CRL គឺជាបញ្ជីនៃវិញ្ញាបនបត្រ SSL ដែលបានដកហូត។ តើ CRL ឬបញ្ជីដកហូតវិញ្ញាបនបត្រគឺជាអ្វី? មិនមែនកម្មវិធីរុករកទាំងអស់ទាញយកបញ្ជី CAC ហើយប្រើ OCSP ទេ។
CRL ឬ CAC- បញ្ជីនៃវិញ្ញាបនបត្រ SSL ត្រូវបានដកហូតដោយអាជ្ញាធរចេញប័ណ្ណ (CA) ។ សម្រាប់ឆ្នាំ 2017 មានការបដិសេធក្នុងការប្រើប្រាស់ CRL (САС) ក្នុងការពេញចិត្តចំពោះ OCSP (ពិធីការស្ថានភាពវិញ្ញាបនប័ត្រអនឡាញ)។
SSL ផ្តល់នូវការភ្ជាប់ HTTPS សុវត្ថិភាពទៅកាន់គេហទំព័រ ប៉ុន្តែមានហានិភ័យសុវត្ថិភាពសូម្បីតែជាមួយ វិញ្ញាបនបត្រត្រឹមត្រូវ។. រឿងធម្មតាបំផុតគឺថាសោសម្ងាត់ត្រូវបានសម្របសម្រួល។ ការបញ្ជូនទិន្នន័យក្លាយជាអសន្តិសុខ។ ដើម្បីការពារលេខកាតឥណទាន និងពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់ពីការចូលទៅកាន់អ្នកបោកប្រាស់ វិញ្ញាបនបត្រត្រូវតែដកហូត។
ហេតុផលកំពូលសម្រាប់ការដកហូត SSL៖
- កូនសោរបាត់/លួច ឬខូច
- ឈ្មោះក្រុមហ៊ុនមិនត្រឹមត្រូវ ឬទិន្នន័យផ្សេងទៀត។
- គេហទំព័របានឈប់ដំណើរការ
- ម្ចាស់ធនធានបានផ្លាស់ប្តូរ
- អាជ្ញាធរចេញវិញ្ញាបនប័ត្រត្រូវបានសម្របសម្រួល
តើ CRLs ដំណើរការយ៉ាងដូចម្តេច?
បញ្ជីនៃវិញ្ញាបនបត្រដែលត្រូវបានដកហូតត្រូវបានបោះពុម្ពផ្សាយដោយអាជ្ញាធរវិញ្ញាបនបត្រ (CA) ដែលបានចេញវិញ្ញាបនបត្រ៖
1) ម្ចាស់ដែន ឬអ្នកចូលមើលគេហទំព័រដែលសម្គាល់ឃើញបញ្ហាទាក់ទង CA ហើយស្នើសុំឱ្យលុបចោល SSL បច្ចុប្បន្ន។
2) CA ចូលទៅក្នុងតែមួយគត់ លេខសម្គាល់វិញ្ញាបនបត្រទៅបញ្ជី CAC ដែល៖
- ការពារ ហត្ថលេខាឌីជីថលកណ្តាល - មិនអាចផ្លាស់ប្តូរបានទេ។
- ធ្វើបច្ចុប្បន្នភាពយ៉ាងហោចណាស់ម្តងក្នុងមួយថ្ងៃ - ទាន់សម័យជានិច្ច
3) រាល់ពេលដែលកម្មវិធីរុករករបស់អ្នកចូលមើលភ្ជាប់ទៅធនធាន វាពិនិត្យមើលថាតើវិញ្ញាបនបត្រ SSL ត្រូវបានដកហូតឬអត់។ រកមើលនៅក្នុងបញ្ជី CRL ដែលបានទាញយក ឬតាមរយៈពិធីការ OCSP - តាមរយៈសំណើទៅកាន់ CA ។ ប្រសិនបើវារកឃើញវិញ្ញាបនបត្រនៅក្នុង CRL ឬទទួលបានការឆ្លើយតបពី CA ដែលវិញ្ញាបនបត្រត្រូវបានដកហូត វាបង្ហាញការព្រមានអំពីកំហុស។
មិនមែនកម្មវិធីរុករកទាំងអស់ទាញយកបញ្ជី CAC ហើយប្រើ OCSP ទេ។
Firefoxពិនិត្យស្ថានភាពសម្រាប់តែវិញ្ញាបនបត្រដែលមានសុពលភាព EV បន្ថែម។ អ្នកប្រើប្រាស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតនេះនឹងមិនដឹងពីការដកហូត SSL DV និង OV ទេ។ ដូចអ្នកប្រើទូរសព្ទដែរ។ សាហ្វារីនៅក្នុង iOS ។ Chromeកំណត់ស្ថានភាពនៃវិញ្ញាបនបត្រសម្រាប់ Windows ប៉ុន្តែមិនមែនសម្រាប់ Linux និង Android ទេ។
Internet Explorer និង ល្ខោនអូប៉េរ៉ា- កម្មវិធីរុករកដែលមានសុវត្ថិភាពបំផុតក្នុងរឿងនេះ។ ពួកគេប្រើ OCSP និង CRL អាស្រ័យលើអ្វីដែល CA ផ្តល់ជូន។
វិញ្ញាបនបត្រដែលដកហូតមិនអាចត្រូវបានស្ដារឡើងវិញទេ។ទិញថ្មីតែប៉ុណ្ណោះ។ ថែរក្សាសោសម្ងាត់ - ការបាត់បង់ឬការសម្របសម្រួលរបស់វាច្រើនតែនាំទៅដល់ការដកហូតវិញ្ញាបនបត្រ SSL ។
អត្ថបទនេះគឺជាផ្នែកមួយនៃបរិយាកាសសាកល្បង។
បន្ទាប់ពីជ្រើសរើសគ្រោងការណ៍ឋានានុក្រម អ្នកត្រូវតែជ្រើសរើស៖
- រយៈពេលសុពលភាពនៃវិញ្ញាបនបត្រ CA;
- រយៈពេលសុពលភាពនៃវិញ្ញាបនបត្រដែលបានចេញ;
- កាលបរិច្ឆេទផុតកំណត់សម្រាប់ Base CRL និង Delta CRL ;
- រយៈពេលសុពលភាពនៃការត្រួតគ្នា (ត្រួតស៊ីគ្នា) មូលដ្ឋាន CRL និង Delta CRL ;
- ដោយប្រើ OCSP Online Responder;
- ចំណុចចែកចាយ CRL (CDP) និងការចូលប្រើព័ត៌មានអាជ្ញាធរ (AIA) ។
វាចាំបាច់ក្នុងការធ្វើផែនការជាមុននូវការផ្លាស់ប្តូរដែលនឹងត្រូវបានធ្វើឡើងចំពោះការកំណត់ CA យ៉ាងហោចណាស់ទាំងនេះគឺជាប៉ារ៉ាម៉ែត្រនៃផ្នែកបន្ថែម CDP និង AIA ។ ពួកគេត្រូវតែបញ្ចូលភ្លាមៗបន្ទាប់ពីការដំឡើង និងមុនពេលចេញវិញ្ញាបនបត្រដំបូង។ តាមលំនាំដើម គំរូមួយចំនួនត្រូវបានសម្គាល់សម្រាប់ការបោះពុម្ពដោយស្វ័យប្រវត្តិ។ ឧបករណ៍បញ្ជាដែននឹងស្នើសុំវិញ្ញាបនបត្រពីរសម្រាប់ខ្លួនវាភ្លាមៗនៅពេលដែលវារកឃើញរូបរាងនៃ CA ។ វានឹងកើតឡើងនៅពេលដែលគោលការណ៍ក្រុមត្រូវបានធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ។ សម្រាប់ហេតុផលនេះ បន្ទាប់ពីកំណត់រចនាសម្ព័ន្ធ CA យ៉ាងពេញលេញ អ្នកនឹងត្រូវធ្វើឱ្យប្រាកដថា មិនទាន់មានវិញ្ញាបនបត្រណាមួយត្រូវបានចេញនៅឡើយ។
ការជ្រើសរើសកាលបរិច្ឆេទផុតកំណត់សម្រាប់វិញ្ញាបនបត្រ CA
វាត្រូវបានណែនាំឱ្យជ្រើសរើសរយៈពេលសុពលភាពនៃវិញ្ញាបនបត្រ CA ក្នុងរយៈពេល 5-20 ឆ្នាំ។ កាន់តែច្រើន អ្នកនឹងត្រូវដោះស្រាយការចែកចាយរបស់វាកាន់តែតិច ប៉ុន្តែបញ្ហាកាន់តែច្រើននឹងកើតមាននៅពេលដែលវិញ្ញាបនបត្រនេះត្រូវបានសម្របសម្រួល។ សម្រាប់ឋានានុក្រមកម្រិតតែមួយ រយៈពេលសុពលភាពលំនាំដើមសម្រាប់វិញ្ញាបនបត្រ CA គឺ 5 ឆ្នាំ។ កាលបរិច្ឆេទផុតកំណត់នៃវិញ្ញាបនបត្រ CA ត្រូវបានជ្រើសរើសនៅពេលដែលវាត្រូវបានដំឡើង ឬដោយ CA ខាងលើ។
ការជ្រើសរើសរយៈពេលសុពលភាពសម្រាប់វិញ្ញាបនបត្រដែលបានចេញ
តម្លៃលំនាំដើមគឺ 2 ឆ្នាំ។ គំរូបដិសេធតម្លៃនេះ។
យូរ ៗ ទៅ CRL អាចកើនឡើងយ៉ាងខ្លាំងនៅក្នុងទំហំ។ Delta CRL ត្រូវបានប្រើដើម្បីកាត់បន្ថយការផ្ទុក CRL ទទួលបាន។
តំណភ្ជាប់នៅក្នុងផ្នែកបន្ថែម CDP និង AIA អាចត្រូវបានកែប្រែ និងបន្ថែមតាមពីរវិធី។ ដោយមានជំនួយ certutil.exeនិងជាមួយឧបករណ៍មួយ។ certsrv.msc. ទោះយ៉ាងណាក៏ដោយដោយមានជំនួយពី certsrv.mscអ្នកមិនអាចផ្លាស់ប្តូរលំដាប់នៃសេចក្តីយោងនៅក្នុងវិញ្ញាបនបត្របានទេ។ ហើយប្រសិនបើអ្នកមានគម្រោងផ្លាស់ប្តូរលំដាប់លំនាំដើមនោះ certutil.exeនៅតែជាជម្រើសតែមួយគត់។ តែមួយគត់ ពីព្រោះមិនមែនគ្រប់លក្ខណសម្បត្តិនៃតំណភ្ជាប់ទាំងអស់អាចរកបានតាមរយៈការខ្ទាស់ចូលនោះទេ។ សូមក្រឡេកមើលតំណ AIA លំនាំដើមពី CA ដែលបានដំឡើងថ្មីៗសម្រាប់ខ្លួនអ្នក។ តំណភ្ជាប់ LDAP មានលក្ខណសម្បត្តិ CSURL_SERVERPUBLISH កំណត់ ប៉ុន្តែមិនមានវិធីធម្មតាដើម្បីកំណត់លក្ខណសម្បត្តិនេះក្នុងការស្រូបចូលទេ។ គួរឱ្យចាប់អារម្មណ៍មែនទេ?
ផែនការ CDP
№ | លេខកូដ | |
0 | 65 | C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl 65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl |
1 | 79 | ldap:///CN=%7%8,CN=%2,CN=CDP,CN=សេវាគន្លឹះសាធារណៈ,CN=សេវាកម្ម,%6%10 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=សេវាគន្លឹះសាធារណៈ,CN=សេវាកម្ម,%6%10 |
2 | 6 | http://%1/CertEnroll/%3%8%9.crl ៦៖http://%1/CertEnroll/%3%8%9.crl |
3 | 0 | file://%1/CertEnroll/%3%8%9.crl 0:file://%1/CertEnroll/%3%8%9.crl |
- សម្រាប់សេចក្តីយោង 2 ជម្រើសពីរត្រូវបានបន្ថែម ឧ. រួមបញ្ចូលការបន្ថែមតំណភ្ជាប់ទៅកាន់វិញ្ញាបនបត្រ HTTP ដែលបានបោះពុម្ពផ្សាយ។
- តំណ 3 មិនផ្លាស់ប្តូរទេ ដោយសារម៉ាស៊ីនមេ IIS ស្ថិតនៅលើម៉ាស៊ីនមេ CA ហើយការបោះពុម្ពផ្សាយទៅម៉ាស៊ីនមេ HTTP ត្រូវបានធ្វើនៅលើតំណ 0 ។
certutil.exe:
certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN= CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://%1/CertEnroll/%3%8%9.crl\n0:file://%1/CertEnroll/%3 %8%9.crl"
certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN= %%2,CN=CDP,CN=សេវាសោសាធារណៈ,CN=Services,%%6%%10\n6:http://%%1/CertEnroll/%%3%%8%%9.crl\n0 :file://%%1/CertEnroll/%3%8%9.crl"
ផែនការ AIA
№ | លេខកូដ | សេចក្តីយោង និងប៉ារ៉ាម៉ែត្រដែលបានប្រើ |
0 | 1 | C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt 1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt |
1 | 3 | ldap:///CN=%7,CN=AIA,CN=សេវាគន្លឹះសាធារណៈ, CN=សេវាកម្ម,%6%11 3:ldap:///CN=%7,CN=AIA,CN=សេវាគន្លឹះសាធារណៈ,CN=Services,%6%11 |
2 | 2 | http://%1/CertEnroll/%1_%3%4.crt 2:http://%1/CertEnroll/%1_%3%4.crt |
3 | 0 | file://%1/CertEnroll/%1_%3%4.crt 0:file://%1/CertEnroll/%1_%3%4.crt |
4 | 32 | http://%1/ocsp ៣២៖http://%1/ocsp |
កំណត់ចំណាំ និងភាពខុសគ្នាពីការកំណត់លំនាំដើម៖
- ប៉ារ៉ាម៉ែត្រសម្រាប់ឯកសារយោង 0 មិនអាចកំណត់ពីការខ្ទាស់ចូលបានទេ។ certsrv.msc;
- ប៉ារ៉ាម៉ែត្រសម្រាប់តំណ 1 មិនអាចកំណត់ពីការខ្ទាស់ចូលបានទេ។ certsrv.msc;
- ឯកសារយោង 2 រួមបញ្ចូលទាំងការបោះពុម្ពនៅក្នុងវិញ្ញាបនបត្រដែលបានបោះពុម្ពផ្សាយ;
- តំណ 3 មិនផ្លាស់ប្តូរទេព្រោះម៉ាស៊ីនមេ HTTP ស្ថិតនៅលើម៉ាស៊ីនមេ CA ហើយការបោះពុម្ពផ្សាយទៅម៉ាស៊ីនមេ HTTP ត្រូវបានធ្វើនៅលើតំណ 0;
- បានបន្ថែមតំណ 4 ជាមួយនឹងការបោះពុម្ភភ្ជាប់ទៅកាន់អ្នកឆ្លើយតប OCSP; ប្រសិនបើអ្នកមិនបន្ថែមតំណនេះទេ នោះគ្មានចំណុចណាមួយក្នុងការដំឡើងសេវាកម្មឆ្លើយតបតាមអ៊ីនធឺណិតទេ។
ពាក្យបញ្ជាចុងក្រោយសម្រាប់ការផ្លាស់ប្តូរជាមួយ certutil.exe:
certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n3:ldap:///CN=%7,CN=AIA,CN=សេវាសោសាធារណៈ ,CN=Services,%6%11\n2:http://%1/CertEnroll/%1_%3%4.crt\n0:file://%1/CertEnroll/%1_%3%4.crt\ n32៖http://%1/ocsp"
វាដូចគ្នា ប៉ុន្តែក្នុងករណីប្រតិបត្តិពីឯកសារបាច់មួយ៖
ពិនិត្យបញ្ជី
ឈ្មោះ | ឈ្មោះប៉ារ៉ាម៉ែត្រនៅក្នុង certutil | តម្លៃលំនាំដើម | តម្លៃដែលបានជ្រើសរើស |
ឈ្មោះ CA | YourName Root Certification Authority | ||
វាយ CA | |||
កាលបរិច្ឆេទផុតកំណត់នៃវិញ្ញាបនបត្រ CA | 5 ឆ្នាំ | 10 ឆ្នាំ។ | |
សុពលភាពនៃវិញ្ញាបនបត្រដែលបានចេញ | |||
រយៈពេលសុពលភាពនៃវិញ្ញាបនបត្រដែលបានចេញ | CA\ValidityPeriodUnits | 2 | |
ឯកតានៃការវាស់វែងសម្រាប់រយៈពេលនៃសុពលភាពនៃវិញ្ញាបនបត្រដែលបានចេញ | CA\ValidityPeriod | ឆ្នាំ | |
មូលដ្ឋាន CRL កាលបរិច្ឆេទផុតកំណត់ | |||
រយៈពេលសុពលភាព CRL មូលដ្ឋាន | CA\CRLPeriodUnits | 1 | |
ឯកតារយៈពេលសុពលភាព CRL មូលដ្ឋាន | CA\CRLPeriod | សប្តាហ៍ | |
សុពលភាពនៃ Delta CRL | |||
រយៈពេលសុពលភាពរបស់ Delta CRL | CA\CRLDeltaPeriodUnits | 1 | |
ឯកតារយៈពេលសុពលភាព Delta CRL | CA\CRLDeltaPeriod | ថ្ងៃ | |
រយៈពេលសុពលភាព CRL មូលដ្ឋានត្រួតលើគ្នា។ | |||
ពេលវេលារហូតដល់ CRL ចម្បងបច្ចុប្បន្នផុតកំណត់ មុនពេល CRL ចម្បងថ្មីនឹងត្រូវបានបោះពុម្ពផ្សាយ។ | CA\CRLOverlapUnits | 0 | 24 |
ឯកតានៃពេលវេលានេះសម្រាប់ CRL ចម្បង (ម៉ោង | នាទី) |
CA\CRLOverlapPeriod | ម៉ោង | ម៉ោង |
Delta CRL រយៈពេលសុពលភាពត្រួតគ្នា។ | |||
ពេលវេលារហូតដល់ការកើនឡើងបច្ចុប្បន្ន (ប្រសិនបើប្រើ) CRL ផុតកំណត់មុនពេល CRL បន្ថែមថ្មីនឹងត្រូវបានបោះពុម្ព (អតិបរមា 12 ម៉ោង) |
CA\CRLDeltaOverlapUnits | 0 | 12 |
ឯកតានៃពេលវេលានេះសម្រាប់ CRL បន្ថែម (ម៉ោង | នាទី) |
CA\CRLDeltaPeriodPeriod | នាទី | ម៉ោង |
ប្រើ OCSP | បាទ | ||
ផ្នែកបន្ថែម CDP | CA\CRLPPublishationURLs | ឯកសារ LDAP | ឯកសារ, LDAP, HTTP |
ផ្នែកបន្ថែមរបស់ AIA | CA\CACertPublicationURLs | ឯកសារ LDAP | ឯកសារ, LDAP, HTTP, OCSP |
ស្គ្រីបកំណត់រចនាសម្ព័ន្ធសម្រាប់អាជ្ញាធរបញ្ជាក់
មុនពេលដំឡើងតួនាទី AD CS អ្នកត្រូវតែបង្កើតស្គ្រីបកំណត់រចនាសម្ព័ន្ធដែលនឹងអនុវត្តការកំណត់រចនាសម្ព័ន្ធក្រោយការដំឡើងនៃ CA ដោយផ្អែកលើជម្រើសដែលអ្នកជ្រើសរើស។ ខាងក្រោមនេះគឺជាឧទាហរណ៍នៃស្គ្រីបបែបនេះ៖
CAScript.cmd
:: CDP
certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN= %%2,CN=CDP,CN=សេវាសោសាធារណៈ,CN=Services,%%6%%10\n6:http://%%1/CertEnroll/%%3%%8%%9.crl\n0 :file://%%1/CertEnroll/%%3%%8%%9.crl"
:: AIA
certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN =សេវាសោសាធារណៈ,CN=Services,%%6%%11\n2:http://%%1/CertEnroll/%%1_%%3%%4.crt\n0:file://%%1/ CertEnroll/%%1_%%3%%4.crt\n32:http://%%1/ocsp"
:: ក្នុងករណីប្រើប្រាស់តួនាទី OCSP ពេលបន្តវិញ្ញាបនបត្រ CA អាចមាន
:: បញ្ហាជាមួយនឹងការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ។ ដើម្បីដោះស្រាយបញ្ហានេះ។
:: ត្រូវបានប្រើ៖
certutil –setreg CA\UseDefinedCACertInRequest ១
:: បើកដំណើរការមរតកនៃរបាយការណ៍អ្នកចេញនៅក្នុងវិញ្ញាបនបត្រដែលបានចេញ
certutil -setreg Policy\EnableRequestExtensionList +"2.5.29.32"
:: កំណត់រយៈពេលសុពលភាពនៃវិញ្ញាបនបត្រដែលបានចេញ
::certutil -setreg CA\ValidityPeriodUnits ២
::certutil -setreg CA\ValidityPeriod "ឆ្នាំ"
:: កំណត់ប៉ារ៉ាម៉ែត្របោះពុម្ព CRL
::certutil -setreg CA\CRLPeriodUnits ១
::certutil -setreg CA\CRLPeriod "សប្តាហ៍"
::certutil -setreg CA\CRLDeltaPeriodUnits 1
::certutil -setreg CA\CRLDeltaPeriod "ថ្ងៃ"
:: ផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រត្រួតស៊ីគ្នា CRL
certutil -setreg CA\CRLOverlapUnits ២៤
certutil -setreg CA\CRLOverlapPeriod "ម៉ោង"
certutil –setreg CA\CRLDeltaOverlapUnits ១២
certutil –setreg CA\CRLDeltaOverlapPeriod "ម៉ោង"
:: បើកដំណើរការសវនកម្មពេញលេញសម្រាប់ម៉ាស៊ីនមេ CA
certutil -setreg CA\AuditFilter 127
:: ចាប់ផ្តើមសេវាកម្ម CA ឡើងវិញ
net stop certsvc && net start certsvc
:: បោះផ្សាយ CRL ថ្មីទៅទីតាំងថ្មី។
certutil - CRL
ចំណាំ៖សម្ភារៈនេះត្រូវបានបោះពុម្ពផ្សាយជាចំណេះដឹងចាំបាច់សម្រាប់អ្នកជំនាញ IT ដែលចូលរួម ឬគ្រាន់តែនឹងដោះស្រាយប្រធានបទ PKI (រចនាសម្ព័ន្ធសោសាធារណៈ).
អ្នកគ្រប់គ្រងប្រព័ន្ធភាគច្រើនជឿថាការធ្វើផែនការ CRLs (CRLs) បញ្ជីដកហូតវិញ្ញាបនបត្រ - CRL) និងឯកសារវិញ្ញាបនបត្រនៃម៉ាស៊ីនមេ CA ខ្លួនឯង - នេះគឺជារឿងបឋម។ ប៉ុន្តែការអនុវត្តបង្ហាញថាពួកគេភាគច្រើនខុសខ្លាំងណាស់។ ដូច្នេះហើយ ខ្ញុំស្នើឱ្យរង់ចាំបន្តិចជាមួយ CryptoAPI ហើយនិយាយអំពីអ្វីដែលសំខាន់ជាងនេះទៀត - អនុសាសន៍សម្រាប់រៀបចំផែនការបោះពុម្ព CRLs និង CA វិញ្ញាបនបត្រ ( អាជ្ញាធរបញ្ជាក់) ដែលត្រូវបានប្រើដោយម៉ាស៊ីនច្រវ៉ាក់វិញ្ញាបនបត្រ ដើម្បីបង្កើត និងផ្ទៀងផ្ទាត់ខ្សែសង្វាក់វិញ្ញាបនបត្រ។ អ្នកអាចអានប្រកាសអំពីរបៀបដែលម៉ាស៊ីននេះដំណើរការ៖ ម៉ាស៊ីនច្រវ៉ាក់វិញ្ញាបនប័ត្រ - របៀបដែលវាដំណើរការ .
តើកន្លែងណា និងរបៀបបោះផ្សាយឯកសារ CRL និង CRT?
ដូចដែលអ្នកបានដឹងហើយថា វិញ្ញាបនបត្រនីមួយៗដែលចេញដោយ CA (លើកលែងតែវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯង។ វិញ្ញាបនបត្រឫសគល់ក៏ជាវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង) មានផ្នែកបន្ថែមចំនួន 2៖
- នៅក្នុងផ្នែកបន្ថែម " ចំណុចចែកចាយ CRL (CDP)" តំណភ្ជាប់ទៅ CRL នៃ CA ដែលចេញវិញ្ញាបនបត្រជាក់លាក់ត្រូវបានរក្សាទុក។
- នៅក្នុងផ្នែកបន្ថែម " ការចូលប្រើព័ត៌មានរបស់អាជ្ញាធរ (អេអាយអេ)" រក្សាទុកឯកសារយោងទៅវិញ្ញាបនបត្ររបស់ CA ដែលបានចេញវិញ្ញាបនបត្រជាក់លាក់។ ហើយសម្រាប់វិញ្ញាបនបត្រដែលចេញដោយ CA ដែលដំណើរការ Windows Server 2008 និងក្រោយ ពួកវាអាចមានតំណភ្ជាប់ទៅកាន់ OCSP Responder (សូមមើលខាងក្រោម)។ OCSP (ផ្នែកទី 1)និង OCSP (ផ្នែកទី 2))
ជាគោលការណ៍ការកំណត់ទាំងនេះគឺសមរម្យសម្រាប់ ប្រតិបត្តិការធម្មតា។ម៉ាស៊ីនច្រវ៉ាក់វិញ្ញាបនបត្រនៅក្នុងបណ្តាញតូចៗដែលមានព្រៃឈើតែមួយ និងដែនដោយគ្មានគេហទំព័រ (ឬជាមួយគេហទំព័រដែលភ្ជាប់ដោយបណ្តាញលឿន)។ ប្រសិនបើបណ្តាញមានដែនជាច្រើន (ឬព្រៃឈើដែលមានការកំណត់រចនាសម្ព័ន្ធការចុះឈ្មោះឆ្លងព្រៃ) និងគេហទំព័រដែលភ្ជាប់ដោយបណ្តាញដែលមិនលឿនពេក នោះការកំណត់ទាំងនេះអាចនាំទៅរកការបរាជ័យក្នុងការសាងសង់ និងការផ្ទៀងផ្ទាត់ខ្សែសង្វាក់វិញ្ញាបនបត្រ។ ខ្ញុំនឹងមិនប្រាប់អ្នកពីអ្វីដែលសញ្ញាធីកមានន័យនោះទេព្រោះ។ អ្នកអាចរកឃើញពួកវានៅក្នុងអត្ថបទ លក្ខណៈសម្បត្តិនៃការបោះពុម្ព CRLនិង AIA Publishing Propertiesហើយខ្ញុំនឹងបន្តទៅការវិភាគផ្លូវភ្លាមៗ។
ផ្លូវទីមួយបញ្ជាក់ផ្លូវប្រព័ន្ធឯកសារដែលឯកសារ CRL និង CRT ត្រូវបានបោះពុម្ពជារូបវ័ន្ត។ តំណខាងក្រោម (LDAP://(ផ្លូវ LDAP)) បញ្ជាក់ចំណុចបោះពុម្ព CRL និង CRT នៅក្នុង Active Directory។ ដូចគ្នានេះផងដែរ ផ្លូវទាំងនេះនឹងត្រូវបានចុះឈ្មោះនៅក្នុងវិញ្ញាបនបត្រដែលបានចេញទាំងអស់។ តំណទីបី (HTTP://(URL)) បញ្ជាក់ URL ដែលអតិថិជនអាចទាញយកឯកសារតាមរយៈ HTTP ហើយ URL នេះនឹងត្រូវបានរួមបញ្ចូលនៅក្នុងផ្នែកបន្ថែម CDP/AIA នៃវិញ្ញាបនបត្រដែលបានចេញទាំងអស់។ តំណភ្ជាប់ចុងក្រោយមិនធ្វើអ្វីសោះ ហើយត្រូវបានបន្ថែមជាចំណុចបន្ថែមនៃការបោះពុម្ពឯកសារ CRL/CRT នៅលើបណ្តាញចែករំលែក។ ហេតុអ្វីបានជាការកំណត់ទាំងនេះមិនសាកសមសម្រាប់បណ្តាញធំ?
នេះជារបៀបដែលផ្នែកបន្ថែម CDP និង AIA នឹងមើលទៅក្នុងវិញ្ញាបនបត្រដែលបានចេញជាមួយនឹងការកំណត់ទាំងនេះ៖
ចំណុចចែកចាយ CRL
ឈ្មោះចំណុចចែកចាយ៖
ឈ្មោះពេញ:
URL=ldap:///CN=Contoso%20CA,CN=DC1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=contoso,DC=com?certificateRevocationList?base?objectClass =cRLDistributionPoint
URL=http://dc1.contoso.com/CertEnroll/Contoso%20CA.crl
ការចូលប្រើព័ត៌មានអាជ្ញាធរ
ឈ្មោះជំនួស៖
URL=ldap:///CN=Contoso%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=contoso,DC=com?cACertificate?base?objectClass=certificationAuthority
ការចូលប្រើព័ត៌មានអាជ្ញាធរ
វិធីសាស្រ្តចូលដំណើរការ=អ្នកចេញអាជ្ញាធរបញ្ជាក់ (1.3.6.1.5.5.7.48.2)
ឈ្មោះជំនួស៖
URL=http://dc1.contoso.com/CertEnroll/DC1.contoso.com_Contoso%20CA.crt
នេះជាការសំខាន់ដើម្បីដឹងព្រោះម៉ាស៊ីនច្រវ៉ាក់វិញ្ញាបនបត្រ (សូមហៅវាថា ស៊ី.ស៊ី) នឹងធ្វើឱ្យសេចក្តីយោងមានសុពលភាពតាមលំដាប់ដែលពួកគេបង្ហាញក្នុងផ្នែកបន្ថែមវិញ្ញាបនបត្រ។ ទាំងនោះ។ ដំបូងនឹងព្យាយាមទាញយកឯកសារពី Active Directory រយៈពេល 10 វិនាទី។ ប្រសិនបើឯកសារមិនត្រូវបានទាញយកក្នុងរយៈពេល 10 វិនាទី CCE នឹងព្យាយាមទាញយកឯកសារដែលបានបញ្ជាក់ពីតំណខាងក្រោម (HTTP)។ ក្នុងពេលជាមួយគ្នានេះ ពេលវេលាសម្រាប់នេះនឹងតិចជាង 2 ដង (ឧ. 5 វិនាទី) ជាងការប៉ុនប៉ងមុន។ ហើយវានឹងកើតឡើងជាមួយនឹងតំណបន្តបន្ទាប់គ្នា រហូតដល់ឯកសារត្រូវបានទទួល តំណភ្ជាប់នឹងអស់ ឬវារលត់ដោយអស់ពេល។ យ៉ាងពិតប្រាកដ 20 វិនាទីត្រូវបានបម្រុងទុកសម្រាប់ដំណើរការនៃផ្នែកបន្ថែមនីមួយៗសម្រាប់ CCE ។
រួចហើយនៅដំណាក់កាលនេះ វាច្បាស់ណាស់ថាម៉ាស៊ីនភ្ញៀវដែលមិនមែនជាដែនណាមួយ (ជាស្មាតហ្វូន ស្ថានីយការងារដាច់ដោយឡែកនៅលើអ៊ីនធឺណិត។ បរាជ័យ។ ដូច្នេះ តំណភ្ជាប់ដំបូងនៅក្នុង CDP/AIA គួរតែជាតំណភ្ជាប់ដែលប្រើពិធីការជាសកលសម្រាប់ទាំងអស់គ្នា (វាគួរតែជា HTTP) ទោះបីជាការពិតដែលថានៅក្នុងដែនដែល CA ស្ថិតនៅក៏ដោយ ការចូលប្រើតាមរយៈ LDAP នឹងលឿនជាងបន្តិច។
ចំណុចទីពីរគឺការចម្លងវត្ថុ AD ។ នៅពេលដែល CRL/CRT ត្រូវបានបោះពុម្ពផ្សាយទៅកាន់ Active Directory វាត្រូវចំណាយពេលបន្តិចដើម្បីឱ្យអតិថិជនដឹងអំពីវា។ នេះគឺជាកន្លែងដែលកត្តាចម្លង AD ចូលមក។ ចាប់តាំងពីវត្ថុ PKI ទាំងអស់ត្រូវបានបោះពុម្ពនៅក្នុង AD ក្រោម បរិបទនៃការដាក់ឈ្មោះព្រៃឈើបន្ទាប់មកទិន្នន័យនេះត្រូវបានចម្លងមិនត្រឹមតែនៅក្នុងដែនបច្ចុប្បន្នប៉ុណ្ណោះទេ ប៉ុន្តែនៅទូទាំងព្រៃទាំងមូល។ ដូច្នេះ ការពន្យារពេលក្នុងការបង្ហាញឯកសារថ្មីដោយអតិថិជនអាចមានសារៈសំខាន់ខ្លាំងណាស់ ហើយឈានដល់ជាច្រើនម៉ោង។ ការពន្យារពេលអាចមានរហូតដល់ពីរវដ្តនៃការចម្លងពេញលេញនៅក្នុងព្រៃ។ ហើយប្រសិនបើអ្នកប្រើការចុះឈ្មោះឆ្លងព្រៃ នោះស្ថានភាពនឹងកាន់តែអាក្រក់នៅទីនោះ ព្រោះវាក៏នឹងអាស្រ័យលើភាពញឹកញាប់នៃការចម្លងវត្ថុ PKI រវាងព្រៃឈើ (AD មិនគាំទ្រការចម្លងរវាងព្រៃឈើ និងវត្ថុ PKI ត្រូវបានចម្លងដោយដៃ) និងអាច មកដល់ច្រើនថ្ងៃហើយ។ សម្រាប់ហេតុផលនេះ វាត្រូវបានណែនាំឱ្យអ្នកបោះបង់ចោលទាំងស្រុងនូវការបោះពុម្ព CRL / CRT នៅក្នុង AD និងការបញ្ចូលតំណភ្ជាប់ទាំងនេះនៅក្នុងវិញ្ញាបនបត្រ ឬធ្វើតាមពិធីការដែលអាចចូលប្រើបានច្រើនជាងនេះ។
ជាមួយ HTTP ផងដែរ មិនមែនអ្វីៗទាំងអស់គឺល្អឥតខ្ចោះដូចដែលវាហាក់ដូចជានៅ glance ដំបូងនោះទេ។ វាមិនចាំបាច់ទាល់តែសោះដែលម៉ាស៊ីនមេ CA ក៏ដើរតួជាម៉ាស៊ីនមេបណ្តាញ (ទោះបីជានេះអាចទទួលយកបានសម្រាប់តែការប្រើប្រាស់ផ្ទៃក្នុងជាមួយនឹងការកក់ជាក់លាក់)។ វានឹងកាន់តែប្រសើរ ទោះបីជាឯកសារ CRL/CRT ត្រូវបានចម្លងទៅទាំងម៉ាស៊ីនមេគេហទំព័រខាងក្នុង និងខាងក្រៅក៏ដោយ។ តាមឧត្ដមគតិ ឯកសារទាំងនេះគួរតែត្រូវបានចម្លងទៅកាន់ម៉ាស៊ីនមេគេហទំព័រខាងក្នុងយ៉ាងតិច 1-2 និងខាងក្រៅ 1-2 ដើម្បីឱ្យមានភាពអាចរកបានខ្ពស់។ ក្នុងករណីបែបនេះ តំណភ្ជាប់ទី 4 នៅក្នុងការកំណត់ CA ត្រូវបានប្រើរួចហើយ ដែលគួរតែចង្អុលទៅការចែករំលែក DFS ដូច្នេះឯកសារត្រូវបានចែកចាយដោយស្វ័យប្រវត្តិទៅម៉ាស៊ីនមេគេហទំព័រ។ ហើយនៅទីនេះយើងប្រឈមមុខនឹងភាពយឺតយ៉ាវនៃការចម្លង DFS រវាងម៉ាស៊ីនមេម្តងទៀត។ ប្រសិនបើគម្រោងការបោះផ្សាយ CRL/CRT ទាំងអស់ត្រូវទទួលរងនូវភាពយឺតយ៉ាវនៃការចម្លង តើអ្នកដោះស្រាយវាដោយរបៀបណាដើម្បីឱ្យឯកសារទាន់សម័យជានិច្ច?
ចំណាំ៖ទោះបីជា CCE គាំទ្រការទាញយក CRLs និង CRTs ពីតំណ HTTPS ក៏ដោយ វាត្រូវបានហាមឃាត់យ៉ាងតឹងរ៉ឹង បើមិនដូច្នេះទេ CCE នឹងធ្លាក់ចូលទៅក្នុងរង្វិលជុំគ្មានទីបញ្ចប់នៃការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ។
ភាពញឹកញាប់នៃការបោះពុម្ព និងធ្វើបច្ចុប្បន្នភាពឯកសារ CRL និង CRT
តាមលំនាំដើមនៅក្នុង Windows Server, CRLs ស្នូល ( មូលដ្ឋាន CRL) ត្រូវបានបោះពុម្ពម្តងក្នុងមួយសប្តាហ៍ និង CRLs បន្ថែម ( Delta CRL) ត្រូវបានបោះពុម្ពម្តងក្នុងមួយថ្ងៃ។ ឯកសារវិញ្ញាបនបត្រ CA ជាធម្មតាត្រូវបានបន្តជាថ្មីនៅចន្លោះពេលស្មើនឹងអាយុកាលនៃវិញ្ញាបនបត្រផ្ទាល់របស់ CA (ឬញឹកញាប់ជាងនេះប្រសិនបើវិញ្ញាបនបត្រ CA ត្រូវបានបន្តឡើងវិញដោយពណ៌ខៀវ)។ ប្រសិនបើវិញ្ញាបនបត្រ CA ចាំបាច់ត្រូវធ្វើបច្ចុប្បន្នភាពកម្រណាស់ (រៀងរាល់ពីរបីឆ្នាំម្តង) ហើយវាគួរតែត្រូវបានរៀបចំដោយឡែកពីគ្នា នោះ CRL ត្រូវបានធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិដោយគ្មានការជ្រៀតជ្រែកពីអ្នកគ្រប់គ្រង ហើយការកែតម្រូវពិសេសត្រូវបានទាមទារនៅទីនេះ ដែលយើងនឹងនិយាយអំពីឥឡូវនេះ។
បើយើងក្រឡេកមើល CRL យើងនឹងឃើញដូចខាងក្រោម៖
ឥឡូវនេះយើងនឹងចាប់អារម្មណ៍លើតែ 3 វាល:
- កាលបរិច្ឆេទមានប្រសិទ្ធភាព- បង្ហាញពីកាលបរិច្ឆេទ និងពេលវេលាដែល CRL នេះត្រូវបានចាត់ទុកថាមានសុពលភាព និងតាមលំនាំដើម 10 នាទីតិចជាងពេលវេលាជាក់ស្តែងដើម្បីរ៉ាប់រងការចំណាយនៃការធ្វើសមកាលកម្មពេលវេលារវាងម៉ាស៊ីនមេ និងម៉ាស៊ីនភ្ញៀវ។
- បច្ចុប្បន្នភាពបន្ទាប់- បង្ហាញពីកាលបរិច្ឆេទ និងពេលវេលានៅពេលដែល CRL ជាក់លាក់មួយផុតកំណត់ ហើយត្រូវបានចាត់ទុកថាមិនត្រឹមត្រូវ។
- ការបោះពុម្ព CRL បន្ទាប់- បង្ហាញពីកាលបរិច្ឆេទ និងពេលវេលានៃការបោះពុម្ព CRL បន្ទាប់។
ចំណាំ៖ពេលវេលានៅក្នុងវាលទាំងនេះត្រូវបានបញ្ជាក់ជាទម្រង់ UTC ដោយមិនគិតពីតំបន់ពេលវេលា។
ជាធម្មតា ការអាប់ដេតបន្ទាប់ និងពេលបោះពុម្ពបន្ទាប់ CRL គឺដូចគ្នា។ ប៉ុន្តែសម្រាប់ខ្ញុំ ដូចដែលអ្នកបានឃើញក្នុងរូបភាព ការអាប់ដេតបន្ទាប់គឺ 8 ថ្ងៃ (រយៈពេលសុពលភាព CRL លំនាំដើម) ប៉ុន្តែ Next CRL Publish គឺ 7 ថ្ងៃបន្ទាប់ពីការចាប់ផ្តើម CRL ។ ទាំងនោះ។ CRL ត្រូវបានធ្វើបច្ចុប្បន្នភាពរៀងរាល់ 7 ថ្ងៃម្តង ប៉ុន្តែរយៈពេលមានសុពលភាពគឺ 8 ថ្ងៃ (រយៈពេលបោះពុម្ព CRL + ពេលវេលាត្រួតស៊ីគ្នា)។ នេះត្រូវបានធ្វើដើម្បីគ្របដណ្តប់ពេលវេលា (ការចម្លងលើសលប់) នៃការផ្សព្វផ្សាយ CRLs ពីម៉ាស៊ីនមេ CA ទៅកាន់ចំណុចដែលអតិថិជននឹងទាញយក CRL ។ តើវារួចរាល់ដោយរបៀបណា?
ដើម្បីធ្វើដូចនេះនៅក្នុងបញ្ជីឈ្មោះនៅលើម៉ាស៊ីនមេ CA តាមបណ្តោយផ្លូវ HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\CA Nameមាន 4 គ្រាប់ចុច:
- CRLOoverlapUnits- បង្ហាញពីពេលវេលារហូតដល់ការផុតកំណត់នៃ CRL មេបច្ចុប្បន្ន ដែល CRL មេថ្មីនឹងត្រូវបានបោះពុម្ព។
- CRLOoverlapPeriod- បង្ហាញពីឯកតានៃពេលវេលានេះសម្រាប់ CRL មេ
- CRLDeltaOverlapUnits- បង្ហាញពីពេលវេលាមុនពេលផុតកំណត់នៃការកើនឡើងបច្ចុប្បន្ន (ប្រសិនបើប្រើ) CRL ដែល CRL បន្ថែមថ្មីនឹងត្រូវបានបោះពុម្ព
- CRLDeltaPeriodPeriod- បង្ហាញពីឯកតានៃពេលវេលានេះសម្រាប់ CRL បន្ថែម។
ប្រសិនបើអ្នកកំពុងប្រើតំណភ្ជាប់ LDAP នៅក្នុងផ្នែកបន្ថែមវិញ្ញាបនបត្រ CDP/AIA និង/ឬអ្នកមានភាពយឺតយ៉ាវនៃការចម្លងឯកសាររវាងម៉ាស៊ីនមេគេហទំព័រ នោះអ្នកគួរតែកែតម្រូវពេលវេលានេះឱ្យមិនតិចជាងរយៈពេលនៃការចម្លងថតចម្លងឯកសារ AD អតិបរមារបស់ DFS សម្រាប់មូលដ្ឋានទាំងពីរ។ និង CRLs បន្ថែម (ប្រសិនបើអ្នកប្រើពួកវា) ។ ប្រតិបត្តិការនេះអាចត្រូវបានដោយស្វ័យប្រវត្តិជាមួយនឹងឧបករណ៍ប្រើប្រាស់ certutil៖
certutil –setreg ca\CRLOverlapUnits ១
certutil –setreg ca\CRLOverlapPeriod "ថ្ងៃ"
certutil –setreg ca\CRLDeltaOverlapUnits ៨
certutil –setreg ca\CRLDeltaOverlapPeriod "ម៉ោង"
net stop certsvc & net start certsvc
ចំណាំ៖ CRLOverlap មិនអាចធំជាងប្រេកង់បោះពុម្ព BaseCRL ហើយ CRLDeltaOverlap មិនអាចធំជាង 12 ម៉ោង។
ភាពញឹកញាប់នៃការបោះពុម្ពទូទៅនៃឯកសារ CRL ដោយខ្លួនឯងគឺអាស្រ័យលើចំនួនវិញ្ញាបនបត្រដែលត្រូវបានដកហូតក្នុងរយៈពេលមួយ (ជាធម្មតាត្រូវបានវាស់ជាសប្តាហ៍)។ ប្រសិនបើវិញ្ញាបនបត្រត្រូវបានដកហូតរាប់សិបក្នុងមួយសប្តាហ៍ នោះវាសមហេតុផលក្នុងការកាត់បន្ថយភាពញឹកញាប់នៃការបោះពុម្ព CRLs សំខាន់ៗមកត្រឹម 2 ដងក្នុងមួយសប្តាហ៍ និង Delta CRLs មក 2 ដងក្នុងមួយថ្ងៃ។ ប្រសិនបើវិញ្ញាបនបត្រត្រូវបានដកហូតជាញឹកញាប់ (តិចជាងម្តងក្នុងមួយសប្តាហ៍) នោះប្រេកង់នៃការបោះពុម្ពមូលដ្ឋាន CRL អាចត្រូវបានកើនឡើងដល់ 2-4 សប្តាហ៍ ហើយ Delta CRL សូម្បីតែអាចត្រូវបានបោះបង់ចោល ឬបោះពុម្ពម្តងក្នុងមួយសប្តាហ៍។ ប៉ុន្តែនេះអនុវត្តចំពោះតែការចេញ ឬ CA តាមអ៊ីនធឺណិតប៉ុណ្ណោះ។ សម្រាប់ Offline CA ការណែនាំនឹងខុសគ្នាបន្តិច។ ដោយសារ CAs ក្រៅបណ្តាញគ្រាន់តែចេញវិញ្ញាបនបត្រដល់ CAs ផ្សេងទៀត ហើយត្រូវបានបិទភាគច្រើនបំផុត ពួកគេគួរតែបិទការបោះពុម្ព Delta CRL (ដោយកំណត់ CRL ដីសណ្តរឯកតារយៈពេលដល់សូន្យ) ហើយបោះផ្សាយ CRL សំខាន់រៀងរាល់ 3-12 ខែ។ ទោះបីជានេះជា CA ក្រៅបណ្តាញក៏ដោយ វាក៏ជាកម្មវត្ថុនៃតម្រូវការសម្រាប់ការកែតម្រូវពេលវេលានៃការបោះពុម្ពផ្សាយ និងសុពលភាពនៃ CRL ផងដែរ។
CDP និង AIA នៅក្នុងវិញ្ញាបនបត្រ root
ដូចដែលបានកត់សម្គាល់រួចមកហើយ ផ្នែកបន្ថែម CDP និង AIA មានតំណភ្ជាប់ទៅកាន់ CRL/CRT នៃ CA ដែលបានចេញវិញ្ញាបនបត្រជាក់លាក់ បន្ទាប់មកវានឹងខុសគ្នាបន្តិចបន្តួចជាមួយវិញ្ញាបនបត្រឫសគល់។ ដើម្បីអោយកាន់តែច្បាស់លាស់ ផ្នែកបន្ថែមទាំងនេះមិនគួរមាននៅក្នុងវិញ្ញាបនបត្រ root ទាល់តែសោះ។ ហេតុអ្វី? Windows Server 2003 បានបន្ថែមផ្នែកបន្ថែមទាំងនេះទៅវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងតាមលំនាំដើមនៅពេលដែល CA ត្រូវបានកំណត់រចនាសម្ព័ន្ធជា root CA ។ នៅក្នុងនោះ AIA មានតំណភ្ជាប់ដែលអ្នកអាចទាញយកវិញ្ញាបនបត្រដូចគ្នា។ អស្ចារ្យ :-)។
ហើយ CDP មិនត្រជាក់តិចទេ។ វិញ្ញាបនបត្រឫសគល់គឺតែងតែជាចំណុចបញ្ចប់នៃខ្សែសង្វាក់ខ្លួនវា និងការជឿទុកចិត្តនៃខ្សែសង្វាក់វិញ្ញាបនបត្រនោះ។ វិញ្ញាបនបត្រជា Root តែងតែត្រូវបានជឿទុកចិត្តយ៉ាងច្បាស់លាស់ដោយដាក់វិញ្ញាបនបត្រនៅក្នុងធុងមួយ។ Root CAs ដែលជឿទុកចិត្ត(និងវិញ្ញាបនបត្រផ្សេងទៀតទាំងអស់ត្រូវបានទុកចិត្តដោយប្រយោលតាមរយៈខ្សែសង្វាក់វិញ្ញាបនបត្រ)។ ដូច្នេះ មធ្យោបាយតែមួយគត់ក្នុងការមិនទុកចិត្តវិញ្ញាបនបត្រ CA របស់ root គឺត្រូវដកវិញ្ញាបនបត្រដោយខ្លួនវាផ្ទាល់ពីកុងតឺន័រ Root CAs ដែលគួរឱ្យទុកចិត្ត ហើយគ្មានអ្វីផ្សេងទៀតទេ។ បញ្ហាទីពីរគឺថា CRLs ទាំងអស់ត្រូវបានចុះហត្ថលេខាជាមួយនឹងសោឯកជនរបស់ CA ខ្លួនឯង។ ឥឡូវនេះឧបមាថា CA បានដកហូតវិញ្ញាបនបត្ររបស់វា ហើយដាក់វានៅក្នុង CRL ។ អតិថិជនទាញយក CRL ហើយឃើញថាវិញ្ញាបនបត្រ CA ត្រូវបានដកហូត។ វាអាចត្រូវបានសន្មត់ថានេះគឺទាំងអស់ហើយមិនមានបញ្ហានៅទីនេះទេ។ ទោះយ៉ាងណាក៏ដោយ វាបង្ហាញថា CRL ត្រូវបានចុះហត្ថលេខាដោយវិញ្ញាបនបត្រដែលត្រូវបានដកហូត ហើយយើងមិនអាចជឿទុកចិត្តលើ CRL នេះបានទេ ហើយយើងក៏មិនអាចចាត់ទុកវិញ្ញាបនបត្រ CA ដែលត្រូវដកហូតបានដែរ។ នេះជាមូលហេតុដែលចាប់ផ្តើមជាមួយ Windows Server 2008 នៅពេលដំឡើង root CA ផ្នែកបន្ថែមទាំងនេះមិនត្រូវបានបញ្ចូលក្នុងវិញ្ញាបនបត្រ root តាមលំនាំដើមទៀតទេ។ ហើយសម្រាប់ Windows Server 2003 ខ្ញុំត្រូវឆ្លាក់ឈើច្រត់នៅក្នុងឯកសារ CApolicy.inf:
ទទេ = ពិត
ទទេ = ពិត
ដូចដែលការអនុវត្តបង្ហាញ អ្នកគ្រប់គ្រងជាច្រើនមិនអើពើនឹងរឿងបែបនេះ ហើយធ្វើឱ្យអ្វីៗទាំងអស់មានលក្ខណៈសាមញ្ញ Next-Next ដែលពួកគេគួរតែឆេះនៅក្នុងនរក។ ប៉ុន្តែមិនត្រឹមតែអ្នកគ្រប់គ្រងវីនដូសាមញ្ញប៉ុណ្ណោះទេ យានរុករកព្រះច័ន្ទ (អ្នកគាំទ្រលីនុច) ក៏គួរតែដុតនៅទីនោះដែរ។ ជាឧទាហរណ៍ជាក់ស្តែងនៃការរញ៉េរញ៉ៃនៅក្នុងវិញ្ញាបនបត្រ ខ្ញុំនឹងលើកយកក្រុមហ៊ុនមួយ។ startcomដែលនៅក្នុងខែកញ្ញា ឆ្នាំ 2009 បានទទួលសិទ្ធិក្នុងការចេញ EV (សុពលភាពបន្ថែម) វិញ្ញាបនបត្រ ហើយនេះគឺជាវិញ្ញាបនបត្រឫសគល់របស់ពួកគេ៖ http://www.startssl.com/sfsca.crt
ពួកគេមិនត្រឹមតែមានផ្នែកបន្ថែម CDP នៅក្នុងវិញ្ញាបនបត្រ root របស់ពួកគេប៉ុណ្ណោះទេ ប៉ុន្តែពួកគេក៏មានភាពច្របូកច្របល់ជាមួយនឹងតំណភ្ជាប់ទៅកាន់ CRLs នៅក្នុងសង្វាក់ផងដែរ។ មានការសង្ស័យថាវាត្រូវបានធ្វើឡើងដើម្បីគាំទ្រប្រភេទនៃសាខាលីនុចមួយចំនួន (សម្រាប់ភាពត្រូវគ្នាឬគ្រាន់តែជាឈើច្រត់) ប៉ុន្តែនេះជារបៀបដែលប្រភពបើកចំហ។ ដូច្នេះមិនមែនគ្រប់ CA សាធារណៈ និងពាណិជ្ជកម្មអនុវត្តតាមការអនុវត្តល្អបំផុតទាំងអស់នោះទេ។ ហើយខ្ញុំណែនាំអ្នកឱ្យធ្វើតាមពួកគេ នោះវាទំនងជាតិចណាស់ដែលអ្នកនឹងឆេះក្នុងនរក។
ការផ្លាស់ប្តូរហេដ្ឋារចនាសម្ព័ន្ធដែលមានស្រាប់
ការផ្លាស់ប្តូរផ្លូវនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដែលមានស្រាប់គឺជាបញ្ហាធ្ងន់ធ្ងរ ទោះបីជាវាសាមញ្ញក្នុងការអនុវត្តក៏ដោយ។ ប្រសិនបើអ្នកសម្រេចចិត្តធ្វើជំហានបែបនេះ នោះអ្នកគួរត្រូវបានណែនាំដោយច្បាប់ខាងក្រោម៖
- ផ្លូវបោះផ្សាយឯកសាររូបវន្តអាចដាក់តាមលំដាប់លំដោយ។
- តំណភ្ជាប់ថ្មីទៅកាន់ឯកសារដែលអតិថិជននឹងទាញយកពួកវាគួរតែមានទីតាំងនៅមុនគេ ឧ. ជាមួយនឹងអាទិភាពខ្ពស់ (លើកលែងតែពេលដែលអ្នកបន្ថែមតំណតែប៉ុណ្ណោះ ដើម្បីធានាបាននូវភាពអាចរកបានខ្ពស់នៃឯកសារ។ បន្ទាប់មក តំណភ្ជាប់ថ្មីអាចត្រូវបានបន្ថែមទៅកន្ទុយនៃឯកសារដែលមានស្រាប់);
- ប្រសិនបើអ្នកនឹងចាកចេញពីតំណ CRL/CRT ដែលមានស្រាប់ អ្នកគួរតែបិទជម្រើសដើម្បីបោះផ្សាយតំណនៅក្នុងវិញ្ញាបនបត្រសម្រាប់ពួកគេ។ ទោះយ៉ាងណាក៏ដោយ រហូតដល់ការផុតកំណត់នៃវិញ្ញាបនបត្រ CA អ្នកនឹងត្រូវបានទាមទារឱ្យរក្សាពួកវាឱ្យស្ថិតក្នុងលំដាប់ការងារ ពីព្រោះ។ ពួកវាមាននៅក្នុងវិញ្ញាបនបត្រដែលបានចេញរួចហើយ។ ហើយឯកសារយោងថ្មីនឹងបង្ហាញតែនៅក្នុងវិញ្ញាបនបត្រដែលត្រូវបានចេញបន្ទាប់ពីការផ្លាស់ប្តូរ CDP/AIA ប៉ុណ្ណោះ។
- ប្រសិនបើវិញ្ញាបនបត្រ root របស់អ្នកមានផ្នែកបន្ថែម CDP / AIA រួចហើយនោះ អ្នកមិនអាចយកវាចេញពីទីនោះបានទេ រហូតដល់ការធ្វើបច្ចុប្បន្នភាព វិញ្ញាបនបត្រ root. នៅពេលបន្តវិញ្ញាបនបត្រ root នៅលើ Windows Server 2003 អ្នកនឹងត្រូវបង្កើតឯកសារ CAPolicy.inf កំណត់ការកំណត់ចាំបាច់ (ឧទាហរណ៍ដូចដែលបានបញ្ជាក់ខាងលើជាមួយ CDP និង AIA ទទេ)។ ព័ត៌មានលម្អិតបន្ថែមអំពីឯកសារ CApolicy.infអាចអានបានតាមតំណ៖ http://technet.microsoft.com/en-us/library/cc728279(WS.10).aspx
បច្ចេកវិទ្យាថ្មីៗ
ជាមួយនឹងការចេញផ្សាយ Windows Server 2008 Enterprise Edition អ្នកអាចអនុវត្តការឆ្លើយតបតាមអ៊ីនធឺណិតនៅក្នុងបណ្តាញរបស់អ្នកដើម្បីកាត់បន្ថយការផ្ទុកនៅលើម៉ាស៊ីនមេបោះពុម្ព CRL (ទោះបីជាផ្លូវ OCSP ត្រូវបានបោះពុម្ពផ្សាយនៅក្នុងផ្នែកបន្ថែម AIA ក៏ដោយ វាមិនមានអ្វីដែលត្រូវធ្វើជាមួយឯកសារ CRT) ។ ប៉ុន្តែសូម្បីតែការអនុវត្ត OCSP ក៏មិនដោះស្រាយបញ្ហាទាំងនេះដែរ ដោយសារការអនុវត្ត OCSP នៅក្នុង Windows Server គឺផ្អែកលើការអានទៀងទាត់នៃ CRLs ហើយអាស្រ័យទៅលើភាពយឺតយ៉ាវនៃការចម្លង AD និង/ឬ DFS ហើយមានតែអតិថិជនចាប់តាំងពី Windows Vista អាច ប្រើសេវាកម្មនេះ។ ខ្ញុំចង់កត់ចំណាំពេលរីករាយមួយ។ ប្រសិនបើការផ្លាស់ប្តូរចំពោះឯកសារយោង CRL/CRT ប៉ះពាល់ដល់តែវិញ្ញាបនបត្រថ្មីប៉ុណ្ណោះ (វិញ្ញាបនបត្រដែលបានចេញរួចហើយនឹងមិនដឹងអ្វីទាំងអស់អំពីផ្លូវថ្មីនៅក្នុង CDP/AIA) នោះវាពិតជាងាយស្រួលក្នុងការរួមបញ្ចូល OCSP នៅក្នុងដែន/ព្រៃឈើជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធ PKI ដែលមានស្រាប់។ វិញ្ញាបនបត្រដែលបានចេញរួចហើយទាំងអស់អាចត្រូវបានពិនិត្យសម្រាប់ការដកហូតដោយប្រើ OCSP៖ គ្រប់គ្រងការកំណត់ OCSP ជាមួយនឹងគោលការណ៍ក្រុម .
សេចក្តីសន្និដ្ឋាន
នៅក្នុងការប្រកាសនេះខ្ញុំមាន ចំណុចសំខាន់នៅក្នុងទម្រង់ដែលមានរចនាសម្ព័ន្ធ (ដូចដែលវាហាក់ដូចជាខ្ញុំ) ដែលអ្នកគួរតែដឹងនៅពេលរៀបចំផែនការបោះពុម្ពឯកសារ CRL/CRT និងតំណភ្ជាប់ទៅពួកគេ។ ដូចដែលអ្នកអាចឃើញ ការណែនាំអំពីបច្ចេកវិទ្យាថ្មីមិនទាន់បានលើកលែងឱ្យអ្នកពីការដឹង និងធ្វើតាមការណែនាំនៃការបោះពុម្ព CRL / CRT នៅក្នុងរបស់អ្នកទេ។ ហេដ្ឋារចនាសម្ព័ន្ធ PKI. ខ្ញុំចាត់ទុកថាសម្ភារៈនេះគ្រប់គ្រាន់សម្រាប់កម្រិតចំណេះដឹងដំបូង និងកម្រិតមធ្យមលើប្រធានបទនៃការដកហូត និងការកសាងខ្សែសង្វាក់ ហើយសម្រាប់ការសិក្សាលម្អិតបន្ថែមទៀតអំពីដំណើរការទាំងមូលនេះ អ្នកគួរតែយោងនៅទីនេះរួចហើយ៖
- CryptoARM
អ្នកអភិវឌ្ឍន៍៖ "បច្ចេកវិទ្យាឌីជីថល" LLC
- CryptoARM Start សុំអាជ្ញាប័ណ្ណ
គ្រប់ទីកន្លែងដែលវាត្រូវបានសរសេរថា CryptoARM Start គឺជាកំណែឥតគិតថ្លៃនៃកម្មវិធីហើយវាមិនគួរសុំអាជ្ញាប័ណ្ណទេ!
នោះជាការត្រឹមត្រូវប៉ុន្តែមានមនុស្សតិចណាស់ដែលយកចិត្តទុកដាក់ចំពោះការពិតដែលថាមុខងារនៅក្នុងកំណែឥតគិតថ្លៃត្រូវបានកាត់បន្ថយយ៉ាងខ្លាំងហើយ "ចាប់ផ្តើម" នឹងមិនដំណើរការជាមួយ GOSTs រុស្ស៊ីទេ។ ដូច្នេះហើយ នៅពេលដែលអ្នកប្រើប្រាស់ព្យាយាមចុះហត្ថលេខាលើឯកសារដោយប្រើអ្នកផ្តល់សេវាគ្រីប GOST ជាមួយនឹងវិញ្ញាបនបត្រមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់របស់ពួកគេ បញ្ហានឹងកើតឡើងដោយជៀសមិនរួច។ ត្រូវតែទិញ
- លេខកូដអាជ្ញាប័ណ្ណ "CryptoArm" រកមិនឃើញទេ។
អ្នកគ្រាន់តែត្រូវដំឡើងកូនសោអាជ្ញាប័ណ្ណសម្រាប់កម្មវិធី CryptoArm ព្រោះវាមិនត្រូវបានដំឡើងពីមុន ឬផុតកំណត់។
ប្រសិនបើអ្នកមានវារួចហើយ គ្រាន់តែដំណើរការកម្មវិធី CryptoARM ស្វែងរកធាតុជំនួយនៅក្នុងម៉ឺនុយកំពូល ហើយជ្រើសរើស "ដំឡើងអាជ្ញាប័ណ្ណ" នៅក្នុងបញ្ជីទម្លាក់ចុះ។ នៅក្នុងបង្អួចដែលបើកនៅក្នុងវាល "កូនសោអាជ្ញាប័ណ្ណ" អ្នកអាច បន្ថែមអាជ្ញាប័ណ្ណ។
ប្រសិនបើអ្នកមិនទាន់មានអាជ្ញាប័ណ្ណទេនោះអ្នកអាចងាយស្រួល
- វិធីដើម្បីទទួលបានអាជ្ញាប័ណ្ណបណ្តោះអាសន្នសម្រាប់ CryptoARM
នៅការដំឡើងដំបូងរយៈពេលសាកល្បង 14 ថ្ងៃត្រូវបានផ្តល់ជូន។ មុខងារពេញលេញត្រូវបានគាំទ្រ បន្ទាប់មកកម្មវិធីនឹងប្តូរទៅកំណែចាប់ផ្តើមដែលមានកំណត់ ដើម្បីដំណើរការមុខងារពេញលេញ អ្នកនឹងត្រូវទិញអាជ្ញាប័ណ្ណ។
-
ការកើតឡើងនៃកំហុសនេះបង្ហាញពីការបញ្ចូលអាជ្ញាប័ណ្ណមិនត្រឹមត្រូវ វាអាចមានហេតុផលជាច្រើន៖
ជាដំបូងអាជ្ញាប័ណ្ណរវាងកំណែនៃកម្មវិធីមិនឆបគ្នាទេ ដូច្នេះអ្នកគួរតែប្រាកដថាកំណែនៃការចែកចាយដែលបានដំឡើងត្រូវនឹងកំណែនៃអាជ្ញាប័ណ្ណដែលអ្នកបានទិញ។ អ្នកអាចកំណត់កំណែដោយគ្រាន់តែមើលទៅលេខកូដអាជ្ញាប័ណ្ណផលិតផល។ សម្រាប់ CryptoARM - កំណែត្រូវគ្នាទៅនឹងនិមិត្តសញ្ញាទីបីនៃអាជ្ញាប័ណ្ណ។
ទីពីរ
ទី៣.
- កម្មវិធីមិនដំណើរការទេ បង្អួច "សូមរង់ចាំ" ព្យួរ
វាចាំបាច់ក្នុងការបិទរបៀប CEP (ត្រូវការពិនិត្យមើលវិញ្ញាបនបត្រសម្រាប់គុណវុឌ្ឍិវាមិនចាំបាច់ប្រើវាដើម្បីចុះហត្ថលេខាលើឯកសារទេ) ។
- - ចុចកណ្ដុរស្ដាំលើឯកសារណាមួយ។
- - នៅក្នុងម៉ឺនុយដែលបើកសូមជ្រើសរើសធាតុ "CryptoARM"
- - ដោះធីក "ហត្ថលេខាមានសិទ្ធិ"។
អ្នកអាចធ្វើបច្ចុប្បន្នភាពកម្មវិធីទៅកំណែចុងក្រោយបំផុត ទាញយក។
- CryptoARM សួររកលេខកូដ PIN នៅពេលបង្កើតរបាយការណ៍ របៀបផ្លាស់ប្តូរវា។
នៅពេលបង្កើតហត្ថលេខា កម្មវិធី CryptoARM ចូលប្រើកុងតឺន័រដែលវិញ្ញាបនបត្រ ES ត្រូវបានរក្សាទុក។ ប្រសិនបើវិញ្ញាបនបត្រត្រូវបានរក្សាទុកនៅលើសញ្ញាសម្ងាត់ នោះអ្នកត្រូវតែបញ្ចូលកូដ PIN នៃសញ្ញាសម្ងាត់។ ពាក្យសម្ងាត់លំនាំដើមរបស់អ្នកផលិតត្រូវបានប្រមូលនៅក្នុង .
ទោះជាយ៉ាងណាក៏ដោយ នៅពេលបង្កើតហត្ថលេខានៅក្នុងមជ្ឈមណ្ឌលវិញ្ញាបនប័ត្រ ពាក្យសម្ងាត់អាចត្រូវបានផ្លាស់ប្តូរទៅជា CA ស្តង់ដារសម្រាប់ការនេះ ឬតាមតម្រូវការផ្ទាល់ខ្លួន (នោះគឺអ្នកដែលទទួលបាន ES សម្រាប់អង្គការបានបញ្ចូលកូដ PIN ដោយខ្លួនឯង)។
- មិនអាចស្វែងរកវិញ្ញាបនបត្របានទេ។ សោឯកជនសម្រាប់ការឌិគ្រីប,
វិញ្ញាបនបត្រដែលបានជ្រើសរើសមិនអាចប្រើបានទេ។ - ស្ថានភាពវិញ្ញាបនបត្រមិនស្គាល់ រកមិនឃើញ COS ក្នុងស្រុកទេ។
កំហុសនេះមានន័យថាបញ្ជីបច្ចុប្បន្ននៃវិញ្ញាបនបត្រដែលត្រូវបានដកហូតនៃអាជ្ញាធរវិញ្ញាបនប័ត្រមិនត្រូវបានដំឡើងនៅក្នុងហាងក្នុងស្រុកទេ។ អ្នកត្រូវពិនិត្យមើលស្ថានភាពនៃវិញ្ញាបនបត្ររបស់អ្នកនៅក្នុងហាងផ្ទាល់ខ្លួនរបស់អ្នកដោយប្រើ CRL ដែលទទួលបានពី CA ។
ដើម្បីដំឡើងបញ្ជី សូមពិនិត្យមើលស្ថានភាពនៃវិញ្ញាបនបត្រប្រឆាំងនឹង CRL ដែលទទួលបានពី CA៖
- - នៅក្នុងកម្មវិធី "CryptoARM" ជ្រើសរើសថត "ឃ្លាំងវិញ្ញាបនបត្រផ្ទាល់ខ្លួន";
- - នៅក្នុងបង្អួចនៅខាងស្តាំសូមជ្រើសរើស វិញ្ញាបនបត្រដែលចង់បាន;
- - ចុចកណ្ដុរស្ដាំដើម្បីហៅម៉ឺនុយបរិបទហើយជ្រើសរើស "ពិនិត្យស្ថានភាព" - "ដោយ SOS (CRL) បានទទួលពី CA" ។
ស្ថានភាពនៃវិញ្ញាបនបត្រគួរតែត្រូវបានធ្វើបច្ចុប្បន្នភាព COS បច្ចុប្បន្ននឹងត្រូវបានដំឡើងនៅក្នុងហាងក្នុងស្រុក។
ប្រសិនបើស្ថានភាពមិនត្រូវបានធ្វើបច្ចុប្បន្នភាព៖
- - បើកម៉ឺនុយ "ឧបករណ៍" -> ធាតុ "ជម្រើសអ៊ីនធឺណិត" -> ផ្ទាំង "ការតភ្ជាប់" -> ប៊ូតុង "ការកំណត់បណ្តាញ";
- - ត្រូវប្រាកដថានៅក្នុង "ការកំណត់បណ្តាញ" ប្រអប់ធីក "ការកំណត់ការរកឃើញដោយស្វ័យប្រវត្តិ" និង "ប្រើស្គ្រីបកំណត់រចនាសម្ព័ន្ធដោយស្វ័យប្រវត្តិ" ត្រូវបានសម្អាត។
- - ធ្វើបែបបទម្តងទៀតសម្រាប់ការធ្វើបច្ចុប្បន្នភាពស្ថានភាពនៃវិញ្ញាបនបត្រ។
ប្រសិនបើអ្នកចង់ឱ្យស្ថានភាពអាប់ដេតដោយស្វ័យប្រវត្តិ៖
- - នៅក្នុងបង្អួចការកំណត់ សូមជ្រើសរើសផ្ទាំងផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ។
- - បន្ថែម CA ដែលចង់បានដោយជ្រើសរើសពីដែលមាន ឬ CAs ទាំងអស់។
- កំហុសនៅពេលទទួលបានកំណែចុងក្រោយនៃ SOS ពី CA
ដើម្បីប្រើប្រាស់លទ្ធភាពនៃការទទួលបានបញ្ជីវិញ្ញាបនបត្រដែលត្រូវបានដកហូតពី CA លក្ខខណ្ឌខាងក្រោមត្រូវតែបំពេញ៖
- - វិញ្ញាបនបត្រដែលបានពិនិត្យត្រូវតែមានផ្នែកបន្ថែម "ចំណុចចែកចាយបញ្ជីដកហូត/ចំណុចចែកចាយ CRL (CDP)" ដែលមានអាសយដ្ឋានត្រឹមត្រូវនៃបញ្ជីវិញ្ញាបនបត្រដែលត្រូវបានដកហូត។
- - ម្តងមួយៗ (ល្អបំផុត ប្រសិនបើទីមួយ) ពីចំណុចចែកចាយ SOS អ្នកអាចទាញយក SOS ដោយប្រើកម្មវិធីរុករកតាមអ៊ីនធឺណិត ដោយមិនចាំបាច់បញ្ចូលព័ត៌មានបន្ថែមណាមួយ (ឈ្មោះអ្នកប្រើប្រាស់ ពាក្យសម្ងាត់ ចុចលើតំណភ្ជាប់)។
- - នៅក្នុងការកំណត់របស់ Internet Explorer មិនគួរត្រូវបានបើកទេ។ ការលៃតម្រូវដោយស្វ័យប្រវត្តិម៉ាស៊ីនមេប្រូកស៊ី។ ដើម្បីពិនិត្យមើលវា សូមបើកដំណើរការ "Internet Explorer" -> "Tools" menu -> "Internet Options" item -> "Connections" tab -> "Network Settings" button ->
- SOS និង root មិនត្រូវបានផ្ទុកដោយស្វ័យប្រវត្តិទេ។
- - នៅក្នុងម៉ឺនុយកំពូល ជ្រើសរើស "ការកំណត់"-> "គ្រប់គ្រងការកំណត់"។ នៅផ្នែកខាងឆ្វេងនៃបង្អួចដែលបើកសូមជ្រើសរើស "ទម្រង់" ។ នៅក្នុងបង្អួចខាងស្តាំ បង្កើតថ្មី ឬកែសម្រួលទម្រង់ការកំណត់ចាស់។ នៅក្នុងបង្អួចការកំណត់ប្រវត្តិរូប សូមជ្រើសរើសផ្ទាំងការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ។ បន្ថែម CA ដែលចង់បានដោយជ្រើសរើសពីដែលមាន ឬ CAs ទាំងអស់។
- - ការកំណត់ Internet Explorer មិនគួរត្រូវបានកំណត់ដើម្បីកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេប្រូកស៊ីដោយស្វ័យប្រវត្តិទេ។ ដើម្បីពិនិត្យមើលវា សូមបើកដំណើរការ "Internet Explorer" -> "Tools" menu -> "Internet Options" item -> "Connections" tab -> "Network settings" button -> checkboxes "Auto-detect settings" និង "Use auto-configuration" ស្គ្រីប "គួរតែត្រូវបានដោះធីកការកំណត់" ។
- ស្ថានភាពវិញ្ញាបនបត្រ៖ មិនត្រឹមត្រូវ កំហុសក្នុងការកសាងផ្លូវវិញ្ញាបនប័ត្រ
អ្នកត្រូវដំឡើងវិញ្ញាបនបត្រឫសគល់នៃអាជ្ញាធរវិញ្ញាបនប័ត្រ និងបញ្ជីនៃវិញ្ញាបនបត្រ CA ដែលបានដកហូតនៅកន្លែងធ្វើការ។
ប្រសិនបើអ្នកមិនមានពួកវាទេ សូមទាញយកពីគេហទំព័រផ្លូវការរបស់អាជ្ញាធរវិញ្ញាបនប័ត្រ ឬពីតំណនៅក្នុងវិញ្ញាបនបត្រ៖
- - នៅក្នុង CryptoArm បើកវិញ្ញាបនបត្រដែលត្រូវការនៅក្នុងកន្លែងផ្ទុកផ្ទាល់ខ្លួនដោយចុចពីរដងលើ mouse -> View -> Composition tab;
- - ដើម្បីមើលតំណទៅកាន់វិញ្ញាបនបត្រ Root សូមជ្រើសរើស "ចូលប្រើព័ត៌មានអំពីអាជ្ញាធរបញ្ជាក់" ។
- - ដើម្បីមើលតំណទៅកាន់ CRLs សូមជ្រើសរើស List Distribution Points។
- បញ្ហាផ្ទៀងផ្ទាត់ CTL
ការផ្ទៀងផ្ទាត់ CTL គឺជាមុខងារបន្ថែមនៃកម្មវិធី CryptoARM និងអនុញ្ញាតឱ្យអ្នកពិនិត្យមើលវិញ្ញាបនបត្រប្រឆាំងនឹងបញ្ជីទំនុកចិត្តផ្ទាល់ខ្លួនរបស់អ្នកប្រើប្រាស់។ វាគួរតែត្រូវបានបិទតាមលំនាំដើម។
- - បើកកម្មវិធី CryptoARM;
- - នៅក្នុងម៉ឺនុយកំពូលនៃបង្អួចមេជ្រើសផ្នែក "ការកំណត់" ផ្នែក "ទម្រង់" ។
- - នៅក្នុងបង្អួចខាងស្តាំ បង្កើតថ្មី ឬផ្លាស់ប្តូរទម្រង់ចាស់។
- - នៅក្នុងបង្អួច "ការកំណត់ទម្រង់" ជ្រើសរើសផ្ទាំង "ការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ" ។
- - នៅផ្នែកខាងក្រោមនៃផ្ទាំង ដោះធីក "ប្រើ CTL ដើម្បីធ្វើសុពលភាពផ្លូវវិញ្ញាបនប័ត្រ"។
- ប្រអប់ធីក "រក្សាទុកហត្ថលេខាក្នុងឯកសារដាច់ដោយឡែក" មិនសកម្មទេ។
ធាតុ "រក្សាទុកហត្ថលេខាក្នុងឯកសារដាច់ដោយឡែក" មិនមានទេ ប្រសិនបើថតរក្សាទុកដោយដៃត្រូវបានជ្រើសរើសនៅក្នុងការកំណត់ការចុះហត្ថលេខាបច្ចុប្បន្ន។ ដើម្បីឱ្យហត្ថលេខាត្រូវបានរក្សាទុកក្នុងឯកសារដាច់ដោយឡែក អ្នកត្រូវតែកំណត់តម្លៃ - "ថតបច្ចុប្បន្ន"៖
- - បើកកម្មវិធី "CryptoARM";
- - នៅក្នុងម៉ឺនុយកំពូល, ស្វែងរកសាខា "ការកំណត់";
- - នៅផ្នែកខាងឆ្វេងនៃបង្អួចជ្រើស "ទម្រង់";
- - នៅខាងស្តាំ ជ្រើសរើសទម្រង់លំនាំដើម (សម្គាល់ដោយសញ្ញាធីកពណ៌បៃតង);
- - បើកប្រវត្តិរូបរបស់អ្នក;
- - ចូលទៅកាន់ផ្ទាំង "កាតាឡុក";
- - ជ្រើសរើសជម្រើសរក្សាទុក "ថតបច្ចុប្បន្ន";
- - រក្សាទុកនិងបិទទម្រង់ (អនុវត្ត);
- - ចាប់ផ្តើមចុះហត្ថលេខា។ នៅក្នុងអ្នកជំនួយការហត្ថលេខា ប្រអប់ធីក "រក្សាទុកហត្ថលេខាក្នុងឯកសារដាច់ដោយឡែក" នឹងសកម្ម។
- កំហុសក្នុងការដំឡើង៖ ឯកសារមិនមែនជាបណ្ណសារ 7z ទេ។
ឯកសារដំឡើងមិនបានទាញយកទាំងស្រុងទេ។ ហេតុផលមួយក្នុងចំណោមហេតុផលសម្រាប់ការទាញយកឯកសារមិនពេញលេញអាចជាកំចាត់មេរោគ សូមព្យាយាមបិទវា។ អ្នកក៏អាចសាកល្បងទាញយកឯកសារដោយប្រើកម្មវិធីរុករកផ្សេង។
- កំហុសក្នុងការដំឡើង 2738
MCafee ឬកំចាត់មេរោគផ្សេងទៀតកំពុងរារាំងស្គ្រីប VB មិនឱ្យដំណើរការ។ ដើម្បីជួសជុលកំហុស អ្នកត្រូវដំឡើង VB Script ឡើងវិញ។
- នៅពេលហៅប្រតិបត្តិការណាមួយ បង្អួចកម្មវិធីដំឡើងនឹងលេចឡើង។
ដែលកំណត់រចនាសម្ព័ន្ធកម្មវិធីកម្មវិធីត្រូវបានដំឡើងមិនត្រឹមត្រូវ ឬឯកសារប្រព័ន្ធត្រូវបានខូច។ ចាំបាច់ត្រូវដំឡើងឡើងវិញ៖
- - លុប CryptoARM តាមរយៈផ្ទាំងបញ្ជា / បន្ថែមឬយកកម្មវិធីចេញ;
- - ចាប់ផ្ដើមឡើងវិញ;
- - ដំឡើងកម្មវិធីម្តងទៀត។ អ្នកអាចទាញយកកំណែចុងក្រោយបំផុត។
- Rosreestr មិនទទួលយកឯកសារទេ។ ឯកសារប្រភព និងឯកសារហត្ថលេខាមិនត្រូវគ្នាទេ។
ប្រសិនបើវិបផតថល Rosreestr ត្រឡប់ឯកសារដែលបានចុះហត្ថលេខាដោយប្រើ CryptoARM ជាមួយនឹងការបង្ហាញថាឯកសារប្រភព និងឯកសារហត្ថលេខាមិនត្រូវគ្នា អ្នកត្រូវតែ៖
- - នៅពេលបង្កើតហត្ថលេខា ត្រូវប្រាកដថាប្រភេទការអ៊ិនកូដ DER ត្រូវបានជ្រើសរើស ហើយជម្រើស "រក្សាទុកហត្ថលេខាក្នុងឯកសារដាច់ដោយឡែក" ត្រូវបានជ្រើសរើស។ ទាំងនោះ។ អ្នកត្រូវបង្កើតហត្ថលេខាដាច់ដោយឡែក ហើយដាក់ឯកសារទាំងពីរនៅលើវិបផតថល (ឯកសារប្រភព និងឯកសារហត្ថលេខាប្រហែល 2Kb)។
- - ប្រសិនបើអ្នកបានចុះហត្ថលេខាលើអ្វីគ្រប់យ៉ាងត្រឹមត្រូវ ហើយបានពិនិត្យហត្ថលេខានៅលើផ្នែករបស់អ្នក (វាមានសុពលភាព) នោះបញ្ហាគឺនៅផ្នែកម្ខាងនៃវិបផតថល ពួកគេបរាជ័យជាទៀងទាត់ សូមព្យាយាមផ្ញើឯកសារម្តងទៀត។
- បាត់វិញ្ញាបនបត្រផ្ទាល់ខ្លួនតម្រូវឱ្យឌិគ្រីបឯកសារ
ប្រសិនបើអ្នកជួបប្រទះបញ្ហានៅពេលឌិគ្រីបឯកសារ កំហុសដែលបានផ្តល់ឱ្យ:
- - ដំឡើងវិញ្ញាបនបត្ររបស់អ្នកឡើងវិញនៅក្នុង CryptoPro CSP ដោយ ;
- - ប្រសិនបើវិញ្ញាបនបត្រត្រូវបានធ្វើបច្ចុប្បន្នភាពដោយជោគជ័យ សូមពិនិត្យមើលថាតើវាស្ថិតនៅក្នុងបញ្ជីវិញ្ញាបនបត្រនៃអ្នកទទួលទិន្នន័យដែលបានអ៊ិនគ្រីបដែរឬទេ។ អ្នកអាចមើលវាបានដោយចុចពីរដងលើឯកសារដែលបានអ៊ិនគ្រីប ហើយចូលទៅចុងបញ្ចប់នៃអ្នកជំនួយការ។ លេខស៊េរីនៃវិញ្ញាបនបត្រត្រូវតែផ្គូផ្គងលេខដែលបានបញ្ជាក់នៅក្នុងវិញ្ញាបនបត្រផ្ទាល់ខ្លួនរបស់អ្នក។
- - សូមពិនិត្យមើលផងដែរថាតើអាជ្ញាប័ណ្ណត្រូវបានដំឡើងនៅក្នុងកម្មវិធី CryptoPro CSP និង CryptoARM ដែរឬទេ។
- CryptoARM Start សុំអាជ្ញាប័ណ្ណ
- CryptoPRO CSP
អ្នកអភិវឌ្ឍន៍៖ LLC "CRYPTO-PRO"
- កំហុស៖ លេខសៀរៀលមិនត្រឹមត្រូវបានបញ្ជាក់
ជាដំបូងអាជ្ញាប័ណ្ណរវាងកំណែនៃកម្មវិធីមិនឆបគ្នាទេ ដូច្នេះអ្នកគួរតែប្រាកដថាកំណែនៃការចែកចាយដែលបានដំឡើងត្រូវនឹងកំណែនៃអាជ្ញាប័ណ្ណដែលអ្នកបានទិញ។ អ្នកអាចកំណត់កំណែដោយគ្រាន់តែមើលទៅលេខកូដអាជ្ញាប័ណ្ណផលិតផល។ សម្រាប់ CryptoPRO CSP តួអក្សរ 2 ដំបូងនៃអាជ្ញាប័ណ្ណត្រូវគ្នាទៅនឹងកំណែផលិតផល។
ទីពីរមានតែអាជ្ញាប័ណ្ណម៉ាស៊ីនមេសម្រាប់កម្មវិធីប៉ុណ្ណោះដែលអាចដំឡើងនៅលើម៉ាស៊ីនមេ OS ដោយមិនគិតពីគោលបំណងនៃការប្រើប្រាស់។
ទី៣.កំហុសនេះអាចកើតឡើងដោយសារតែអ្នកប្រើប្រាស់មិនមានសិទ្ធិជាអ្នកគ្រប់គ្រងមូលដ្ឋាន។ ដើម្បីឱ្យសោអាជ្ញាប័ណ្ណដំណើរការ អ្នកត្រូវដំណើរការកម្មវិធីជាអ្នកគ្រប់គ្រង ហើយដំឡើងអាជ្ញាប័ណ្ណតែប៉ុណ្ណោះ។
- បានធ្វើបច្ចុប្បន្នភាព Windows និង CryptoPRO បានឈប់ដំណើរការ នៅពេលដែលប្រព័ន្ធប្រតិបត្តិការត្រូវបានធ្វើបច្ចុប្បន្នភាព ឯកសារចុះបញ្ជីប្រព័ន្ធក៏ត្រូវបានធ្វើបច្ចុប្បន្នភាពផងដែរ ដែលក្នុងនោះអ្នកផ្តល់គ្រីបតូត្រូវបានចុះឈ្មោះកំឡុងពេលដំឡើង ដូច្នេះបន្ទាប់ពីធ្វើបច្ចុប្បន្នភាព CryptoPRO OS អ្នកក៏ត្រូវការផងដែរ។
- វីនដូ 7 មិនធ្វើបច្ចុប្បន្នភាពកំហុស 800b0001
កំហុសនេះគឺជារឿងធម្មតាសម្រាប់ CryptoPRO កំណែ 3.6
ប្រសិនបើអ្នកបានដំឡើង CryptoPRO កំណែ 3.6 រួចហើយ សូមព្យាយាមដំឡើងកំណែទៅ CSP 3.6.7777 R4 ។ គ្រាន់តែដំឡើងការចែកចាយថ្មីនៅលើកន្លែងចាស់ អ្នកមិនចាំបាច់បញ្ចូលអាជ្ញាប័ណ្ណឡើងវិញទេ វាត្រូវបានរក្សាទុកក្នុងបញ្ជីឈ្មោះ។ - របៀបដំឡើងអាជ្ញាប័ណ្ណសម្រាប់កម្មវិធី CryptoPRO
- - ដំណើរការកម្មវិធី CryptoPRO CSP៖ ចាប់ផ្តើម (ឬស្វែងរក) / កម្មវិធីទាំងអស់ / CryptoPRO / CryptoPRO CSP;
- - នៅលើផ្ទាំងទូទៅ យើងរកឃើញប៊ូតុង "ENTER LICENSE" ចុច;
- - នៅក្នុងបង្អួចដែលបើក យើងឃើញវាល "លេខស៊េរី" អ្នកត្រូវបញ្ចូលលេខកូដអាជ្ញាប័ណ្ណជាអក្សរក្រមលេខទៅក្នុងវា។ ប៊ូតុងកណ្ដុរខាងស្ដាំមិនដំណើរការទេអ្នកត្រូវប្រើផ្លូវកាត់ក្តារចុច "Ctrl + V" នៅលើក្តារចុច។
- កំណែ CryptoPRO CSP នេះបានផុតកំណត់ហើយ។
អាជ្ញាប័ណ្ណបានផុតកំណត់ ឬមិនត្រូវបានដំឡើងនៅក្នុងកម្មវិធី។ ជម្រើសជាច្រើនអាចធ្វើទៅបាន៖
កម្មវិធីត្រូវបានដំឡើងនៅក្នុងរបៀបសាកល្បង ហើយរយៈពេលសាកល្បងបានបញ្ចប់។
អាជ្ញាប័ណ្ណប្រចាំឆ្នាំ CryptoPRO CSP បានផុតកំណត់ហើយ។
បន្ទាប់ពីដំឡើង/ធ្វើបច្ចុប្បន្នភាពកម្មវិធីឡើងវិញ លេខកូដអាជ្ញាប័ណ្ណមិនត្រូវបានបញ្ចូលទេ។
ប្រសិនបើអ្នកមានអាជ្ញាប័ណ្ណរួចហើយ អ្នកអាចប្រើការណែនាំខាងលើ។ ទិញ អាជ្ញាប័ណ្ណថ្មី។អាចនៅលើ
- មិនអាចស្វែងរកវិញ្ញាបនបត្រ និងសោឯកជនសម្រាប់ការឌិគ្រីបបានទេ។
អ្នកត្រូវដំឡើងវិញ្ញាបនបត្រផ្ទាល់ខ្លួនរបស់អ្នកឡើងវិញ។ អ្នកអាចប្រើរបស់យើង។
ប្រសិនបើកំហុសនេះកើតឡើងនៅពេលចុះហត្ថលេខាលើឯកសារនៅលើធនធានគេហទំព័រ នោះពួកវាត្រូវបន្ថែមទៅគេហទំព័រដែលទុកចិត្តនៅក្នុងកម្មវិធីរុករក។
- - ចាប់ផ្តើម "Internet Explorer";
- - បើកម៉ឺនុយ "ឧបករណ៍" -> ធាតុ "ជម្រើសអ៊ីនធឺណិត" -> ផ្ទាំង "សុវត្ថិភាព" -> ផ្ទាំង "គេហទំព័រដែលទុកចិត្ត" -> ប៊ូតុង "បន្ថែម";
- - បន្ថែមទៅក្នុងបញ្ជីអាសយដ្ឋាននៃគេហទំព័រដែលអ្នកនឹងចុះហត្ថលេខាលើឯកសារ។
- កំហុស៖ លេខសៀរៀលមិនត្រឹមត្រូវបានបញ្ជាក់
- ការិយាល័យ CryptoPROហត្ថលេខា
អ្នកអភិវឌ្ឍន៍៖ LLC "CRYPTO-PRO"
- របៀបដំឡើងអាជ្ញាប័ណ្ណកម្មវិធី ហត្ថលេខាការិយាល័យ
ដោយច្រើនបំផុត នៅក្នុងវិធីសាមញ្ញមួយ។នឹងដំឡើងអាជ្ញាប័ណ្ណនៅពេលដំឡើងកម្មវិធី ប៉ុន្តែប្រសិនបើកម្មវិធីត្រូវបានដំឡើងរួចហើយ និងទាមទារអាជ្ញាប័ណ្ណដើម្បីបញ្ចូល អ្នកអាចទៅវិធីពិបាក៖
- - បើកដំណើរការកម្មវិធី CryptoPRO PKI៖ ចាប់ផ្តើម (ឬស្វែងរក) / កម្មវិធីទាំងអស់ / CryptoPRO / CryptoPRO PKI;
- - នៅផ្នែកខាងឆ្វេងនៃបង្អួចពង្រីកបញ្ជី "ការគ្រប់គ្រងអាជ្ញាប័ណ្ណ" (អ្នកគ្រាន់តែចុចលើសញ្ញាបូក) ។
- - ជ្រើសរើសធាតុ CryptoPRO Office Signature;
- - នៅក្នុងម៉ឺនុយកំពូលនៃកម្មវិធី សូមជ្រើសរើសសកម្មភាព / កិច្ចការទាំងអស់ / បញ្ចូលលេខស៊េរី។
- - បញ្ចូលលេខកូដអាជ្ញាប័ណ្ណទៅក្នុងបង្អួចដែលបើកហើយចុចយល់ព្រម។
ព័ត៌មានលម្អិតអំពីការដំឡើងកម្មវិធី និងអាជ្ញាប័ណ្ណត្រូវបានសរសេរនៅក្នុងរបស់យើង។
- កំហុស៖ លេខសៀរៀលមិនត្រឹមត្រូវបានបញ្ជាក់
កំហុសនេះបង្ហាញថាអាជ្ញាប័ណ្ណត្រូវបានបញ្ចូលមិនត្រឹមត្រូវ។ វាអាចមានហេតុផលជាច្រើន៖
ជាដំបូងអាជ្ញាប័ណ្ណរវាងកំណែនៃកម្មវិធីមិនឆបគ្នាទេ ដូច្នេះអ្នកគួរតែប្រាកដថាកំណែនៃការចែកចាយដែលបានដំឡើងត្រូវនឹងកំណែនៃអាជ្ញាប័ណ្ណដែលអ្នកបានទិញ។ អ្នកអាចកំណត់កំណែដោយគ្រាន់តែមើលទៅលេខកូដអាជ្ញាប័ណ្ណផលិតផល។ សម្រាប់កំណែហត្ថលេខាការិយាល័យ និមិត្តសញ្ញាអាជ្ញាប័ណ្ណទីបីត្រូវគ្នា។
ទីពីរកំហុសនេះអាចកើតឡើងដោយសារតែអ្នកប្រើប្រាស់មិនមានសិទ្ធិជាអ្នកគ្រប់គ្រងមូលដ្ឋាន។ ដើម្បីឱ្យសោអាជ្ញាប័ណ្ណដំណើរការ អ្នកត្រូវដំណើរការកម្មវិធីជាអ្នកគ្រប់គ្រង ហើយដំឡើងអាជ្ញាប័ណ្ណតែប៉ុណ្ណោះ។
- របៀបដំឡើងអាជ្ញាប័ណ្ណកម្មវិធី ហត្ថលេខាការិយាល័យ
- CryptoPRO PDF
អ្នកអភិវឌ្ឍន៍៖ LLC "CRYPTO-PRO"
- សេចក្តីណែនាំសម្រាប់ការដំឡើង និងប្រើប្រាស់ CryptoPRO PDF
- បានបញ្ចូលលេខកូដអាជ្ញាប័ណ្ណមិនត្រឹមត្រូវ
នៅពេលបង្កើតអាជ្ញាប័ណ្ណសម្រាប់កម្មវិធី CryptoPRO PDF ឈ្មោះស្ថាប័នរបស់អតិថិជនត្រូវតែបញ្ជាក់ នៅពេលដំឡើងវា អ្នកត្រូវតែបញ្ជាក់ឈ្មោះស្ថាប័នដូចគ្នា (ករណី និងសញ្ញាសម្រង់ជាបញ្ហា)។
ប្រសិនបើអាជ្ញាប័ណ្ណត្រូវបានទិញសម្រាប់រូបវន្ត មនុស្សបន្ទាប់មកនៅក្នុងវាល "អង្គការ" អ្នកត្រូវបញ្ចូលឈ្មោះរបស់អតិថិជន។