Tài liệu Cấu hình IIS cho một FTP Site – Phần 3 docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (145.44 KB, 4 trang )
Cấu hình IIS cho một FTP Site – Phần 3
Brien M. Posey
Trong phần ba này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cấu hình IIS cho
một FTP site bằng việc kích hoạt mã hóa SSL.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách để có
được IIS 7.0. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung mã
hóa SSL vào FTP site.
Thu thập chứng chỉ SSL
Trước khi FTP server có thể cung cấp mã hóa SSL, bạn cần phải có một chứng chỉ
X.509. Bạn có thể mua một chứng chỉ này từ một nhà thẩm định chứng chỉ (CA)
thương mại, chẳng hạn như VeriSign hay Thawte, hoặc có thể sử dụng một CA của
một tổ chức để phát hành chứng chỉ.
Với mục đích của bài viết, chúng tối sẽ giả định rằng bạn có một máy chủ Windows
2008 đã được cấu hình để thực hiện như một CA doanh nghiệp. Khi đó chúng tôi sẽ
giới thiệu cho các bạn cách phát hành yêu cầu chứng chỉ và cách download chứng
chỉ cần thiết trong phần tiếp theo. Nếu bạn đã thu thập được một chứng chỉ SSL từ
một nhà thẩm định chứng chỉ thương mại, khi đó bạn có thể bỏ qua phần này và
chuyển sang phần tiếp theo.
Để sử dụng mã hóa SSL, chúng ta cần phát hành một yêu cầu đến CA doanh
nghiệp.Với mục đích của bài viết, chúng tôi giả dụ rằng máy chủ FTP của bạn là một
thành viên trong cùng Active Directory forest.
Để yêu cầu một chứng chỉ cần thiết, bạn hãy mở Internet Explorer, nhập vào URL
liên quan đến Enterprise Certificate Authority của bạn. Mặc định, URL sẽ là
https://<server name>/CertSrv. Khi nhập vào URL này, bạn thường phải nhập vào
tên miền đầy đủ của Enterprise Certificate Authority thay cho việc nhập vào tên
NetBIOS của máy chủ.
Khi bạn nhập vào URL của Enterprise Certificate Authority, hãy đăng nhập vào
Active Directory Certificate Services, Web site bổ sung quản trị viên miền (nếu cần).
Sau khi thực hiện điều đó, kích vào liên kết “Request a Certificate”. Bạn sẽ thấy
một màn hình xuất hiện yêu cầu bạn chọn giữa việc yêu cầu một chứng chỉ người
dùng hoặc đệ trình một yêu cầu chứng chỉ nâng cao. Kích vào tùy chọn thứ hai,
Advanced Certificate Request.
Màn hình sau đó sẽ cho phép bạn phát hành một yêu cầu trực tiếp đến nhà thẩm
định chứng chỉ hoặc upload một file yêu cầu chứng chỉ được mã hóa theo định dạng
Base-64 hoặc PKCS #10. Kích vào liên kết “Create and Submit a Request to This
CA”.
Tại đây, bạn sẽ được nhắc nhở để cài đặt ActiveX control. Nếu gặp phải nhắc nhở
này, hãy đi tiếp và thực hiện cài đặt điều khiển.
Tiếp đó bạn sẽ được đưa đến màn hình chính Advanced Certificate Request.
Chọn tùy chọn Web Server từ danh sách Certificate Template sổ xuống. Lúc này
phải nhập vào một số thông tin nhận dạng cơ bản để được nhóm vào trong chứng
chỉ của bạn. Những thông tin này gồm có như: tên, địa chỉ email, và số điện thoại
của bạn.
Trong phần Key Options, chọn tùy chọn Create a New Key Set. Bạn nên thẩm định
rằng Cryptographic Service Provider (CSP) đã được thiết lập là Microsoft RSA
SChannel Cryptographic Provider, và rằng Key Size được thiết lập là 1024, xem
thể hiện trong hình A.
Hình A: Bạn phải bảo đảm rằng Cryptographic Service Provider (CSP) được thiết lập
là Microsoft RSA SChannel Cryptographic Provider còn Key Size được thiết lập là
1024
Lúc này, hãy lăn chuột và tìm phía dưới giao diện, kích vào nút Submit. Bạn sẽ thấy
một cảnh báo thông báo cho bạn biết rằng Web site đang tạo một yêu cầu chứng
chỉ. Kích Yes để cho phép yêu cầu đó đi qua. Khi quá trình được hoàn tất, bạn sẽ
thấy một thông báo, thông báo này cho biết rằng chứng chỉ đã được phát hành đến
bạn và hỏi liệu có muốn cài đặt nó không. Hãy tiếp tục kích vào liên kết “Install This
Certificate”. Tiếp đó, bạn sẽ thấy một thông báo báo cho bạn biết rằng Web site
đang cài đặt chứng chỉ. Kích Yes để cho phép hoạt động đó.
Bạn sẽ thấy một thông báo nói rằng chứng chỉ đã được tạo thành công, tuy nhiên
chúng ta cần phải bảo đảm điều đó. Để thực hiện như vậy, bạn hãy nhập vào lệnh
MMC tại nhắc lệnh Run trên máy chủ FTP của mình. Khi đó Windows sẽ mở một
instance trống cho Microsoft Management Console. Tại đây, bạn phải chọn lệnh Add
/ Remove Snap-In từ menu File của giao diện điều khiển. Khi đó Windows sẽ hiển
thị hộp thoại Add or Remove Snap-ins.
Chọn tùy chọn Certificates từ danh sách các snap-in có sẵn. Bạn sẽ được hỏi liệu
giao diện điều khiển có được sử dụng để quản lý các chứng chỉ cho tài khoản người
dùng của bạn, tài khoản dịch vụ hay tài khoản máy tính hay không. Chọn tùy chọn
Computer Account và kích nút Next.
Màn hình tiếp sau đó sẽ hỏi bạn có muốn quản lý các chứng chỉ cho máy tính nội bộ
hay quản lý các chứng chỉ cho máy tính khách trên mạng. Bảo đảm rằng tùy chọn
Local Computer được tích, sau đó kích nút Finish và OK.
Giao diện điều khiển lúc này sẽ load Certificates snap-in. Bạn phải điều hướng
thông qua cây giao diện để vào Console Root | Certificates (Local Computer) |
Personal | Certificates. Khi chọn mục Certificates, panel Details sẽ hiển thị cho
bạn chứng chỉ đã được phát hành.
Kích hoạt SSL cho FTP Server
Lúc này, chúng ta đã có một chứng chỉ SSL, đây là lúc chúng ta có thể kích hoạt sự
mã hóa SSL cho máy chủ FTP của mình. Mở Internet Information Services (IIS)
Manager. Điều hướng thông qua cây giao diện để tìm đến <your server> | Sites |
<your FTP site>. Với FTP site của bạn đã chọn, kích đúp vào biểu tượng FTP SSL
settings trong phần Details.
Giao diện điều khiển lúc này sẽ hiển thị trang FTP SSL Settings. Chọn SSL
certificate từ danh sách SSL Certificate sổ xuống, như thể hiện trong hình B. Sau
đó bạn có thể chọn cho phép các kết nối SSL hoặc yêu cầu kết nối SSL. Cũng có
thể chọn mã hóa 128 bit cho tính năng bảo mật mạnh hơn. Kích nút Apply để lưu
các thay đổi của bạn.
Hình B: Chọn chứng chỉ từ danh sách SSL Certificates
Sử dụng SSL hay không sử dụng SSL?
Một trong những nhược điểm trong việc sử dụng mã hóa SSL là quá trình mã hóa
này sẽ làm tăng workload của CPU. Workload mở rộng sẽ đáng giá nếu bạn đang
truyền tải đi hay nhận những thông tin nhạy cảm hoặc nếu FTP site chỉ được sử
dụng thỉnh thoảng. Nếu tránh FTP site bị sử dụng quá nặng tải bạn cần phải thực
hiện test để bảo đảm rằng quá trình mã hóa không gây ra các vấn đề hiệu suất cho
máy chủ.
Chúng tôi khuyên các bạn nên kiểm tra bộ đếm Processor / %Processor Time của
Performance Monitor trước và sau khi mã hóa SSL được kích hoạt. Xung nhọn trong
hành động CPU là hoàn toàn bình thường, nhưng hiệu quả sử dụng trung bình cần
phải được duy trì dưới 80% bằng không CPU của bạn đang có vấn đề về phục vụ
các nhu cầu đang đòi hỏi ở nó.
Kết luận
Khả năng mã hóa FTP site hẳn là một điều thú vị, tuy nhiên đó không phải là tất cả
vì bạn vẫn là có thể đăng nhập FTP site theo cách nặc danh mà không cần bảo mật,
thậm chí nếu mã hóa SSL được kích hoạt. Trong phần 4 của loạt bài này, chúng tôi
sẽ giới thiệu cho các bạn về sự thẩm định cho các FTP site.
Văn Linh (Theo WindowsNetworking)
