 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 1
I. Gii thiu
Ngày nay, vic giao tip qua mng Internet ang tr thành mt nhu cu cp thit.
Các thông tin truyn trên mng u rt quan trng, nh mã s tài khon, thông tin
t... Tuy nhiên, vi các thn tinh vi, nguy c bn cp thông tin qua mng cng
ngày càng gia tng. Hin giao tip qua Internet ch yu s dng giao thc TCP/IP.
ây là giao thc cho phép các thông tin c gi t máy tính này ti máy tính khác
thông qua mt lot các máy trung gian hoc các mng riêng bit. Chính u này ã
o c hi cho nhng ''k trm'' công ngh cao có th thc hin các hành ng phi
pháp. Các thông tin truyn trên mng u có th b nghe trm (Eavesdropping), gi
o (Tampering), o danh (Impersonation) .v.v. Các bin pháp bo mt hin nay,
chng hn nh dùng mt khu, u không m bo vì có th b nghe trm hoc b dò
ra nhanh chóng.
Do vy,  bo mt, các thông tin truyn trên Internet ngày nay u có xu hng
c mã hoá. Trc khi truyn qua mng Internet, ngi gi mã hoá thông tin, trong
quá trình truyn, dù có ''chn'' c các thông tin này, k trm cng không thc
c vì b mã hoá. Khi ti ích, ngi nhn s s dng mt công cc bit  gii
mã. Phng pháp mã hoá và bo mt ph bin nht ang c th gii áp dng là
chng ch s (Digital Certificate). Vi chng ch s, ngi s dng có th mã hoá
thông tin t cách hiu qu, chng gi mo (cho phép ngi nhn kim tra thông tin
có b thay i không), xác thc danh tính ca ngi gi. Ngoài ra chng ch s còn là
ng chng giúp chng chi cãi ngun gc, ngn chn ngi gi chi cãi ngun gc
tài liu mình ã gi.
Mt cách mã hóa d liu m bo an toàn ó là mã hóa khóa công khai. 
 dng c cách mã hóa này, cn phi có mt chng ch s t t chc qun trc
i là nhà cung cp chng ch s ( certification authority – CA).
II. C s h tng khóa công khai
II.1 Khái nim
t PKI (public key infrastructure) cho phép ngi s dng ca mt mng công
ng không bo mt, chng hn nh Internet, có th trao i d liu và tin mt cách

m khoá công khai ca ngi s hu, thi hn ht hiu lc ca chng ch, tên ch s
u và các thông tin khác v ch khoá công khai.
II.3 Chng ch s
II.3.1 Khái nim
Chng ch s là mt tp tin n t dùng  xác minh danh tính mt cá nhân, mt
máy ch, mt công ty... trên Internet. Nó ging nh bng lái xe, h chiu, chng minh
th hay nhng giy t xác minh cá nhân.
 có chng minh th, bn phi c c quan Công An s ti cp. Chng ch s
ng vy, phi do mt t chc ng ra chng nhn nhng thông tin ca bn là chính
xác, c gi là Nhà cung cp chng thc s (Certificate Authority, vit tt là CA).
CA phi m bo v tin cy, chu trách nhim v chính xác ca chng ch s
mà mình cp.
Trong chng ch s có ba thành phn chính:
• Thông tin cá nhân ca ngi c cp.
• Khoá công khai (Public key) ca ngi c cp.
• Ch ký s ca CA cp chng ch.
• Thi gian hp l.
Thông tin cá nhân
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 3
ây là các thông tin ca i tng c cp chng ch s, gm tên, quc tch, a
ch, n thoi, email, tên t chc .v.v. Phn này ging nh các thông tin trên chng
minh th ca mi ngi.
Khoá công khai
Trong khái nim mt mã, khoá công khai là mt giá trc nhà cung cp chng
cha ra nh mt khoá mã hoá, kt hp cùng vi mt khoá cá nhân duy nht c
o ra t khoá công khai  to thành cp mã khoá bt i xng.
Nguyên lý hot ng ca khoá công khai trong chng ch s là hai bên giao dch
phi bit khoá công khai ca nhau. Bên A mun gi cho bên B thì phi dùng khoá
công khai ca bên B  mã hoá thông tin. Bên B s dùng khoá cá nhân ca mình 

chng ch sm bo an toàn.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 4
b) Chng gi mo
Khi bn gi i mt thông tin, có th là mt d liu hoc mt email, có s dng
chng ch s, ngi nhn s kim tra c thông tin ca bn có b thay i hay
không. Bt k mt s sa i hay thay th ni dung ca thông p gc u s b phát
hin. a ch mail, tên domain... u có th b k xu làm giánh la ngi nhn
 lây lan virus, n cp thông tin quan trng. Tuy nhiên, chng ch s thì không th
làm gi, nên vic trao i thông tin có kèm chng ch s luôn m bo an toàn.
c) Xác thc
Khi gi mt thông tin kèm chng ch s, ngi nhn - có th là i tác kinh doanh,
 chc hoc c quan chính quyn - s xác nh rõ c danh tính ca bn. Có ngha
là dù không nhìn thy bn, nhng qua h thng chng ch s mà bn và ngi nhn
cùng s dng, ngi nhn s bit chc chn ó là bn ch không phi là mt ngi
khác. Xác thc là mt tính nng rt quan trng trong vic thc hin các giao dch n
 qua mng, cng nh các th tc hành chính vi c quan pháp quyn. Các hot ng
này cn phi xác minh rõ ngi gi thông tin  s dng t cách pháp nhân. ây
chính là nn tng ca mt Chính phn t, môi trng cho phép công dân có th
giao tip, thc hin các công vic hành chính vi c quan nhà nc hoàn toàn qua
ng. Có th nói, chng ch s là mt phn không th thiu, là phn ct lõi ca Chính
phn t.
d) Chng chi cãi ngun gc
Khi s dng mt chng ch s, bn phi chu trách nhim hoàn toàn v nhng
thông tin mà chng ch si kèm. Trong trng hp ngi gi chi cãi, ph nhn mt
thông tin nào ó không phi do mình gi (chng hn mt n t hàng qua mng),
chng ch s mà ngi nhn có c s là bng chng khng nh ngi gi là tác gi
a thông tin ó. Trong trng hp chi cãi, CA cung cp chng ch s cho hai bên s
chu trách nhim xác minh ngun gc thông tin, chng t ngun gc thông tin c
i.

+ m bo hacker không th dò tìm c mt khu.
g) m bo phn mm
u bn là mt nhà sn xut phn mm, chc chn bn s cn nhng ''con tem
chng hàng gi'' cho sn phm ca mình. ây là mt công c không th thiu trong
vic áp dng hình thc s hu bn quyn. Chng ch s Nhà phát trin phn mm s
cho phép bn ký vào các applet, script, Java software, ActiveX control, các file dng
EXE, CAB, DLL... Nh vy, thông qua chng ch s, bn sm bo tính hp pháp
ng nh ngun gc xut x ca sn phm. Hn na ngi dùng sn phm có th xác
thc c bn là nhà cung cp, phát hin c s thay i ca chng trình (do vô
tình hng hay do virus phá, b crack và bán lu...).
i nhng li ích v bo mt và xác thc, chng ch s hin ã c s dng rng
rãi trên th gii nh mt công c xác minh danh tính ca các bên trong giao dch
thng mi n t. ây là mt nn tng công ngh mang tính tiêu chun trên toàn
u, mc dù  mi nc có mt s chính sách qun lý chng thc s khác nhau. Mi
quc gia u cn có nhng CA bn a  chng v các hot ng chng thc s
trong nc. Nhng ngoài ra, nu mun thc hin TMT vt ra ngoài biên gii, các
quc gia cng phi tuân theo các chun công ngh chung, và thc hin chng thc
chéo, trao i và công nhn các CA ca nhau.
III. Trin khai dch v CA trên môi trng Window Server 2003
Trên môi trng hu hành Windows Server 2003, CA là mt phn mm c
tích hp sn.
III.1Cài t dch v CA
ng nhp vào Windows Server 2003 vi quyn Administrator.
1. Click vào Start à Control Panel à Add Or Remove Programs. Hp thoi Add Or
Remove Programs xut hin.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 6
2. Click Add/Remove Windows Components. Hp thoi Add/Remove Windows
Components xut hin à chn Certificate Services.
3. Click chn à chn Details. Hp thoi Certificate Services xut hin.

 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 9
user và khóa riêng, cho phép ngi dùng logon ti bt k máy nào trong doanh
nghip vi  an toàn cao.
Software code signing: K thut Authenticode ca Microsoft dùng chng ch
chng thc nhng phn mm ngi dùng download và cài t chính xác là ca tác gi
và không c chnh sa.
Wireless network authentication: Khi cài t mt LAN wireless, phi chc chn
ng ch ngi dùng chng thc úng thì mi c ni kt mng và không có ai có
th nghe lén khi giao tip trên wireless. Có th s dng Windows Server 2003 PKI 
o v mng wireless bng cách nhn dng và chng thc ngi dùng trc khi h
truy cp mng.
III.3 Các loi CA trên Windows Server 2003
Trên windows Server 2003 có hai loi CA:
Enterprise: Enterprise CAsc tích hp trong dch v Active Directory. Chúng
 dng mu chng ch, xut bn (publish) chng ch và CRLs n Active Directory,
 dng thông tin trong c s d liu Active Directory  chp nhn hoc t chi yêu
u cp phát chng ch tng. Bi vy client ca t chc CA phi truy xut n
Active Directory  nhn chng ch, nhiu t chc CA không thích hp cho vic cp
phát chng ch cho các client bên ngoài t chc.
Stand-alone Stand-alone CAs không dùng mu chng ch hay Active Directory;
chúng lu tr thông tin cc b ca nó. Hn na, mc nh, stand-alone CAs không t
ng áp li yêu cu cp phát chng ch s ging nh enterprise CAs làm. Yêu cu
ch trong hàng i cho ngi qun tr chp nhn hoc t chi bng tay.
Dù ngi dùng chn to ra mt enterprise CA hay là mt stand-alone CA, u
phi ch rõ CA là gc (root) hay cp di (subordinate).
III.4Cp phát và qun lí các chng ch s
III.4.1Cp phát tng (Auto-Enrollment)
Auto-Enrollment cho phép client yêu cu tng và nhn chng ch s t CA mà
không cn s can thip ca ngi qun tr.  dùng Auto-Enrollment thì phi có

không?. giám sát và x lý các yêu cu vào, ngi qun tr dùng Certification
Authority console, nh hình sau:
Trong Certification Authority console, tt c yêu cu cp phát chng ch s xut
hin trong th mc Pending Request. Sau khi ánh giá thông tin trong mi yêu cu,
ngi qun tr có th chn  chp nhn (issue) hay t chi yêu cu. Ngi qun tr
ng có th xem c tính ca vic cp phát chng ch và thu hi chng ch khi cn.
III.4.3Các cách yêu cu cp phát CA
III.4.3.1 S dng Certificates Snap-in:
Certificate Snap-in là mt công c dùng  xem và qun lý chng ch ca mt user
hoc computer c th. Màn hình chính ca snap-in bao gm nhiu th mc cha tt c
ng mc chng ch sc chnh cho user hoc computer. Nu t chc ca ngi
dùng s dng enterprise CAs, Certificate Snap-in cng cho phép ngi dùng yêu cu
và thay i chng ch s bng cách dùng Certificate Request Wizard và Certificate
Renewal Wizard.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 12
III.4.3.2 Yêu cu cp phát thông qua Web (Web Enrollment)
Khi bn cài t Certificate Services trên máy tính chy Windows Server 2003,
ngi dùng có th chn cài t module Certificate Services Web Enrollment Support.
 hot ng mt cách úng n, module này yêu cu ngi dùng phi cài t IIS
trên máy tính trc. Chn module này trong quá trình cài t Certificate Services to
ra trang Web trên máy tính chy CA, nhng trang Web này cho phép ngi dùng gi
yêu cu cp chng ch s yêu cu mà h chn.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 13
Giao din Web Enrollment Support c dùng cho ngi s dng bên ngoài hoc
bên trong mng truy xut n stand-alone CAs. Vì stand-alone server không dùng
u chng ch s, client gi yêu cu bao gm tt c các thông tin cn thit v chng
ch s và thông tin v ngi s dng chng ch s.
Khi client yêu cu chng ch s dùng giao din Web Enrollment Support, chúng