Posey Trong phần ba này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cấu hình IIS cho một FTP site bằng việc kích hoạt mã hóa SSL.. Giới thiệu Trong phần trước của loạt bài này, chú
Trang 1Cấu hình IIS cho một FTP Site – Phần 3
Brien M Posey
Trong phần ba này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cấu hình IIS cho một FTP site bằng việc kích hoạt mã hóa SSL
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách để có được IIS 7.0 Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung mã hóa SSL vào FTP site
Thu thập chứng chỉ SSL
Trước khi FTP server có thể cung cấp mã hóa SSL, bạn cần phải có một chứng chỉ X.509 Bạn có thể mua một chứng chỉ này từ một nhà thẩm định chứng chỉ (CA) thương mại, chẳng hạn như VeriSign hay Thawte, hoặc có thể sử dụng một CA của một tổ chức để phát hành chứng chỉ
Với mục đích của bài viết, chúng tối sẽ giả định rằng bạn có một máy chủ Windows
2008 đã được cấu hình để thực hiện như một CA doanh nghiệp Khi đó chúng tôi sẽ giới thiệu cho các bạn cách phát hành yêu cầu chứng chỉ và cách download chứng chỉ cần thiết trong phần tiếp theo Nếu bạn đã thu thập được một chứng chỉ SSL từ một nhà thẩm định chứng chỉ thương mại, khi đó bạn có thể bỏ qua phần này và chuyển sang phần tiếp theo
Để sử dụng mã hóa SSL, chúng ta cần phát hành một yêu cầu đến CA doanh
nghiệp.Với mục đích của bài viết, chúng tôi giả dụ rằng máy chủ FTP của bạn là một thành viên trong cùng Active Directory forest
Để yêu cầu một chứng chỉ cần thiết, bạn hãy mở Internet Explorer, nhập vào URL liên quan đến Enterprise Certificate Authority của bạn Mặc định, URL sẽ là
https://<server name>/CertSrv Khi nhập vào URL này, bạn thường phải nhập vào
tên miền đầy đủ của Enterprise Certificate Authority thay cho việc nhập vào tên NetBIOS của máy chủ
Khi bạn nhập vào URL của Enterprise Certificate Authority, hãy đăng nhập vào Active Directory Certificate Services, Web site bổ sung quản trị viên miền (nếu cần)
Sau khi thực hiện điều đó, kích vào liên kết “Request a Certificate” Bạn sẽ thấy
một màn hình xuất hiện yêu cầu bạn chọn giữa việc yêu cầu một chứng chỉ người dùng hoặc đệ trình một yêu cầu chứng chỉ nâng cao Kích vào tùy chọn thứ hai,
Advanced Certificate Request.
Màn hình sau đó sẽ cho phép bạn phát hành một yêu cầu trực tiếp đến nhà thẩm định chứng chỉ hoặc upload một file yêu cầu chứng chỉ được mã hóa theo định dạng
Base-64 hoặc PKCS #10 Kích vào liên kết “Create and Submit a Request to This
Trang 2Tại đây, bạn sẽ được nhắc nhở để cài đặt ActiveX control Nếu gặp phải nhắc nhở này, hãy đi tiếp và thực hiện cài đặt điều khiển
Tiếp đó bạn sẽ được đưa đến màn hình chính Advanced Certificate Request Chọn tùy chọn Web Server từ danh sách Certificate Template sổ xuống Lúc này
phải nhập vào một số thông tin nhận dạng cơ bản để được nhóm vào trong chứng chỉ của bạn Những thông tin này gồm có như: tên, địa chỉ email, và số điện thoại của bạn
Trong phần Key Options, chọn tùy chọn Create a New Key Set Bạn nên thẩm định rằng Cryptographic Service Provider (CSP) đã được thiết lập là Microsoft RSA
SChannel Cryptographic Provider, và rằng Key Size được thiết lập là 1024, xem
thể hiện trong hình A
Hình A: Bạn phải bảo đảm rằng Cryptographic Service Provider (CSP) được thiết lập
là Microsoft RSA SChannel Cryptographic Provider còn Key Size được thiết lập là
1024
Lúc này, hãy lăn chuột và tìm phía dưới giao diện, kích vào nút Submit Bạn sẽ thấy
một cảnh báo thông báo cho bạn biết rằng Web site đang tạo một yêu cầu chứng chỉ Kích Yes để cho phép yêu cầu đó đi qua Khi quá trình được hoàn tất, bạn sẽ thấy một thông báo, thông báo này cho biết rằng chứng chỉ đã được phát hành đến
bạn và hỏi liệu có muốn cài đặt nó không Hãy tiếp tục kích vào liên kết “Install This
Certificate” Tiếp đó, bạn sẽ thấy một thông báo báo cho bạn biết rằng Web site
Trang 3đang cài đặt chứng chỉ Kích Yes để cho phép hoạt động đó.
Bạn sẽ thấy một thông báo nói rằng chứng chỉ đã được tạo thành công, tuy nhiên chúng ta cần phải bảo đảm điều đó Để thực hiện như vậy, bạn hãy nhập vào lệnh
MMC tại nhắc lệnh Run trên máy chủ FTP của mình Khi đó Windows sẽ mở một
instance trống cho Microsoft Management Console Tại đây, bạn phải chọn lệnh Add
/ Remove Snap-In từ menu File của giao diện điều khiển Khi đó Windows sẽ hiển
thị hộp thoại Add or Remove Snap-ins.
Chọn tùy chọn Certificates từ danh sách các snap-in có sẵn Bạn sẽ được hỏi liệu giao diện điều khiển có được sử dụng để quản lý các chứng chỉ cho tài khoản người dùng của bạn, tài khoản dịch vụ hay tài khoản máy tính hay không Chọn tùy chọn
Computer Account và kích nút Next.
Màn hình tiếp sau đó sẽ hỏi bạn có muốn quản lý các chứng chỉ cho máy tính nội bộ hay quản lý các chứng chỉ cho máy tính khách trên mạng Bảo đảm rằng tùy chọn
Local Computer được tích, sau đó kích nút Finish và OK.
Giao diện điều khiển lúc này sẽ load Certificates snap-in Bạn phải điều hướng thông qua cây giao diện để vào Console Root | Certificates (Local Computer) |
Personal | Certificates Khi chọn mục Certificates, panel Details sẽ hiển thị cho
bạn chứng chỉ đã được phát hành
Kích hoạt SSL cho FTP Server
Lúc này, chúng ta đã có một chứng chỉ SSL, đây là lúc chúng ta có thể kích hoạt sự
mã hóa SSL cho máy chủ FTP của mình Mở Internet Information Services (IIS)
Manager Điều hướng thông qua cây giao diện để tìm đến <your server> | Sites |
<your FTP site> Với FTP site của bạn đã chọn, kích đúp vào biểu tượng FTP SSL settings trong phần Details.
Giao diện điều khiển lúc này sẽ hiển thị trang FTP SSL Settings Chọn SSL
certificate từ danh sách SSL Certificate sổ xuống, như thể hiện trong hình B Sau
đó bạn có thể chọn cho phép các kết nối SSL hoặc yêu cầu kết nối SSL Cũng có
thể chọn mã hóa 128 bit cho tính năng bảo mật mạnh hơn Kích nút Apply để lưu
các thay đổi của bạn
Trang 4Hình B: Chọn chứng chỉ từ danh sách SSL Certificates
Sử dụng SSL hay không sử dụng SSL?
Một trong những nhược điểm trong việc sử dụng mã hóa SSL là quá trình mã hóa này sẽ làm tăng workload của CPU Workload mở rộng sẽ đáng giá nếu bạn đang truyền tải đi hay nhận những thông tin nhạy cảm hoặc nếu FTP site chỉ được sử dụng thỉnh thoảng Nếu tránh FTP site bị sử dụng quá nặng tải bạn cần phải thực hiện test để bảo đảm rằng quá trình mã hóa không gây ra các vấn đề hiệu suất cho máy chủ
Chúng tôi khuyên các bạn nên kiểm tra bộ đếm Processor / %Processor Time của Performance Monitor trước và sau khi mã hóa SSL được kích hoạt Xung nhọn trong hành động CPU là hoàn toàn bình thường, nhưng hiệu quả sử dụng trung bình cần phải được duy trì dưới 80% bằng không CPU của bạn đang có vấn đề về phục vụ các nhu cầu đang đòi hỏi ở nó
Kết luận
Khả năng mã hóa FTP site hẳn là một điều thú vị, tuy nhiên đó không phải là tất cả
vì bạn vẫn là có thể đăng nhập FTP site theo cách nặc danh mà không cần bảo mật, thậm chí nếu mã hóa SSL được kích hoạt Trong phần 4 của loạt bài này, chúng tôi
sẽ giới thiệu cho các bạn về sự thẩm định cho các FTP site
Văn Linh (Theo WindowsNetworking)
