Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006- Phần 1

Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006- Phần 1Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản về chứng chỉ và việc thẩm định chứng chỉ. Cách sử dụng các chứng chỉ trong một số kịch bản reverse proxy và cách khắc phục sự cố trong sử dụng chứng chỉ cũng như thu hồi. Chúng ta hãy bắt đầu với một số kiến thức cơ sở về PKI, chứng chỉ số và các bộ thẩm định chứng chỉ. PKI Trong thuật ngữ mật...
Nội dung trích xuất từ tài liệu:
Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006- Phần 1Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006- Phần 1Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số kiến thứccơ bản về chứng chỉ và việc thẩm định chứng chỉ. Cách sử dụng cácchứng chỉ trong một số kịch bản reverse proxy và cách khắc phục sự cốtrong sử dụng chứng chỉ cũng như thu hồi.Chúng ta hãy bắt đầu với một số kiến thức cơ sở về PKI, chứng chỉ số và cácbộ thẩm định chứng chỉ.PKITrong thuật ngữ mật mã, cơ sở hạ tầng khóa công - public key infrastructure(PKI) là một khối kiến trúc được xây dựng cho một số công nghệ với mụcđích phát hành các chứng chỉ đến người dùng, máy tính và các dịch vụ từmột bộ thẩm định chứng chỉ (CA) nào đó. Vai trò của PKI trong việc pháthành các chứng chỉ được gọi là thẩm định đăng ký - Registration Authority(RA).Chứng chỉMột chứng chỉ khóa công (hoặc một chứng chỉ nhận dạng) là một tài liệuđiện tử kết hợp với một chữ ký số để ràng buộc một khóa công với các thôngtin nhận dạng chẳng hạn như tên của một người hoặc một tổ chức nào đócũng như địa chỉ của họ,… Chứng chỉ có thể được sử dụng để thẩm địnhkhóa công thuộc về một cá nhân hay một tổ chức nào đó. Trong lược đồ cơsở hạ tầng khóa công (PKI) điển hình, chữ ký sẽ được xác nhận bởi bộ thẩmđịnh chứng chỉ (CA).Bộ thẩm định chứng chỉ CAMột bộ thẩm định chứng chỉ CA là một máy chủ hoặc một tập các máy chủtrong một tổ chức CA có hệ thống phát hành các chứng chỉ số đến ngườidùng, máy tính và các dịch vụ. Windows Server 2003 (và các phiên bản cũhơn) đều có sự thực thi CA riêng.Các bộ thẩm định chứng chỉ có thể là một máy chủ hoặc có thể được xâuchuỗi vào các chuỗi chứng chỉ, nơi các kiến trúc có các nhiệm vụ đặc biệtgiống như intermediate CA, issuing CA,… Bạn có thể tham khảo một kiếntrúc CA trong hình 1 bên dưới. Hình 1: Kiến trúc CACác file mở động được sử dụng trong mã hóaCó một vài file mở rộng được sử dụng khi bạn làm việc với ISA Server 2006và các chứng chỉ. Dưới đây là một số ví dụ: Khóa Mô tả CKS #12 Private Information Exchange .PFX Private Information Exchange .P12 Private Information Exchange PCKS #7 Cryptographic Message Syntax Standard .P7B PCKS #7 certificate .CER DER-coded-binary X.509 Base-64-coded-X.509 .PFX Private Information Exchange PCKS #12 .CRL Certification Revocation List .P7C Digital ID-file .P7M PCKS #7 MIME-message .P7R PCKS #7 certificate .P7S PCKS #7 signature Bảng 1: Các file mở rộng PKICài đặt CAViệc cài đặt và đưa vào hoạt động một CA là một quá trình khá dễ dàng.Những gì làm cho các thiết kế PKI trở nên phức tạp là một số ứng dụng sửdụng PKI cho một vài mục đích riêng.Trong bài viết này chúng tôi sẽ không giới thiệu cho các bạn về toàn bộ quátrình cài đặt này mà chỉ giới thiệu một số hình ảnh cơ bản. Hình 2: Cài đặt một Windows CASau khi cài đặt một CA, không nên thay đổi tên Server và thành viên miền(Nếu bạn cảm thấy điều này là bắt buộc, hãy tham khảo một số bài báo khácđể cung cấp cho bạn cách thức chuyển CA).Có một vài kiểu CA. Cho ví dụ này, chúng tôi chọn một Enterprise Root CAcó tích hợp vào trong Active Directory. Hình 3: Chọn kiểu CAĐặt tên cho CA và tên file Hình 4: Tên CASau khi cài đặt CA, CA có thể được sử dụng cho việc phát hành các chứngchỉ.Snap-In cho chứng chỉCác phiên bản Windows hiện đại đều có một Snap-In chứng chỉ dùng đểquản lý các chứng chỉ được cài đặt nội bộ. Nếu được đăng nhập như mộtquản trị viên, bạn có thể quản lý các chứng chỉ cho tài khoản người dùng củariêng mình, một tài khoản dịch vụ và một tài khoản máy tính. Hình 5: Việc quản lý các chứng chỉMột tài khoản người dùng thông thường chỉ có thể mở kho chứa chứng chỉcủa riêng nó.Các chứng chỉ có thể được quản lý trong giao diện điều khiển (Import,export, request chứng chỉ mới và xóa chứng chỉ). Hình 6: Quản lý các chứng chỉCó một website có thể được sử dụng để yêu cầu các chứng chỉ mới hoặc đểdownload các chứng chỉ CA gốc. Hình 7: CA websiteCác thiết lập trong kịch bản reverse publishNếu bạn muốn sử dụng ISA Server như một reverse publishing proxy đểcông bố các dịch vụ như Outlook Web Access (OWA) hoặc OutlookAnywhere (OA), bạn hoàn toàn có thể kích hoạt SSL Bridging để nâng caosự bảo mật cho ISA Server. Khi SSL Bridging được kích hoạt, ISA Server sẽdừng kết nối SSL từ máy chủ với máy khách; sau đó ISA sẽ thanh tra lưulượng và mã hóa lưu lượng HTTPS. Đây là ...