Tổng lượt truy cập

Wednesday, December 1, 2010

Xây dựng hạ tầng Certificate Authority (CA)


Hôm này lại rãnh rỗi, tiện tôi viết bài về xây dựng hệ thống CA mà hiện tôi đã và đang tham gia xây dựng cho tổ chức CA ở Việt Nam. Nhắc đến CA chắc các bạn đã biết sơ qua nó là cái gì, hệ thống CA đối với các nước phương tây họ đã có từ rất lâu, nhưng đối việc nam chúng ta CA đang bắt đầu là bước phát triển mới khi VN bắt đầu có hành lang pháp lý về nó. Đối các cơ quan tài chính như Ngân hàng, cơ quan chứng khoán, cơ quan thuế.....Việc sử dụng chữ ký số là điều cần thiết. Trước đây Việt Nam chưa có chúng ta thường mua cert từ bên ngoài.
Hiện các nhà cung cấp CA của Viêt Nam cho đến hôm này là BKAV, VNPT, VIETTEL, FPT, NACENCOM đã được bộ thông tin truyền thông cấp phép (cụ thể Cục Ứng Dụng CNTT, a Khả làm giám đốc) , . Hiện mới có 2 nhà cung cấp cho ra sản phẩm đó là BKAV và VNPT. Đối với các cơ quan thuộc nhà nước cơ quan chứng thực điện tử là Ban cơ yếu chính phủ.

Trước khi tìm hiểu xây dựng hệ thống CA, chúng ta tìm hiều đinh nghĩa sau:

1. Certificate Authority (CA) -> là cơ quan chứng thực, có thẩm quyền
cấp phát, thu hồi, quản lý chứng thư số (BkavCA, VNPTCA, FPTCA đây là CA
đảm bảo pháp lý vì được chứng nhận bởi root là Bộ TTT, hay đây chính là
bên thứ 3 khi có kiện cáo lôi ông này ra để chứng thực)
2. Chu ky so la gi (Digital Signature): là chữ điện tử dựa trên cơ sở hạ
tầng khóa công khai(không thể giả mạo, tính xác thực cao).
3. Chu ky dien tu la gi (electronic Signature): là các đoạn thông tin
như (text,video,image, như thông tin ký ở mail của mình) nhằm nhận biết
thông tin người gửi là ai (cái này hoàn toàn giả mạo,tính xác thực không
cao,)
4. Public Key Infrastructure (PKI): cơ sở hạ tầng khóa công khai (bao
gồm cấu trúc hạ tầng: thiết bị, công nghệ... để tạo được ra cặp khóa
public key và private key )
5. "Chứng thư số" là một dạng chứng thư điện tử do tổ chức cung cấp dịch
vụ chứng thực chữ ký số cấp (hay bản chất của nó là form chứa thông tin
về CA,chủ thể đươc cấp, và public key).


Kiến trúc hệ thống cung cấp dịch vụ

Hệ thống cung cấp dịch vụ chứng chỉ số gồm nhiều thành phần gồm CA, RA, OCSP Server, LDAP Server, DataBase Server, Firewall và các thiết bị khác đảm bảo hệ thống vận hành an ninh, hiệu năng tốt và liên tục với người dùng. Chi tiết từng bộ phận chức năng được mô tả bên dưới.

a. RA

- Chức năng của RA

+ Sinh Certificate từ PKCS10

+ Sinh PKCS12 cho người dùng cuối

+ Phục hồi key cho người dùng cuối (nếu Cert được yêu cầu sử dụng thông điệp PKCS12)

+ Edit Users: thêm, xóa, sửa danh sách người dùng cuối được RA quản lý

+ Thu hồi chứng chỉ

- Thành phần của RA

+ RA chịu trách nhiệm quản lý người dùng và những yêu cầu đăng ký Cert

+ Mỗi RA có một DataBase Server lưu trữ thông tin người dùng, lưu trữ yêu cầu gửi lên từ người dùng, lưu trữ Certificate được tạo ra từ CA.

+ Mỗi RA có một DataBase Server dùng để backup CSDL của RA và ghi lại log.

b. CA

- Chức năng: CA xử lý các yêu cầu cấp Cert từ người dùng cuối đã gửi lên RA và được RA chấp nhận.

- Thành phần của CA

+ Cluster gồm 2 CA Server

+ Một DataBase Server lưu trữ dữ liệu của CA

+ Một Backup DataBase Server lưu trữ dữ liệu backup của CA và ghi log

c. OCSP Responder

- Chức năng: cập nhật trạng thái chứng chỉ từ CA và cung cấp dịch vụ trạng thái Certificate cho người dùng cuối

- Thành phần

+ 2 OCSP Server đứng sau một Load Balancer phân tải.

+ Một DataBase Server, lưu trữ thông tin trạng thái chứng chỉ và luôn được cập nhật từ CA

d. LDAP Server

- Chức năng: cung cấp dịch vụ Directory Certificate cho phép CA công bố các Cert, CRL mà nó tạo ra và cho phép người dùng tìm kiếm Cert, CRL mình cần.

- Thành phần: một hoặc 2 LDAP Server đứng đằng sau một Load Balancer