Nghiên cứu một số vấn đề kỹ thuật, công nghệ chủ yếu trong thương mại điện tử và triển khai thử nghiệm - Nghiên cứu, xây dựng giải pháp bảo mật thông tin trong thương mại điện tử

BAN CƠ YẾU CHÍNH PHỦ BÁO CÁO ĐỀ TÀI NHÁNH “NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ” SẢN PHẨM SỐ 1: HỆ THỐNG CẤP PHÁT VÀ QUẢN LÝ CHỨNG CHỈ SỐ Thuộc đề tài : “Nghiên cứu một số vấn đề kỹ thuật, công nghệ chủ yếu trong thương mại điện tử và triển khai thử nghiệm – Mã số KC.01.05” 6095-2 14/9/2006 Hà nội, tháng 9 năm 2004 2 Trong phÇn nµy chóng t«i sÏ giíi thiÖu s¶n phÈm hÖ thèng CA thö nghiÖm t¹i Tæng côc thuÕ cña ®Ò tµi ë d¹ng c¸c mÉu thö sö dông môc tiªu an toµn trong th−¬ng m¹i ®iÖn tö. øng øng dông nµy ®−îc ph¸t triÓn trªn c¬ së lý thuyÕt ®· ®−îc tr×nh bÇy trong phÇn lý thuyÕt chung. V× ®©y chØ lµ nh÷ng mÉu thö, nªn khi ¸p dông vµo thùc tÕ cÇn cã nh÷ng thay ®æi vÒ tham sè ®Ó ®¶m b¶o sù an toµn khi sö dông. Tuú theo nhu cÇu cô thÓ mµ chóng ta sÏ sö dông nh÷ng tham sè phï hîp trong øng dông nµy. 3 Néi dung Môc tiªu ................................................................................................................................... 2 I. M« h×nh ho¹t ®éng................................................................................................................ 3 II. Chu tr×nh cÊp ph¸t chøng chØ............................................................................................... 4 A. Tæ chøc cÊp ph¸t chøng chØ t¹i c¸c côc thuÕ ....................................................................... 5 1. Khëi ®éng ch−¬ng tr×nh ....................................................................................................... 5 2. §¨ng ký chøng chØ ............................................................................................................... 3 3. Ký nhËn vµ göi yªu cÇu........................................................................................................ 6 4. NhËn yªu cÇu chøng chØ ....................................................................................................... 7 5. XuÊt yªu cÇu chøng chØ........................................................................................................ 9 6. NhËp c¸c yªu cÇu chøng chØ................................................................................................. 9 7. Xem, duyÖt c¸c yªu cÇu chøng chØ ……………………………………………………….10 8. T¹o chøng chØ …………………………………………………………………………….11 9. XuÊt chøng chØ …………………………………………………………………………...12 10. §−a chøng chØ vµo LDAP ……………………………………………………………….12 11. §−a chøng chØ vµ RAServer …………………………………………………………….13 12. ChuyÓn chøng chØ vµo c¸c vïng Client ………………………………………………….14 13. NhËn chøng chØ Vò ……………………………………………………………………...15 14. XuÊt chøng chØ cho ng−êi dïng …………………………………………………………16 15. Söa ®æi chøng chØ ………………………………………………………………………..18 16. Quy tr×nh cÊp l¹i chøng chØ ………………………………………………………………20 17. Quy tr×nh huû bá chøng chØ ……………………………………………………………...22 B. Tæ chøc cÊp ph¸t chøng chØ t¹i Tæng côc thuÕ ……………………………………………24 C. Cµi ®Æt chøng chØ cho mét trang Web …………………………………………………….33 4 HÖ thèng CA thö nghiÖm t¹i tæng côc thuÕ Môc tiªu: Cung cÊp cho tæng côc thuÕ mét hÖ thèng qu¶n lý vµ cÊp ph¸t chøng chØ ®iÖn tö theo chuÈn X509 v3 phôc vô cho viÖc thö nghiÖm kª khai thuÕ cña c¸c doanh nghiÖp qua m¹ng. 5 m« h×nh qu¶n lý vµ cÊp ph¸t chøng chØ I. M« h×nh ho¹t ®éng HÖ thèng CA ho¹t ®éng theo m« h×nh sau: Router Modem PSTN Modem §¨ng ký tõ xa RAServer LDAPServer CA Server Switch Doanh nghiÖp Doanh nghiÖp 6 Trong ®ã: CAServer lµ thµnh phÇn quan träng nhÊt trong hÖ thèng. Nã ®−îc cµi ®Æt phÇn mÒm CA vµ l−u gi÷ kho¸ riªng cña CA. ChÝnh v× vËy, cÇn ph¶i ®¶m b¶o an toµn tuyÖt ®èi cho CAServer. RAServer cµi ®Æt ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký vµ c¸c chøng chØ. RAServer thùc hiÖn kiÓm tra c¸c yªu cÇu ®¨ng ký chøng chØ, chÊp nhËn hoÆc huû bá c¸c yªu cÇu ®¨ng ký chøng chØ tr−íc khi chóng ®−îc CA ký, ®ång thêi göi chøng chØ ®· ®−îc CA ph¸t hµnh xuèng c¸c ®iÓm ®¨ng ký tõ xa ®Ó chuyÓn cho doanh nghiÖp, hoÆc còng cã thÓ chuyÓn trùc tiÕp cho doanh nghiÖp. LDAP Server lµ mét m¸y chñ chøa tÊt c¶ c¸c chøng chØ ®· ®−îc ph¸t hµnh, cho phÐp c¸c doanh nghiÖp sö dông dÞch vô th− môc ®Ó tra cøu th«ng tin vÒ c¸c chøng chØ. §iÓm ®¨ng ký tõ xa cã nhiÖm vô kiÓm tra th«ng tin ®¨ng ký (ch¼ng h¹n nh− xin cÊp míi, huû bá, hoÆc cÊp l¹i chøng chØ) cña doanh nghiÖp vµ ký x¸c nhËn tr−íc khi chuyÓn cho RAServer. TÊt c¶ qu¸ tr×nh truyÒn th«ng gi÷a RAServer vµ ®iÓm ®¨ng ký tõ xa ®−îc thùc hiÖn th«ng qua nh÷ng phiªn liªn l¹c an toµn. * §Ó thiÕt lËp m¹ng cÊp ph¸t chøng chØ, c¸c ®iÓm ®Æng ký tõ xa ®−îc thiÕt lËp tr−íc vµ ®−îc cÊp chøng chØ trong qu¸ tr×nh thiÕt lËp m¹ng cÊp ph¸t. Kho¸ c«ng khai cña CA vµ kho¸ riªng cña c¸c ®iÓm ®¨ng ký tõ xa ®−îc CA cÊp theo mét kªnh an toµn. II. chu tr×nh cÊp ph¸t chøng chØ Khi mét doanh nghiÖp muèn ®¨ng ký mét chøng chØ, doanh nghiÖp ®Õn gÆp ng−êi qu¶n trÞ t¹i ®iÓm ®¨ng ký tõ xa hoÆc ng−êi qu¶n trÞ RAServer, ®−a ra yªu cÇu vµ ®iÒn c¸c th«ng tin cÇn thiÕt ch¼ng h¹n tªn, sè chøng minh th−, ®Þa chØ th− ®iÖn tö, kÝch th−íc kho¸ yªu cÇu, ... theo mét mÉu ®¨ng ký. Khi x¸c minh th«ng tin, nÕu th«ng tin kh«ng chÝnh x¸c ng−êi qu¶n trÞ yªu cÇu doanh nghiÖp ®iÒn l¹i, ng−îc l¹i nÕu th«ng tin chÝnh x¸c, yªu cÇu sÏ ®−îc nhËp vµo c¬ së d÷ liÖu ®Ó qu¶n lý, ®ång thêi chuyÓn cho RAServer. Sau khi nhËn vµ kiÓm tra yªu cÇu, ng−êi qu¶n trÞ trªn RAServer sÏ chuyÓn yªu cÇu cho CAServer theo mét kªnh an toµn. T¹i CAServer, c¸c yªu cÇu vÒ chøng chØ ®−îc nhËp vµo. NÕu th«ng tin ®¨ng ký lµ hîp lÖ, CAServer sÏ sinh cÆp kho¸ vµ t¹o chøng chØ cho doanh nghiÖp víi kho¸ c«ng khai võa t¹o. C¸c chøng chØ ®−îc CAServer chuyÓn cho RAServer theo mét kªnh an toµn. RAServer sÏ chuyÓn chøng chØ cho doanh nghiÖp, ®ång thêi còng chuyÓn chóng vµo LDAP Server ®Ó c¸c doanh nghiÖp kh¸c cã thÓ tra cøu. Chøng chØ, kho¸ riªng cña doanh nghiÖp vµ kho¸ c«ng khai cña CA ®−îc RAServer chuyÓn trùc tiÕp cho doanh nghiÖp, hoÆc chuyÓn cho ®iÓm ®¨ng ký tõ xa (n¬i doanh nghiÖp ®Õn ®¨ng ký) th«ng qua phiªn liªn l¹c an toµn, sau ®ã doanh nghiÖp ®Õn ®iÓm ®¨ng ký tõ xa ®Ó nhËn trùc tiÕp. Doanh nghiÖp cã thÓ l−u chøng chØ trong m¸y tÝnh cña m×nh vµ l−u kho¸ riªng trong c¸c thiÕt bÞ ngoµi an toµn (ch¼ng h¹n nh− smart card, ®Üa mÒm ...). 7 A. Tæ chøc cÊp ph¸t chøng chØ t¹i c¸c côc thuÕ qui tr×nh cÊp ph¸t chøng chØ 1. Khëi ®éng ch−¬ng tr×nh §iÓm ®¨ng ký ®Þa ph−¬ng ch¹y ch−¬ng tr×nh ®¨ng ký chøng chØ (RAClient) b»ng c¸ch vµo Start-> Program -> KC01-05 RAClient -> §¨ng ký chøng chØ. Mçi lÇn ch¹y, ch−¬ng tr×nh ®Òu yªu cÇu nhËp mËt khÈu ®¨ng nhËp. user name vµ mËt khÈu mÆc ®Þnh lµ "admin". Sau ®ã ng−êi qu¶n trÞ hÖ thèng cã thÓ cÊu h×nh l¹i ®Ó thay ®æi. 2. §¨ng ký chøng chØ H×nh 1: Mµn h×nh ®¨ng nhËp hÖ thèng H×nh 2: Ch−¬ng tr×nh qu¶n lý ®¨ng ký t¹i RAClient 8 Tr×nh tù ®¨ng ký vµ cÊp ph¸t chøng chØ cho ng−êi dïng ®−îc thùc hiÖn nh− sau: Ng−êi dïng ®Õn gÆp ng−êi qu¶n trÞ t¹i ®iÓm ®¨ng ký ®Þa ph−¬ng xin ®¨ng ký chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt vµo mÉu ®¨ng ký. Sau khi ng−êi dïng ®¨ng ký chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt, ng−êi qu¶n trÞ t¹i ®iÓm ®¨ng ký ®Þa ph−¬ng x¸c minh l¹i c¸c th«ng tin. NÕu th«ng tin nµo ch−a chÝnh x¸c th× yªu cÇu ng−êi dïng ®¨ng ký l¹i, nÕu c¸c th«ng tin lµ chÝnh x¸c th× vµo ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký dµnh cho c¸c RAClient, chän môc "§¨ng ký chøng chØ míi" vµ ®iÒn c¸c th«ng tin cña ng−êi dïng vµo Form ®¨ng ký råi chän "TiÕp tôc" 9 Ng−êi qu¶n trÞ kiÓm tra l¹i c¸c th«ng tin ®· nhËp, nÕu ch−a ®óng th× chän "Huû bá" ®Ó vÒ Form nhËp d÷ liÖu ban ®Çu söa ®æi l¹i, nÕu ®óng th× chän "ChÊp nhËn" ®Ó ®−a yªu cÇu vµo CSDL chê ký nhËn vµ göi ®i. 3. Ký nhËn vµ göi yªu cÇu H×nh 3: Mµn h×nh nhËp th«ng tin ®¨ng ký chøng chØ míi H×nh 4: Mµn h×nh x¸c nhËn l¹i th«ng tin ®¨ng ký ®· nhËp 10 §Ó yªu cÇu cã thÓ chuyÓn sang CA ký t¹o chøng chØ th× tr−íc ®ã yªu cÇu ph¶i ®−îc ký nhËn bëi c¸c RAClient Côc thuÕ vµ göi lªn RAServer Tæng côc. Ng−êi qu¶n trÞ t¹i RAClient Côc thuÕ thùc hiÖn viÖc nµy b»ng c¸ch chän môc "C¸c yªu cÇu chê ký" trong phÇn "Chøng chØ míi" ®Ó xem danh s¸ch c¸c yªu cÇu cÊp chøng chØ ®ang chê ký nhËn, chän c¸c yªu cÇu sÏ ký nhËn ®Ó göi ®i. 11 Sau khi chän c¸c yªu cÇu, RAClient chän chøc n¨ng "Göi yªu cÇu" trªn thanh c«ng cô vµ chän nót "TiÕp tôc" ®Ó x¸c nhËn viÖc göi c¸c yªu cÇu. Khi ®ã c¸c yªu cÇu ®−îc chän sÏ ®−îc m· ho¸ vµ ký nhËn bëi RAClient. 4. NhËn yªu cÇu chøng chØ Trªn RAServer, ng−êi qu¶n trÞ ch¹y ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký b»ng c¸ch vµo Start-> Program -> KC01-05 RAServer-> Qu¶n lý ®¨ng ký chøng chØ vµ ®¨ng nhËp víi user name vµ mËt khÈu mÆc ®Þnh lµ "admin". H×nh 6: X¸c nhËn l¹i viÖc göi c¸c yªu cÇu chøng chØ H×nh 5: RAClient xem vµ chän c¸c yªu cÇu ®Ó göi ®i 12 §Ó nhËn c¸c yªu cÇu tõ c¸c RAClient, ng−êi qu¶n trÞ chän chøc n¨ng "NhËn yªu cÇu" trªn thanh c«ng cô. Khi ®ã c¸c yªu cÇu chøng chØ ®−îc nhËn vÒ, ph©n tÝch, gi¶i m· vµ cËp nhËt vµo CSDL trªn RAServer. H×nh 7: Ch−¬ng tr×nh qu¶n lý ®¨ng ký trªn RAServer H×nh 8: X¸c nhËn viÖc nhËn c¸c yªu cÇu chøng chØ H×nh 21 - Chän File chøng chØ vµ File kho¸ riªng ®Ó nhËp 13 5. XuÊt yªu cÇu vµ t¹o chøng chØ Sau khi c¸c ®¨ng ký cÊp chøng chØ ®· ®−îc nhËn vÒ, ng−êi qu¶n trÞ trªn RAServer xem l¹i c¸c ®¨ng ký b»ng c¸ch chän môc "C¸c yªu cÇu ®· ký nhËn" trong phÇn "Chøng chØ míi", chän c¸c ®¨ng ký sau ®ã chän chøc n¨ng "XuÊt c¸c yªu cÇu" trªn thanh c«ng cô vµ chän thiÕt bÞ l−u tr÷ ®Ó xuÊt c¸c yªu cÇu lµ ®Üa mÒm. Khi ®ã c¸c ®¨ng ký chøng chØ sÏ ®−îc chuyÓn vµo th− môc requests trªn ®Üa mÒm. 6. NhËp c¸c yªu cÇu ®¨ng ký chøng chØ Vµo trang Web cña CA b»ng c¸ch khëi ®éng Netscape, nhËp ®Þa chØ Web cã d¹ng: https://tªn_m¸y (hoÆc ®Þa chØ IP)/tªn trang Web CA/ . VÝ dô: https://linux/ca/ hoÆc https://10.64.0.251/ca/ Mµn h×nh CA cã d¹ng: H×nh 10: Xem vµ xuÊt c¸c yªu cÇu sang CA 14 Cho ®Üa mÒm vµo æ A, trªn trang Web cña CA chän môc "NhËp c¸c yªu cÇu" trong phÇn "Yªu cÇu chøng chØ" 15 7. Xem c¸c yªu cÇu cÊp chøng chØ ®∙ nhËp Chän môc "C¸c yªu cÇu chê ký" trong phÇn "Yªu cÇu chøng chØ", ch−¬ng tr×nh cho phÐp xem danh s¸ch c¸c yªu cÇu cÊp chøng chØ ®ang chê CA chÊp nhËn. 8. T¹o chøng chØ H×nh 12: NhËp c¸c yªu cÇu vµo CA H×nh 13: C¸c yªu cÇu cÊp chøng chØ chê ký 16 Chän yªu cÇu cÇn t¹o chøng chØ trong danh s¸ch c¸c yªu cÇu chê ký, kiÓm tra th«ng tin ®¨ng ký. NÕu th«ng tin ch−a chÝnh x¸c, CA cã thÓ xo¸ bá yªu cÇu. NÕu th«ng tin lµ chÝnh x¸c, CA chÊp nhËn yªu cÇu ®Ó sinh cÆp kho¸ vµ chøng chØ cho ng−êi dïng. 17 9. XuÊt chøng chØ Sau khi ®−îc t¹o ra trªn CA c¸c chøng chØ ph¶i ®−îc xuÊt ra thiÕt bÞ l−u tr÷ ®Ó ®−a vµo RAServer vµ LDAPServer. Thùc hiÖn xuÊt c¸c chøng chØ b»ng c¸ch cho ®Üa vµo æ mÒm, chän môc "XuÊt c¸c chøng chØ" trªn mµn mµn h×nh CA. Khi ®ã c¸c chøng chØ sÏ ®−îc ®−a vµo th− môc H×nh 14: Xem th«ng tin ®¨ng ký tr−íc khi t¹o chøng chØ H×nh 15: C¸c chøng chØ ®· ph¸t hµnh 18 certificates trªn ®Üa mÒm, kho¸ riªng ®−îc ®−a vµo th− môc keys, c¸c chøng chØ ë khu«n d¹ng PKCS12 ®−îc ®−a vµo th− môc pkcs12 trªn ®Üa mÒm. 10. ®−a chøng chØ vµo ldapserver Vµo trang Web qu¶n trÞ LDAPServer b»ng c¸ch khëi ®éng Netscape, nhËp ®Þa chØ Web cã d¹ng: https://tªn_m¸y (hoÆc ®Þa chØ IP)/tªn trang Web qu¶n trÞ LDAP/ . VÝ dô: https://hanoi/ldapadmin/ hoÆc https://10.64.0.252/ldapadmin 19 §−a ®Üa mÒm chøa c¸c chøng chØ võa xuÊt tõ CA vµo æ mÒm cña LDAPserver, chän chøc n¨ng "NhËp c¸c chøng chØ míi", chän tiÕp chøc n¨ng "XuÊt chøng chØ ra LDA". Khi ®ã c¸c chøng chØ sÏ ®−îc ®−a lªn LDAP Server ®Ó mäi ng−êi cã thÓ t×m kiÕm vµ download vÒ. Sau khi chøng chØ ®· ®−îc ®−a lªn LDAPServer ng−êi dïng cã thÓ xem, t×m kiÕm ... c¸c chøng chØ b»ng c¸ch vµo trang Web trªn LDAPServer dµnh cho ng−êi dïng H×nh 16: Trang Web qu¶n trÞ LDAPServer H×nh 17: XuÊt chøng chØ ra LDAP 20 11. ®−a chøng chØ vµo RAserver RAServer qu¶n lý tÊt c¶ c¸c chøng chØ ®· ®−îc cÊp ph¸t bëi CA. Khëi ®éng ch−¬ng tr×nh qu¶n lý chøng chØ trªn RAServer b»ng c¸ch vµo Start-> Program -> KC01-05 RAServer-> Qu¶n lý chøng chØ vµ ®¨ng nhËp víi user name vµ mËt khÈu mÆc ®Þnh lµ "admin". H×nh 18: Trang Web dµnh cho ng−êi dïng truy cËp LDAPServer H×nh 19: Xem vµ t¶i chøng chØ tõ LDAPServer 21 Cho ®Üa mÒm chøa c¸c chøng chØ ®· xuÊt ra tõ CA vµo æ mÒm, chän chøc n¨ng "NhËp chøng chØ míi" trªn thanh c«ng cô. Chän File chøng chØ vµ File kho¸ riªng t−¬ng øng trong æ mÒm råi chän "ChÊp nhËn", chøng chØ vµ kho¸ sÏ ®−îc ®−a vµo CSDL trªn RAServer ®Ó qu¶n lý 12. ChuyÓn chøng chØ vµo c¸c vïng cña c¸c raclient Sau khi chøng chØ ®−îc ®−a tõ CA vµo RAServer , ng−êi qu¶n trÞ RAServer xem xÐt c¸c chøng chØ vµ chän chøc n¨ng "ChuyÓn chøng chØ" ®Ó chuyÓn c¸c chøng chØ vµo c¸c vïng t−¬ng øng víi c¸c RAClient. H×nh 20- Mµn h×nh ch−¬ng tr×nh qu¶n lý chøng chØ trªn RAServer 22 Chän "TiÕp tôc" ®Ó chuyÓn c¸c chøng chØ 13. nhËn chøng chØ vÒ C¸c RAClient chñ ®éng nhËn c¸c chøng chØ ®· ®¨ng ký vÒ b»ng c¸ch ch¹y ch−¬ng tr×nh qu¶n lý chøng chØ møc RAClient (vµo Start-> Program -> KC01-05 RAClient-> Qu¶n lý chøng chØ vµ ®¨ng nhËp víi user name vµ mËt khÈu mÆc ®Þnh lµ "admin") H×nh 22- Xem vµ chuÈn bÞ chuyÓn c¸c chøng chØ H×nh 23- X¸c nhËn göi chøng chØ 23 Chän chøc n¨ng "NhËn chøng chØ" trªn thanh c«ng cô sau ®ã chän "TiÕp tôc" ®Ó nhËn chøng chØ vÒ tõ RAServer. Khi nhËn vÒ, c¸c chøng chØ vµ kho¸ riªng cña ng−êi dïng ®−îc l−u vµo c¬ së d÷ liÖu ë d¹ng m· chØ ®Õn khi nµo ®−îc xuÊt ra cho ng−êi dïng th× míi ®−îc gi¶i m·. 14. xuÊt chøng chØ cho ng−êi dïng Ng−êi qu¶n trÞ t¹i RAClient chän chøng chØ cña ng−êi dïng sau ®ã chän chøc n¨ng "Export chøng chØ" trªn thanh c«ng cô. H×nh 26 - X¸c nhËn qu¸ tr×nh xuÊt chøng chØ H×nh 25 - NhËn chøng chØ tõ RASever 24 Chän thiÕt bÞ l−u tr÷ sÏ chøa chøng chØ vµ kho¸ riªng cña ng−êi dïng, kho¸ c«ng khai cña CA sau ®ã chän "ChÊp nhËn" Khi ®ã chøng chØ vµ kho¸ riªng cña ng−êi dïng trong c¬ së d÷ liÖu sÏ ®−îc gi¶i m· vµ ghi ra thiÕt bÞ l−u tr÷ (th−êng lµ ®Üa mÒm) cïng víi kho¸ c«ng khai cña CA (kho¸ nµy ®· ®−îc Import vµo CSDL ngay tõ khi khëi t¹o hÖ thèng) ®Ó chuyÓn cho ng−êi dïng. Kho¸ riªng cña ng−êi dïng trong c¬ së d÷ liÖu cña RAClient sÏ ®−îc xo¸ ®i ®Ó ®¶m b¶o chØ cã ng−êi dïng lµ ng−êi duy nhÊt gi÷ kho¸ riªng cña hä. H×nh 27 - Chän n¬i l−u tr÷ chøng chØ vµ kho¸ sÏ xuÊt ra 25 söa ®æi chøng chØ Chøng chØ cÇn söa ®æi khi ng−êi dïng thay ®æi mét sè th«ng tin trong chøng chØ nh− tªn ng−êi dïng, ®Þa chØ ... hoÆc ng−êi dïng cÇn thay ®æi kÝch th−íc kho¸. Tr×nh tù ®¨ng ký vµ söa ®æi chøng chØ cho ng−êi dïng ®−îc thùc hiÖn nh− sau: Ng−êi dïng ®Õn gÆp ng−êi qu¶n trÞ t¹i RAClient xin ®¨ng kÝ söa ®æi chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt vµo mÉu ®¨ng ký. Sau khi ng−êi dïng ®¨ng ký söa ®æi chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt, ng−êi qu¶n trÞ t¹i RAClient x¸c minh l¹i c¸c th«ng tin. NÕu th«ng tin nµo ch−a chÝnh x¸c th× yªu cÇu ng−êi dïng ®¨ng ký l¹i, nÕu c¸c th«ng tin lµ chÝnh x¸c th× vµo ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký t¹i RAClient, chän môc "§¨ng kÝ söa ®æi chøng chØ" vµ ®iÒn c¸c th«ng tin cña ng−êi dïng vµo Form ®¨ng ký råi chän "TiÕp tôc" RAClient kiÓm tra l¹i c¸c th«ng tin ®· nhËp, nÕu ch−a ®óng th× chän "Huû bá" ®Ó vÒ Form nhËp d÷ liÖu ban ®Çu söa ®æi l¹i, nÕu ®óng th× chän "ChÊp nhËn" ®Ó ®−a yªu cÇu vµo CSDL chê ký nhËn vµ göi ®i. H×nh 28 - Form ®¨ng ký söa chøng chØ 26 C¸c b−íc tiÕp theo nh− ký nhËn, göi lªn RAServer, xuÊt sang CA ... ®−îc thùc hiÖn hoµn toµn t−¬ng tù nh− qu¸ tr×nh ®¨ng ký, cÊp ph¸t chøng chØ míi. 27 qui tr×nh cÊp l¹i chøng chØ Chøng chØ cÇn cÊp l¹i khi ng−êi dïng bÞ mÊt hoÆc chøng chØ hÕt h¹n. Tr×nh tù ®¨ng ký vµ cÊp l¹i chøng chØ cho ng−êi dïng ®−îc thùc hiÖn nh− sau: Ng−êi dïng ®Õn gÆp ng−êi qu¶n trÞ t¹i RAClient xin ®¨ng kÝ cÊp l¹i chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt vµo mÉu ®¨ng ký. Sau khi ng−êi dïng ®¨ng ký cÊp l¹i chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt, ng−êi qu¶n trÞ t¹i RAClient x¸c minh l¹i c¸c th«ng tin. NÕu th«ng tin nµo ch−a chÝnh x¸c th× yªu cÇu ng−êi dïng ®¨ng ký l¹i, nÕu c¸c th«ng tin lµ chÝnh x¸c th× vµo ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký t¹i RAClient, chän môc "§¨ng kÝ cÊp l¹i chøng chØ" vµ ®iÒn c¸c th«ng tin cña ng−êi dïng vµo Form ®¨ng ký råi chän "TiÕp tôc" RAClient kiÓm tra l¹i c¸c th«ng tin ®· nhËp, nÕu ch−a ®óng th× chän "Huû bá" ®Ó vÒ Form nhËp d÷ liÖu ban ®Çu söa ®æi l¹i, nÕu ®óng th× chän "ChÊp nhËn" ®Ó ®−a yªu cÇu vµo CSDL chê ký nhËn vµ göi ®i. H×nh 30 - Form ®¨ng ký cÊp l¹i chøng chØ 28 C¸c b−íc tiÕp theo nh− ký nhËn, göi lªn RAServer, xuÊt sang CA ... ®−îc thùc hiÖn hoµn toµn t−¬ng tù nh− qu¸ tr×nh ®¨ng ký, cÊp ph¸t chøng chØ míi. 29 qui tr×nh huû bá chøng chØ 1. ®¨ng ký huû chøng chØ Chøng chØ cÇn huû bá khi ng−êi dïng bÞ lé kho¸ hoÆc chøng chØ hÕt h¹n. Tr×nh tù ®¨ng ký vµ huû bá chøng chØ cho ng−êi dïng ®−îc thùc hiÖn nh− sau: Ng−êi dïng ®Õn gÆp ng−êi qu¶n trÞ t¹i RAClient xin ®¨ng kÝ huû bá chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt vµo mÉu ®¨ng ký. Sau khi ng−êi dïng ®¨ng ký huû bá chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt, ng−êi qu¶n trÞ t¹i RAClient x¸c minh l¹i c¸c th«ng tin. NÕu th«ng tin nµo ch−a chÝnh x¸c th× yªu cÇu ng−êi dïng ®¨ng ký l¹i, nÕu c¸c th«ng tin lµ chÝnh x¸c th× vµo ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký t¹i RAClient, chän môc "§¨ng kÝ huû chøng chØ" vµ ®iÒn c¸c th«ng tin cña ng−êi dïng vµo Form ®¨ng ký råi chän "TiÕp tôc" RAClient kiÓm tra l¹i c¸c th«ng tin ®· nhËp, nÕu ch−a ®óng th× chän "Huû bá" ®Ó vÒ Form nhËp d÷ liÖu ban ®Çu söa ®æi l¹i, nÕu ®óng th× chän "ChÊp nhËn" ®Ó ®−a yªu cÇu vµo CSDL chê ký nhËn vµ göi ®i. H×nh 32 - Form ®¨ng ký huû chøng chØ 30 C¸c b−íc tiÕp theo gåm ký nhËn, göi lªn RAServer, xuÊt sang CA, nhËp c¸c yªu cÇu vµo CA ®−îc thùc hiÖn hoµn toµn t−¬ng tù nh− qu¸ tr×nh ®¨ng ký, cÊp ph¸t chøng chØ míi. 2. huû chøng chØ Ng−êi qu¶n trÞ t¹i CA xem c¸c yªu cÇu huû chøng chØ chê ký ®· nhËp vµo CA b»ng c¸ch chän môc "C¸c yªu cÇu chê ký" trong phÇn "Yªu cÇu huû chøng chØ", nh¸y chuét vµo sè hiÖu cña yªu cÇu ®Ó xem c¸c th«ng tin trªn yªu cÇu. NÕu c¸c th«ng tin lµ chÝnh x¸c, ng−êi qu¶n trÞ CA chän nót "Huû chøng chØ" ®Ó huû chøng chØ cã sè hiÖu ®· ®¨ng ký. NÕu th«ng tin ®¨ng ký kh«ng chÝnh x¸c, ng−êi qu¶n trÞ CA cã thÓ chän nót "Xo¸ yªu cÇu" ®Ó xo¸ bá yªu cÇu huû chøng chØ trªn CA. 3. t¹o danh s¸ch chøng chØ huû bá (CRL) Danh s¸ch chøng chØ hñy bá (CRL: Certificate Revocation List) lµ mét danh s¸ch chøa c¸c chøng chØ ®· bÞ huû bá cïng víi ngµy giê ®· huû bá chóng vµ ch÷ ký cña CA. Ng−êi qu¶n trÞ CA t¹o vµ xuÊt danh s¸ch chøng chØ huû bá b»ng c¸ch ®−a ®Üa mÒm vµo æ sau ®ã chän môc "XuÊt danh s¸ch" trong phÇn "Chøng chØ huû bá". Khi ®ã danh s¸ch chøng chØ huû bá sÏ ®−îc t¹o vµ xuÊt ra th− môc CRL trªn ®Üa mÒm. 4. nhËp danh s¸ch chøng chØ huû bá vµo ldapserver ChuyÓn ®Üa mÒm cã chøa danh s¸ch chøng chØ huû bá võa t¹o trªn CA vµo LDAPServer, vµo trang Web dµnh cho ng−êi qu¶n trÞ LDAPServer, chän chøc n¨ng "NhËp danh s¸ch" trong môc "Chøng chØ huû bá" 5. xuÊt danh s¸ch chøng chØ huû bá H×nh 33 - X¸c nhËn l¹i c¸c th«ng tin ®¨ng ký 31 §Ó mäi ng−êi dïng cã nhu cÇu sö dông chøng chØ ®Òu biÕt chøng chØ cña nh÷ng ng−êi dïng nµo ®· bÞ hñy bá th× danh s¸ch chøng chØ huû ph¶i ®−îc c«ng khai trªn trang Web cña LDAPServer. Ng−êi qu¶n trÞ LDAPServer thùc hiÖn viÖc nµy b»ng c¸ch chän môc "XuÊt danh s¸ch ra LDAP" trong phÇn "Chøng chØ huû bá" trªn trang Web dµnh cho ng−êi qu¶n trÞ LDAPServer. 32 B. Tæ chøc cÊp ph¸t chøng chØ t¹i tæng côc thuÕ quY tr×nh cÊp ph¸t chøng chØ 1. NhËn yªu cÇu chøng chØ Trªn Tæng côc thuÕ , ng−êi qu¶n trÞ ch¹y ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký nh− sau: Start-> Program -> RAServer Tong Cuc Thue-> Qu¶n lý ®¨ng ký chøng chØ vµ ®¨ng nhËp víi tªn ng−êi dïng vµ mËt khÈu mÆc ®Þnh lµ "admin". §Ó nhËn c¸c yªu cÇu tõ Côc thuÕ, ng−êi qu¶n trÞ chän chøc n¨ng "NhËn yªu cÇu" trªn thanh c«ng cô. Sau khi nhËn ®−îc c¸c yªu cÇu xin cÊp chøng chØ, chóng ®−îc ph©n tÝch, gi¶i m· vµ cËp nhËt vµo c¬ së d÷ liÖu trªn Tæng côc. H×nh 1. Ch−¬ng tr×nh qu¶n lý ®¨ng ký trªn Tæng côc thuÕ H×nh 2. X¸c nhËn viÖc nhËn c¸c yªu cÇu xin cÊp chøng chØ 33 2. XuÊt yªu cÇu vµ t¹o chøng chØ Sau khi nhËn ®−îc c¸c ®¨ng ký xin cÊp chøng chØ, ng−êi qu¶n trÞ trªn Tæng côc xem l¹i c¸c ®¨ng ký b»ng c¸ch chän môc "C¸c yªu cÇu ®· ký nhËn" trong phÇn "Chøng chØ míi", chän c¸c ®¨ng ký, sau ®ã chän chøc n¨ng "XuÊt c¸c yªu cÇu" trªn thanh c«ng cô vµ chän thiÕt bÞ l−u tr÷, ch¼ng h¹n lµ ®Üa mÒm. C¸c ®¨ng ký xin cÊp chøng chØ sÏ ®−îc chuyÓn vµo th− môc requests trªn ®Üa mÒm. 3. NhËp c¸c yªu cÇu ®¨ng ký chøng chØ vµo CA Vµo trang Web cña CA b»ng c¸ch khëi ®éng Netscape, nhËp ®Þa chØ Web cã d¹ng: https://tªn_m¸y (hoÆc ®Þa chØ IP)/tªn trang Web CA/ . VÝ dô: https://linux/ca/ hoÆc https://10.64.0.251/ca/ Mµn h×nh CA cã d¹ng: H×nh 3. NhËn vµ ph©n tÝch c¸c yªu cÇu trªn Tæng côc H×nh 4 Xem vµ xuÊt c¸c yªu cÇu sang CA 34 Cho ®Üa mÒm vµo æ A, trªn trang Web cña CA chän môc "NhËp c¸c yªu cÇu" trong phÇn "Yªu cÇu chøng chØ". 35 4. Xem c¸c yªu cÇu xin cÊp chøng chØ ®∙ nhËp Chän môc "C¸c yªu cÇu chê ký" trong phÇn "Yªu cÇu chøng chØ", ch−¬ng tr×nh cho phÐp xem danh s¸ch c¸c yªu cÇu xin cÊp chøng chØ ®ang chê CA phª chuÈn. 5. T¹o chøng chØ H×nh 5. NhËp c¸c yªu cÇu vµo CA H×nh 6. C¸c yªu cÇu xin cÊp chøng chØ ®ang chê CA phª chuÈn 36 Chän yªu cÇu cÇn t¹o chøng chØ trong danh s¸ch c¸c yªu cÇu chê ký, kiÓm tra th«ng tin ®¨ng ký. NÕu th«ng tin ch−a chÝnh x¸c, CA cã thÓ xo¸ bá yªu cÇu. NÕu th«ng tin chÝnh x¸c, CA chÊp nhËn yªu cÇu ®Ó sinh cÆp kho¸ vµ chøng chØ cho doanh nghiÖp. 37 7. XuÊt chøng chØ Sau khi ®−îc CA t¹o ra, c¸c chøng chØ ph¶i ®−îc xuÊt ra thiÕt bÞ l−u tr÷ ®Ó chuyÓn cho RAServer vµ LDAPServer trªn Tæng côc. ViÖc xuÊt c¸c chøng chØ ®−îc tiÕn hµnh nh− sau: cho ®Üa vµo æ mÒm, chän môc "XuÊt c¸c chøng chØ" trªn mµn mµn h×nh CA, c¸c chøng chØ sÏ ®−îc ®−a vµo th− môc certificates, kho¸ riªng t−¬ng øng víi kho¸ c«ng khai cã trong chøng chØ ®−îc ®−a vµo th− môc keys trªn ®Üa mÒm. 8. ®−a chøng chØ vµo ldapserver Vµo trang Web qu¶n trÞ LDAPServer b»ng c¸ch khëi ®éng Netscape, nhËp ®Þa chØ Web cã d¹ng: ¸y (hoÆc ®Þa chØ IP)/tªn trang Web qu¶n trÞ LDAP/. VÝ dô: hoÆc H×nh 7. Xem th«ng tin ®¨ng ký tr−íc khi t¹o chøng chØ 38 §−a ®Üa mÒm cã l−u c¸c chøng chØ mµ CA võa xuÊt ra vµo æ mÒm cña LDAPserver, chän chøc n¨ng "NhËp c¸c chøng chØ míi", sau khi c¸c chøng chØ ®· ®−îc nhËp xong chän tiÕp chøc n¨ng "XuÊt chøng chØ ra LDAP", khi ®ã c¸c chøng chØ sÏ ®−îc ®−a vµo LDAP Server ®Ó mäi ng−êi cã thÓ t×m kiÕm vµ t¶i vÒ. H×nh 8 - Trang Web qu¶n trÞ LDAPServer H×nh 9- KÕt qu¶ xuÊt chøng chØ ra LDAPServer 39 Khi c¸c chøng chØ ®· ®−îc ®−a vµo LDAPServer mäi ng−êi dïng cã thÓ xem vµ Download chøng chØ vÒ b»ng c¸ch vµo trang Web trªn LDAPServer dµnh cho ng−êi dïng theo ®Þa chØ cã d¹ng: ¸y (hoÆc ®Þa chØ IP)/tªn trang Web phôc vô chøng chØ /. VÝ dô: hoÆc 40 11. ®−a chøng chØ vµo RAserver tæng côc RAServer Tæng côc qu¶n lý tÊt c¶ c¸c chøng chØ do CA cÊp ph¸t. Ch¹y ch−¬ng tr×nh qu¶n lý chøng chØ trªn RAServer Tæng côc nh− sau: Start-> Program -> RAServer Tong Cuc Thue-> Qu¶n lý chøng chØ vµ ®¨ng nhËp víi tªn ng−êi dïng vµ mËt khÈu mÆc ®Þnh lµ "admin". H×nh 10- Trang Web phôc vô chøng chØ cho ng−êi dïng H×nh 11 - Xem vµ download chøng chØ 41 §−a ®Üa mÒm cã l−u c¸c chøng chØ mµ CA ®· xuÊt ra vµo æ mÒm, chän chøc n¨ng "NhËp chøng chØ míi" trªn thanh c«ng cô. Chän file l−u chøng chØ vµ file l−u kho¸ riªng t−¬ng øng trong æ mÒm råi chän "ChÊp nhËn", chøng chØ vµ kho¸ sÏ ®−îc ®−a vµo c¬ së d÷ liÖu trªn Tæng côc. 12. ChuyÓn chøng chØ vµo vïng cña c¸c côc thuÕ Sau khi chøng chØ ®−îc ®−a tõ CA vµo RAServer Tæng côc, ng−êi qu¶n trÞ RAServer xem xÐt c¸c chøng chØ vµ chän chøc n¨ng "ChuyÓn chøng chØ" ®Ó chuyÓn c¸c chøng chØ vµo c¸c vïng t−¬ng øng víi c¸c Côc thuÕ. H×nh 12. Ch−¬ng tr×nh qu¶n lý chøng chØ møc Tæng côc H×nh 13. Chän file l−u chøng chØ vµ file l−u kho¸ riªng Bản gốc báo cáo không có trang 42 (Thông tin vẫn đầy đủ) 43 Chän "TiÕp tôc" ®Ó chuyÓn c¸c chøng chØ. IV. quy tr×nh söa ®æi chøng chØ Khi doanh nghiÖp muèn söa ®æi mét sè th«ng tin trong chøng chØ, ch¼ng h¹n nh− tªn doanh nghiÖp, ®Þa chØ, kÝch th−íc kho¸ v.v, doanh nghiÖp cÇn ®¨ng ký t¹i Côc thuÕ.. Tr×nh tù ®¨ng ký vµ söa ®æi chøng chØ cho doanh nghiÖp ®−îc thùc hiÖn nh− sau: Doanh nghiÖp ®Õn gÆp ng−êi qu¶n trÞ t¹i Côc thuÕ xin ®¨ng ký söa ®æi chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt vµo mÉu ®¨ng ký. Sau ®ã, ng−êi qu¶n trÞ t¹i Côc thuÕ x¸c minh l¹i c¸c th«ng tin. NÕu th«ng tin nµo ch−a chÝnh x¸c th× ng−êi qu¶n trÞ yªu cÇu doanh nghiÖp ®iÒn l¹i, nÕu c¸c th«ng tin chÝnh x¸c th× ng−êi qu¶n trÞ ch¹y ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký t¹i Côc thuÕ, ký x¸c nhËn c¸c ®¨ng ký vµ göi lªn RAServer Tæng côc. H×nh 14. Xem vµ chuÈn bÞ chuyÓn c¸c chøng chØ H×nh 15. ChuyÓn chøng chØ 44 T¹i Tæng côc c¸c b−íc nhËn yªu cÇu, xuÊt yªu cÇu sang CA, söa chøng chØ vµ chuyÓn vµo vïng c¸c Côc thuÕ v.v. ®−îc thùc hiÖn t−¬ng tù nh− qu¸ tr×nh ®¨ng ký, cÊp ph¸t chøng chØ míi. V. quY tr×nh cÊp l¹i chøng chØ Doanh nghiÖp cÇn cÊp l¹i chøng chØ trong tr−êng hîp chøng chØ cña doanh nghiÖp bÞ mÊt hoÆc ®· hÕt h¹n. Tr×nh tù ®¨ng ký vµ cÊp l¹i chøng chØ cho doanh nghiÖp ®−îc thùc hiÖn nh− sau: Doanh nghiÖp ®Õn gÆp ng−êi qu¶n trÞ t¹i Côc thuÕ xin ®¨ng ký cÊp l¹i chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt vµo mÉu ®¨ng ký. Sau ®ã, ng−êi qu¶n trÞ t¹i Côc thuÕ x¸c minh l¹i c¸c th«ng tin. NÕu th«ng tin nµo ch−a chÝnh x¸c th× ng−êi qu¶n trÞ yªu cÇu doanh nghiÖp ®iÒn l¹i, nÕu c¸c th«ng tin chÝnh x¸c th× ng−êi qu¶n trÞ ch¹y ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký t¹i Côc thuÕ, ký x¸c nhËn c¸c ®¨ng ký vµ göi lªn RAServer Tæng côc. T¹i Tæng côc, c¸c b−íc tiÕp nhËn, xuÊt c¸c yªu cÇu sang CA, cÊp l¹i chøng chØ vµ chuyÓn vµo vïng c¸c Côc thuÕ v.v. ®−îc thùc hiÖn t−¬ng tù nh− qu¸ tr×nh ®¨ng ký, cÊp ph¸t chøng chØ míi. VI. quY tr×nh huû bá chøng chØ 1. NhËn ®¨ng ký huû bá chøng chØ Khi doanh nghiÖp muèn huû bá chøng chØ v× lý do nµo ®ã, ch¼ng h¹n nh− lé kho¸. Tr×nh tù ®¨ng ký vµ huû bá chøng chØ ®−îc thùc hiÖn nh− sau: Doanh nghiÖp ®Õn gÆp ng−êi qu¶n trÞ t¹i Côc thuÕ xin ®¨ng ký huû bá chøng chØ vµ ®iÒn c¸c th«ng tin cÇn thiÕt vµo mÉu ®¨ng ký. Sau ®ã, ng−êi qu¶n trÞ t¹i Côc thuÕ x¸c minh l¹i c¸c th«ng tin. NÕu th«ng tin nµo ch−a chÝnh x¸c th× yªu cÇu doanh nghiÖp ®iÒn ký l¹i, nÕu c¸c th«ng tin chÝnh x¸c th× ng−êi qu¶n trÞ ch¹y ch−¬ng tr×nh qu¶n lý c¸c ®¨ng ký t¹i Côc thuÕ, ký nhËn c¸c ®¨ng ký vµ göi lªn RAServer Tæng côc. T¹i Tæng côc qu¸ tr×nh nhËn c¸c ®¨ng ký huû chøng chØ, xuÊt c¸c yªu cÇu huû sang CA ®−îc thùc hiÖn nh− nhËn c¸c ®¨ng ký chøng chØ míi. 2. huû bá chøng chØ Ng−êi qu¶n trÞ t¹i CA xem xÐt c¸c yªu cÇu huû bá chøng chØ chê ký ®· ®−îc nhËp vµo CA b»ng c¸ch chän môc "C¸c yªu cÇu chê ký" trong phÇn "Yªu cÇu huû chøng chØ", nh¸y chuét vµo sè hiÖu cña yªu cÇu ®Ó xem c¸c th«ng tin trªn yªu cÇu. NÕu c¸c th«ng tin lµ chÝnh x¸c, ng−êi qu¶n trÞ CA chän nót "Huû chøng chØ" ®Ó huû chøng chØ cã sè hiÖu ®· ®¨ng ký. NÕu th«ng tin ®¨ng ký kh«ng chÝnh x¸c, ng−êi qu¶n trÞ CA cã thÓ chän nót "Xo¸ yªu cÇu" ®Ó xo¸ bá yªu cÇu huû chøng chØ. 3. t¹o danh s¸ch chøng chØ huû bá (CRL) CRL lµ mét danh s¸ch chøa c¸c chøng chØ ®· bÞ huû bá cïng víi ngµy giê ®· huû bá chóng vµ ch÷ ký cña CA. Ng−êi qu¶n trÞ CA t¹o vµ xuÊt danh s¸ch chøng chØ huû bá b»ng c¸ch ®−a ®Üa mÒm vµo æ sau ®ã chän môc "XuÊt danh s¸ch" trong phÇn "Chøng chØ huû bá". Khi ®ã danh s¸ch chøng chØ bÞ huû bá sÏ ®−îc t¹o vµ xuÊt ra th− môc CRL trªn ®Üa mÒm. 4. nhËp danh s¸ch chøng chØ huû bá vµo ldapserver 45 ChuyÓn ®Üa mÒm cã chøa danh s¸ch chøng chØ bÞ huû bá võa t¹o ra vµo LDAPServer. Vµo trang Web dµnh cho ng−êi qu¶n trÞ LDAPServer, chän chøc n¨ng "NhËp danh s¸ch" trong môc "Chøng chØ huû bá". 5. xuÊt danh s¸ch chøng chØ huû bá §Ó mäi doanh nghiÖp cã nhu cÇu sö dông chøng chØ ®Òu biÕt chøng chØ cña nh÷ng doanh nghiÖp nµo ®· bÞ hñy bá th× danh s¸ch chøng chØ huû ph¶i ®−îc c«ng khai trªn trang Web cña LDAPServer. Ng−êi qu¶n trÞ LDAPServer thùc hiÖn viÖc nµy b»ng c¸ch chän môc "XuÊt danh s¸ch ra LDAP" trong phÇn "Chøng chØ huû bá" trªn trang Web dµnh cho ng−êi qu¶n trÞ LDAPServer. 46 H−íng dÉn cµi ®Æt mét chøng chØ cho mét trang web PhÇn nµy sÏ h−íng dÉn c¸ch tÝch hîp mét chøng chØ ®−îc t¹o ra bëi hÖ thèng CA ®Ó b¶o vÖ mét trang Web. 47 I/ Cài đặt chứng chỉ cho IIS Để cài đặt 1 chứng chỉ cho 1 trang web trên IIS 5.0 trên Windows2000 Server: - Khởi động chương trình Internet Service Management - Chọn trang web cần cài đặt chứng chỉ, nhấn phím phải chuột, chọn Properties - Chọn Directory Security, nhấn vào nút Server Certificate - Winzard để cài đặt chứng chỉ sẽ hiện ra - Bấm vào nút Next để tiếp tục 48 - Ở đây có 3 tùy chọn: o Tạo 1 certificate mới: Khi chọn chức năng này, IIS sẽ thực sinh ra 1 cặp khóa công khai, cất giữ khóa vào cơ sở dữ liệu của hệ thống và sau đó sinh 1 yêu cầu cấp chứng chỉ để người quản trị gửi đi ký bởi 1 CA nào đó o Chọn 1 chứng chỉ có sẵn trong hệ thống và gán cho trang web. o Nhập chứng chỉ và khóa riêng được cất giữ trong 1 tệp được tạo ra bởi chương trình Key Manager vốn có sẵn trên Windows NT 4.0. Chức năng này được sử dụng trong trường hợp máy chủ được nâng cấp từ Windows NT lên Windows 2000 và người quản trị muốn sử dụng lại các chứng chỉ đã có sẵn từ trước. Trong trường hợp hệ thống hiện có, toàn bộ khóa và chứng chỉ được nhập vào từ bên ngoài nên ta sẽ chỉ quan tâm đến chức năng thứ hai: Lựa chọn 1 chứng chỉ có sẵn trong hệ thống. Chứng chỉ sẽ được đưa vào hệ thống nhờ chương trình mmc của Micrsoft Để sử dụng chức năng này, chọn “Assign an existing certificate” rồi bấm nút Next. Một danh sách các chứng chỉ có thể dùng để gán cho trang web sẽ hiện ra. Những chứng chỉ này là những chứng chỉ được coi là của cá nhân (chỉ của riêng máy này), không được là chứng chỉ của 1 CA (người cấp chứng chỉ) và chưa được gán cho trang web khác trên cùng máy chủ. 49 Ta chỉ việc chọn 1 chứng chỉ thích hợp rồi nhấn vào nút Next. Một chứng chỉ thích hợp là 1 chứng chỉ: - Còn thời hạn sử dụng. - Được cấp cho đúng trang web này (giá trị trường cn bằng đúng tên trang web, ví dụ: ecommerce.com.vn) - Được ký bởi 1 CA mà người dùng (khách hàng truy cập trang web từ trình duyệt web) tin tưởng. Sau khi 1 chứng chỉ đã được lựa chọn, thông tin về chứng chỉ sẽ được liệt kê ra. Để quyết định việc sử dụng chứng chỉ này, ta nhấn nút Next. 50 Nhấn nút Finish để kết thúc. II/ Sử dụng mmc để cài đặt một chứng chỉ vào hệ thống MMC (Microsoft Management Console) là 1 tiện ích thông qua nó ta có thể sử dụng các chức năng của hệ điều hành để quản lý phần cứng, phần mềm, và các thành phần mạng trong Windows 2000. Sử dụng MMC, ta có thể tạo ra những biểu tượng riêng biệt cho những chức năng khác nhau hoặc có thể gộp chung nhiều chức năng lại trong một cửa sổ. Để tạo riêng 1 biểu tượng cho việc quản lý chứng chỉ trên máy chủ ta cần thực hiện những bước sau: 1. Chọn Run từ menu Start 2. Gõ vào MMC và nhấn vào nút OK 3. Trong cửa sổ của MMC, chọn menu Console, sau đó chọn tiếp “Add/Remove Snap-in” 4. Nhấn vào nút Add trong hộp hội thoại 51 5. Chọn Certificate và nhấn vào nút Add Chọn tiếp “Computer account” và nhấn vào nút Finish. 52 7. Chọn tiếp “Local Computer” và nhấn Finish 6. Trong cửa sổ của MMC sẽ xuất hiện mục quản lý chứng chỉ cho máy chủ chư sau Các chứng chỉ trên máy chủ được chia làm 4 loại: - Personal Certificate - Trusted Root Cerfiticate - Enterprise Trust - Intermediate Certificate Để chứng chỉ có thể sử dụng cho 1 trang web, nó cần được cài đặt vào phần Personal Certificate. Thủ tục cài đặt như sau: 1. Chọn “Personal Certificate”, nhấn phím phải chuột và chọn “All task”, “Import” 53 2. Sau khi nhấn nút Next, ta gõ vào tên tệp chứa chứng chỉ và khóa (ta cũng có thể nhấn vào nút Browse để chọn tệp). Tệp được chọn phải có khuôn dạng thuộc 1 trong 3 loại đã được liệt kê trên hộp hội thoại. 2. Tiếp theo cần gõ vào password nếu như tệp được bảo vệ bằng password. 54 3. Chọn mục để cất giữ chứng chỉ. Ở đây ta cần chọn Personal. 5. Nhấn nút Finish để kết thúc. 55 III/ Cài đặt chức năng yêu cầu xác thực người sử dụng qua chứng chỉ Yêu cầu về hệ thống chứng chỉ: Cả web server và web browser đều cùng tin tưởng vào 1 nhà cung cấp chứng chỉ (CA). Chính nhà cung cấp chứng chỉ này sẽ ký các chứng chỉ cho người sử dụng. Cài đặt web server: - Khởi động chương trình Internet Service Management - Chọn trang web cần cài đặt chứng chỉ, nhấn phím phải chuột, chọn Properties - Chọn Directory Security, nhấn vào nút Edit 56 - Check vào ô “Require secure channel (SSL)” và chọn “Require client certificates” - Nhấn nút OK để kết thúc. Cài đặt web browser 1. Cài đặt Internet Explorer Trên thanh menu chọn Tools\Internet Options…, sau đó chọn tiếp Content