Cấu hình Apache 2.0 hỗ trợ giao thức SSL/TLS

Cấu hình Apache 2.0 hỗ trợ giao thức SSL/TLS.Bài này kết thúc loạt ba bài giới thiệu về cách cấu hình Apache 2.0 hỗ trợ giao thức SSL/TLS để an ninh tối đa và thực thi tối ưu cho SSL dựa trên các giao dịch thương mại điện tử.Phần I giới thiệu các khía cạnh về khóa của SSL/TLS, và chỉ ra làm cách nào để biên dịch, cài đặt, và cấu hình Apache 2.0. Phần II mô tả cấu hình của mod_ssl và các nguồn thẩm định. Đồng thời chỉ ra làm thế nào để tạo được các chứng...
Nội dung trích xuất từ tài liệu:
Cấu hình Apache 2.0 hỗ trợ giao thức SSL/TLSCấu hình Apache 2.0 hỗ trợ giao thức SSL/TLSBài này kết thúc loạt ba bài giới thiệu về cách cấu hình Apache 2.0 hỗ trợgiao thức SSL/TLS để an ninh tối đa và thực thi tối ưu cho SSL dựa trên cácgiao dịch thương mại điện tử.Phần I giới thiệu các khía cạnh về khóa của SSL/TLS, và chỉ ra làm cách nàođể biên dịch, cài đặt, và cấu hình Apache 2.0. Phần II mô tả cấu hình củamod_ssl và các nguồn thẩm định. Đồng thời chỉ ra làm thế nào để tạo đượccác chứng chỉ SSL của web server.Bây giờ, trong phần III và cũng là phần cuối cùng của bài này, chúng ta sẽxem đến bộ thẩm định client, dùng các chứng chỉ client. Đồng thời chúng tasẽ biết được làm cách nào để chroot một Apache an toàn, thảo luận cácphương hướng tẫn công. Sau đó là mô tả các lỗi cấu hình điển hình của cácnhà quản trị làm giảm mức an toàn của truyền thông SSL.Bộ thẩm định Client (Client Authentication)Một phương thức phổ biến nhất để xác định người dùng trong các ứng dụngweb là mật khẩu, nhóm mật khẩu hay PIN, theo nghĩa khác là “điều gì đó màchỉ bạn biết”. “Lợi thế lớn nhất của một trong các phương thức này là sự đơngiản”. Với một nhà quản trị, điều đó đủ để thêm vào một file hướng dẫntrong http.conf và tạo ra một file mật khẩu để thực hiện như là một sơ đồ.Thật không may, chính sự đơn giản của mật khẩu lại là điểm yếu cho một sốcuộc tấn công. Chúng có thể đoán, “đánh hơi” qua điện tín, chương trìnhbrute-forced đánh cắp (chẳng hạn như khi người dùng ghi mật khẩu trên mộtghi chú) hay dụ dỗ nói ra (qua một số mail về nghiên cứu xã hội hay một sốloại phương thức “phishing”). Đó chính là lý do tại sao bộ thẩm định mậtkhẩu tiêu chuẩn lại bị xem như là yếu hơn so với việc dùng các mật khẩu mộtlần, mã phẫn cứng hay các dạng thẩm định khác.Một vài người nhận ra rằng, khi dùng web server SSL, có một phương thứcmạnh hơn với bộ thẩm định người dùng: các chứng chỉ SSLclient, hay cácchứng chỉ “cá nhân” cho mỗi người dùng. Trong phương thức này, chúng tacó thể kiểm định người dùng web dựa trên “một số điều bạn có”. Đó là dùngmột chứng chỉ và một khoá private tương ứng với các chứng chỉ client, cũnggiống như “một số điều bạn biết”, là cụm mật khẩu với khoá private. Do đó,dùng các chứng chỉ thì an toàn hơn là giải pháp mật khẩu tiêu chuẩn, chủ yếulà vì một kẻ phá hoại sẽ phải cần hai phần của bộ thẩm định (khoá privatetương ứng với chứng chỉ người dùng và cụm mật khẩu) để lấy được quyềntruy cập. Hơn nữa, không giống như một mật khẩu chuẩn, cụm mật khẩu củachứng chỉ không thực sự được gửi qua mạng chút nào. Nó chỉ được sử dụngtrên mạng cục bộ để giải mã khoá private.Phần sau sẽ chỉ ra cách thức thực hiện của phương thức thẩm định này khôngphức tạp. Nó chỉ trong vài bước. Người quản trị có thể thấy nó hầu như dễhơn các phương thức mật khẩu kiểm định cơ bản thông thường.Cấu hình Apache để dùng chứng chỉ clientĐể cấu hình Apache hỗ trợ bộ kiểm định client qua chứng chỉ X.509v3,chúng ta cần thực hiện 4 việc sau:1. Cho phép bộ kiểm định client trong web server của ApacheĐể cho phép dùng chứng chỉ client, chúng ta cần thêm các chỉ dẫn sau vàothư mục httpd.conf: SSLVerifyClient require SSLVerifyDepth 1Cảm ơn chỉ dẫn SSLVerifyClient, truy cập vào web server giờ không còn bịgiới hạn chỉ trong các web browser mà cho cả các chứng chỉ phù hợp đượcký bởi CA cục bộ. (Chú ý: quá trình tạo CA cục bộ đã được mô tả trong bàitrước) Giá trị “SSLVerifyDepth” chỉ rõ độ chuyên sâu nhất của nguồn cungcấp chứng chỉ trung cấp trong chuỗi chứng chỉ. Trong trường hợp của chúngta, chúng ta sẽ lấy giá trị này là “1”, bởi vì tất cả các chứng chỉ client phảiđược ký bởi CA cục bộ. Chúng ta không dùng CAs trung cấp.2. Cài đặt chứng chỉ địa phương CA vào cấu trúc thư mục Apache. install -m 644 -o root -g sys ca.crt /usr/local/apache2/conf/ssl.crt/3. Cài đặt thư mục SSLCACertificateFile (trong httppd.conf) để trỏ tớichứng chỉ CA chúng ta vừa cài đặt. SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/ca.crt4. Bây giờ khởi động lại Apache /usr/local/apache2/bin/apachectl stop /usr/local/apache2/bin/apachectl startsslTừ bây giờ, truy cập vào web server qua SSL chỉ được chấp nhận đối với cácweb browser có chứng chỉ client hợp lý, được ký bởi CA cục bộ. Để kiểm trađiều này, bạn có thể truy cập vào URL của website. Sau khi thiết lập kết nốiSSL MS Internet Explorer sẽ yêu cầu bạn chọn chứng chỉ client bạn muốndùng, như trong hình 1: Hình 1. Internet Explorer yêu cầu một chứng chỉ client.Khi chưa có một chứng chỉ client được cài đặt, quyền truy cập vào webserver đơn giản là bị từ chối.Tạo một chứng chỉ clientThông thường tạo một chứng chỉ client cá nhân rất giống với tạo một chứngchỉ web server. Chỉ có một điểm khác nhau là chúng ta sẽ dùng các đuôi mởrộng X.509v3 khác (phần “ssl_client” từ openssl.cnf). Và chúng ta sẽ lưu trữcả khoá private và chứng chỉ theo định dạng PKCS (cũng giống như ...