Nghiên cứu giải pháp ứng

dụng EBJCA cho giao

thức SSL

Giảng viên hướng dẫn: TS.Hoàng Đức Thọ

Thành viên nhóm : Nguyễn Thị Hồng Lê
Nguyễn Việt Nhật
 1. Giới thiệu PKI

Nội dung 2. Giới thiệu EJBCA

3. Giải pháp ứng dụng

EJBCA cho ứng dụng SSL
 1. Giới thiệu PKI

Nội dung 2. Giới thiệu EJBCA

3. Giải pháp ứng dụng

EJBCA cho ứng dụng SSL
1. Giới thiệu PKI

 Cơ sở hạ tầng khóa công khai (PKI) là một hệ thống tập hợp bao gồm
phần cứng, phần mềm, con người, chính sách và các thủ tục cần thiết
để tạo, quản lý, phân phối, sử dụng, lưu trữ và thu hồi các chứng thư
số (chứng thư điện tử).
 Cơ sở hạ tầng khóa công khai (PKI) được phát triển dựa trên kỹ thuật
mật mã khóa công khai nhằm đảm bảo các mục tiêu: bí mật, toàn vẹn,
xác thực, chống chối bỏ.
 PKI phải đảm bảo được các tính chất sau trong hệ thống trao đổi thông
tin:
 - Tính bí mật (Confidentiality)
 - Tính toàn vẹn (Integrity)
 - Tính xác thực (Authentication)
 - Tính không thể chối từ (Non-Repudiation)
Đăng ký chứng thư số

1. User gửi thông tin về bản thân RA để đăng ký

2. RA gửi thông tin về user và ký yêu cầu được chấp thuận đến trung tâm
CA
3. CA tạo chứng thư trên khóa công khai, ký bằng khóa bí mật của CA và
cập nhật chứng thư vào kho (thư mục LDAP)
4. CA gửi chứng thư trờ lại RA
5. RA cấp chứng thư cho người sử dụng
Hủy bỏ chứng thư số

 User gửi yêu cầu hủy bỏ chứng thư tới RA

 RA gửi yêu cầu hủy bỏ chứng thư sau khi đã ký đến trung tâm CA
 Sau khi xem xét CA loại chứng thư có yêu cầu hủy bỏ và cập nhật danh sách
chứng thư hủy bỏ trên thư mua các chứng thư bị hủy bỏ
 CA gửi mã thông báo đã hủy bỏ chứng thư trở lại RA
 RA gửi thông báo hủy tới người sử dụng
 1. Giới thiệu PKI

Nội dung 2. Giới thiệu EJBCA

3. Giải pháp ứng dụng

EJBCA cho ứng dụng SSL
2. Giới thiệu EBJCA

 EJBCA (Enterprise JavaBeans Certificate Authority) là sản phẩm mã

nguồn mở của hãng Primekey. Đây là một CA được xây dựng trên
công nghệ Java J2EE, nhờ đó hiệu suất hoạt động cũng như khả năng
tùy biến của CA là tương đối cao so với các hệ thống mã nguồn mở
khác. Bên cạnh đó, EJBCA còn cung cấp tính năng và thành phần
(OCSP, RA Service, Publisher,…) giúp cấu thành một hệ thống PKI
tương đối đầy đủ và hoàn thiện.
 EJBCA là một CA đầy đủ chức năng được xây dựng trên Java.
2. Giới thiệu EBJCA
Kiến trúc của EJBCA
2. Giới thiệu EBJCA
Chức năng của EJBCA

 EJBCA là một tổ chức chứng nhận rất phổ biến hiện đang được sử dụng.
 Tùy chọn chọn giữa các thuật toán SHA1 hay SHA256 với RSA và v ới các
kích thước khóa khác nhau như 1024, 2048 và 4096.
 Cung cấp một số tính năng nổi bật về lựa chọn ngôn ngữ trong quá
trình cấu hình hệ thống.
 Ngoài ra cũng có thể chọn loại publisher mình muốn như LDAP, thư
mục động (AD - Active Directory) hay một kết nối publisher tự làm.
 Phát hành chứng nhận theo chuẩn X509.
 Việc ký chứng nhận có thể là tự ký (self-signed), CA bên ngoài
(external CA) hay CA quản trị (admin CA).
 1. Giới thiệu PKI

Nội dung 2. Giới thiệu EJBCA

3. Giải pháp ứng dụng

EJBCA cho ứng dụng SSL
Khái niệm

 SSL (Secure Sockets Layer), thường được gọi là TLS (Transport

Layer Security), là một giao thức để mã hóa lưu lượng truy cập Internet
và xác minh danh tính máy chủ. Bất kỳ trang web nào có địa chỉ web
HTTPS đều sử dụng SSL/TLS.
• Cho phép mã hóa dữ liệu sau đó được gửi đến phía máy chủ.
• Có hai khóa, một là khóa công khai và khóa bí mật để mã hóa và giải
mã (web server).
Kiến trúc SSL

-Tên miền của trang web.

-Miền phụ (subdomain).
-Ngày phát hành.
-Ngày hết hạn.
-Phiên bản SSL/TLS.
-Thông tin cơ quan cấp chứng chỉ.
-Khóa công khai.
-Thuật toán chữ ký chứng chỉ.
Phân loại

 Một miền: Áp dụng cho một website.

 Ký tự đại diện: Áp dụng cho một website nhưng bao gồm các miền phụ của
web đó.
 Đa miền: áp dụng cho nhiều website không liên quan.
Các mức xác thực chứng chỉ SSL
- Xác thực miền (DV SSL): Đây là cấp độ ít nghiêm ngặt nhất và rẻ nhất. Tất cả những gì
doanh nghiệp phải làm là chứng minh họ kiểm soát miền.
- Đã được tổ chức xác thực (OV SSL): CA liên hệ trực tiếp với cá nhân hoặc doanh nghiệp
yêu cầu chứng chỉ. Những chứng chỉ này đáng tin cậy hơn đối với người dùng.
- Được xác thực mở rộng (EV SSL): yêu cầu kiểm tra lý lịch đầy đủ của một tổ chức trước
khi chứng chỉ SSL có thể được cấp.
- Wildcard SSL: dành cho các website có nhu cầu sử dụng SSL cho nhiều subdomain khác
nhau với một chứng chỉ ssl duy nhất.
- UC/SAN SSL: thiết kế cho các ứng dụng Communication của Microsoft và cũng là giải pháp
tiết kiệm cho các môi trường khác như Share Hosting & QA Testing.
Cách thức hoạt động của Quy trình xác minh sự
tin cậy
 Bước 1: Điều đầu tiên sẽ là “bắt tay” được thực hiện giữa trình duyệt yêu cầu và máy chủ web nơi URL
được yêu cầu.
 Bước 2: máy chủ web sẽ gửi chứng chỉ SSL
 Bước 3: Quá trình giải mã phía trình duyệt
 Bước 4: Trao đổi khóa mã hóa
 Bước 5. Bây giờ sẽ sử dụng khóa công khai để mã hóa khóa đối xứng đã tạo trước đó. Sau đó, gửi đến
máy chủ web
 Bước 6. Sau khi máy chủ đã nhận được khóa đối xứng được mã hóa, nó sẽ cố gắng giải mã khóa này bằng
khóa bí mật của nó, trong trường hợp này nó đã được mã hóa bởi khóa công khai của web.
 Bước 7: Cả trình duyệt/máy khách bây giờ sẽ sở hữu khóa đối xứng sẽ được sử dụng để mã hóa/giải mã
giao tiếp. Do đó, giao tiếp giữa các bên sẽ bắt đầu, được mã hóa bằng khóa đối xứng.
Bắt tay tiêu chuẩn

 Bước 1: Client Hello

 Bước 2: Server Hello
 Bước 3: Máy chủ gửi chứng chỉ số
 Bước 4: Tạo và gửi khóa phiên đã được
mã hóa (trao đổi khóa)
 Bước 5: Máy chủ gửi xác nhận
Demo
Phần mềm cần cài đặt

 Hệ điều hành Windows

 apache-ant-1.8.2
 ejbca_ce_6_3_1_1
 jboss-as-7.1.1.Final
Web server
 Xampp
 Web wordpress
Thanks for watching