Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
BÁO CÁO Đ
Ề TÀI
B
Ộ MÔN AN TOÀN THÔNG TIN
Đ
ề tài:
Tìm hi
ểu về chứng chỉ số
- CA và m
ột vài ứng
d
ụng sử dụng CA
Giáo viên hư
ớng dẫn:
Th.S Lê Đ
ắc Nhường
Nhóm sinh viên th
ực hiện:
Nguy
ễn Thanh Quang
Ngô N
ữ Kiều Mây
Ph
ạm Ti
ến

II.1 Khái ni
ệm
4
II.2 Nhà Cung cấp Chứng chỉ số - Certificate Authority (CA) 4
III.Ch
ứng chỉ số
5
III.1 Khái ni
ệm
5
III.2 Nh
ững lợi ích của chứng chỉ số
6
III.3 M
ột vài ứng dụng của chứng chỉ số
10
III.3.1
Ứng dụng chứng chỉ số tr
ong giao d
ịch thương mại điện tử
10
III.3.2
Ứng dụng chứng chỉ số để bảo mật nội bộ trong doanh nghiệp
12
III.3.3 Lưu tr
ữ chứng chỉ số
12
IV.Triển khai dịch vụ Certificate Authority trên hệ diều hành Windows Server 2003 13
IV.1 Cài đ
ặt dịch vụ CA

ểu về Chứng chỉ số
- CA
Khoa Toán Tin
IV.6 Thu hồi chứng chỉ số 21
V. M
ột số dịch vụ sử dụng CA
21
V.1 D
ịch vụ chứng thực Web Server sử dụng SSL
21
V.2 D
ịch vụ IP Sec
28
V.3 D
ịch vụ VPN
33
VI.K
ết quả và hướng phát triển
40
VI.1. K
ết quả
40
VI.2. Hư
ớng phát triển
40
I.Gi
ới thiệ
u
Ngày nay vi
ệc giao tiếp qua mạng Internet đang trở

ả mạo (Tampering). Các thông tin trong khi truyền đi bị thay đổi hoặc thay
th
ế tr
ước khi đến người nhận. Ví dụ, một ai đó có thể sửa đổi một đơn đặt hàng
ho
ặc thay đổi lý lịch của một cá nhân.
 M
ạo danh (Impersonation).
Thông tin đư
ợc gửi tới một cá nhân mạo nhận là
ngư
ời nhận hợp pháp. Có hai hình thức mạo danh sau:
 B
ắt chước (Spoofing). Một cá nhân có thể giả vờ như một người khác. Ví
d
ụ,dùng
địa chỉ mail của một người khác hoặc giả mạo một tên miền của
m
ột trang web
 Xuyên t
ạc (Misrepresentation). Một cá nhân hay một tổ chức có thể
đưa ra
nh
ững thông tin không đúng sự thật về họ. Ví dụ, có một trang web mạo
nh
ận chuyên về kinh doanh trang thiết bị nội thất, nhưng thực tế nó là một
trang chuyên ăn c
ắp mã thẻ tín dụng v
à không bao gi
ờ gửi hàng cho

ờ
i nhận kiểm tra thông tin có bị thay đ
ổ
i không), xác thực danh tính của ngư
ờ
i gủi. Ngoài
ra Chứng chỉ số còn là bằng chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối
cãi nguồn gốc tài liệu mình đã gửi.Một cách mã hóa dữ liệu đ
ả
m bảo an toàn đó là mã hóa
khóa công khai. Đ
ể
sử dụng đư
ợ
c cách mã hóa này, cần phải có một chứng chỉ số từ tổ chức
quản trị
đư
ợc gọi
là nhà cung cấp chứng chỉ số ( Certification Authority – CA).
II.Cơ s
ở hạ tầng khóa công khai
II.1 Khái ni
ệm
M
ột PKI (public key infrastructure) cho phép người sử dụng của một m
ạng công c
ộ
ng
không bảo mật, chẳng hạn như Internet, có thể trao đ
ổ

ẩm tra cho C
A trư
ớc khi một chứng chỉ dố được cấp phát tới người yêu cầu.
 M
ột hoặ
c nhi
ều danh mục nơi các chứng chỉ số (với khoá công khai của nó)
đư
ợc l
ưu giữ, phục vụ cho các nhu cầu tra cứu, lấy khoá công khai của đối tác
c
ần thực hiện giao d
ịch ch
ứng thực số.
 M
ột
h
ệ thống quản lý chứng chỉ
II.2 Nhà Cung c
ấp Chứng chỉ số
- Certificate Authority (CA)
Trong các hệ thống quản lý chứng thực số
đ
ang hoạt đ
ộ
ng trên thế giới, Nhà cung c
ấp
chứng thực số (Certificate Authority - CA) là một tổ chức chuyên đưa ra và quản lý các
nội dung xác thực bảo mật trên một mạng máy tính, cùng các khoá công khai đ
ể

ệm
Ch
ứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy
ch
ủ, một cô
ng ty … trên Internet. Nó gi
ống nh
ư bằng lái xe, hộ chiếu, chứng minh thư
hay nh
ững giấy tờ xác minh cá nhân.
Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp. Chứng chỉ số cũng
vậy, phải do một tổ chức đ
ứ
ng ra chứng nhận những thông tin của bạn là chính xác, đư
ợ
c
gọi là Nhà cung cấp chứng thực số (Certificate Authority, viết tắt là CA).CA phải đ
ả
m bảo
về
độ
tin cậy, chịu trách nhiệm về
độ
chính xác của chứng chỉ số mà mình cấp.
Trong chứng chỉ số có ba thành phần chính:
 Thông tin cá nhân của ngư
ờ
i,t
ổ chức
đư

đích
dùng vào vi
ệc gì. Thông th
ường, trước khi cấp một chứng chỉ số, CA sẽ
công b
ố các thủ tục cần phải thực hiện cho các loại chứng chỉ số.
b. Khoá công khai (Public key) c
ủa
ngư
ời
đư
ợc
c
ấp
Trong khái ni
ệm mật mã, khoá công khai là một giá trị
được nhà cung cấp
ch
ứng
ch
ỉ số đưa ra như một khoá mã hoá, kết hợp cùng với một khoá cá nhân duy nhất
đư
ợc tạo ra từ khoá công khai
để tạo thành cặp mã khoá bất đối xứng.
Nguyên lý ho
ạt động của khoá công khai trong chứng chỉ số là hai bên giao dịch
ph
ải biết khoá công kh
ai c
ủa nhau. Bên A muốn g

Hi
ểu theo cách khác
, nếu chứng chỉ số là một chưng minh thư nhân dân, thì khoá
công khai đóng vai trò như danh tính của bạn trên giấy chứg minh thư (gồm tên,đ
ị
a
chỉ, ảnh ), còn khoá cá nhân là gương mặt và dấu vân tay của bạn. Nếu coi một bưu
phẩm là thông tin truyền đi, đư
ợ
c "mã hoá" bẳng đ
ị
a chỉ và tên ngư
ờ
i nhận của b
ạn
n,
thì dù ai đó có dùng chứng minh thư của bạn với mục đích lấy bưu phẩm này, họ
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
c
ũng
không đư
ợ
c nhân viên bưu đi
ệ
n giao bưu kiện vì ảnh mặt và dấu vân tay không

ứng minh thư, đây chính là
con d
ấu xác nhận của Công An Tỉnh hoặc
Thành ph
ố mà bạn trực thuôc. Về nguyên tắc,khi kiểm tra chứng minh th
ư, đầu tiên
ph
ải xem con dấu này,để biết chứng minh thư có bị làm giả hay không
.
III.2 Nh
ững lợi ích của chứng chỉ số
4 đ
ặc điểm chính mà chứn
g ch
ỉ số đem lại cho người sử dụng :
- Mã hóa d
ữ liệu gửi
đi
- Xác th
ực danh tính
- Ch
ống giả mạo
- Ch
ống chối cãi nguồn gốc
- Toàn v
ẹn dữ liệu
Bên c
ạnh
đó sử dụng chứng chỉ số còn
có ch

đ
ọc được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được trong gói
tin có thông tin gì. Đây là m
ột tính năng rất quan trọng, giúp người sử dụng
hoàn toàn tin c
ậy về khả n
ăng bảo mật thông tin. Những trao
đ
ổi thông tin cần
b
ảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán
b
ằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
b.Xác th
ực danh tính
- Ch
ống giả mạo
Xác th
ực danh tính (chống giả mạo)
Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận – có thể là đối tác
kinh doanh, t
ổ chức hoặc cơ quan chính quyền
– s
ẽ xác định rõ được danh tính

ứng chỉ số đi kèm. Trong trường hợp người gửi chối cãi, phủ
nh
ận một thông tin nào
đó không ph
ải do mình gửi (chẳng hạn một
đơn đặt hàng
qua m
ạng), chứng chỉ số mà người nhận có được sẽ là bằng chứng khẳng định
ngư
ời gửi là tác giả của thông tin đó. Trong trường hợp chối cãi, CA cung cấp
ch
ứng chỉ số cho hai bên sẽ chịu trách nhiệm xác m
inh ngu
ồn gốc thông tin,
ch
ứng tỏ nguồn gốc thông tin
được gửi.
d.Toàn v
ẹn dữ liệu
Chữ kí điện tử có khả năng đảm bảo tính chính xác của dữ liệu bạn gửi đi
e.B
ảo mật Email
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Email r
ất dễ bị tổn th

Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
tin an toàn và b
ảo mật giữa website với những khách hàng, nhân viên và đối tác
c
ủa bạn thông qua công nghệ SSL mà nổi bật là:
- Th
ực hiện mua bán bằng thẻ
tín d
ụng
- B
ảo vệ những thông tin nhạy cảm của cá nhân
- Đ
ảm bảo các hacker không thể dò tìm được mật khẩu
g.Đ
ảm bảo phần mềm
Ch
ứng chỉ số cho phép ký vào những applet, script, Java software, ActiveX
control, EXE, CAB và DLL. Như v
ậy sẽ cho phép ng
ười ký
đ
ảm bảo tính hợp
pháp c
ủa sản phẩm và cho phép người sử dụng nhận diện , phát hiện được sự
thay đ

ểu về Chứng chỉ số
- CA
Khoa Toán Tin
B2G (Business to Governmen):đư
ợc định nghĩa chung là thương mại giữa
công ty và kh
ối hành chính công. Nó bao hàm việc sử dụng Internet cho mua bán
công, th
ủ tục cấp phép và các hoạt
động khác liên quan tới chính phủ.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
B2B (Business to Business): là mô hình giao d
ịch thương mại điện tử giữa
doanh nghi
ệp và doanh nghiệp. Th
ương mại điện tử B2B trước hết là quá trình
th
ực hiện việc mua và bán trực tuyến trên mạng giữa các công ty với nhau, là nơi
mà các công ty có thể mua bán hàng hoá trên cơ sở sử dụng một nền công nghệ
chung
III.3.2 Ứng dụng chứng chỉ số
đ
ể bả
o m
ật nội bộ trong doanh nghiệp

 OutLook: s
ử dụng chứng chỉ số để mã hóa,giải mã Email
 Chứng thực Web Server: Dịch vụ Web sử dụng SSL(Sercue Socket Layer) để
ch
ứng thực.Cung cấp sự truyền thông an toàn trên Internet như Web
Browsing,Emai
 B
ảo vệ
b
ản quyền tài sản số hóa
: s
ử dụng chứng chỉ số cho phép ký vào những
applet, script, Java software, ActiveX control, EXE, CAB và DLL. Như v
ậy sẽ
cho phép ngư
ời ký đảm bảo tính hợp pháp của sản phẩm và cho phép người sử
d
ụng nhận diện , phát hiện
được sự th
ay đ
ổi của ch
ương trình
III.3.3 Lưu tr
ữ chứng chỉ số
Ch
ứng chỉ số có thể được lữu trữ và sử dụng một cách dễ dàng dưới nhiều hình thức
- T
ệp tin l
ưu trong máy tính (Soft Token)
- USB Token

Khoa Toán Tin
3. Click chọn Details. Hộp thoại Certificate Services xuất hiện.
4. C
ảnh
báo v
ề thành viên domain và ràng buộc đổi tên máy tính xuất hiệ
n click Yes.
5. Trong trang loại CA, click chọn Enterprise Root CA=> click Next
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
6. Trên trang thông tin CA, trong m
ục
Common name,đánh tên của server click next.
7.Trên trang Certificate Database Settings, để đườ ng dẫn mặc định trong mục
Certificate database box và Certificate database log click Next.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
8. C
ảnh báo
dừng Internet Information Services xuất hiện
9. Enable Active Server Pages (ASPs) click Yes.
10. Khi quá trình cài

ết nối
đ
ế
n
nó và client có thể xác nhận đ
ã k
ết nối
đúng server.
 Bảo mật IP ( IP Security - IPSec): mở rộng IPSec cho phép mã hóa và truyền chữ
ký số, nhằm ngăn chặn dữ liệu bị lộ khi truyền trên mạng. Triển khai IPSec trên
Windows Server 2003 không phải dùng PKI đ
ể
có đư
ợ
c khóa mã hóa của nó,
nhưng có thể dùng PKI với mục đích này.
 Secure e-mail: Giao thức e-mail trên internet truyền thông điệp mail ở chế độ bản
rõ, vì vậy nội dung mail dễ dàng đ
ọ
c đư
ợ
c khi truyền. Với PKI, ngư
ờ
i gửi có thể
bảo m
ậ
t e-mail khi truyền bằng cách mã hóa nội dung mail dùng khóa công khai
của ngư
ời
nhận. Ngoài ra, ngư

Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
đ
ể bả
o vệ mạng wireless bằng cách nhận dạng và chứng thực ngư
ờ
i dùng trư
ớ
c khi
họ truy cập mạng.
IV.3 Các lo
ại CA trên Windows Server 2003
Trên windows Server 2003 có hai loại CA:
Enterprise: Enterprise Ca đư
ợ
c tích h
ợp trong dịch vụ Active Directory. Chúng
s
ử dụng mẫu chứng
ch
ỉ, xuất bản (publish) chứng chỉ và CRLs
đến Active
Directory,s
ử dụng thông tin trong cơ sở dữ liệu Active Directory để chấp nhận
hoặc từ chối yêu cầu cấp phát chứng chỉ tự động. Bởi vậy client của tổ
ch

không c
ần sự can thiệp của ng
ười quản trị.Đ
ể dùng Auto-Enrollment thì ph
ải có
Domain Controller ch
ạy Windows Server 2003, một Enterprise CA chạy trên
Windows Server 2003 và client có th
ể chạy Windows XP Professional. Điều khiển
ti
ến trình Auto
-Enrollment b
ằng sự phối hợp của Group Policy và mẫu chứng chỉ số.
M
ặc
định, G
roup Policy Objects (GPOs) cho phép Auto-Enrollment cho t
ất cả các
ngư
ời dùng và máy tính nằm trong Domain.Để cài đặt,ta mở chính sách cài đặt
Auto-Enrollment, nằm trong thu m
ục
Windows Settings\ Sercurity Settings\Public
Key Policies trong cả 2 node Computer Configuration và User Configuration của
Group Policy Object Editor. Hộp thoại Autoenrollment Settings Properties xuất
hiện,ta có thể cấm hoàn toàn Auto-Enrollment cho các đ
ố
i tư
ợ
ng sử dụng GPO này.

nh đ
ặ
c tính của kiểu chứng chỉ số rõ ràng.Đ
ể
quản lý mẫu chứng
chỉ số, ta dùng mẫu chứng chỉ số có sặn ( Certificate Templates snap-in).Sử dụng
công cụ này, ta có thể chỉ rõ thời gian hiệu lực và thời gian gia hạn c
ủ
a loại chứng
chỉ số đã chọ,chọn dịch vụ mã hóa (cryptographic) cung cấp cho chúng. Dùng tab
Security,ta c
ũng có thể chỉ rõ những user và group được phép yêu
c
ầu chứng chỉ số
dùng m
ẫu này.
Khi client yêu cầu một chứng chỉ số, CA kiểm tra đ
ặ
c tính đ
ố
i tư
ợ
ng Active
Directory của client đ
ể
quyết đ
ị
nh liệu client có quyền tối thiểu đươc nhận chứng chỉ
không?Nếu client có quyền thích hơp thì CA sẽ cấp phát chứng chỉ số một cách tự
đ

ười quản trị có thể chọn chấp nhận (issue) hay từ chối yeu cầu Người quản trị
c
ũng có thể xem đặc tính củaa việc cấp phát chứng chỉ và thu hồi chứng chỉ khi cần.
IV.5 Các cách yêu c
ầu cấp phát CA
IV.5.1 S
ử dụng Certificate Snap
-in
Certificate Snap-in là một công cụ dùng đ
ể
xem và quản lý chứng chỉ của một
user hoặc computer cụ thể. Màn hình chính c
ủa snap
-in bao g
ồm nhiều th
ư mục chứa
t
ất cả hạng mục chứng chỉ số được chỉ định cho user hoặc computer. Nế
u t
ổ chức
c
ủa người
dùng sử dụng Enterprise CA, Certificate Snap-in cững cho phép ngư
ờ
i
dùng yêu cầu và thay đ
ổ
i chứng chỉ số bằng cách dùng Certificate Request Wizard
và Certificate Renewal Wizard.
IV.5.2 Yêu c

hoặc bên trong mạng truy xuất đ
ế
n stand-alone CA. Vì stand-alone server không
dùng m
ẫu chứng chỉ số, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về
ch
ứng chỉ số và thông tin về ng
ười sử dụng chứng chi số.
Khi client yêu c
ầu chứng c
h
ỉ số dùng giao diện Web Enrollment Support, chúng
có thể chọn từ danh sách loại chứng chỉ đã được định nghĩa trước hoặc tạo ra chứng
ch
ỉ cao cấp bằng cách chỉ rõ tất cả các thông tin yêu cầu trong form Web
-based.
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
IV.6 Thu h
ồi chứng chỉ số
Có vài nguyên nhân cảnh báo cho ngư
ờ
i quản trị thu hồi chứng chỉ. N
ếu như khóa
riêng ( private key) b
ị lộ, hoặc người dùng trái phép lợi dụng truy xuất đến CA, thậm

ng dẫn này trong Certification Authority console bằng cách hiển thị hôp thoại
Properties cho CA, click vào tab Extension. Khi một ứng dụng chứng thực client đang
dùng chứng chỉ số, nó kiểm tra đi
ể
m phân phối CRL đã đ
ị
nh rõ trong chứng chỉ số, đ
ể
chắc chắn rằng chứng chỉ số không bị thu hồi. Nếu CRL không có tại đi
ể
m phân phối
đã đ
ị
nh rõ của nó, ứng dụng từ chối chứng chỉ.
B
ằ
ng cách chọn thư mục Revoked Certificates trong Certification Authority
console và sau đó hiển thị Properties c
ủa nó, ta
có thể chỉ rõ bao lâu thì CA nên xuất
bản một CRL mới, và cũng cấu hình CA đ
ể
xuất bản delta CRLs.Một delta CRL là
m
ột danh sách tất cả các chứng chỉ đã thu hồi từ khi CRL cuối cùng xuất bản. Trong
t
ổ chức với số l
ượng chứng chỉ số lớn, sử dụng CRL thay vì CRL cơ bản có thể lưu
m
ột số lớn.

ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Máy Web Server đư
ợ
c cấu hình dịch vụ web sử dụng SSL bằng cách nhân chứng
chỉ từ CA service
2) C
ấu hình dịch vụ
T
ạ
i Web server yêu cầu cấp phát chứng chỉ:
Bư
ớ
c 1: Mở IIS, click chuột phải vào website cần cấu hình SSL, chọn tab
Directory Security, chọn Server Certificate
Bư
ớ
c 2: Chọn tạo mới một chứng chỉ
Trư
ờng Đại học Hải Phòng
Tìm hi
ểu về Chứng chỉ số
- CA
Khoa Toán Tin
Nhấn Next, chọn Prepare for Request now, but send it later và lưu yêu cầu cấp
phát xuống file
Trư

độ
ng thì vào máy CA đ
ể
cấp phát(Issue)
cho chứng chỉ vừa yêu cầu.
Vào l
ại trang web yêu c
ầu CA, chọn Download Certificate đ
ể
tải chứng chỉ
vừa đư
ợ
c cấp phát về