Nội dung bài viết
1 Certificate Authority Management
Certificate Authorities (CAs) được quản lý từ System > Cert Manager, trên tab CAs. Từ màn hình này, CAs có thể
được thêm, chỉnh sửa, xuất hoặc xóa.
1.1 Create a new Certificate Authority
Để tạo CAs mới, hãy bắt đầu quy trình như sau:
• Từ System > Cert Manager trên tab CAs.
• Click Add để tạo CA mới.
• Ở mục Descriptive name nhập tên mô tả cho CA. Điều này được sử dụng làm nhãn cho CA này trong toàn bộ GUI.
• Ở mục Method chọn phương pháp phù hợp nhất với cách tạo CA, Các tùy chọn và hướng dẫn thêm nằm trong các phần tương ứng bên dưới:
– Create an Internal Certificate Authority
– Import an Existing Certificate Authority
– Create an Intermediate Certificate Authority
Create an Internal Certificate Authority
Phương pháp phổ biến nhất được sử dụng từ đây là Create an Internal Certificate Authority. Điều này sẽ tạo một CA gốc mới dựa trên thông tin được nhập trên trang này.
- Chọn Key length để chọn mức độ “mạnh” của CA về mã hóa. Nếu key càng dài thì độ an toàn càng cao. Tuy nhiên, các key dài hơn có thể tốn nhiều thời gian xử lý của CPU hơn, vì vậy không phải lúc nào cũng sử dụng giá trị tối đa. Giá trị mặc định của 2048 là một sự cân bằng tốt.
- Chọn Digest Algorithm từ danh sách được cung cấp. Nên sử dụng thuật toán mạnh hơn SHA1 nếu có thể. SHA256 là lựa chọn tốt nhất.
- Distinguished name Nhập tên giá trị Distinguished name cho các thông số được cá nhân hóa trong chứng chỉ.
- Ở phần Lifetime lựa chọn số ngày mà CA sẽ có hiệu lực. Thời lượng phụ thuộc vào sở thích cá nhân và chính sách trang web. Changing the CA frequently is more secure. Theo mặc định, GUI gợi ý sử dụng 3650 ngày, tức là khoảng 10 năm.
- Common Name (CN) Dùng trong nội bộ để xác định CA
- Country Code Đây là chọn quốc gia của bạn, tên quốc gia sẽ được viết tắt. Ví dụ, Việt Nam sẽ là VN
- State or Province Tiếu bang hoặc tỉnh, trường này có thế bỏ trống
- City Thành phố đang sinh sống, trường này có thể bỏ trống
- Organization Tên tổ chức hoặc cơ quan, có thể là tên công ty, trường này có thể bỏ trống
- Organizational Unit Đơn vị tổ chức, trường này có thể bỏ trống
Click Save để lưu
Lưu ý: Nếu lỗi được báo cáo, chẳng hạn như ký tự không hợp lệ hoặc các vấn đề khác, chúng sẽ được mô tả trên màn hình. Hãy sửa lỗi và cố gắng lưu lại.
Import an Existing Certificate Authority
Nếu bạn đã có một CA từ nguồn bên ngoài, bạn có thể sử dụng chức năng Import an Existing Certificate Authority.
- Certificate data Để tín nhiềm CA từ một nguồn khác, Certificate data cho CA là bắt buộc phải có. Nó thường được chứa trong một tệp kết thúc bằng đuôi .crt hoặc .pem.
- Certificate Private Key Phải nhập key của một CA từ nguồn được import vào. Đây là tùy chọn trong hầu hết các trường hợp, nhưng được bắt buộc khi tạo Certificate Revocation List (CRL). Nó thường được chứa trong tệp kết thúc bằng đuôi .key.
- Serial for next certificate Điều này là cần thiết. CA sẽ tạo mỗi chứng chỉ với một số serial duy nhất theo thứ tự. Số thập phân sẽ được sử dụng như số serial cho chứng chỉ tiếp theo được tạo ra bằng cách sử dụng CA này.
Click Save để lưu
Create an Internal Certificate Authority
Một CA trung gian sẽ tạo ra một CA mới có khả năng tạo ra chứng chỉ, nhưng phụ thuộc vào một CA cao hơn nó. Các trường giống hệt với việc Create an Internal Certificate Authority.
1.2 Edit a Certificate Authority
Sau khi CA đã được thêm vào, nó có thể được chỉnh sửa từ danh sách các CA được tìm thấy tại System > Cert Manager trên tab CA. Để sửa CA, hãy bấm vào biểu tượng hình bút chì ở cuối hàng.
Trong hầu hết các trường hợp, mục đích của viêc edit này là để sửa serial của CA nếu cần thiết, hoặc add thêm 1 key từ imported CA để nó có thể sử dụng để create và sign certificates và CRL
1.3 Export a Certificate Authority
Từ System > Cert Manager chọn tab CAs, certificate và/hoặc private key cho CA có thể được export. Khi sử dụng CA cho VPN hoặc hầu hết các mục đích khác chỉ export certificate cho CA.
Để export certificate cho CA, click icon export CA ở bên phải cạnh icon edit. Để export private key, click icon export key ở bên phải ngay cạnh icon export certificate. Các tệp sẽ được tải xuống với tên mô tả của CA dưới dạng tên tệp, với phần mở rộng .crt cho certificate, và .key cho private key.
1.4 Remove a Certificate Authority
Để remove CA, đầu tiên ta cần xoá các Users, Server đang dùng CA đó trước
• Kiểm tra các khu vực đang sử dụng CA, như là OpenVPN, IPsec, và packages.
• Xóa các mục nhập bằng CA hoặc chọn một CA khác.
• Từ System > Cert Manager chọn tab CAs.
• Tìm kiếm CA cần xoá đang được liệt kê trong danh sách.
• Click icon delete CA ở cuối hàng.
• Click OK trên hộp thoại xác nhận.
Nếu có lỗi, hãy làm theo hướng dẫn trên màn hình để khắc phục sự cố rồi thử xoá lại.