Hướng dẫn về PKI – Phần 4: Khắc phục sự cố
 Ngu
ồn : quantrimang.com  
Martin Kiae
r
Trong các phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn
tổng quan về cách chuẩn bị, lập kế hoạch và thiết kế PKI Microsoft. Chúng
tôi cũng đưa ra một một chút kỹ thuật trong đó để thể hiện cho các bạn
cách cài đặt PKI dựa trên Microsoft Certificate Services trong Windows
Server 2003. Trong phần cuối này, chúng tôi sẽ giới thiệu tổng quan về
cách bảo trì và khắc phục sự cố PKI của bạn bằng một số công c
ụ cơ bản
nhưng rất có giá trị.

Toolbox

Một trong những thành phần rất có giá trị đối với bạn và PKI đó là toolbox, nó
gồm có các rất nhiều công cụ. Các công cụ này sẽ giúp bạn duy trì sự ổn định
của PKI và giải quyết các vấn đề một cách nhanh chóng, không bị nhiều phiền
toái. Mặc dù vậy hộp công cụ này không dễ dàng cho việc thực hiện thao tác
nhiệm vụ ngay tức thì vì nó không có nhiều công c
ụ có sẵn, do đó phải sử dụng
chúng một cách tốt nhất với những gì chúng ta có. Dưới đây chúng tôi liệt kê các
tùy chọn của bạn đối với Microsoft PKI toolbox (không theo thứ tự):
•
Certificate Services (certsrv.msc) – Giao diện quản lý này gồm có các
chức năng chính bạn sẽ cần đến khi cấu hình và duy trì PKI

•
Certificate Templates (certtmpl.msc) – Giao diện này được sử dụng để
duy trì và bảo vệ các mẫu chứng chỉ

báo lỗi từ các chương trình khác nhau như Certificate Services MMC, bản ghi sự
kiện xét cho cùng vẫn là cách tố
t nhất để đọc và gỡ rối các lỗi liên quan đến PKI.

2. Sử dụng các công cụ PKIview.msc để có được một cách nhìn tổng quan về
trạng thái PKI của bạn. PKIview.msc sẽ thể hiện một số lỗi chung nhất gồm có
CRL hết hạn hoặc bị mất hoặc một chứng chỉ CA hết hiệu lực. Nếu mọi thứ
dường như tốt đối với công cụ này thì bạn có th
ể chuyển lên và tập trung vào
các vấn đề liên quan đến chứng chỉ cụ thể như các thiết lập bảo mật trên mẫu
chứng chỉ,…

3. Nếu lỗi không hiển nhiên hoặc khó khăn trong vấn đề khắc phục thì bạn hãy
tìm kiếm sự trợ giúp từ danh sách tài nguyên của chúng tôi tại phần cuối của bài
viết, hoặc tìm các giải pháp thông qua support.microsoft.com
, các nhóm hoặc
forum.

Một điều nữa có thể giúp ích cho bạn là phải có một danh sách kiểm tra sau khi
cài đặt và trong quá trình bảo trì. Đây là một ví dụ mà bạn nên xem xét để tham
khảo:
•
Khả năng có sẵn của PKI và các chứng chỉ gốc của bạn như thế nào?

•
CRL có sẵn có hay không?

•
Các chứng chỉ được phát hành có làm việc đúng cách hay không?


quyết vấn đề
này là công bố CRL từ Certificate Services MMC, nhưng điều này
cũng có thể được soạn thảo từ dòng lệnh.

Hình 1: Công bố CRL
Bạn nên tạo dựng thói quen khi kiểm tra xem một chứng chỉ nào đó đã được
phát hành hay không bằng cách kiểm tra menu con “Failed Requests” trên panel
bên trái của giao diện MMC. Từ menu này, bạn sẽ có thể nghiên cứu tỉ mỉ tại sao
có một lỗi liên quan với việc thất bại khi đưa ra một chứng chỉ. Thông thường lỗi
này sẽ rất khó đọc từ phần “Failed Request”. Cách tốt hơn là lỗi này sẽ được bổ
sung vào bản ghi ứng dụng. Do chúng ta hoàn toàn có thể dễ dàng copy một
đầu vào bản ghi sự kiện từ Event Viewer hơn Certificate Services MMC, do đó
chúng ta nên lựa chọn phương pháp này để kiểm tra các lỗi có liên quan đến
PKI trừ khi bạn sử dụng kiểu quản trị ủy nhiệm và MMC tùy chỉnh.

Một lỗi khác là các thiết lập bảo mật sai trên các mẫu chứng chỉ. Bạn có thể thay
đổi sự bảo mật các mẫu chứng chỉ từ
Certificate Services MMC bởi việc kích
chuột phải vào Certificate Templates và chọn Manage hoặc bắt đầu một MMC
mới, nơi bạn bổ sung thêm Certificate Templates (certtmpl.msc) snap-in. Với
cách từ Certificate Templates MMC, bạn chọn các thuộc tính của mẫu chứng chỉ
muốn sử dụng. Sau đó kích vào tab Security và bảo đảm rằng nhóm bảo mật
đúng được cho phép để nhận một chứng chỉ bằng việc kích hoạt các điều khoản
“Read” (đọc) và “Enroll” (nạp) cho nhóm đó.

Hình 2: Kiểm tra xem mẫu chứng chỉ có các thiết lập bảo mật đúng hay không
PKIview.msc

Một trong những công cụ có giá trị nhất cho PKI của bạn là PKIview.msc, công
cụ này có sẵn trong Windows Server 2003 Resource Kit. Với công cụ này, bạn