Tạo SSL CA riêng với OS X Keychain

Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Certificate Assistant có trong Mac OS X để tạo một CA của riêng bạn với sự trợ giúp của OS X Keychain Assistant.

Trong một bài gầy đây, chúng tôi đã giới thiệu cho các bạn cách import các chứng chỉ SSL CA vào OS X keychain để dễ dàng tin cậy các chứng chỉ SSL cho các dịch vụ không được ký bởi các CA lớn giống như VeriSign, Equifax hay các tổ chức thẩm định khác.

Mặc dù vậy nếu muốn có các dịch vụ SSL trong bên trong tổ chức hoặc trên mạng LAN, bạn có thể tự tạo cho riêng mình một CA riêng. Có nhiều công cụ hiện giờ có thể giúp bạn tạo một CA cho riêng mình dễ dàng và OS X Keychain Assistant là một trong số đó.

Để bắt đầu, bạn hãy khởi chạy ứng dụng OS X Keychain Assistant. Khi ứng dụng đã được khởi chạy, chọn Keychain Assistant từ thanh menu, sau đó chọn Certificate Assistant. Từ sub-menu kế tiếp mới được mở ra, chọn Create A Certificate Authority. Khi đó bạn sẽ thấy cửa sổ Certificate Assistant và cửa sổ này sẽ hướng dẫn bạn qua các bước để tạo Certificate Authority của riêng mình để sau đó ký các chứng chỉ SSL.

Đặt tên cho CA của bạn, sử dụng Self Signed Root CA để nhận dạng kiểu. Với User Certificate, để các mặc định (S/MIME Email; hoàn toàn có thể thay đổi về sau này). Trong trang tiếp theo, thay đổi thời gian hợp lệ nếu bạn muốn (mặc định là một năm), và chọn Create A CA Web Site. Tiếp đến, điền vào các thông tin được sử dụng để tạo chứng chỉ: City, State, Country,… Các màn hình tiếp theo sẽ liệt kê chi tiết kích cỡ khóa và kiểu mã hóa; để 2048-bit RSA. Cuối cùng, trên panel Key Usage Extension, bảo đảm các mục Signature, Certificate Signing, và CRL Signing đã được chọn.

Khi bạn đến trang Extended Key Usage Extension, hãy bảo đảm tùy chọn Any được chọn nếu bạn muốn CA này có khả năng ký tất cả các kiểu chứng chỉ SSL. Nếu chỉ cần ký một số kiểu chứng chỉ SSL nào đó (chẳng hạn như chỉ các máy khách SSL), hãy chọn những tính năng đó. Trong trang tiếp theo, bạn sẽ phải chọn khả năng yêu cầu từ người dùng – cũng chọn Any ở đây để CA có thể ký các kiểu request. Cuối cùng trong trang tiếp theo, bảo đảm các thiết lập Include Basic Constraints Extension và Use This Certificate as a certificate authority đều được kích hoạt.

Còn nhiều trang khác trong tiến trình mà chúng tôi không đề cập đến; nó hoàn toàn an toàn khi để các tùy chọn mặc định. Panel cuối cùng sẽ hỏi bạn về nơi bạn muốn lưu chứng chỉ và hỏi xem có tin tưởng các chứng chỉ được ký bởi CA này trên các máy nội bộ không. Chọn một keychain (hệ thống, đăng nhập, hoặc thứ gì đó mà bạn tạo ra thật đặc biệt để quản lý CA và các request của nó), và kích hoạt việc kiểm tra sự tin cậy.

Lúc này CA đã được tạo, bạn có thể tạo các chứng chỉ và ký các request bằng cách sử dụng Certificate Assistant. Để tạo nhanh chóng một chứng chỉ cho một website, kích Create A Certificate trong menu Keychain Assistant sổ xuống. Với tên, sử dụng tên của website, với kiểu nhận dạng, chọn Leaf. Với kiểu chứng chỉ, chọn SSL Client. Khi được yêu cầu chọn nhà phát hành CA (CA issuer), chọn CA mà bạn vừa tạo.

Key và chứng chỉ sẽ được lưu vào keychain mà bạn chọn từ trước và sẽ được tạo với một thời gian mãn hạn là một năm. Quan sát trong Keychain Assistant, bạn sẽ thấy chứng chỉ, và khóa riêng RSA có liên quan với nó. Kích phải vào khóa riêng, bạn sẽ thấy tùy chọn Request A Certificate From Certificate Authority; nếu chọn tùy chọn này, bạn sẽ mở lại Certificate Assistant và sẽ có khả năng tạo yêu cầu chứng chỉ (hình A). Trong cửa sổ mở, sử dụng trường Common Name cho URL của dịch vụ (chẳng hạn như để tạo chứng chỉ SSL cho foo.test.com, sử dụng foo.test.com là CN, hoặc một địa chỉ email cho một chứng chỉ email S/MIME,…), sau đó lưu request vào đĩa.

Trong Finder, kích đúp vào file .certSigningRequest đã được tạo. Certificate Assistant sẽ mở lại và cho phép bạn ký chứng chỉ với CA vừa được tạo. Chọn Let Me Override Defaults để tùy chỉnh chứng chỉ mà chúng ta sẽ tạo (cách thức mà Certificate Assistant tạo các yêu cầu sử dụng cũng sử dụng tùy chọn mặc định hữu dụng).

Nhiều cửa sổ bạn đi qua sẽ giống như các cửa sổ thiết lập CA ở giai đoạn đầu tiên. Sự quan tâm chủ yếu là màn hình Extended Key Usage Extension, đây là nơi bạn có thể chọn kiểu chứng chỉ gì.

Certificate Assistant sẽ hỏi bạn rất nhiều câu hỏi, một số câu hỏi có thể khá lạ lẫm. Trợ giúp được cung cấp sẵn sẽ hỗ trợ bạn trong việc đưa ra những lựa chọn đúng đắn. Với một mạng nội bộ hoặc LAN cơ bản, sử dụng Certificate Assistant có thể bảo đảm cho việc sử dụng và tạo các chứng chỉ SSL dễ dàng. Tuy cũng có nhiều công cụ khác có thể thực hiện công việc này nhưng Certificate Assistant là một công cụ đi kèm với các máy Mac và sẽ trở nên dễ dàng hơn cho những người chưa có nhiều kinh nghiệm.