Tạo SSL CA riêng với OS X Keychain

Tạo SSL CA riêng với OS X KeychainTrong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Certificate Assistant có trong Mac OS X để tạo một CA của riêng bạn với sự trợ giúp của OS X Keychain Assistant. Trong một bài gầy đây, chúng tôi đã giới thiệu cho các bạn cách import các chứng chỉ SSL CA vào OS X keychain để dễ dàng tin cậy các chứng chỉ SSL cho các dịch vụ không được ký bởi các CA lớn giống như VeriSign, Equifax hay các tổ chức thẩm định khác. Mặc...
Nội dung trích xuất từ tài liệu:
Tạo SSL CA riêng với OS X Keychain Tạo SSL CA riêng với OS X KeychainTrong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụngCertificate Assistant có trong Mac OS X để tạo một CA củariêng bạn với sự trợ giúp của OS X Keychain Assistant.Trong một bài gầy đây, chúng tôi đã giới thiệu cho các bạn cáchimport các chứng chỉ SSL CA vào OS X keychain để dễ dàngtin cậy các chứng chỉ SSL cho các dịch vụ không được ký bởicác CA lớn giống như VeriSign, Equifax hay các tổ chức thẩmđịnh khác.Mặc dù vậy nếu muốn có các dịch vụ SSL trong bên trong tổchức hoặc trên mạng LAN, bạn có thể tự tạo cho riêng mình mộtCA riêng. Có nhiều công cụ hiện giờ có thể giúp bạn tạo mộtCA cho riêng mình dễ dàng và OS X Keychain Assistant là mộttrong số đó.Để bắt đầu, bạn hãy khởi chạy ứng dụng OS X KeychainAssistant. Khi ứng dụng đã được khởi chạy, chọn KeychainAssistant từ thanh menu, sau đó chọn Certificate Assistant. Từsub-menu kế tiếp mới được mở ra, chọn Create A CertificateAuthority. Khi đó bạn sẽ thấy cửa sổ Certificate Assistant vàcửa sổ này sẽ hướng dẫn bạn qua các bước để tạo CertificateAuthority của riêng mình để sau đó ký các chứng chỉ SSL.Đặt tên cho CA của bạn, sử dụng Self Signed Root CA để nhậndạng kiểu. Với User Certificate, để các mặc định (S/MIMEEmail; hoàn toàn có thể thay đổi về sau này). Trong trang tiếptheo, thay đổi thời gian hợp lệ nếu bạn muốn (mặc định là mộtnăm), và chọn Create A CA Web Site. Tiếp đến, điền vào cácthông tin được sử dụng để tạo chứng chỉ: City, State, Country,…Các màn hình tiếp theo sẽ liệt kê chi tiết kích cỡ khóa và kiểumã hóa; để 2048-bit RSA. Cuối cùng, trên panel Key UsageExtension, bảo đảm các mục Signature, Certificate Signing,và CRL Signing đã được chọn.Khi bạn đến trang Extended Key Usage Extension, hãy bảo đảmtùy chọn Any được chọn nếu bạn muốn CA này có khả năng kýtất cả các kiểu chứng chỉ SSL. Nếu chỉ cần ký một số kiểuchứng chỉ SSL nào đó (chẳng hạn như chỉ các máy khách SSL),hãy chọn những tính năng đó. Trong trang tiếp theo, bạn sẽ phảichọn khả năng yêu cầu từ người dùng – cũng chọn Any ở đây đểCA có thể ký các kiểu request. Cuối cùng trong trang tiếp theo,bảo đảm các thiết lập Include Basic Constraints Extension vàUse This Certificate as a certificate authority đều được kíchhoạt.Còn nhiều trang khác trong tiến trình mà chúng tôi không đề cậpđến; nó hoàn toàn an toàn khi để các tùy chọn mặc định. Panelcuối cùng sẽ hỏi bạn về nơi bạn muốn lưu chứng chỉ và hỏi xemcó tin tưởng các chứng chỉ được ký bởi CA này trên các máy nộibộ không. Chọn một keychain (hệ thống, đăng nhập, hoặc thứ gìđó mà bạn tạo ra thật đặc biệt để quản lý CA và các request củanó), và kích hoạt việc kiểm tra sự tin cậy.Lúc này CA đã được tạo, bạn có thể tạo các chứng chỉ và ký cácrequest bằng cách sử dụng Certificate Assistant. Để tạo nhanhchóng một chứng chỉ cho một website, kích Create ACertificate trong menu Keychain Assistant sổ xuống. Với tên,sử dụng tên của website, với kiểu nhận dạng, chọn Leaf. Vớikiểu chứng chỉ, chọn SSL Client. Khi được yêu cầu chọn nhàphát hành CA (CA issuer), chọn CA mà bạn vừa tạo.Key và chứng chỉ sẽ được lưu vào keychain mà bạn chọn từtrước và sẽ được tạo với một thời gian mãn hạn là một năm.Quan sát trong Keychain Assistant, bạn sẽ thấy chứng chỉ, vàkhóa riêng RSA có liên quan với nó. Kích phải vào khóa riêng,bạn sẽ thấy tùy chọn Request A Certificate From CertificateAuthority; nếu chọn tùy chọn này, bạn sẽ mở lại CertificateAssistant và sẽ có khả năng tạo yêu cầu chứng chỉ (hình A).Trong cửa sổ mở, sử dụng trường Common Name cho URL củadịch vụ (chẳng hạn như để tạo chứng chỉ SSL cho foo.test.com,sử dụng foo.test.com là CN, hoặc một địa chỉ email cho mộtchứng chỉ email S/MIME,…), sau đó lưu request vào đĩa.Hình ATrong Finder, kích đúp vào file .certSigningRequest đã đượctạo. Certificate Assistant sẽ mở lại và cho phép bạn ký chứng chỉvới CA vừa được tạo. Chọn Let Me Override Defaults để tùychỉnh chứng chỉ mà chúng ta sẽ tạo (cách thức mà CertificateAssistant tạo các yêu cầu sử dụng cũng sử dụng tùy chọn mặcđịnh hữu dụng).Nhiều cửa sổ bạn đi qua sẽ giống như các cửa sổ thiết lập CA ởgiai đoạn đầu tiên. Sự quan tâm chủ yếu là màn hình ExtendedKey Usage Extension, đây là nơi bạn có thể chọn kiểu chứng chỉgì.Certificate Assistant sẽ hỏi bạn rất nhiều câu hỏi, một số câu hỏicó thể khá lạ lẫm. Trợ giúp được cung cấp sẵn sẽ hỗ trợ bạntrong việc đưa ra những lựa chọn đúng đắn. Với một mạng nộibộ hoặc LAN cơ bản, sử dụng Certificate Assistant có thể bảođảm cho việc sử dụng và tạo các chứng chỉ SSL dễ dàng. Tuycũng có nhiều công cụ khác có thể thực hiện công việc nàynhưng Certificate Assistant là một công cụ đi kèm với các máyMac và sẽ trở nên dễ dàng hơn cho những người chưa có nhiềukinh nghiệm. ...