Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

1
MỤC LỤC
MỞ ĐẦU 2
CHƢƠNG 1. TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ 3
1.1. Khái niệm thƣơng mại điện tử : 3
1.2. An ninh quốc gia trong thƣơng mại điện tử : 4
1.3. Những giải pháp chủ yếu nhằm đảm bảo an ninh quốc gia trong thƣơng mại điện
tử : 5
1.3.1. Xây dựng cho được một cơ sở hạ tầng công nghệ đủ tin cậy : 5
1.3.2. Vấn đề an ninh quốc gia trong thương mại điện tử : 5
CHƢƠNG 2. TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI
VÀ VAI TRÕ CỦA NÓ TRONG THƢƠNG MẠI ĐIỆN TỬ 6
2.1. Tổng quan về cơ sở hạ tầng khóa công khai : 6
2.1.1. Sự hình thành của PKI: 6
2.1.2. Cơ sở hạ tầng của khoá công khai : 6
2.1.3. Chức năng của PKI : 7
2.1.4. Các yêu cầu của cơ sở hạ tầng (Infrastructure Requirements) : 7
2.2. Cơ sở khoa học về PKI : 9
2.2.1. Mã hoá : 9
2.2.2. Ký số : 11
2.3. Chứng chỉ số : 14
2.4. Các công cụ phần mềm để xây dựng lên một PKI hoàn chỉnh : 14
2.4.1. Chương trình quản lý khoá : 14
2.4.2. Công nghệ OpenCA : 15
2.4.3. Công nghệ SSL : 16
2.5. Vai trò của khóa công khai trong thƣơng mại điện tử : 18
2.5.1. Đối với người dùng : 18
2.5.2. Đối với nhà phát triển, cung cấp dịch vụ : 18

thống mạng máy tính quản lý càng được đặc biệt quan tâm hơn.
Xuất phát từ tình đó, đề tài của em là tìm hiểu, nghiên cứu về công nghệ
CA và ứng dụng trong thương mại điện tử. Trong đề tài của em tập trung nghiên
cứu những nội dung sau :
Chương 1 : Tổng quan về thương mại điện tử.
Chương 2 : Tổng quan về cơ sở hạ tầng khóa công khai và ứng dụng của
nó trong thương mại điện tử.
Chương 3 : CA (Certificate Authority)
Với khối lượng công việc lớn và thời gian có hạn, trong quá trình tìm
hiểu, nghiên cứu không tránh khỏi những thiếu sót. Vì vậy em rất mong được sự
ủng hộ, đóng góp ý kiến của thầy cô và các bạn.
Em xin chân thành cám ơn !

Sinh viên
Trần Thị Thu Hà
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

3 Chƣơng 1. TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ Sự phát triển nhanh chóng của khoa học công nghệ, đặc biệt là sự phát
triển của công nghệ mạng máy tính và kỹ thuật tính toán đã làm thay đổi rất
nhiều hoạt động xã hội. Thương mại điện tử ra đời trong bối cảnh đó.
1.1. Khái niệm thƣơng mại điện tử :
Thương mại điện tử (gọi là thị trường điện tử, thị trường ảo, E-Commerce
hay E-Business) là quy trình mua bán ảo thông qua việc truyền dữ liệu giữa các

Cùng với lượng người sử dụng Internet và thẻ tín dụng tăng nhanh, số
lượng người tiêu dùng mua sắm qua mạng tăng lên nhanh chóng, đặc biệt trong
giới trẻ ở khu vực đô thị. Tâm lý và thói quen mua bán bắt đầu thay đổi từ
phương thức truyền thống sang phương thức mới của thương mại điện tử.
Chính vì vậy, bên cạnh những lợi ích kinh tế to lớn, thương mại điện tử
còn được lợi dụng như là công cụ để tác động tiêu cực về kinh tế và lối sống trên
toàn xã hội. Chúng ta có thể thấy được những tiêu cực có thể xảy ra và những
vấn đề liên quan đến an ninh quốc gia mà chúng ta cần đề phòng.
1.2. An ninh quốc gia trong thƣơng mại điện tử :
Nói một cách hình tượng, Thương mại điện tử giống như một cái “Chợ
toàn cầu”. Đã là chợ thì ngoài kẻ mua, người bán còn có nhiều lưu manh, trộm
cắp, lừa đảo, gian lận, … làm vẩn đục môi trường. Đó là chưa kể đến việc mua
bán nhiều mặt hàng bị cấm như thuốc gây nghiện, các loại đồ cổ có giá trị, các
loại hoá chất dùng trong công nghiệp, buôn bán trẻ em, phụ nữ, … và không loại
trừ cả những bí mật liên quan đến an ninh quốc gia. Điều đó nói lên tính phức
tạp, khó khăn trong công tác bảo vệ an ninh quốc gia trên lĩnh vực thương mại
điện tử.
Mục tiêu của an ninh quốc gia là giữ vững ổn định chính trị, xã hội, đảm
bảo sự phát triển kinh tế - xã hội lành mạnh và có hiệu quả theo định hướng xã
hội chủ nghĩa, tiếp thu có chọn lọc những tinh hoa văn hoá của nhân loại đảm
bảo truyền thống văn hoá dân tộc, thực hiện hội nhập kinh tế trong khu vực và
trên phạm vi toàn thể giới vì sự phát triển kinh tế đất nước. Giữ vững nền độc
lập dân tộc đảm bảo mục tiêu mà Đảng ta vạch ra là “dân giàu nước mạnh, xã
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

5
hội công bằng, dân chủ và văn minh”.

1.3. Những giải pháp chủ yếu nhằm đảm bảo an ninh quốc gia trong thƣơng

6

Chƣơng 2. TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI
VÀ VAI TRÕ CỦA NÓ TRONG THƢƠNG MẠI ĐIỆN TỬ

2.1. Tổng quan về cơ sở hạ tầng khóa công khai :
2.1.1. Sự hình thành của PKI:
PKI (Public key Infrastructure) ra đời năm 1995, khi mà các tổ chức công
nghiệp và các Chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp
mã hoá để hỗ trợ một hạ tầng bảo mật thông tin trên mạng Internert. Tại thời
điểm đó mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp
cùng các công cụ và chính sách cho phép người sử dụng cũng như các tổ chức
có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi
cá nhân và công cộng.
2.1.2. Cơ sở hạ tầng của khoá công khai :
Nền tảng khoá công khai cung cấp một chứng chỉ số dùng để xác minh
một cá nhân hay tổ chức và các dịch vụ danh mục có thể lưu trữ và khi cần có
thể thu hồi các chứng chỉ số. Mặc dù các thành phần cơ bản của PKI đều được
phổ biến, nhưng một số nhà cung cấp đang muốn đưa ra những chuẩn PKI riêng
khác biệt. Một tiêu chuẩn chung về PKI trên Internet cũng trong quá trình xây
dựng. PKI theo nghĩa đầy đủ gồm 3 phần chính :
Phần 1: Tập hợp các công cụ, phương tiện, giao thức bảo đảm an toàn
thông tin.
Phần 2: Hành lang pháp lý: Luật giao dịch điện tử, các quy định dưới luật.
Phần 3: Các tổ chức điều hành giao dịch điện tử (CA, RA …)
Một cơ sở hạ tầng mã khoá công khai là sự kết hợp giữa sản phẩm phần
mềm, phần cứng, chính sách phục vụ và thủ tục. Nó cung cấp nền tảng bảo mật
cơ bản, cần thiết để thực hiện các giao dịch, trao đổi thông tin. PKI dựa trên cơ
sở các nhận dạng số gọi là “chứng thực số” mà cơ chế hoạt động giống như “hộ
chiếu điện tử”, và ràng buộc chữ ký số của người sử dụng với khoá công khai

2.1.4.1. Uỷ thác nhờ phía thứ ba (third-party trust):
Mật mã khoá công khai đòi hỏi phải biết khoá công khai của người sử
dụng. Tuy nhiên, trên các mạng diện rộng đòi hòi này là không thực tế và yêu
cầu mỗi người sử dụng cần phải thiết lập trước các quan hệ với tất cả những
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

8
người còn lại là không thể thực hiện được.
Third-party trust là yêu cầu cơ bản cho bất kỳ dịch vụ nào đảm bảo an
toàn thông tin trên diện rộng nào dựa trên hệ mật mã công khai. Bên thứ ba tin
cậy được có tác dụng đảm bảo, cho phép người dùng tin tưởng vào bất cứ khoá
công khai nào được xác thực bởi bên thứ ba này.
2.1.4.2. Xác thực mức độ tin cậy của người dùng (CA):
CA là nơi tập trung đáp ứng các yêu cầu về xác thực mức độ tin cậy của
mọi người sử dụng, nó đóng vai trò như hộ chiếu cho công dân. Third-party trust
có vai trò như trường hợp chúng ta muốn vào một quốc gia nào thì phải xuất
trình hộ chiếu, thông qua Third-party trust mà CA có được độ tin cậy vào nhận
dạng của người dùng
2.1.4.3. Xác nhận chéo (Cross-certification):
Xác nhận chéo là mở rộng của Third-party trust. Là quá trình mà trong đó
cả hai CA đã chắc chắn trao đổi thông tin về khoá mã với nhau, khi đó mỗi CA
có thể kiểm tra tính tin cậy về khoá của CA kia. Tiến trình bao gồm việc kiểm
tra chéo giữa hai CA.
Việc thực hiện kiểm tra chéo tiến hành như sau : CA ở tổ chức thứ nhất
tạo một nhận dạng của mình có chứa khoá công khai của CA ở tổ chức thứ hai
và thực hiện việc ký, CA ở tổ chức thứ hai cũng tạo cho mình một nhận dạng
chứa khoá công khai của tổ chức thứ nhất và thực hiện ký. Vì vậy, những người
sử dụng ở mỗi CA được bảo đảm rằng mỗi CA đã tin cậy lẫn nhau. Mỗi người
sử dụng trong mỗi CA trong khi trao đổi thông tin về khoá mã cần phải hoàn

K: Là một tập hữu hạn các khoá.
E : Là tập hàm lập mã - Encryption.
D: Là tập hàm giải mã – Decryption.
Với mỗi k

K có : một hàm lập mã E
k


E ; là một ánh xạ từ E
k
: P → C
Và một hàm giải mã D
k


D ; là một ánh xạ từ D
k
: C → P
Sao cho D
k
(E
k
(x))=x,

x

P
Hiện nay các hệ mật mã được phân làm hai loại chính là : Hệ mật mã đối
xứng và hệ mật mã phi đối xứng (hay còn gọi là hệ mật mã khoá công khai).

nhiều tới việc phát triển hệ mật mã cổ điển.
Mã khoá công khai :
Sender
Recipient
Secret key

Encryption
Decryption
Plaintext
Plaintext
Ciphertext
Senders
Recipient
Recipient’s
public key
Plaintext
Plaintext
Ciphertext
Recipient’s
private key Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

- Việc kiểm tra chữ ký số được sử dụng một thuật toán kiểm tra đã được
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

12
công khai hoá hoàn toàn. Do đó, đứng về nguyên tắc mọi người có thể kiểm tra
chữ ký số của tài liệu đó.
- Bản sao của tài liệu ký không khác gì so với bản gốc. Đây là một đặc
điểm cần lưu ý.
- Chữ ký số không cần “dấu, đỏ chót” của cơ quan xác thực chữ ký mà sẽ
có cách chống chối bỏ mỗi khi anh ta đã ký vào tài liệu và chứng minh được đó
đích thực là chữ ký của anh đã ký vào tài liệu đó.
Các giao dịch trên mạng cũng được thực hiện theo cách người gửi và
người nhận cũng phải kí vào hợp đồng. Chỉ khác là văn bản truyền trên mạng
được biểu diễn dưới dạng “số” (chỉ dùng chữ số 0 và 1), ta gọi văn bản này là
“văn bản số”. Do đó chữ kí trên “văn bản số” cũng khác với chữ kí trên văn bản
giấy thông thường.
Việc giả mạo và sao chép lại đối với “văn bản số” là việc hoàn toàn dễ
dàng và không thể phân biệt được bản gốc với bản sao. Vậy một chữ kí ở cuối
văn bản loại này không thể chịu trách nhiệm đối với toàn bộ nội dung văn bản.
Chữ kí thể hiện trách nhiệm đối với toàn bộ văn bản là chữ kí được kí trên từng
bít của văn bản. Bản sao của “chữ kí số” có tư cách pháp lí.
Chữ kí số có thể được kiểm tra nhờ dùng một thuật toán kiểm tra công
khai. Như vậy, bất kì ai cũng có thể kiểm tra được chữ kí số. Việc dùng một sơ
đồ chữ kí an toàn có thể sẽ ngăn chặn được khả năng giả mạo.
để tạo ra “Digest”.
 Mã hoá “Digest” bằng khoá private của người gửi để tạo ra chữ ký điện
tử.
 Gửi bản thông điệp cùng với chữ ký điện tử đến nơi nhận theo yêu cầu.
Người nhận thông điệp sẽ kiểm tra chữ ký điện tử kèm theo thông điệp đó
bằng khoá công khai của người gửi sau đó đem so sánh kết quả kiểm thử với
“Digest” nhận được. nếu trùng nhau thì chấp nhận chữ ký còn không thì thông
điệp đó hoặc giả mạo hoặc chữ ký đó không phải của người gửi.
Hàm hash được sử dụng với mục đích rút gọn thông điệp trước lúc ký vì
nếu không có hàm hash thì sẽ gây mấy bất tiện sau đây :
- Thuật toán xác thực và ký thường nhận đầu vào là một dòng bit có độ
dài rất ngắn (cỡ 64, 128 hoặc 160 bít) và tốc độ ký rất chậm. Trong lúc đó các
thông báo được gửi đi thường có độ dài khác nhau và rất dài, thậm chí trong
nhiều trường hợp độ dài của một thông báo ký dài cỡ kbyte hoặc nhiều
megabyte. Như vậy người ta phải cắt thông báo thành từng block có độ dài bằng
nhau cố định rồi tiến hành “ký” trên từng block đó : Có m block thông báo thì có
m lần ký trên m block đó. Làm như vậy, tốc độ thực hiện ký sẽ rất chậm do phải
ký nhiều block. Mặt khác, khi sắp xếp lại rất dễ xảy ra trường hợp không đúng
trật tự so với trật tự ban đầu của thông báo. Hoặc thậm chí có thể một block nào
đó của thông báo bị thất lạc trong quá trình truyền tải.
Vị trí do chủ yếu trên đây, người ta sử dụng hàm hash để thực hiện việc
rút gọn thông báo trước lúc ký trên thông báo đó - tức là sẽ ký trên thông báo rút
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

14
gọn thay vì ký trên thông báo gốc.
2.3. Chứng chỉ số :
Chứng chỉ số là kết quả của dự án phát triển chuẩn thư mục X.500 của
ITU-T phát triển vào cuối những năm thập niên 90. Chứng chỉ số được ITU-T

infrastrure). KeyMan quản lý các khoá, các chứng chỉ (certificates), danh sách
thu hồi chứng chỉ (CRLs) và các kho chứa tương ứng để lưu trữ và lấy ra các đối
tượng này.
KeyMan quản lý kho lưu trữ các khoá, chứng chỉ và danh sách thu hồi
chứng chỉ. Mỗi kho chứa được gọi là một thẻ (token). Một thẻ là một tập hợp
các khoá, chứng chỉ và các danh sách thu hồi chứng chỉ. Thẻ có thể được lưu trữ
trong nhiều môi trường (ví dụ như file, URL, thiết bị phần cứng …). Có những
kiểu thẻ bài khác nhau với những khả năng khác nhau : Thẻ bài phần mềm, phần
cứng, thẻ bài không được bảo vệ hoặc thẻ bài được bảo vệ bởi password hoặc
PIN. Một thẻ bao gồm các thiết lập tin cậy (trust) phụ thuộc ứng dụng cụ thể (ví
dụ IBM BlueZ SSLite). Thông thường, một thẻ bao gồm nhiều khoá bí mật và
các chuỗi chứng chỉ tương ứng để xác nhận giữa người sử dụng với các site
khác. Thêm vào đó, một thẻ nắm giữ các chứng chỉ của các kết nối tin cậy tới
đối tác và tới CA (certification authorities).
2.4.2. Công nghệ OpenCA :
Open là một dự án đồ sộ, có mục đích xây dựng một PKI hoàn chỉnh,
chuyên nghiệp, OpenCA được phát triển liên tục từ năm 1999. Từ năm 2001,
OpenCA đã bắt đầu được sử dụng cho các đơn vị cỡ vừa và lớn.
OpenCA sử dụng giao diện web, hỗ trợ hầu hết các web brower chính,
khác với các sản phẩm thương mại, thường không hỗ trợ sản phẩm mã nguồn
mở vì sợ bị canh tranh.
OpenCA bao gồm các module :
- Giao tiếp công cộng : Giao diện web để người sử dụng có thể truy cập
qua Internet. Người dùng có thể đăng ký xin cấp chứng chỉ trực tiếp qua module
này.
- Giao tiếp LDAP : Danh bạ công bố khoá công khai, người dùng thường
lấy khoá công khai từ module này để thực hiện việc mã hoá trước khi gửi thư
đến đơn vị dùng openCA.
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

17
dụ giữa webserver và các trình duyệt khách (browsers), do đó được sử dụng
rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet.
Toàn bộ cơ chế và hệ thống thuật toán mã hoá sử dụng trong SSL được
phổ biến công khai, trừ khoá phiên (session key) được sinh ra tại thời điểm trao
đổi giữa hai ứng dụng là ngẫu nhiên và bí mật đối với người quan sát trên mạng
máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải được chứng
thực bởi một đối tượng thứ ba (CA) thông qua chứng chỉ điện tử (digital
certificate) dựa trên mật mã công khai (ví dụ RSA).
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể
hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên
dưới các ứng dụng tầng cao hơn như là HTTP (HyperText Transfer Protocol),
LDAP (Lightweight Directory Access Protocol) hoặc IMAP (Internet Messaging
Access Protocol). Hiện nay SSL được sử dụng chính cho các giao dịch trên
Web.
SSL cho phép một server có hỗ trợ SSL tự xác thực với một Client cũng
hỗ trợ SSL, cho phép client tự xác thực với server, và cho phép cả hai máy thiết
lập một kết nối được mã hoá.
- Chứng thực SSL Server : Cho phép client xác thực được sever muốn
kết nối. Lúc này, phía trình duyệt sử dụng các kỹ thuật mã hoá công khai để
chắc chắn rằng chứng chỉ và publicID của server là có giá trị và được cấp phát
bởi một CA (Certificate Authority) trong danh sách các CA đáng tin cậy của
client.
- Chứng thực SSL Client : Cho phép server xác thực được client muốn
kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá khoá công khai để kiểm
tra chứng chỉ của client và publicID là đúng, được cấp phát bởi một CA trong

tuyến nhờ kết nối đến RA hay off-line.
- Dễ dàng phát triển ứng dụng kết hợp với các ứng dụng dịch vụ công,
ứng dụng thương mại điện tử sẵn có. INTERNET
PKI
Ngƣời dùng
Thương mại điện tử
 Banking
 Mua sắm qua mạng
 Video Services

Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

19 Chƣơng 3. CA(CERTIFICATE AUTHORITY)

3.1. Chứng chỉ khoá công khai :
Khi một người (người gửi) thông báo muốn sử dụng kỹ thuật khoá công
khai để mã hoá một thông báo và gửi cho người nhận, người gửi cần một bản
sao khoá công khai của người nhận. Khi một thành viên bất kỳ muốn kiểm tra
chữ ký số - chữ ký số này được thành viên khác sinhh ra, thành viên kiểm tra
cần một bản sao khoá công khai của thành viên ký. Chúng ta gọi cả hai thành Chứng chỉ khoá công khai dựa trên CA

Một khi các chứng chỉ này được thiết lập, nhiệm vụ của người sử dụng
khóa công khai rất đơn giản. Giả thiết rằng, một người sử dụng khoá công khai
đã có khoá công khai của CA một cách bí một (ví dụ : Thông qua phân phối
khoá công khai thủ công) và người sử dụng khoá công khai tin cậy CA phát
hành các chứng chỉ hợp lệ. Nếu người sử dụng khoá công khai cần khoá công
khai của một trong các thuê bao của CA này, người sử dụng khoá công khai có
thể thu được khoá công khai của một thuê bao bằng cách lấy một bản sao chứng
chỉ của thuê bao, lấy ra giá trị khoá công khai, kiểm tra chữ ký của CA có trên
chứng chỉ hay không bằng cách sử dụng khoá công khai của CA. Một người sử
dụng khoá công khai sử dụng các chứng chỉ như cách trên được coi là một thành
viên tin cậy.
“Các chứng chỉ có thể được phát hành mà không cần phải bảo vệ thông
qua các dịch vụ an toàn truyền thông để đảm bảo sự tin cẩn xác thực và tính toàn
vẹn”.
Lợi ích cơ bản của một hệ thống cấp chứng chỉ là : Một người sử dụng
khoá công khai có thể có được một số lượng lớn các khoá công khai của các
thành viên khác một cách đáng tin cậy, xuất phát từ thông tin về khoá công khai
của một thành viên, đó chính là khoá công khai của CA. Lưu ý rằng một chứng

Thông tin đối tượng
Khoá công khai của
đối tượng

Tên CA

mật khẩu sử dụng khoá bí mật. Trách nhiệm này thuộc về người sử dụng.
3.3. Thời gian tồn tại và việc thu hồi chứng chỉ :
Chứng chỉ cơ bản và các mô hình đường dẫn chứng thực được mô tả như
trên đòi hỏi yêu cầu nào đó đối với từng ứng dụng thực tế. Trước hết, phải nhận
ra tính đúng lúc, cặp khoá công khai và cặp khoá riêng không phải hợp lệ mãi
mãi.
1.Người dùng nhập tên và mật
khẩu cho xác thực
4. Máy dịch vụ dùng chứng chỉ và chữ
ký số xác định định danh người dùng
2.Máy khách lấy khoá bí
mật tạo chữ ký số
3.Máy khách gửi chứng chỉ
và chữ ký qua mạng
5. Máy dịch vụ xác nhận quyền
truy nhập vào những tài nguyên
nào cho người dùng
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

22
Trong một hệ thống kỹ thuật, một cặp khoá bất kỳ có thời gian tồn tại bị
giới hạn nhằm kiểm soát các cơ hội thẩm mã và hạn chế thời gian có thể xảy ra
tấn công thoả hiệp. Vì vậy, một chứng chỉ có thời gian hợp lệ được quy định
trước, định nghĩa ngày/giờ bắt đầu và ngày/giờ kết thúc. Sau khi một chứng chỉ
hết hạn, sự ràng buộc giữa khoá công khai và chủ thể của chứng chỉ có thể
không còn hợp lệ nữa và chứng chỉ không còn được tin cậy. Một người sử dụng
khoá công khai không nên sử dụng một chứng chỉ hết hạn, trừ khi muốn chứng
thực lại hoạt dộng trước đó (theo một cách đã sử dụng trong thời gian hợp lệ của
một chứng chỉ); ví dụ : khi kiểm tra chữ ký trên một tài liệu cũ.

hiện ba chức năng trên giao diện chính của phần mềm, đó là : Input User’s Data,
Sign Certificate Requests và Generate PKCS12 Certificate.
Các bước thực hiện việc cấp một chứng chỉ số :
Bƣớc 1 : Nhập thông tin về người được cấp (Input User’s Data)
Người thực hiện lần lượt nhập các thông tin của người được cấp chứng
chỉ vào các mục trên giao diện.
- Họ và tên (Fullname)
- Số chứng minh nhân dân (ID Card Number).
- Ngày cấp chứng minh (ID Card Issued Date).
- Ngày tháng năm sinh (Date of Birth).
- Phòng ban (Office).
- Địa chỉ Email (Email).
- Chức năng của chứng chỉ được cấp (Certificate Type), đối với ứng
dụng Mail kiểu chứng chỉ bao giờ cũng phải chọn là “User
Certificate”.
- Số PIN, số PIN sẽ tự động được tăng lên khi thông tin một người được
chấp nhận.
Sau khi nhập đầy đủ các thông tin trên, người thực hiện chọn nút lệnh
“Accept”.
Chương trình sẽ tự động sinh yêu cầu cấp chứng chỉ số (Certificate
Request) với các thông tin trên. Quá trình sinh yêu cầu kết thúc.
Bƣớc 2 : Ký yêu cầu chấp chứng chỉ số (Sign Certificate Requests)
Người sử dụng nhập mật khẩu dùng để giải mã khoá bí mật của CA (mật
Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong TMĐT
Sinh viên : Trần Thị Thu Hà Lớp : CT702

24
khẩu nàu được đặt khi thực hiện thiết lập hệ thống. Quá trình phát hành chứng
chỉ thành công khi có thông báo “OK!”, việc phát hành là không thành công nếu
thay bởi thông báo “OK!” chương trình thông báo “Failed!”.

Bƣớc 6 : In nội dung chứng chỉ.
Sử dụng trang http://printcert .
3.6. Qui trình huỷ bỏ chứng chỉ :
Huỷ bỏ một chứng chỉ :
Chọn chức năng “Revoke a certificate by Administrator”. Người quản trị
thực hiện gõ ID của chứng chỉ cần huỷ bỏ vào mục “Input ID”, rồi chọn
“Continue”. Tiếp theo người quản trị nhập mật khẩu được sử dụng để làm khoá
giải mã khoá bí mật của CA, sau đó chọn “OK”, quá trình huỷ bỏ chứng chỉ có
ID được nhập ở trên được thực hiện.
Phát hành CRL và cập nhật lên LDAP:
Trên máy CA người quản trị chọn mục Issue New CRL.
Ngầm định hiệu lực của danh sách các chứng chỉ huỷ bỏ sẽ là 7 ngày (có
thể thay đổi), chọn Issue new CRL, xuất hiện cảnh báo bạn sẽ phải đưa danh
sách này công khai trên toàn hệ thống CA, tức là đưa ra máy LDAP server sau
khi phát hành. Công việc cuối cùng mà người quản trị CA phải thực hiện đó là
đưa danh sách này công khai trên toàn hệ thống. Sau bước này thì chứng chỉ của
các người sử dụng có yêu cầu huỷ bỏ đã được phát hành và đưa lên LDAP
Server. Tất cả các máy trên hệ thống CA phải cập nhật danh sách này vào hệ
thống của mình thông qua trang publicdatabase đặt trên máy LDAP.
Cấp chứng nhận huỷ bỏ chứng chỉ cho người sử dụng :
Tải CRL từ LDAP server về máy CA :
Để tải CRL hiện tại từ LDAP server, phục vụ cho việc in chứng nhận hủy
bỏ, người quản trị trên máy CA thực hiện :
Trong tệp /etc/hosts bổ sung dòng:
200.1.1.1 publicdatabase
(Trong đó địa chỉ IP 200.1.1.1 là địa chỉ của máy LDAP server).
In chứng nhận huỷ bỏ cho người sử dụng :
Mở trang http ://printcert. Người quản trị chọn chức năng “Print CRL”.