Hướng dẫn PKI – Phần 3: Cài đặt Nguồn : quantrimang.com  Martin Kiaer Chúng ta đến phần ba loạt hướng dẫn PKI Trong phần đầu tiên, giới thiệu cho bạn tổng quan cách chuẩn bị lập kế hoạch PKI Tiếp đến phần thứ hai, vào chế độ thiết kế xem xét số thiết lập thực hành tốt Trong phần ba này, giới thiệu nhiều đến vấn đề kỹ thuật thể cho bạn cách cài đặt PKI dựa Microsoft Certificate Services Windows Server 2003 Cài đặt PKI Dựa vào số kết thiết kế từ hai phần trước, bắt đầu việc cài đặt PKI Do hướng dẫn nhanh nên giới thiệu số bước Phần cuối này, giới thiệu cho bạn cách cài đặt kiến trúc mức gồm có CA gốc offline CA phát hành online PKI có sử dụng phương pháp thực hành tốt Mặc dù vậy, trước bắt đầu đặt, làm quen với số thứ Trong hình 1, chúng tơi đưa chu kỳ hợp lệ cho việc thực hành tốt CA mức (dựa kiến trúc mức mơ hình tổng thể hồn tất) Ưu điểm mơ hình bảo đảm cho bạn ln ln có kiên định chứng phát hành mức Nếu bạn muốn triển khai kiến trúc mức, đơn giản cần xóa CA mức Mơ hình áp dụng Hình 1: Chu kỳ hợp lệ thực hành CA mức Một thứ mà bạn nên chuẩn bị trước bắt đầu cài đặt file văn có tên CAPolicy.inf File sử dụng để tùy chỉnh cấu hình Windows Certificates Services bạn Trong file này, bạn tìm thấy thứ quan trọng như: • • • • Câu lệnh CDP Các thiết lập làm chứng chu kỳ hợp lệ kích thước khóa Các liên kết cho CDP đường dẫn AIA Tần suất CRL công bố Tạo file Notepad lưu vào %windir%\capolicy.inf (ví dụ C:\Windows\capolicy.inf) Thực nhiệm vụ thực đơn giản, việc thực theo file hướng dẫn bước Với thứ mà cung cấp đây, sâu vào tính kỹ thuật vấn đề Cài đặt CA gốc offline Để cài đặt CA gốc offline, bạn phải thực tất gạch đầu dịng đây: • • • • Chuẩn bị file CAPolicy.inf Cài đặt Windows Certificate Services Công bố danh sách CRL Chạy kịch post-Configuration Đây cách thực Cài đặt máy chủ với Windows Server 2003 Standard Edition incl SP1 phiên bảo đảm chạy với tư cách máy chủ độc lập (nghĩa thành viên miền nào) Tạo thay tham số cần thiết file CAPOlicy.inf bên (được đánh dấu màu đỏ) Hình 2: File CAPolicy.inf Copy file CAPolicy.INF vào %windir%\capolicy.inf Điều hướng đến Start Menu / Control Panel / Add or Remove Programs | kích Add/Remove Windows Components Trong Windows Components Wizard, bạn chọn Certificates Services sau kích Next Lưu ý hộp thoại hiển thị Bạn khơng nên đổi tên máy tính Windows Certificate Services cài đặt, kích Yes Hình Trong trường CA Type, bạn kích Stand-alone root CA, tích vào hộp kiểm “Use custom settings to generate the key pair and CA certificate” kích Next Lưu ý: Thông thường CA gốc doanh nghiệp tùy chọn CA cấp chọn máy chủ khơng phải thành viên nằm miền Hình Chọn CSP bạn muốn sử dụng cho CA gốc offline Để đơn giản, chọn Microsoft Strong Cryptographic Provider v1.0, chọn CSP khác ví dụ bạn cài đặt Hardware Security Module (HSM) kết nối máy chủ đến giải pháp HSM, trước bắt đầu thủ tục cài đặt CA Chọn thuật toán hash mặc định SHA-1 Thiết lập chiều dài khóa 4096 Bảo đảm hai tùy chọn “Allow this CSP to interact with the desktop” “Use an existing key” khơng chọn Kích Next Hình Nhập vào tên chung cho CA gốc bạn, cấu hình hậu tố tên phân biệt (O=domain, C=local) thiết lậo chu kỳ hợp lệ đến 20 năm, sau kích Next Hình 10 Chấp nhận đề xuất mặc định cho sở liệu chứng file ghi, sau kích Next Hình 11 Nếu CA gốc offline, bạn không cần phải cài đặt IIS (Internet Information Services) lý hộp thoại hiển thị Kích OK Hình 12 Kích Finish Hình 13 Kích Start / Programs / Administrative Tools / Certificate Authority 14 Mở phần panel máy chủ CA bạn, sau kích chuột phải vào Revoked Certificates chọn All tasks / Publish Hình 10 15 Chọn New CRL kích OK 16 Copy %windir%\system32\certsrv\certenroll\*.crt *.crl vào khóa USB Bạn cần đến file cho CA thứ cấp cài đặt 17 Bạn nên copy file vào vị trí CDP HTTP thị file caconfig.inf liệt kê từ trước 18 Tạo thay tham số cần thiết file (phần bôi đỏ) chạy file từ dấu nhắc lệnh   ... đây, sâu vào tính kỹ thuật vấn đề Cài đặt CA gốc offline Để cài đặt CA gốc offline, bạn phải thực tất gạch đầu dịng đây: • • • • Chuẩn bị file CAPolicy.inf Cài đặt Windows Certificate Services... Cryptographic Provider v1.0, chọn CSP khác ví dụ bạn cài đặt Hardware Security Module (HSM) kết nối máy chủ đến giải pháp HSM, trước bắt đầu thủ tục cài đặt CA Chọn thuật toán hash mặc định SHA-1 Thiết... cho CDP đường dẫn AIA Tần suất CRL công bố Tạo file Notepad lưu vào %windir%\capolicy.inf (ví dụ C:\Windows\capolicy.inf) Thực nhiệm vụ thực đơn giản, việc thực theo file hướng dẫn bước Với thứ