Hướng dẫn về PKI – Phần 1: Lập kế hoạch
Ngu
ồn : quantrimang.com 
Martin Kiae
r
Bạn hiểu thế nào về PKI, đó là viết tắt của Public Key Infrastructure – cơ sở
hạ tầng khóa công khai. Trong loạt bài gồm 4 phần này chúng tôi sẽ giới
thiệu cho bạn vắn tắt về tổng quan cách thiết kế, cài đặt và khắc phục sự
cố một PKI dựa trên Microsoft Certificate Services trong Windows Server
2003. Bên cạnh đó chúng tôi cũng giới thiệu cho bạn một số cạm bẫy thường
gặp và cách thực hiện t
ốt nhất để xây dựng và thực thi một PKI, chúng tôi sẽ tập
trung vào các vấn đề cần thiết trong việc xây dựng đúng và linh hoạt PKI ngay từ
lúc bắt đầu.

Tại sao lại cần đến PKI

Một vài năm trở lại đây, hầu hết mọi
người đều nói về năm 2000 như là năm
của PKI. Nhiều người tin tưởng rằng, xu
thế chủ đạo củ
a thị trường cuối cùng
cũng có khuynh hướng sử dụng tất cả
các khía cạnh tốt mà PKI có thể cung
cấp. Mặc dù vậy như những gì bạn có thể
đoán, các chứng chỉ và PKI chưa từng
thực sự cất cánh. Điều đơn giản là nó
không đủ gây chú ý cho việc quản lý
phân loại và nhân viên kỹ thuật (người có thể thấy được giá trị của PKI). Mặc dù
vậy, sau một thờ
i gian, PKI lại trở thành một trong những chủ đề nóng nhất trong

Dấu hiệu mã và driver
•
SSL/TLS cho việc bảo vệ lưu lượng dựa trên HTTP
Như bạn có thể thấy, các chứng chỉ được sử dụng ở nhiều vị trí khác nhau và
mục đích chính của nó là bổ sung tính bảo mật cho cơ sở hạ tầng và giải pháp
CNTT của bạn. Nhưng nếu quan sát danh sách ở trên thì có thể hình dung được
rằng điều này cũng có nghĩa là bạn phải quản lý rất nhiều chứng chỉ, s
ố lượng
nhiều hay ít lại phụ thuộc vào những tính năng mà bạn muốn sử dụng trong cơ
sở hạ tầng và cách quyết định bổ sung chúng như thế nào. PKI đơn giản là cách
quản lý tập trung việc phát hành, thay mới, hủy bỏ các chứng chỉ và xây dựng
đường dẫn tin cậy của chính bạn. Các chứng chỉ và PKI mà chúng tôi sẽ giới
thiệu trong loạt bài viết này dựa trên X.509 v3, điều đó có nghĩ
a rằng chúng ta có
thể tận dụng một số ưu điểm về cách sử dụng chứng chỉ, và điều đó sẽ được
thấy rõ hơn trong phần hai của loạt bài này.

Quan trọng
:
Dự định của loạt bài này sẽ cho bạn biết nhanh chóng tổng quan của các lĩnh
vực quan trọng nhất, để bạn có thể dễ dàng có được nền tảng về PKI. Mặc dù
vậy việc xây dựng một PKI có thể là một dự án lớn và nếu bạn là một quản trị
viên CNTT quan tâm đến vấn đề bảo mật thì có thể sẽ cần xem xét sâu hơn
trong các liên kết được chúng tôi cung cấp ở
cuối mỗi phần của bài.

Lên kế hoạch cho PKI

Tác giả đưa giai đoạn lập kế hoạch vào phần đầu của bài vì dù sao phần lập kế
hoạch cũng rất quan trọng và muốn giới thiệu cách lập một kết hoạch như thế

ty của bạn nhắm đến chiến lược CNTT và kinh doanh của công ty, sau đó thực
hiện chiến lược này với các ứng dụng và dịch vụ bảo mật thì điều đó sẽ phụ
thuộc vào các chứng chỉ. Khi một chính sách bảo mật cần được chấp thuậ
n bởi
bộ phận quản lý hoặc bởi các thành viên ủy ban (những người này phải chịu
trách nhiệm cho chiến lược kinh doanh của công ty), thì cơ bản bạn sẽ có được
một tia sáng xanh để tiến lên với sự thực thi PKI. Bạn có là người có đủ may
mắn đó không, trong trường hợp công ty của bạn không có một chính sách bảo
mật tập trung thì hãy xem xét đến URL dưới đây về các mẫu đối với các chính
sách bảo m
ật khác nhau dựa trên chuẩn ISO 17799.

The SANS Security Policy Project

RFC 2196, “Site Security Handbook”

Open Directory Project – Security policy samplesTạo một hay nhiều chính sách chứng chỉ

Quả thực các chính sách không phải là thứ thú vị nhất trên thế giới này, nhưng
dù sao chúng vẫn rất quan trọng. Nếu bạn muốn tránh tất cả các vấn đề hợp lệ
đối với PKI, cách tốt nhất bạn nên xem xét đến việc có một chính sách chứng chỉ
(CP). Chính sách chứng chỉ miêu tả cách và ai phát hành, phân phối các chứng
chỉ đối với một chủ đề
(ví dụ như các chủ đề người dùng, máy tính và các thiết
bị,…). Điều này có thể là một nhiệm vụ khó khăn nhưng bạn không nên quá lo
lắng. Hãy tuân theo các bước dưới đây và bạn sẽ thực hiện một cách dễ dàng
việc tạo chính sách chứng chỉ cho PKI của mình.

2. Ngoài ra bạn cũng có thể xem CDP của VeriSign tại đâyKhông giống như chính sách chứng chỉ, một CPS luôn được tạo có sẵn công
cộng để một người dùng nào đó có chứng chỉ luôn có thể truy cập vào CPS.
Trong mỗi chứng chỉ mà CA của bạn phát hành, sẽ có một liên kết để chỉ ra vị trí
nơi CPS được xuất bản. Chúng ta sẽ xem xét kỹ hơn vấn đề này trong phần hai
của bài.

Kết luận

Chúng tôi đã giới thiệu cho các bạn cách nhìn tổ
ng quan về một số vấn đề quan
trọng để lưu ý đến giai đoạn lập kế hoạch trong việc xây dựng PKI, nó sẽ thật tốt
nếu bạn xem xét các thông tin trong bài này từ một quan điểm quan trọng khi
muốn xây dựng một PKI trong một môi trường bảo mật cao. Hãy nhớ rằng loạt
bài này chỉ phục vụ như một hướng dẫn vắn tắt để giúp bạn có được m
ột PKI
với thời gian ngắn nhất. Nếu muốn có được các chi tiết hơn về việc lập kế
hoạch, thiết kế và cài đặt, hãy xem trong những đường dẫn mà chúng tôi sẽ giới
thiệu dưới đây. Trong bài tiếp theo chúng ta sẽ tiếp tục quan sát gần hơn đến
các tùy chọn thiết kế và cài đặt khác nhau mà bạn có với những thực tiễn tốt
nhất có thể.