Hướng dẫn về PKI --Thiết kế

Trong phần đầu tiên của loạt bài hướng dẫn về PKI này,
chúng ta đã có được một cái nhìn tổng quan về cách
chuẩn bị và lên kế hoạch cho PKI của bạn. Trong phần
hai này, chúng tôi sẽ tiếp tục giới thiệu với thêm một
chút kỹ thuật. Chúng ta sẽ xem xét một số vấn đề về thiết
kế PKI. Xuyên suốt trong toàn bộ bài này, chúng tôi sẽ
giới thiệu đến bạn cách để tránh những lỗi chung nhất
trong quá trình thiết kế.

Thiết kế một PKI

Khi thiết kế một PKI, có rất nhiều thứ mà bạn cần phải xem xét đến:
•
Kiến trúc của CA sẽ như thế nào (ví dụ như số lượng CA và những role gì sẽ có)
•
Bạn muốn bảo vệ như các khóa riêng của CA như thế nào
•
Nơi nào bạn muốn tạo các điểm công bố
Chúng ta hãy xem xét sâu hơn nữa trong các vấn đề trên

Tạo kiến trúc CA có khả năng mở rộng tốt

Số lượng và các mức của CA bạn nên bổ sung cơ bản dựa vào sự bảo mật của bạn và các yêu cầu
về khả năng sẵn có. Bạn nên cố gắng tổ chức kiến trúc của mình theo những gì cần thiết. Thực sự
không có một kinh nghiệm tốt nhất nào trong việc chọn bao nhiêu mức CA bạn cần, tuy vậy thật
hiếm khi có ai cần đến trên bốn mức; mặc dù vậy vẫn có một nguyên tắc mà chúng tôi đã liệt kê
trong bảng 1 dưới đây giúp bạn đi đúng hướng:
Mức CA Chú thích


CA gốc. Mặc dù vậy, khi khoảng cách từ CA gốc tăng (nghĩa là có nhiều mức được bổ sung),
các yêu cầu bảo mật sẽ giảm và sự truy cập tăng đối với các CA cấp thứ. Đây sẽ là một hệ số
quan trọng khi chúng ta bắt đầu cài đặt các CA, thứ mà chúng tôi sẽ giới thiệu đến trong phần
sau.

Các khóa riêng CA

Trước khi cài đặt một CA, bạn nên có một kế hoạch về kích thước của khóa riêng CA sẽ là bao
nhiêu và nó được bảo vệ như thế nào. Chúng ta hãy xem xét đến kích thước khóa, điều rất quan
trọng cho lý do bảo mật và khả năng tương thích. Bảng 2 dưới đây liệt kê các kích thước khóa
được khuyến khích:
CA role Kích thước khóa
Root CA
4096
Policy CA
4096
Issuing CA
2048
Bảng 2: Một số kích thước khóa CA
Thông thường, kích thước khóa 4096 được khuyến khích sử dụng để tăng độ bảo mật, đặc biệt
cho CA gốc. Mặc dù vậy, điều này có thể phát sinh các vấn đề không tương thích, ví dụ với các
sản phẩm mạng của Cisco (phụ thuộc vào phiên bản nào Cisco IOS đang được sử dụng). Điều
này là do nhiều sản phẩm của nhóm sản xuất thứ
ba có các vấn đề trong việc quản lý kích thước
khóa lớn hơn 2048. Và khi thiết bị mạng có thể được tích hợp trong các giải pháp như 802.1x
cho vấn đề hợp lệ và tính nguyên tắc thì kích thước khóa sẽ có tính chất quan trọng. Vì vậy bạn
phải bảo đảm rằng biết được thiết bị gì sẽ được sử dụng và các hạn chế nào có thể xảy ra đối với
việc quản lý chứng chỉ trước khi bắt đầu thực thi một PKI.

Khi đã định nghĩa kích thước khóa CA bạn muốn sử dụng thì chúng ta sẽ xem xét đến cách khóa

Token)
- Dễ thực thi
- Chi phí thấp
- FIPS 140-2 compliant
- Độ bảo mật vật lý thấp vì thẻ thông minh
có thể dễ bị mất cắp hoặc đánh rơi.
- Yêu cầu sự hiện diện mặt vật lý khi các
dịch vụ chứng chỉ được bắt đầu
- Yêu cầu CSP đặc biệt là cả FIPS 140-2
compliant và các dịch vụ hỗ trợ ch
ứng chỉ
Microsoft.
Các máy ảo
được mã hóa
- Dễ triển khai
- Chi phí thấp
- Không phần cứng
- Tính phụ thuộc
- FIPS 140-2 compliant
- Độ bảo mật trung bình
- Dễ bị xâm hại bằng các tấn công analog
vì máy tính ảo gồm có ổ đĩa cứng hoặc
DVD dễ bị mất hoặc lấy trộm
Modul bảo mật
phần cứng
(HSM)
- Mức bảo mật rất cao
- FIPS 140-2 mức 2 và
3 compliant
- Có thể là PCI hoặc

Trong hình 1 bên dưới, chúng tôi đã minh chứng nơi công bố CRL và các khóa công khai CA
cùng với thứ tự các giao thức được khuyến cáo sử dụng với nó.

Hình 1: Thứ tự giao thức CDP được khuyến cáo
Như những gì bạn có thể thấy, giao thức chính được khuyến khích ở đây là HTTP và cũng có lý
do cho sử dụng giao thức này đó là: HTTP là một giao thức tốt nhất cho cả các điểm công bố bên
trong và ngoài. Nó rất hoàn hảo nếu bạn bạn cần phải phát hành các chứng chỉ cho cả người
dùng bên trong và bên ngoài tại cùng một thời điểm. Đặc biệt cách sử dụng bên ngoài rất quan
trọng cần phải xem xét, vì bạn sẽ phải bảo đảm rằng các chứng chỉ đã sử dụng cho truy cập VPN,
NAQ hay Wi-Fi đó được kiểm tra hủy bỏ trước khi người dùng được phép truy cập vào mạng
bên trong. Bạn cũng cần phải chú ý rằng nếu một CDP không có sẵn cho giao thức đã được cấp
thì nó sẽ time-out (thường sau 30s) và chuyển đến giao thức kế tiếp trên danh sách. Vì vậy bằng
việc có cấu hình đúng ngay từ đầu là một điều quan trọng và cần thiết đối với cảm nhận người
dùng, vì CRL có thể được kiểm tra từ các vị trí bên trong và ngoài mà không có các vấn đề time-
out và không có việc gây tổn thất cài đặt bảo mật mạng của bạn. Mặc dù vậy, nếu bạn có một lý
do chọn giao thức mặc định là LDAP thì cũng không có điều gì phải lo lắng lắm đặc biệt n
ếu
PKI của bạn sẽ chỉ được sử dụng cho mục đích bên trong. Bạn cũng cần phải thận trọng rằng nếu
sử dụng một Active Directory có tích hợp PKI và phát hành các chứng chỉ đến người dùng bên
ngoài thì có thể chúng sẽ cần thực thi các truy vấn LDAP đối với Active Directory của bạn (thừa
nhận rằng bạn sử dụng Active Directory như một kho chứa CDP LDAP).

Mặc dù vậy bạn nên bảo
đảm có một cài đặt web server dự phòng, sử dụng cài đặt luân chuyển
vòng DNS khi giao thức ưa thích là HTTP. Nếu muốn sử dụng LDAP thì bạn cần phải có một cài
đặt dự phòng khi có hai hoặc nhiều bộ điều khiển trong miền của mình.