Hướng dẫn về PKI – Phần 2: Thiết kế
Ngu
ồn : quantrimang.com 
Martin Kiaer
Trong phần đầu tiên của loạt bài hướng dẫn về PKI này, chúng ta đã có
được một cái nhìn tổng quan về cách chuẩn bị và lên kế hoạch cho PKI của
bạn. Trong phần hai này, chúng tôi sẽ tiếp tục giới thiệu với thêm một chút
kỹ thuật. Chúng ta sẽ xem xét một số vấn đề về thiết kế PKI. Xuyên suốt
trong toàn bộ bài này, chúng tôi sẽ giới thiệu đến bạn cách để tránh nhữ
ng
lỗi chung nhất trong quá trình thiết kế.

Thiết kế một PKI

Khi thiết kế một PKI, có rất nhiều thứ mà bạn cần phải xem xét đến:
•
Kiến trúc của CA sẽ như thế nào (ví dụ như số lượng CA và những role gì
sẽ có)
•
Bạn muốn bảo vệ như các khóa riêng của CA như thế nào
•
Nơi nào bạn muốn tạo các điểm công bố
Chúng ta hãy xem xét sâu hơn nữa trong các vấn đề trên

Tạo kiến trúc CA có khả năng mở rộng tốt

Số lượng và các mức của CA bạn nên bổ sung cơ bản dựa vào sự bảo mật của
bạn và các yêu cầu về khả năng sẵn có. Bạn nên cố gắng tổ chức kiến trúc của
mình theo những gì cần thi
ết. Thực sự không có một kinh nghiệm tốt nhất nào
trong việc chọn bao nhiêu mức CA bạn cần, tuy vậy thật hiếm khi có ai cần đến

chính sách chứng chỉ vì sự hợp lệ, tính địa lý, tính tổ chức hoặc cách sử dụng
chứng chỉ thì cần phải định nghĩa một kiến trúc 3 mức, yêu cầu này sẽ cần đến 2
hoặc nhiều CA chính sách ở mức 2 (các CA chính sách).

Khi thực thi một PKI, bạn sẽ luôn luôn phải bắt đầu với một CA gốc, hoàn toàn
không quan trọng khi chúng ta xử lý với một kiến trúc PKI mứ
c 1, mức 2 hay
mức 3. Khi CA gốc luôn là CA gốc và thường được thực thi bởi tự nó thì bạn cần
phải bảo vệ khóa riêng của CA gốc một cách tốt nhất có thể. Điều này luôn luôn
cần phải chú ý, không quan tâm đến việc kiến trúc PKI của bạn gồm bao nhiêu
mức. Nếu kiến trúc PKI của bạn gồm có hai mức hoặc nhiều hơn thì CA gốc cần
có một số lượng tối thiểu s
ự truy cập, vì chỉ có các CA cấp thứ mới yêu cầu sự
truy cập vào CA gốc. Mặc dù vậy, khi khoảng cách từ CA gốc tăng (nghĩa là có
nhiều mức được bổ sung), các yêu cầu bảo mật sẽ giảm và sự truy cập tăng đối
với các CA cấp thứ. Đây sẽ là một hệ số quan trọng khi chúng ta bắt đầu cài đặt
các CA, thứ mà chúng tôi sẽ giới thiệu đến trong phần sau.

Các khóa riêng CA

Trước khi cài đặt một CA, bạn nên có một kế hoạch về kích thước của khóa
riêng CA sẽ là bao nhiêu và nó được bảo vệ như thế nào. Chúng ta hãy xem xét
đến kích thước khóa, điều rất quan trọng cho lý do bảo mật và khả năng tương
thích. Bảng 2 dưới đây liệt kê các kích thước khóa được khuyến khích:
CA role Kích thước khóa
Root CA
4096
Policy CA
4096
Issuing CA

t với chi phí và
khả năng sử dụng liên quan đến sự bảo vệ khóa riêng của CA. Trong bảng 3
dưới đây, chúng tôi đã liệt kê một số phương pháp chung nhất để bảo vệ khóa
riêng của CA. Chúng tôi sẽ để cho bạn đánh giá dưới dạng cách tốt nhất để bảo
vệ khóa riêng CA như thế nào. Hãy nhớ rằng điều này có thể là thành phần quan
trọng nhất để bảo vệ PKI củ
a bạn.
Phương pháp
bảo vệ
Điểm mạnh Điểm yếu
Lưu chứng
chỉ cục bộ
- Dễ thực thi (mặc
định)
- Chi phí thấp
- Độ bảo mật thấp
- CSP chỉ là FIPS 140-1
compliant
Chứng thực
dựa trên chip
(thẻ thông
minh hoặc
USB Token)
- Dễ thực thi
- Chi phí thấp
- FIPS 140-2
compliant
- Độ bảo mật vật lý thấp vì thẻ
thông minh có thể dễ bị mất cắp
hoặc đánh rơi.

dụng như các bộ
trợ giúp cho SSL.
- Chi phí cao (phụ thuộc vào cấu
hình)
- Yêu cầu sự cẩn trọng và lập kế
hoạch tỉ mỉ
Bảng 3: Một số phương pháp chung để bảo vệ khóa riêng CA.
Bổ sung thêm vào những phương pháp đã được liệt kê trong bảng 3, bạn cũng
muốn tăng độ bảo mật của CA bằng việc bảo đảm tất cả CA, ngoại trừ việc phát
hành các CA được giữ offline. Bằng cách này chúng sẽ xuất hiện ít trên mạng và
chỉ được kết nối vào mạng khi CRL và đã phát hành các chứng chỉ cho các CA
khi có những sự
thay đổi mới cần thiết với PKI của bạn. Hầu như, các CA gốc và
chính sách đều được tắt một cách toàn bộ, tuy nhiên điều này sẽ phụ thuộc vào
mức bảo mật vật lý của bạn tốt như thế nào và các khóa riêng của CA được bảo
vệ tốt ra sao cũng phần cứng có khả năng tin cậy như thế nào.

Nơi tạo các điểm công bố

Vùng cuối cùng mà chúng ta sẽ tập trung trước khi bắt đầu thực thi PKI là vị trí
công bố Certificate Revocation Lists (CRL) và các khóa công khai của CA. Điều
này có thể được hiểu như các điểm phân phối chứng chỉ Certificate Distribution
Points (CDP). Có các giao thức khác nhau chúng ta có thể sử dụng để định
nghĩa CDP và chúng được liệt kê dưới đây:
•
HTTP
•
LDAP (trong thế giới Microsoft thông thường có nghĩa là Active Directory)
•
FTP