tiếp theo sẽ hỏi xem bạn có muốn máy tính tintưởng các chứng chỉ từ CA này trong tương lai hay không.Ở đây bạn phải chọn thiết lập tin cậy cho CA này. Mởphần Details để xem các thông tin chi tiết của CA gốc; cầnthẩm định các thông tin chi tiết của chứng chỉ, đặc biệtSignature, để bảo đảm nó hợp lệ với thông tin mà bạn đãđược cung cấp. Khi bạn kiểm tra các thông tin chi tiết, mởphần Trust và chọn “Always Trust” cho cả “X.509 BasicPolicy” và “When using this certificate”. Cuối cùng, kíchnút “Always Trust”. Cung cấp mật khẩu quản trị viên lầnnữa và System keychain sẽ được cập nhật.Nếu bạn thực hiện một tìm kiếm đối với tên của chứng chỉlúc này, nó sẽ có một ký hiệu “+” màu xanh và chỉ thị nólà một chứng chỉ được đánh dấu tin cậy cho tất cả ngườidùng. Tại điểm này, bất cứ dịch vụ OS X nào sử dụng SSLvà OS X keychain sẽ tin cậy các chứng chỉ được phát bởiCA này. Vì vậy bạn có thể kết nối đến các dịch vụ có chophép SSL với các chứng chỉ được ký bởi CA này trongApple Mail, Safari, iChat cũng như các thành phần khác cóliên quan với keychain chứng chỉ hệ thống.Việc bổ sung thêm các chứng chỉ vào một hệ thống OS Xcó thể không đơn giản. Tuy nhiên với các tổ chức có SSLCertificate Authority riêng, việc thêm sự hỗ trợ cho chứngchỉ CA gốc tới các máy khách OS X lại cực kỳ đơn giản.Nếu bạn đang sử dụng các chứng chỉ được phát hành bởicác nhà thẩm định không có trong keychain chứng chỉ mặcđịnh, chẳng hạn như các chứng chỉ được phát tự do bởiCacert, khi đó việc import chứng chỉ gốc của CAcert rất dễdàng và tránh được các popup từ các chứng chỉ đã pháthành, hợp lệ trên các website hoặc các dịch vụ khác nhau. ...