1. Trang chủ
  2. » Công Nghệ Thông Tin

Hướng dẫn về PKI – Phần 3: Cài đặt

11 468 1
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Hướng dẫn về PKI – Phần 3: Cài đặt
Tác giả Martin Kiaer
Định dạng
Số trang 11
Dung lượng 796,25 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Trong phần ba này, chúng tôi sẽ giới thiệu rất nhiều đến vấn đề kỹ thuật và thể hiện cho bạn cách cài đặt PKI dựa trên Microsoft Certificate Services trong Windows Server 2003.. Cài đặt

Trang 1

Hướng dẫn về PKI – Phần 3: Cài đặt

Nguồn : quantrimang.com 

Martin Kiaer

Chúng ta đã đi đến phần ba của loạt bài hướng dẫn về PKI Trong phần đầu tiên, chúng tôi đã giới thiệu cho các bạn tổng quan về cách chuẩn bị và lập

kế hoạch PKI Tiếp đến trong phần thứ hai, đi vào chế độ thiết kế và xem xét một số thiết lập thực hành tốt nhất Trong phần ba này, chúng tôi sẽ giới thiệu rất nhiều đến vấn đề kỹ thuật và thể hiện cho bạn cách cài đặt PKI dựa trên Microsoft Certificate Services trong Windows Server 2003 Cài đặt PKI

Dựa vào một số kết quả thiết kế từ hai phần trước, bây giờ chúng ta hãy bắt đầu việc cài đặt PKI Do đây là một hướng dẫn nhanh nên chúng tôi sẽ chỉ giới thiệu một số bước Phần cuối của bài này, sẽ giới thiệu cho bạn cách cài đặt kiến trúc

2 mức gồm có một CA gốc offline và một CA đang phát hành online trong cùng một PKI có sử dụng các phương pháp thực hành tốt nhất Mặc dù vậy, trước khi bắt đầu cái đặt, hãy làm quen với một số thứ

Trong hình 1, chúng tôi đã đưa ra một chu kỳ hợp lệ cho việc thực hành tốt nhất đối với mỗi CA tại mỗi mức (dựa trên kiến trúc 3 mức đối với mô hình tổng thể hoàn tất) Ưu điểm của mô hình này là sẽ bảo đảm cho bạn luôn luôn có sự kiên định đối với các chứng chỉ đã được phát hành tại mỗi mức Nếu bạn chỉ muốn triển khai kiến trúc 2 mức, đơn giản chỉ cần xóa CA mức 3 Mô hình sẽ vẫn được

áp dụng

Trang 2

Hình 1: Chu kỳ hợp lệ trong thực hành nhất đối với mỗi CA ở mỗi mức Một thứ nữa mà bạn nên chuẩn bị trước khi bắt đầu cài đặt là một file văn bản có tên CAPolicy.inf File này được sử dụng để tùy chỉnh cấu hình Windows

Certificates Services của bạn Trong file này, bạn sẽ tìm thấy những thứ rất quan trọng như:

• Câu lệnh CDP

• Các thiết lập làm mới chứng chỉ như chu kỳ hợp lệ và kích thước khóa

• Các liên kết cho CDP và các đường dẫn AIA

• Tần suất CRL được công bố như thế nào

Tạo file bằng Notepad và lưu nó vào %windir%\capolicy.inf (ví dụ như

C:\Windows\capolicy.inf)

Thực hiện nhiệm vụ này quả thực rất đơn giản, bằng việc thực hiện theo các file trong hướng dẫn từng bước dưới đây Với các thứ mà chúng tôi cung cấp dưới đây, hãy đi sâu vào tính kỹ thuật của vấn đề

Cài đặt CA gốc offline

Để cài đặt một CA gốc offline, bạn phải thực hiện tất cả gạch đầu dòng dưới đây:

• Chuẩn bị file CAPolicy.inf

• Cài đặt Windows Certificate Services

• Công bố danh sách CRL

• Chạy kịch bản post-Configuration

Trang 3

Đây là cách nó được thực hiện như thế nào

1 Cài đặt máy chủ với Windows Server 2003 Standard Edition incl SP1 hoặc phiên bản mới hơn và bảo đảm rằng nó chạy với tư cách là một máy chủ độc lập (nghĩa là không phải thành viên trong bất kỳ miền nào)

2 Tạo các thay thế tham số cần thiết trong file CAPOlicy.inf bên dưới (được đánh dấu bằng màu đỏ)

Hình 2: File CAPolicy.inf

3 Copy file CAPolicy.INF vào %windir%\capolicy.inf

4 Điều hướng đến Start Menu / Control Panel / Add or Remove Programs | kích Add/Remove Windows Components

5 Trong Windows Components Wizard, bạn hãy chọn Certificates Services sau

đó kích Next

6 Lưu ý những gì trong hộp thoại đang hiển thị Bạn không nên đổi tên máy tính

khi Windows Certificate Services được cài đặt, kích Yes

Trang 4

Hình 3

7 Trong trường CA Type, bạn kích Stand-alone root CA, tích vào hộp kiểm

“Use custom settings to generate the key pair and CA certificate” và kích Next

Lưu ý:

Thông thường các CA gốc của doanh nghiệp và các tùy chọn CA cấp dưới không thể được chọn vì máy chủ này không phải là thành viên nằm trong một miền

Hình 4

8 Chọn CSP bạn muốn sử dụng cho CA gốc offline Để đơn giản, chúng ta hãy

chọn Microsoft Strong Cryptographic Provider v1.0, mặc dù có thể chọn CSP

Trang 5

khác ví dụ nếu bạn đã cài đặt Hardware Security Module (HSM) và đã kết nối máy chủ đến giải pháp HSM, trước khi bắt đầu thủ tục cài đặt CA

Chọn thuật toán hash mặc định SHA-1

Thiết lập chiều dài khóa là 4096

Bảo đảm rằng cả hai tùy chọn “Allow this CSP to interact with the desktop” và

“Use an existing key” đều không được chọn Kích Next

Hình 5

9 Nhập vào tên chung cho CA gốc của bạn, cấu hình hậu tố tên phân biệt

(O=domain, C=local) và thiết lậo chu kỳ hợp lệ đến 20 năm, sau đó kích Next

Trang 6

Hình 6

10 Chấp nhận đề xuất mặc định cho cơ sở dữ liệu chứng chỉ và các file bản ghi,

sau đó kích Next

Trang 7

Hình 7

11 Nếu đây là một CA gốc offline, bạn không cần phải cài đặt IIS (Internet

Information Services) và đó lý do tại sao hộp thoại này được hiển thị Kích OK

Hình 8

12 Kích Finish

Trang 8

Hình 9

13 Kích Start / Programs / Administrative Tools / Certificate Authority

14 Mở phần panel máy chủ CA của bạn, sau đó kích chuột phải vào Revoked Certificates và chọn All tasks / Publish

Trang 9

Hình 10

15 Chọn New CRL và kích OK

16 Copy %windir%\system32\certsrv\certenroll\*.crt và *.crl vào khóa USB

Bạn sẽ cần đến những file này cho CA thứ cấp tiếp theo sẽ được cài đặt

17 Bạn cũng nên copy các file này vào vị trí CDP HTTP như đã được chỉ thị

trong file caconfig.inf được liệt kê từ trước

18 Tạo sự thay thế các tham số cần thiết trong file dưới đây (phần được bôi đỏ)

và chạy file từ dấu nhắc lệnh

Trang 11

 

Ngày đăng: 04/11/2013, 17:15

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 1: Chu kỳ hợp lệ trong thực hành nhất đối với mỗi CA ở mỗi mức - Hướng dẫn về PKI – Phần 3: Cài đặt
Hình 1 Chu kỳ hợp lệ trong thực hành nhất đối với mỗi CA ở mỗi mức (Trang 2)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w