HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

Môn: Chứng thực điện tử

ĐỀ TÀI: TÌM HIỂU VÀ THỰC HÀNH TẠO
CẤU HÌNH CHỨNG THƯ SỐ CHO
WEBSERVER, BROWSER VÀ XÁC THỰC
HAI CHIỀU

Danh sách nhóm:

1. Nguyễn Đăng Khôi
2. Nguyễn Minh Đức
3. Tống Văn Đông

Hà Nội 2021
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN....................................................................................................................................3
1. Tổng quan về Chứng thư số...........................................................................................................................3
1.1 Định nghĩa.................................................................................................................................................3
1.2. Mối quan hệ giữa chứng thư số và chữ kí số..........................................................................................3
1.3.Phân loại....................................................................................................................................................4
1.4. Các chuẩn về chứng thư số......................................................................................................................5
1.5. Tổ chức cung cấp chứng thư số.............................................................................................................10
2. Quy trình tạo chứng thư số..........................................................................................................................10
2.1 Tạo chứng thư số.....................................................................................................................................10
2.2. Xác thực chứng thư số...........................................................................................................................11
3. Vai trò của chứng thư số..............................................................................................................................12
CHƯƠNG 2: CHỨNG THƯ SỐ SSL TRÊN WEBSERVER.................................................................................13
1.Tổng quan về Window Server Certificate....................................................................................................13
2.Tổng quan về chứng thư số SSL...................................................................................................................14
2.1. Định nghĩa..............................................................................................................................................14
2.2. Lợi ích của việc sử dụng Chứng thư số SSL?.......................................................................................14
3. Tổng quan về WebServer.............................................................................................................................14
3.1 Khái niệm................................................................................................................................................15
3.2. Thành phần chính quan trọng của web server....................................................................................15
3.3. Chức năng cơ bản của web server........................................................................................................16
3.4. Cách thức hoạt động của web server....................................................................................................17
CHƯƠNG 3: THỰC NGHIỆM..............................................................................................................................19
 CHƯƠNG 1: TỔNG QUAN
1. Tổng quan về Chứng thư số
1.1 Định nghĩa
Chứng thư số (Digital certificate) là một dạng chứng thư điện tử do tổ chức cung cấp
dịch vụ chứng thực chữ ký số cấp nhằm cung cấp thông tin định danh cho khóa công khai
của một cơ quan, tổ chức, cá nhân, từ đó xác nhận cơ quan, tổ chức, cá nhân là người ký
chữ ký số bằng việc sử dụng khóa bí mật tương ứng.
Có thể nói, chứng thư số là một phương tiện được sử dụng để nhận diện một cá nhân, cơ
quan, tổ chức trong môi trường của máy tính và internet.
Trong đó, Khóa là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống mật mã.
– Khóa bí mật là một khóa trong cặp khóa thuộc hệ thống mật mã không đối xứng, được
dùng để tạo chữ ký số.
– Khóa công khai là một khóa trong cặp khóa thuộc hệ thống mật mã không đối xứng,
được sử dụng để kiểm tra chữa ký số được tạo bởi khóa bí mật tương ứng trong cặp khóa.
- Chứng thư số bao gồm những nội dung sau:
– Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số;
– Tên của thuê bao;
– Số hiệu chứng thư số;
– Thời hạn có hiệu lực của chứng thư số;
– Khóa công khai của thuê bao;
– Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số;
– Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số;
– Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký
số;
– Thuật toán mật mã;
– Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông;
1.2. Mối quan hệ giữa chứng thư số và chữ kí số
Khác với chứng thư số, chữ ký số là một dạng chữ ký điện tử được tạo ra bằng sự biến
đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng, theo đó, người có
được thông điệp dữ liệu ban đầu và kháo công khai cảu người ký có thể xác định được:
– Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật với khóa công khai trong
cùng một cặp khóa;
– Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên.
Về cơ bản, chữ ký số gần giống với chữ ký truyền thống, đều có vai trò xác minh cam kết
của cá nhân hoặc tổ chức. Có thể khẳng đinh rằng, chữ ký số và chứng thư số có mối
quan hệ chặt chẽ với nhau. Sau khi nhà cung cấp chứng thư số thì nhà cung cấp sẽ tạo ra
chữ ký số cho doanh nghiệp. Chứng thư số giúp đối tác của cơ quan, tổ chức, cá nhân xác
minh chữ ký là chính xác.
1.3.Phân loại
Căn cứ vào đối tượng của chứng thư số có thể phân loại chứng thư số thực thể cuối và
chứng thư số CA.
• Chứng thư số thực thể cuối: là loại chứng thư số do một CA phát hành cho thực thể
cuối. Chứng thư thực thể cuối này không dùng để phát hành chứng thư khác.
• Chứng thư số CA: là chứng thư số do một CA phát hành cho một CA được phân biệt
bởi trường Basic constraint. Chứng thư số CA này có thể dùng để phát hành chứng thư
khác. Chứng thư số CA có thể là:
Chứng thư số tự phát hành: là một loại chứng thư số đặc biệt trong đó chủ thể phát
hành (issuer) và chủ thể sở hữu (subject) là một (giống nhau). Loại chứng thư số này
được tạo ra cho những mục đích đặc biệt như kiểm tra hợp lệ cặp khóa mới khi khóa của
CA hết hạn.
– Chứng thư số tự ký - chứng thư số của RootCA: là một loại chứng thư số tự phát
hành. Trong đó khóa riêng ký chứng thư số tương ứng với khóa công khai trong chứng
thư số.
– Chứng thư số chéo: là một loại chứng thư số mà chủ thể phát hành và chủ thể sở
hữu là các CA khác nhau. Chứng thư số chéo dùng để xây dựng mối quan hệ tin cậy giữa
các CA.
Căn cứ vào mục đích sử dụng, chứng thư số còn có thể được phân thành chứng thư số
khóa công khai, chứng thư số đủ điều kiện, và chứng thư số thuộc tính, CVC.
• Chứng thư số khóa công khai (Public Key Certificate):
• Chứng thư số thuộc tính (Attribute Certificate): chứng thư số chứa các thông tin như:
thành viên nhóm, vai trò-role, mức an toàn ... và các thông tin về sự cho phép kết hợp với
thông tin về chủ sở hữu chứng thư. Chứng thư số thuộc tính không chứa khóa công khai
và dùng để cấp phép thực hiện hành vi đối với mỗi chủ thể (Authorization).
• Chứng thư số đủ điều kiện (Qualified Certificate): là một loại chứng thư số được dùng
để xác định một người với mức an toàn nhất định. Chứng thư số đủ điều kiện thường gồm
các thông tin xác định chủ thể như, họ tên, ngày sinh, ,.. thông tin sinh trắc (ảnh, vân
tay..)
• Card Verifiable Certificates (CVC): được thiết kế để có thể xử lý bởi các thiết bị có khả
năng tính toán hạn chế như thẻ thông minh. Sử dụng cấu trúc (TLV) với các trường cố
định. (mỗi trường trong chứng chỉ có độ dài cố định hoặc tối đa và mỗi trường theo thứ tự
được xác định rõ).
1.4. Các chuẩn về chứng thư số
- Chứng thư số X.509 ( thường được sử dụng nhiều nhất)
- Chứng thư số SPKI (Simple Public Key Infrastructure)
- Chứng thư số PGP (Pretty Good Privacy)
- Chứng thư số SET (Secure Electronic Transaction)
- PKCS #6.
3.1. Chứng thư số X.509
-Chuẩn X.509 định nghĩa cấu trúc (các trường chuẩn và mở rộng) của chứng thư số và
CRL cho nhiều mục đích khác nhau. PKIX định nghĩa và giới hạn một số trường phù hợp
với người dùng Internet. Các trường được phân thành các nhóm :
– Bắt buộc hỗ trợ .
– Có thể hỗ trợ .
– Có thể không hỗ trợ .
• Các trường mở rộng thuộc về một trong hai loại:
– Quan trọng (critical)
– Không quan trọng (non -critical)
• RFC 5280 Certificate and CRL profile
 Cấu
trúc:
gồm
có
các

nhóm: trường chuẩn,trường mở rộng chuẩn và trường mở rộng riêng.

-Trường chuẩn:
 Version: chứa một giá trị nguyên mô tả phiên bản của chứng thư số (1, 2 hoặc 3).
 Serial Number: chứa một số nguyên mô tả thứ tự, duy nhất xác định chứng thư số
có độ dài 20 chữ số.
 Signature: chứa định danh (OID-Object IDentification) giải thuật được sử dụng ký
số trên chứng thư. VD OID cho SHA-1 với RSA là 1.2.840.113549.1.1.5.
 Issuer: xâu ký tự xác định tên của chủ thể ký và phát hành chứng thư số. Tên được
viết theo quy ước (Distinguised Name - DN). Trường này là bắt buộc và không
chứa xâu rỗng.
 Validity : khoảng thời gian mà khóa công khai của chứng thư này được xem là hợp
lệ. Chứa thời gian bắt đầu hợp lệ (Not Valid Before) và thời gian hết hợp lệ (Not
Valid After)
 Subject : xác định tên chủ thể sở hữu chứng thư số. Tên chủ thể sở hữu phải khác
rỗng và được viết theo quy ước tên phân biệt (Distinguised Name- DN).
 Subject Public Key Info: chứa khoá công khai của chủ thể sở hữu chứng thư số,
trường này luôn tồn tại và không rỗng. • Issuer Unique ID: chứa định danh duy
 nhất của chủ thể phát hành chứng thư số. Trường này dự phòng tên của chủ thể
phát hành được sử dụng lại hoặc trùng với miền CA khác.
 Subject Unique ID: chứa định danh duy nhất của chủ thể sở hữu chứng thư số
(phiên bản 2 và 3). Trường này để dự phòng khả năng tên của chủ thể sở hữu được
sử dụng lại. • Extensions: chứa các trường mở rộng cung cấp thêm thông tin xác
định chứng thư số. Mỗi trường mở rộng kết hợp với một cờ để xác định trường này
là quan trọng hoặc không
-Trường mở rộng chuẩn
Các trường mở rộng về khóa:
 Authority Key Identifier: định danh duy nhất để phân biệt các khóa được sở hữu
bởi một CA do cùng một chủ thể phát hành. Trường này được sử dụng khi CA có
nhiều khóa ký. Trường này bắt buộc đưa vào tất cả các chứng thư CA trừ những
chứng thư tự ký.
 Subject Key Identifier : định danh duy nhất của khoá công khai được chứa trong
chứng thư này. Định danh này phân biệt giữa các khoá áp dụng cho cùng một chủ
thể sở hữu chứng thư số. Trường này bắt buộc đưa vào chứng thư số của CA, và
các chứng thư số thực thể cuối.
 Key Usage: một chuỗi bit chỉ ra mục đích sử dụng của khóa. Chuỗi bit này xác
định hoặc hạn chế các tính năng hoặc dịch vụ sử dụng khoá công khai trong chứng
thư số này. Ví dụ ký số, mã mật, trao đổi khoá, ký chứng thư, ký CRL...
 Extended Key Usage: cho phép thêm thông tin mục đích sử dụng của khóa. Nó là
một danh sách OID chỉ ra cách sử dụng cụ thể của khoá công khai trong chứng thư
số.
o VD một số OID tương ứng với mở rộng này: xác thực máy chủ TLS, xác
thực máy trạm TLS, ký mã lệnh, mã thư, dấu thời gian, ký OCSP (Online
Certificate Status Protocol). Mở rộng này thường được sử dụng cùng với
các chứng thư số của thực thể cuối.
 Private Key Usage Periods (Thời hạn sử dụng khoá riêng): là khoảng thời gian hợp
lệ của khoá riêng tương ứng với khoá công khai trong chứng thư số. Thông tin
chứa trong trường này cũng giống như trường thời gian hợp lệ của khóa công khai
trong chứng thư (Not Valid Before và Not Valid After). Trường này là cần thiết để
kiểm tra chữ ký số một thời gian sau khi khóa riêng hết hạn sử dụng. 07/11/2020
http://ca.gov.vn 17
Các trường mở rộng về chính sách:
 Certificate Policies (các chính sách phát hành chứng thư): chứa một danh sách các
thông tin mô tả chính sách. Mỗi mục gồm định danh chính sách (OID), một con trỏ
 (URI) trỏ tới vị trí của chính sách và các điều kiện áp dụng cho việc sử dụng chứng
thư. Nếu trường mở rộng này được đánh dấu là quan trọng, các ứng dụng cần phải
tuân thủ các điều kiện được chỉ ra trong các chính sách, hoặc chứng thư sẽ không
được sử dụng. Hai chính sách đã được định nghĩa:
o Quy tắc phát hành chứng thư (Certification Practice Statement- CPS) là
chính sách áp dụng cho CA.
o Thông báo người sử dụng (User Notice).
 Policy Mappings (các ánh xạ chính sách): được sử dụng để tạo ra một sự tương ứng
giữa các chính sách chứng thư số được định nghĩa bời thẩm quyền chính sách
(policy authority) giữa hai miền chính sách (CA) khác nhau. Trường mở rộng này
chỉ được sử dụng trong chứng thư số của CA.
Các trường mở rộng về thông tin chủ thể sở hữu và chủ thể phát hành:
 Subject Alternative Name (tên khác của chủ thể sở hữu): tùy chọn một trong tám
dạng tên khác nhau dùng để xác định chủ thể sở hữu chứng thư (ví dụ, địa chỉ e-
mail, địa chỉ IP, URI,...).
 Issuer Alternative Name (tên khác của chủ thể phát hành): tùy chọn một trong tám
dạng tên khác nhau dùng để xác định chủ thể phát hành chứng thư (vd, địa chỉ e-
mail, địa chỉ IP, URI...).
 Subject Directory Attributes (các thuộc tính chỉ dẫn của chủ thể sở hữu): gồm một
danh sách các thuộc tính dùng để mang thêm các thuộc tính nhận dạng của chủ thể
sở hữu chứng thư. Đặc điểm của các thuộc tính này là có thể linh hoạt thay đổi.
Các trường mở rộng ràng buộc đường dẫn chứng thực:
 Basic Constraints (các ràng buộc cơ bản): trường này chứa hai trường CA và
PathLenConstraints. Nếu giá trị trường CA là true thì chứng thư số này được cấp
cho một CA và có thể ký phát hành chứng thư số khác. Nếu giá trị trường CA là
false thì đây là chứng thư số thực thể cuối. Khi trường CA được đặt là true, trường
PathLenConstraint chỉ ra "số cực đại" các chứng thư CA tiếp theo trong đường dẫn
chứng thực. Giá trị trường này bằng 0 có nghĩa là CA chỉ có thể phát hành các
chứng thư cho thực thể cuối.
 Name Constraints (các ràng buộc tên): xác định không gian tên của chủ thể sở hữu
(tên khác) phải tuân theo trong các chứng thư số tiếp theo. Trường mở rộng này chỉ
tồn tại trong chứng thư số của CA. Mở rộng này cho phép xác định các cây tên, các
tên được bao gồm và tên loại trừ thông qua các thuộc tính Permitted Subtrees và
Excluded Subtrees. Các tên xác định này có thể có dạng DN, URI, e-mail, hoặc bất
kỳ dạng tên nào có thể thêm vào cấu trúc phân cấp. Nếu tồn tại, trường mở rộng
này được đánh dấu là quan trọng.
Policy Constraints (các ràng buộc chính sách): gồm hai trường RequireExplicitPolicy và
InhibitPolicyMapping.
 RequireExplicitPolicy: cho phép chủ thể phát hành yêu cầu các chứng thư số tiếp
theo trong đường dẫn phải chứa các định danh chính sách chấp nhận được.
InhibitPolicyMapping: cho phép chủ thể phát hành ngăn cản hoặc không sử dụng
ánh xạ giữa các chính sách khác nhau trong các chứng thư số tiếp theo trong
đường dẫn.
 Các trường mở rộng này chỉ tồn tại trong chứng thư số CA. Nếu có mở rộng này
cần phải được đánh dấu là quan trọng. • Inhibit Any Policy (cấm một chính sách
bất kỳ): trường này chỉ ra định danh của các chính sách không sử dụng (ví dụ giá
trị OID là 2.5.29.32.0). Trường mở rộng này chỉ tồn tại trong chứng thư số CA.
Mở rộng này có thể được đánh dấu là quan trọng hoặc không.
Các trường mở rộng liện quan đến CRL
 CRL Distribution Points (các điểm phân phối CRL): chứa thông tin xác định cách
lấy thông tin thu hồi chứng thư số. Nó chứa một danh sách các điểm phân phối
CRL - con trỏ (URI) chỉ tới vị trí của phân hoạch CRL nơi chứa thông tin thu hồi
của chứng thư số này. Nếu được đánh dấu là quan trọng chứng thư số phải được
kiểm tra thông tin thu hồi theo con trỏ trong trường này.
 Freshest CRL (CLR mới nhất): chứa thông tin xác định cách lấy thông tin thu hồi
delta hay còn gọi là Delta CRL Distribution Point. Cú pháp của trường này cũng
giống như CRL Distribution Points. Nếu được đánh dấu là quan trọng chứng thư
số phải được kiểm tra thông tin thu hồi theo con trỏ trong trường này.
-Trường mở rộng riêng:
Các trường mở rộng riêng được định nghĩa để sử dụng trong trường hợp cụ thể. Hai mở
rộng riêng sử dụng cho Internet:
 Authority Information Access (truy cập thông tin thẩm quyền): Trường này chứa
thông tin chỉ ra cách truy nhập thông tin và các dịch vụ được cung cấp bởi chủ thể
phát hành chứng thư số. Mỗi một mục xác định một dịch vụ. Hai dịch vụ đã được
định nghĩa gồm: – Dịch vụ kiểm tra chứng thư trực tuyến OCSP. – Dịch vụ xác
định thông tin về chủ thể phát hành chứng thư với mục tiêu tải thông tin về CA
phát hành chứng thư hiện tại. Thông tin này được sử dụng để xây dựng đường dẫn
chứng thực.
 Subject Information Access (truy cập thông tin chủ thể): Trường này chứa thông
tin chỉ ra cách truy nhập thông tin và dịch vụ được cung cấp bởi chủ thể sở hữu
trong chứng thư số. Cú pháp trường mở rộng này cũng giống như trường Authority
Information Access bao gồm kiểu và vị trí của thông tin. Hai dịch vụ đã được định
 nghĩa: – Với chứng thư CA, dịch vụ xác định vị trí kho chứng thư. – Với chứng thư
thực thể cuối, dịch vụ time stamp khi chủ thể cung cấp dịch vụ time stamp

1.5. Tổ chức cung cấp chứng thư số

Chứng thư số do các tổ chức sau cấp:
– Tổ chức cung cấp dịch vụ cấp chứng thực chữ ký số quốc gia;
– Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;
– Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ;
– Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dung của cơ quan tổ chức.
2. Quy trình tạo chứng thư số
2.1 Tạo chứng thư số

Hình 1: Tạo chứng thư số

+ Bước 1: Chủ thể đăng ký sẽ có một cặp khóa bao gồm khóa công khai và khóa bí mật.
Khóa công khai sẽ gửi đến tổ chức cấp chứng thư số còn khóa bí mật chủ thể sẽ giữ.
+ Bước 2: Khi đăng ký thông tin chứng thư số, chủ thể đăng ký dùng thông tin định danh
của mình kèm theo khóa công khai của bản thân để tạo ra CSR.
+ Bước 3: CSR được gửi đến tổ chức cung cấp chứng thư số. Ở đây tổ chức sẽ xác thực
danh tính sau đó dùng khóa bí mật của mình để tạo chữ ký số và cùng với thông tin trên
CSR tạo thành chứng thư số sau đó gửi cho chủ thể đăng ký.
CSR(Certificate Signing Request) là một tệp chứa thông tin về chủ thể yêu cầu cấp
chứng thư số. Mục đích của CSR là có một phương pháp chuẩn hóa để cung cấp thông tin
này cho các tổ chức cấp chứng thư số. Tập tin CSR theo nghĩa đen là một yêu cầu để có
chứng thư số và chữ ký số của một tổ chức cấp chứng thư số. CSR sẽ chứa các thông tin
của chủ thể đăng ký, khóa công khai và chữ ký của chủ thể đăng ký.
2.2. Xác thực chứng thư số
Hiện nay có xuất hiện việc giả mạo tổ chức có thẩm quyền để cấp chứng thư số giả phục
vụ mục đích xấu. Vậy làm các nào để xác minh một chứng thư số đúng do tổ chức có
thẩm quyền.
Khi tổ chức có thẩm quyền cấp ra một chứng thư số sẽ dùng khóa bí mật của mình ký lên
chứng thư số đó. Để xác minh một chứng thư số có hợp lệ hay không thì sẽ sử dụng khóa
công khai của tổ chức cấp chứng thư số để xác minh chữ ký trên chứng thư số đó có đúng
là do tổ chức đó ký hay không. Trước tiên chúng ta tạo chữ ký lên chứng thư số của tổ
chức cấp:

Hình 2: Tạo chữ kí số

 Quy trình ký lên chứng thư số của tổ chức có thẩm quyền cấp:
+ Bước 1: Dữ liệu bao gồm các trường thông tin và khóa công khai của người dùng sẽ
được băm bởi một hàm băm (ví dụ như SHA) tạo ra bản mã.
 + Bước 2: Tổ chức có thẩm quyền cấp chứng thư số sẽ dùng khóa bí mật của mình
cũng bản mã ở bước trên để tạo ra chữ ký số sau đó đính kèm chữ ký số vào chứng thư
số của người dùng.

Hình 3: Quy trình xác minh chứng thư số

- Quy trình xác minh chứng thư số

+ Bước 1: Lấy khóa công khai của tổ chức cấp chứng thư số để giải mã chữ ký số trên
chứng thư số người dùng ta được bản mã thứ nhất.
+ Bước 2: Băm các trường thông tin và khóa công khai trong chứng thư số của người
dùng ra bản mã thứ hai.
+ Bước 3: So sánh hai bản mã. Nếu trùng nhau thì xác nhận chứng thư số đó đúng là do
tổ chức đó cấp và ngược lại.
3. Vai trò của chứng thư số

Chứng thư số được dùng giống như một công cụ điện tử giúp nhận diện danh tính của đối
tượng, tổ chức tham gia vào giao dịch thương mại điện tử. Chứng thư số giúp bảo đảm an
toàn cho người sử dụng trong quá trình giao dịch.
 Hình 4: Vai trò của chứng thư số
Ngoài ra, chứng thư số còn đóng vai trò:
- Giúp xác minh danh tính của người sử dụng chữ ký số khi đăng nhập vào hệ thống mới.
- Hỗ trợ ký số các loại văn bản, tài liệu, hợp đồng, hóa đơn,… dưới file doc, pdf hoặc một
tệp tài liệu.
- Mã hóa thông tin để đảm bảo bí mật giữa người gửi và người nhận thông qua mạng
internet.
- Giúp thực hiện các kênh liên lạc trao đổi thông tin bí mật với các thực thể khác trên
mạng, ví dụ như thực hiện kênh liên lạc bí mật giữa người dùng với webserver.

CHƯƠNG 2: CHỨNG THƯ SỐ SSL TRÊN WEBSERVER

1.Tổng quan về Window Server Certificate

Certificate là chứng thực khóa công khai (còn gọi là chứng thực số / chứng thực điện tử)
là một chứng thực sử dụng chữ ký số để gắn một khóa công khai với một thực thể (cá
nhân, máy chủ hoặc công ty...). Một chứng thực khóa công khai tiêu biểu thường bao
gồm khóa công khai và các thông tin (tên, địa chỉ...) về thực thể sở hữu khóa đó. Chứng
thực điện tử có thể được sử dụng để kiểm tra một khóa công khai nào đó thuộc về ai

Certificate Authority đóng vai trò quan trọng trong việc khởi tạo chứng chỉ số SSL. Các
nhà cung cấp chứng chỉ số này phải đảm bảo được tính chính xác đối với những chứng
chỉ được cấp, bằng cách xác nhận thông tin của cá nhân, tổ chức.

Khi cấp chứng chỉ SSL xác thực tên miền, thì Certificate Authority chỉ xác minh thông
tin người sở hữu tên miền để cấp chứng chỉ. Trường hợp xác thực tổ chức (OV) và xác
thức mở rộng (EV) thì cơ quan cấp chứng chỉ số sẽ xác minh các tài liệu đăng ký kinh
doanh từ nhiều nguồn bao gồm chính phủ. Quá trình kiểm tra có thể kéo dài từ 3 đến 5
ngày làm việc và diễn ra khá nghiêm ngặt.
2.Tổng quan về chứng thư số SSL
2.1. Định nghĩa
SSL – Secure Sockets Layer: đây là một tiêu chuẩn an ninh công nghệ toàn cầu
tạo ra một liên kết được mã hóa giữa máy chủ web và trình duyệt. Liên kết này đảm bảo
tất cả các dữ liệu trao đổi giữa máy chủ web và trình duyệt luôn được bảo mật an toàn.
Chứng thư số SSL cài trên server website của doanh nghiệp, cho phép khách hàng khi
truy cập có thể xác minh được tính xác thực, tin cậy của website, đảm bảo mọi dữ liệu,
thông tin trao đổi giữa website và khách hàng được mã hóa, tránh nguy cơ bị can thiệp.
SSL chỉ được cung cấp bởi các đơn vị cấp phát chứng thư (CA) có uy tín trên toàn thế
giới sau khi đã thực hiện xác minh thông tin về chủ thể đăng ký rất kỹ càng mang lại mức
độ tin cậy cao cho người dùng Internet và tạo nên giá trị cho các website, doanh nghiệp
cung cấp dịch vụ.
2.2. Lợi ích của việc sử dụng Chứng thư số SSL?
• Bảo mật các giao dịch giữa khách hàng và doanh nghiệp, các dịch vụ truy nhập hệ
thống;
• Bảo mật VPN Access Servers, Citrix Access Gateway…;
• Nâng cao hình ảnh, thương hiệu và uy tín doanh nghiệp;
• Bảo mật webmail và các ứng dụng như Outlook Web Acess, Exchange, và Office
Communication Server;
• Bảo mật các ứng dụng ảo hóa như Citrix Delivery Platform hoặc các ứng dụng điện
toán mây;
• Chứng thực doanh nghiệp - tránh giả mạo website;
• Bảo mật và mã hóa các thông điệp trao đổi giữa trình duyệt và server;
• Bảo mật dịch vụ FTP;
• Bảo mật truy cập Control panel;
• Bảo mật các dịch vụ truyền dữ liệu trong mạng nội bộ, file sharing, extranet;
• Tạo lợi thế cạnh tranh, tăng niềm tin của khách hàng đối với website, tăng số lượng giao
dịch, giá trị giao dịch trực tuyến của khách hàng
3. Tổng quan về WebServer
3.1 Khái niệm
Web server được biết đến là máy chủ web được dùng để xử lý các request từ trình duyệt
web máy khách và gửi thông tin đến client thông qua giao thức HTTP hoặc những giao
thức khác. Có nhiều webserver phổ biến thường được sử dụng hiện nay như: Apache,
Nginx, IIS... 
Những chương trình trên web server được cài đặt nhằm phục vụ ứng dụng web. Khi
được tiếp nhận các request từ trình duyệt, webserver ngay lập tức sẽ gửi phản hồi đến
client thông qua giao thức HTTP hoặc những giao thức khác. 

Để làm được điều này, mỗi máy chủ web server phải là một kho có dung lượng rất lớn và
có thể tải ở tốc độ rất cao để có thể lưu trữ và vận hành tốt mọi kho dữ liệu trên Internet.
Thông qua các cổng giao tiếp riêng biệt, cấu hình máy chủ web được thiết lập giúp điều
hành hiệu quả cho cả một hệ thống máy tính hoạt động trên Internet. 

Hình 5: Sơ đồ đơn giản của hệ thống mạng

Xây dựng máy chủ web server phải đảm bảo được quy trình hoạt động khắc nghiệt, liên
tục và không ngừng nghỉ để duy trì cung cấp dữ liệu thường xuyên cho mạng lưới máy
tính. Tóm lại, đây sẽ là nơi chứa toàn bộ dữ liệu hoạt động trên internet mà nó được giao
quyền quản lý. 
3.2. Thành phần chính quan trọng của web server

 2 phần chính quan trọng để thực hiện cấu hình máy chủ web không thể thiếu đó là
phần cứng hoặc phần mềm, đôi khi phải cả phần mềm lẫn phần cứng. 
 Về phía phần cứng

Máy chủ web server sẽ được kết nối với internet và truy cập bằng một tên miền giống
như mozilla.org. Đây cũng là nơi lưu trữ các file thành phần của một website (như file
ảnh, CSS, Javascript và HTML) và có thể chuyển chúng tới thiết bị người dùng cuối
cùng.

 Về phía phần mềm

Web server sẽ bao gồm các phần để điều khiển người dùng truy cập tới các file lưu trữ
trên một HTTP server. Một HTTP server là một phần mềm có thể hiểu được các URL và
giao thức trình duyệt đang sử dụng. Bất cứ lúc nào trình duyệt cần đến file dữ liệu trên
máy chủ, trình duyệt sẽ gửi yêu cầu file đó thông qua HTTP. 

Hình 6: Giao thức giữa Webserver và Browser

Với 2 phần cứng và phần mềm này bạn hoàn toàn có thể xây dựng một web server đơn
giản hoặc cầu kỳ ứng dụng cho việc nghiên cứu, phát triển, kinh doanh. 

3.3. Chức năng cơ bản của web server

Chức năng cơ bản của web server không thể thiếu là lưu trữ, xử lý và phân phối nội dung
website đến với khách hàng. 

 Xử lý dữ liệu qua giao thức HTTP:  Xử lý và cung cấp thông tin cho khách hàng
thông qua các máy tính cá nhân trên Internet qua giao thức HTTP. Nội dung được chia sẻ
từ máy chủ web là những nội dung định dạng HTML, các thẻ style sheets, hình ảnh,
những đoạn mã script hỗ trợ nội dung văn bản thôi.... Bạn có thể hiểu đơn giản là khi bạn
truy cập vào Bizfly.vn, máy chủ sẽ cung cấp đến cho bạn tất cả dữ liệu về trang web đó
thông qua lệnh giao tiếp.

 Kết nối linh hoạt: Máy tính nào cũng có thể là một máy chủ nếu nó được cài đặt
một chương trình phần mềm server và có kết nối internet.

 Chương trình chuyển đổi thông minh: Phần mềm web server cũng giống như
các phần mềm khác, nó cho phép người dùng cài đặt và hoạt động trên bất kỳ máy tính
nào đáp ứng đủ yêu cầu về bộ nhớ.

 Lưu trữ dữ liệu trên hình thức thuê các máy chủ nhỏ, máy chủ áo VPS hoặc
hosting.

Vì thế khi thiết kế website xong, cần thực hiện đăng tải website lên web server để giúp
khách hàng có thể truy cập web ở nhiều nơi trên thế giới và hiểu được nội dung bên
trong. 

3.4. Cách thức hoạt động của web server

Để biết được Web Server hay máy chủ web hoạt động như thế nào thì bạn có thể hiểu
như sau: Dựa trên cấu hình máy chủ, khi bạn muốn lấy một trang web, trình duyệt của
bạn sẽ gửi một yêu cầu (request) tới webserver. Lúc này, nó sẽ tìm kiếm file được yêu
cầu trên ổ đĩa mà nó lưu trữ. Khi tìm thấy file, máy chủ sẽ đọc và xử lý (nếu cần), cuối
cùng sẽ gửi nó đến trình duyệt. Để hiểu các bước cụ thể hơn hay xem ngay ở phần bên
dưới.
 Hình 7: Mô hình hoạt động của web server

 Lưu trữ các file (Hosting files)

Phần mềm  Web server chính là nơi lưu trữ các file của website, bao gồm các tài liệu
html, ảnh, file CSS, file Javascript, fonts và videos. Người dùng có thể lưu trữ các file
trên máy tính cá nhân nhưng nó sẽ có nhiều lợi ích khi chúng ta lưu trữ chúng trên
một máy chủ riêng biệt. Các lợi ích đó là:

 Luôn sẵn sàng tải lên và hoạt động

 Kết nối mạng internet 24/24

 Sở hữu một địa chỉ IP cố định

 Được bảo dưỡng từ nhà cung cấp

Dựa trên các lợi ích đó, việc lựa chọn một nhà cung cấp  Web server tốt chiếm một phần
vô cùng quan trọng trong việc phát triển website của bạn.

 Giao tiếp thông qua HTTP

HTTP là gì? HTTP (Hypertext Transfer Protocol)  - giao thức truyền phát siêu văn bản,
một giao thức sẽ là tập hợp các quy tắc để kết nối giữa hai máy tính. Cụ thể HTTP là một
giao thức Textual và Stateless.

 Textual: Tất cả các lệnh đều là văn bản thuần túy và người dùng đều có thể đọc
hiểu.

 Stateless: Là một ứng dụng server có nhiệm vụ cung cấp các quy tắc rõ ràng về
cách server (máy chủ) và client ( khách hàng) giao tiếp với nhau. Các quy tắc đó cụ thể
như sau:

 Web server bắt buộc trả lời mọi yêu cầu HTTP và chỉ mắc ít nhất một thông điệp
lỗi.

 Chỉ khách hàng tạo được các yêu cầu HTTP tới các máy chủ. Tương tự, chỉ các
máy chủ mới có thể đáp trả yêu cầu HTTP của khách hàng.
 Khi yêu cầu một file qua HTTP, khách hàng phải cung cấp URL của file đó.

 Nội dung static vs dynamic

Một webserver có thể xử lý các nội dung static hoặc nội dung dynamic.

Static web server: Mỗi static sẽ bao gồm một Hardware kết hợp với HTTP Server. Lúc
này server máy chủ sẽ gửi những file như HTML, CSS, Javascript... tới trình duyệt web

Dynamic web server: Bao gồm một static cùng với một Application Server ( máy chủ
ứng dụng ) và một databaser. Lúc này Application Server sẽ cập nhật những file được lưu
trữ trực tiếp trên Database và gửi tới trình duyệt web thông qua HTTP Server. 

Chính là việc máy chủ xử lý nội dung hoặc có thể tạo ra dữ liệu dựa trên database. Giải
pháp này sẽ linh hoạt hơn, nhưng đòi hỏi kỹ thuật cao hơn để xử lý cũng như quy trình
xây dựng dynamic website khá phức tạp.

CHƯƠNG 3: THỰC NGHIỆM

Các bước triển khai:

1.1.1. Cài đặt DNS trên máy chủ Windows Server 2012
Bước 1: Đăng nhập bằng tài khoản quản trị Adminstrator vào máy chủ Windows
Server 2012.
Bước 2: Truy cập theo đường dẫn để cài đặt dịch vụ DNS:
Server Manager → Manage → Add Roles and Features
 Bước 3: Cửa sổ Add Roles and Features xuất hiện
chọn Next để bắt đầu quá trình cài đặt.

Trong lựa chọn Select installation type → chọn Role-based or feature-based installation
để cài đặt các dịch vụ và tính năng cho máy chủ.

Chọn Next để tiếp tục cài đặt.

Trong tùy chọn Select destination server → Chọn Select a server from the server pool.

Chọn Next để tiếp tục cài đặt.

Bước 4: Lựa chọn dịch vụ

Trong tùy chọn Select server roles → tích vào dịch vụ DNS server
Chọn Next để tiếp tục cài đặt.
Trong tùy chọn Select features để mặc định và chọn Next để tiếp tục.
Trong tùy chọn Confirm installation selection tích vào tùy chọn Restart the destination
server automatically if required

Chọn Install để cài đặt dịch vụ

 Sau khi cài đặt thành công, trên giao diện Server Manager xuất hiện thêm chức năng
giám sát dịch vụ DNS.

Bước 5: Cấu hình dịch vụ DNS để phân giải tên miền

Nhấn phím Start chọn DNS

Cửa sổ cấu hình DNS xuất hiện

 Bước 6: Cấu hình phân giải xuôi:
Chuột phải vào mục Forward Lookup Zones → chọn New Zone
Trong mục Zone Type → chọn Primary zone

Chọn Next để tiếp tục

Trong mục Zone Name → điền tên miền: hvktmm.org

Trong mục Zone File để mặc định → Next

 Trong mục Dynamic Update → chọn
Allow both nonsecure and secure dynamic update

Chọn Next → Finish

Bước 7: Tạo bản ghi Host A (www)

Chuột phải vào mục hvktmm.org chọn New Host
 Trong mục Name nhập www
Trong mục IP address nhập địa chỉ IP của Server → Add Host

Bước 8: Cấu hình phân giải ngược

Chuột phải vào mục Reverse Lookup Zone chọn New Zone

Trong mục Zone Type → chọn Primary Zone

Trong mục Reverse Lookup Zone Name → chọn Ipv4 Lookup zone → Next Trong
mục Network ID nhập dải địa chỉ IP máy chủ sử dụng: 192.168.1 → Next Trong
mục Zone file để mặc định → Next
Trong mục Dynamic Update chọn Allow both nonsecure and secure dynamic update
→ Next → Finish

Bước 9: Tạo bản ghi phân giải ngược PTR

Chuộc phải vào dải IP đã khai báo chọn New Pointer
 Nhập IP của Server
(192.168.1.)
Trỏ đến bản ghi Host A trong phân giải xuôi.

Nhấn OK → Finish

Bước 10: Kiểm tra phân giải tên miền

Bật của sổ dòng lệnh CMD, sử dụng lệnh nslookup để kiểm tra
Kết quả trả về đã có IP tương ứng với tên miền đã tạo.

1.1.2. Cài đặt dịch vụ web IIS 8 trên máy chủ Windows Server 2012
Thực hiện lại bước 2 và 3 trong mục 1.1.1 để vào mục Select server roles. Tích chọn
dịch vụ Web server (IIS).

Chọn Next để tiếp tục.

Trong mục Select features để mặc định → chọn Next để tiếp tục.
Các bước tiếp theo để mặc định → Install

Sau khi cài đặt thành công trong Server Manager xuất hiện giao diện giám sát dịch vụ
 IIS.

Bước 4: Kiểm tra hoạt động của web server

Bật trình duyệt web IE và gõ tên miền đã tạo ở trên: www.hvktmm.org

Giao diện xuất hiện trang web mặc định của IIS 8.

Bước 5: Tạo trang web riêng

Truy cập vào thư mục lưu trữ web của IIS theo đường dẫn: C:\inetpub\wwwroot. Tạo tệp
tin mới có tên index.html, chỉnh sửa nội dung của file theo ý muốn.

Bước 6: Cấu hình để IIS nhận tệp tin index.html

Thực hiện theo đường dẫn: Start → Internet Information Service

Truy cập vào website mặc định: Default Web Site

Chọn Default Document → Open feature.

Di chuyển vị trí của file index.html lên trên cùng như hình dưới đây:
OK.
Bước 7: Kiểm tra kết quả
Bật trình duyệt web IE và truy cập theo tên miền đã tạo ở trên.

Trang web mặc định hiển thị trang index.html đã tạo ở trên.
1.1.3. Cài đặt dịch vụ Certification Authority (CA)
Bước 1: Thực hiện lại bước 2 và 3 trong mục 3.1.1 để truy cập đến các dịch vụ cần cài
đặt.
Bước 2: Tích chọn dịch vụ Active Directory Certificate Service

Chọn Next để tiếp tục.

Trong mục Select features để mặc định → Next
Trong mục Select role services chọn 2 dịch vụ: Certification Authority và Certification
Authority Web Enrollment.

Chọn Next để tiếp tục, chọn Install để cài đặt dịch vụ.

Bước 3: Cấu hình dịch vụ CA

Sau khi cài đặt dịch vụ CA thành công, chúng ta phải cấu hình tiếp cho CA. Kích chọn
vào biểu tượng hình lá cờ trong giao diện Server Manager như hình dưới đây:
Tiếp tục chọn Configure Active Directory Certificate
Services Trong giao diện Credential để mặc định → chọn
Next
Trong giao diện Role Services tích chọn 2 tùy chọn Certification Authority và
Certification Authority Web Enrollment.

Trong giao diện Setup Type chọn Standalone CA →

Next. Trong giao diện CA Type chọn Root CA → Next.
Trong giao diện Private Key chọn Create a new private key →
Next. Trong giao diện Cryptography for CA chọn mặc định →
Next.
Trong giao diện CA Name đặt tên cho CA → Next.
Trong giao diện Validity Period để mặc định là 5 năm →
Next. Trong giao diện CA database để mặc định.
Cuối cùng chọn Configure → Finish.
Hoàn tất quá trình cài đặt và cấu hình dịch vụ cung cấp chứng
thư số CA.
 1.1.4. Cấu hình SSL cho dịch vụ Web
Bước 1: IIS gửi yêu cầu chứng thư số tới CA
Bật dịch vụ IIS lên, chọn tên của máy chủ web (DC-KMA), trong giao diện ở
giữa DC-KMA Home tìm đến dịch vụ Server Certificates → Open feature

Trong giao diện của Server Certificates, ở cột Action chọn Create Certificate
Request
Trong giao diện tiếp theo nhập các thông tin về máy chủ IIS. Đặc biệt trong mục
Common name phải nhập tên chính xác của tên miền web.

Chọn Next để tiếp tục.

Trong giao diện tiếp theo tùy chọn của độ dài khóa mã, mặc định là 1024 bit.
Trong giao diện tiếp theo File Name, trỏ đến nơi lưu trữ file và đặt tên cho file.
File này lưu trữ thông tin về khóa.
Chọn Finish để kết thúc.

Bước 2: Gắn thông tin về khóa với chứng thư số

- Bật trình duyệt Web IE lên và truy cập theo tên miền vào đường đường dẫn
của CA: http://www.hvktmm.org/certsrv
- Chọn tùy chọn Request a Certificate → Advanced certificate request →
Submit a certificate request by using…
- Mở file key.txt vừa tạo ở trên, copy nội dung của file và dán vào ô Saved
Request.

Chọn Submit.
Yêu cầu chứng thư số kèm với thông tin của khóa mã đã được gửi tới CA.
Bước 3: Cấp chứng thư số cho IIS
- Bật dịch vụ CA lên, truy cập vào mục Pending Requests, thấy có 1 chứng thư
đang chờ đợi duyệt của CA.

- Chuột phải vào chứng thư số có ID là 2 và chọn All Tasks → Issue

Bây giờ trong mục Issued Certificates thấy có chứng thư ID 2 đã được cấp với
các thông tin như đã khai báo lúc yêu cầu.

- Tiếp tục thực hiện như ở bước 2, truy cập IE theo

đường dẫn: http://www.hvktmm.org/certsrv
- Chọn tùy chọn View the status of a pending certificate request

Kích vào đường dẫn Saved-Request Certificate để lưu chứng thư.

Bước 4: Cài đặt chứng thư cho máy chủ IIS
- Bật dịch vụ IIS, chọn máy chủ IIS, chọn Server Certificates, trong mục Action
chọn Open feature

- Chọn Complete Certificate Request

Tiếp tục trỏ đến nơi lưu trữ chứng thư đã tải về từ bước 3.

Nhấn OK để kết thúc.

Bước 5: Cấu hình để máy chủ IIS chạy dịch vụ SSL
- Từ giao diện quản trị của IIS truy cập tới Sites → Default Web Site, trong các
chức năng ở cột giữa Default Web Site Home tìm đến chức năng SSL setting
- Trong mục Action chọn Bindings…
- Giao diện Site Bindings chọn
Add Trong mục Type chọn
https : Port 443
Trong mục SSL Certificate → Select → chọn chứng thư đã cài đặt

Chọn OK để kết thúc.

- Trở lại giao diện Default Web Site Home chọn SSL Settings, mục Action chọn
Open feature. Tích chọn vào yêu cầu SSL, mục Action chọn Apply
Kết thúc cài đặt và cấu
hình SSL.

Bước 6: Kiểm thử

- Bật trình duyệt web IE và gõ tên miền với https

→ Thành công.