Public Key Infrastructure là gì?
Khi có nhiều người hoặc hệ thống cần giao tiếp an toàn với nhau – chẳng hạn như giữa máy chủ và người dùng, giữa các chi nhánh công ty – thì giải pháp PKI sẽ giúp bạn thiết lập một cơ chế xác thực đáng tin cậy, mở rộng tốt và không cần phụ thuộc vào bên trung gian mỗi lần.
Thành phần quan trọng nhất: Certificate Authority (CA)
Certificate Authority (CA) là tổ chức (hoặc phần mềm) có nhiệm vụ cấp chứng chỉ cho các thực thể – giống như một “trung tâm cấp thẻ căn cước số”. Một chứng chỉ kỹ thuật số được cấp bởi CA có thể chứng minh danh tính thật của bạn trên môi trường mạng.
Muốn tự dựng CA? Có thể dùng OpenSSL để tạo khóa bí mật, tạo và ký chứng chỉ.
Chứng chỉ gốc (CA Certificate) có thể tự ký (self-signed) hoặc được ký bởi CA cấp cao hơn.
Khi người dùng hoặc hệ thống (web server, VPN client…) muốn được CA xác thực, họ sẽ gửi một Certificate Signing Request (CSR) – chứa khóa công khai và thông tin nhận dạng.
Ví dụ: Quản trị viên web gọi điện cho quản trị viên CA để xác thực yêu cầu ký chứng chỉ là thật. Sau khi xác minh, CA sẽ trả về một chứng chỉ số đã được ký chứa đầy đủ thông tin và chữ ký số của CA.
Giao tiếp bảo mật nhờ chứng chỉ
Một khi chứng chỉ đã được cấp, nó có thể dùng cho nhiều mục đích:
Email bảo mật (S/MIME): xác thực và mã hóa nội dung email
HTTPS: trình duyệt sẽ xác minh chứng chỉ của server qua CA
VPN Client Certificate: thay thế username/password, an toàn hơn nhiều
Mutual Authentication: cả client và server đều xác thực lẫn nhau
Ví dụ:
Client có chứng chỉ riêng và CA certificate. Khi client kết nối tới VPN Server:
Client kiểm tra server có đúng là do CA tin cậy cấp chứng chỉ hay không
Server cũng kiểm tra chứng chỉ của client để đảm bảo người này là hợp lệ
Tính thời hạn & Thu hồi chứng chỉ
Mỗi chứng chỉ đều có thời gian hiệu lực cụ thể (not before – not after).
Sau khi hết hạn, chứng chỉ sẽ tự động vô hiệu hóa mà không cần thao tác gì thêm.
Trường hợp cần thu hồi sớm (người dùng nghỉ việc, lộ khóa…), tổ chức có thể đưa chứng chỉ đó vào danh sách CRL (Certificate Revocation List) hoặc sử dụng OCSP để kiểm tra trạng thái thu hồi.
Ví dụ thực tế: Bob và Alice
Bob và Alice tạo cặp khóa riêng – khóa riêng (private key) giữ kín, khóa công khai (public key) dùng để chia sẻ.
Mỗi người gửi CSR tới CA để nhận lại chứng chỉ số đã được ký.
Khi Bob gửi tin nhắn cho Alice:
Anh ta mã hóa bằng khóa công khai của Alice (chỉ Alice giải mã được bằng private key).
Có thể thêm chữ ký số từ private key của Bob để Alice xác minh nội dung không bị thay đổi.
Cả hai bên đều tin tưởng vào chứng chỉ CA nên tin rằng người kia chính là thật.
Kết luận:
PKI không chỉ thay thế mật khẩu mà còn giúp xác minh danh tính, mã hóa dữ liệu, và đảm bảo tính toàn vẹn trong giao tiếp số.
Nếu bạn làm việc trong môi trường IT, hãy hiểu rõ PKI – vì đây là xương sống của bảo mật hiện đại.
