Tạo SSL CA riêng với OS X Keychain Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Certificate Assistant có trong Mac OS X để tạo một CA của riêng bạn với sự trợ giúp của
Trang 1Tạo SSL CA riêng với OS X Keychain
Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Certificate Assistant có trong Mac OS X để tạo một CA của
riêng bạn với sự trợ giúp của OS X Keychain Assistant
Trong một bài gầy đây, chúng tôi đã giới thiệu cho các bạn cách import các chứng chỉ SSL CA vào OS X keychain để dễ dàng tin cậy các chứng chỉ SSL cho các dịch vụ không được ký bởi các CA lớn giống như VeriSign, Equifax hay các tổ chức thẩm định khác
Mặc dù vậy nếu muốn có các dịch vụ SSL trong bên trong tổ chức hoặc trên mạng LAN, bạn có thể tự tạo cho riêng mình một
CA riêng Có nhiều công cụ hiện giờ có thể giúp bạn tạo một
CA cho riêng mình dễ dàng và OS X Keychain Assistant là một trong số đó
Để bắt đầu, bạn hãy khởi chạy ứng dụng OS X Keychain
Assistant Khi ứng dụng đã được khởi chạy, chọn Keychain
Assistant từ thanh menu, sau đó chọn Certificate Assistant Từ sub-menu kế tiếp mới được mở ra, chọn Create A Certificate
Trang 2Authority Khi đó bạn sẽ thấy cửa sổ Certificate Assistant và
cửa sổ này sẽ hướng dẫn bạn qua các bước để tạo Certificate Authority của riêng mình để sau đó ký các chứng chỉ SSL
Đặt tên cho CA của bạn, sử dụng Self Signed Root CA để nhận
dạng kiểu Với User Certificate, để các mặc định (S/MIME
Email; hoàn toàn có thể thay đổi về sau này) Trong trang tiếp theo, thay đổi thời gian hợp lệ nếu bạn muốn (mặc định là một
năm), và chọn Create A CA Web Site Tiếp đến, điền vào các
thông tin được sử dụng để tạo chứng chỉ: City, State, Country,… Các màn hình tiếp theo sẽ liệt kê chi tiết kích cỡ khóa và kiểu
mã hóa; để 2048-bit RSA Cuối cùng, trên panel Key Usage Extension, bảo đảm các mục Signature, Certificate Signing,
và CRL Signing đã được chọn
Khi bạn đến trang Extended Key Usage Extension, hãy bảo đảm
tùy chọn Any được chọn nếu bạn muốn CA này có khả năng ký
tất cả các kiểu chứng chỉ SSL Nếu chỉ cần ký một số kiểu
chứng chỉ SSL nào đó (chẳng hạn như chỉ các máy khách SSL), hãy chọn những tính năng đó Trong trang tiếp theo, bạn sẽ phải
chọn khả năng yêu cầu từ người dùng – cũng chọn Any ở đây để
CA có thể ký các kiểu request Cuối cùng trong trang tiếp theo,
Trang 3bảo đảm các thiết lập Include Basic Constraints Extension và Use This Certificate as a certificate authority đều được kích
hoạt
Còn nhiều trang khác trong tiến trình mà chúng tôi không đề cập đến; nó hoàn toàn an toàn khi để các tùy chọn mặc định Panel cuối cùng sẽ hỏi bạn về nơi bạn muốn lưu chứng chỉ và hỏi xem
có tin tưởng các chứng chỉ được ký bởi CA này trên các máy nội
bộ không Chọn một keychain (hệ thống, đăng nhập, hoặc thứ gì
đó mà bạn tạo ra thật đặc biệt để quản lý CA và các request của nó), và kích hoạt việc kiểm tra sự tin cậy
Lúc này CA đã được tạo, bạn có thể tạo các chứng chỉ và ký các request bằng cách sử dụng Certificate Assistant Để tạo nhanh
chóng một chứng chỉ cho một website, kích Create A
Certificate trong menu Keychain Assistant sổ xuống Với tên,
sử dụng tên của website, với kiểu nhận dạng, chọn Leaf Với kiểu chứng chỉ, chọn SSL Client Khi được yêu cầu chọn nhà
phát hành CA (CA issuer), chọn CA mà bạn vừa tạo
Key và chứng chỉ sẽ được lưu vào keychain mà bạn chọn từ
trước và sẽ được tạo với một thời gian mãn hạn là một năm
Quan sát trong Keychain Assistant, bạn sẽ thấy chứng chỉ, và
Trang 4khóa riêng RSA có liên quan với nó Kích phải vào khóa riêng,
bạn sẽ thấy tùy chọn Request A Certificate From Certificate Authority; nếu chọn tùy chọn này, bạn sẽ mở lại Certificate
Assistant và sẽ có khả năng tạo yêu cầu chứng chỉ (hình A) Trong cửa sổ mở, sử dụng trường Common Name cho URL của
dịch vụ (chẳng hạn như để tạo chứng chỉ SSL cho foo.test.com,
sử dụng foo.test.com là CN, hoặc một địa chỉ email cho một
chứng chỉ email S/MIME,…), sau đó lưu request vào đĩa
Hình A
Trong Finder, kích đúp vào file certSigningRequest đã được
Trang 5tạo Certificate Assistant sẽ mở lại và cho phép bạn ký chứng chỉ
với CA vừa được tạo Chọn Let Me Override Defaults để tùy
chỉnh chứng chỉ mà chúng ta sẽ tạo (cách thức mà Certificate Assistant tạo các yêu cầu sử dụng cũng sử dụng tùy chọn mặc định hữu dụng)
Nhiều cửa sổ bạn đi qua sẽ giống như các cửa sổ thiết lập CA ở giai đoạn đầu tiên Sự quan tâm chủ yếu là màn hình Extended Key Usage Extension, đây là nơi bạn có thể chọn kiểu chứng chỉ
gì
Certificate Assistant sẽ hỏi bạn rất nhiều câu hỏi, một số câu hỏi
có thể khá lạ lẫm Trợ giúp được cung cấp sẵn sẽ hỗ trợ bạn
trong việc đưa ra những lựa chọn đúng đắn Với một mạng nội
bộ hoặc LAN cơ bản, sử dụng Certificate Assistant có thể bảo đảm cho việc sử dụng và tạo các chứng chỉ SSL dễ dàng Tuy cũng có nhiều công cụ khác có thể thực hiện công việc này
nhưng Certificate Assistant là một công cụ đi kèm với các máy Mac và sẽ trở nên dễ dàng hơn cho những người chưa có nhiều kinh nghiệm