Cấu hình IIS cho một FTP Site – Phần 3
Ngu
ồ
n:quantrimang.com.vn
Brien M. Pose
y
Quản trị mạng – Trong phần ba này chúng tôi sẽ tiếp tục giới thiệu cho các bạn
cách cấu hình IIS cho một FTP site bằng việc kích hoạt mã hóa SSL.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách để
có được IIS 7.0. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách bổ
sung mã hóa SSL vào FTP site.
Thu thập chứng chỉ SSL
Trước khi FTP server có thể cung cấp mã hóa SSL, bạn cần phải có một chứng
ch
ỉ X.509. Bạn có thể mua một chứng chỉ này từ một nhà thẩm định chứng chỉ
(CA) thương mại, chẳng hạn như VeriSign hay Thawte, hoặc có thể sử dụng một
CA của một tổ chức để phát hành chứng chỉ.
Với mục đích của bài viết, chúng tối sẽ giả định rằng bạn có một máy chủ
Windows 2008 đã được cấu hình để thực hiện như
một CA doanh nghiệp. Khi đó
chúng tôi sẽ giới thiệu cho các bạn cách phát hành yêu cầu chứng chỉ và cách
download chứng chỉ cần thiết trong phần tiếp theo. Nếu bạn đã thu thập được
một chứng chỉ SSL từ một nhà thẩm định chứng chỉ thương mại, khi đó bạn có
thể bỏ qua phần này và chuyển sang phần tiếp theo.
Để sử dụng mã hóa SSL, chúng ta cần phát hành một yêu cầu đến CA doanh
nghiệ
p.Với mục đích của bài viết, chúng tôi giả dụ rằng máy chủ FTP của bạn là
một thành viên trong cùng Active Directory forest.
Để yêu cầu một chứng chỉ cần thiết, bạn hãy mở Internet Explorer, nhập vào
URL liên quan đến Enterprise Certificate Authority của bạn. Mặc định, URL sẽ là

https://<server name>/CertSrv. Khi nhập vào URL này, bạn thường phải nhập
vào tên miền đầy đủ của Enterprise Certificate Authority thay cho việc nhập vào
tên NetBIOS của máy chủ.
Khi bạn nhập vào URL của Enterprise Certificate Authority, hãy đă
ng nhập vào
Active Directory Certificate Services, Web site bổ sung quản trị viên miền (nếu
cần). Sau khi thực hiện điều đó, kích vào liên kết “Request a Certificate”. Bạn
sẽ thấy một màn hình xuất hiện yêu cầu bạn chọn giữa việc yêu cầu một chứng
chỉ người dùng hoặc đệ trình một yêu cầu chứng chỉ nâng cao. Kích vào tùy
chọn thứ hai, Advanced Certificate Request.
Màn hình sau đó sẽ cho phép bạn phát hành một yêu cầu trực tiếp đến nhà thẩm
định chứng chỉ hoặc upload một file yêu cầu chứng chỉ được mã hóa theo định
dạng Base-64 hoặc PKCS #10. Kích vào liên kết “Create and Submit a
Request to This CA”.
Tại đây, bạn sẽ được nhắc nhở để cài đặt ActiveX control. Nếu gặp phải nhắc
nhở này, hãy đi tiếp và thực hiện cài đặt điều khiể
n.
Tiếp đó bạn sẽ được đưa đến màn hình chính Advanced Certificate Request.
Chọn tùy chọn Web Server từ danh sách Certificate Template sổ xuống. Lúc
này phải nhập vào một số thông tin nhận dạng cơ bản để được nhóm vào trong
chứng chỉ của bạn. Những thông tin này gồm có như: tên, địa chỉ email, và số
điện thoại của bạn.
Trong phần Key Options, chọn tùy chọn Create a New Key Set. Bạn nên thẩm
định rằ
ng Cryptographic Service Provider (CSP) đã được thiết lập là
Microsoft RSA SChannel Cryptographic Provider, và rằng Key Size được
thiết lập là 1024, xem thể hiện trong hình A.

Hình A: Bạn phải bảo đảm rằng Cryptographic Service Provider (CSP) được thiết
lập là Microsoft RSA SChannel Cryptographic Provider còn Key Size được thiết

lập là 1024
Lúc này, hãy lăn chuột và tìm phía dưới giao diện, kích vào nút Submit. Bạn sẽ
thấy một cảnh báo thông báo cho bạn biết rằng Web site đang tạo một yêu cầu
chứng chỉ. Kích Yes để cho phép yêu cầu đó đi qua. Khi quá trình được hoàn tất,
bạn sẽ thấy một thông báo, thông báo này cho biết rằng chứng chỉ đã được phát
hành đến bạn và hỏi liệu có muốn cài đặt nó không. Hãy tiếp tục kích vào liên kết
“Install This Certificate”. Tiếp
đó, bạn sẽ thấy một thông báo báo cho bạn biết
rằng Web site đang cài đặt chứng chỉ. Kích Yes để cho phép hoạt động đó.
Bạn sẽ thấy một thông báo nói rằng chứng chỉ đã được tạo thành công, tuy
nhiên chúng ta cần phải bảo đảm điều đó. Để thực hiện như vậy, bạn hãy nhập
vào lệnh MMC tại nhắc lệnh Run trên máy chủ FTP củ
a mình. Khi đó Windows
sẽ mở một instance trống cho Microsoft Management Console. Tại đây, bạn phải
chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển. Khi đó
Windows sẽ hiển thị hộp thoại Add or Remove Snap-ins.
Chọn tùy chọn Certificates từ danh sách các snap-in có sẵn. Bạn sẽ được hỏi
liệu giao diện điều khiển có được sử dụng để quản lý các chứng chỉ cho tài
khoản ngườ
i dùng của bạn, tài khoản dịch vụ hay tài khoản máy tính hay không.
Chọn tùy chọn Computer Account và kích nút Next.
Màn hình tiếp sau đó sẽ hỏi bạn có muốn quản lý các chứng chỉ cho máy tính nội
bộ hay quản lý các chứng chỉ cho máy tính khách trên mạng. Bảo đảm rằng tùy
chọn Local Computer được tích, sau đó kích nút Finish và OK.
Giao diện điều khiển lúc này sẽ load Certificates snap-in. Bạn phải điều hướng
thông qua cây giao diện để vào
Console Root | Certificates (Local Computer)
| Personal | Certificates. Khi chọn mục Certificates, panel Details sẽ hiển thị
cho bạn chứng chỉ đã được phát hành.
Kích hoạt SSL cho FTP Server

Lúc này, chúng ta đã có một chứng chỉ SSL, đây là lúc chúng ta có thể kích hoạt
sự mã hóa SSL cho máy chủ FTP của mình. Mở Internet Information Services
(IIS) Manager. Điều hướng thông qua cây giao diện để tìm đến <your server> |
Sites | <your FTP site>. Với FTP site của bạn đã chọn, kích đúp vào biểu tượng
FTP SSL settings trong phần Details.
Giao diện điều khiể
n lúc này sẽ hiển thị trang FTP SSL Settings. Chọn SSL
certificate từ danh sách SSL Certificate sổ xuống, như thể hiện trong hình B.
Sau đó bạn có thể chọn cho phép các kết nối SSL hoặc yêu cầu kết nối SSL.
Cũng có thể chọn mã hóa 128 bit cho tính năng bảo mật mạnh hơn. Kích nút
Apply để lưu các thay đổi của bạn.

Hình B: Chọn chứng chỉ từ danh sách SSL Certificates
Sử dụng SSL hay không sử dụng SSL?
Một trong những nhược điểm trong việc sử dụng mã hóa SSL là quá trình mã
hóa này sẽ làm tăng workload của CPU. Workload mở rộng sẽ đáng giá nếu bạn
đang truyền tải đi hay nhận những thông tin nhạy cảm hoặc nếu FTP site chỉ
được sử dụng thỉnh thoảng. Nế
u tránh FTP site bị sử dụng quá nặng tải bạn cần
phải thực hiện test để bảo đảm rằng quá trình mã hóa không gây ra các vấn đề
hiệu suất cho máy chủ.
Chúng tôi khuyên các bạn nên kiểm tra bộ đếm Processor / %Processor Time
của Performance Monitor trước và sau khi mã hóa SSL được kích hoạt. Xung
nhọn trong hành động CPU là hoàn toàn bình thường, nhưng hiệu quả sử dụng
trung bình cần phải được duy trì dưới 80% bằng không CPU của bạn đang có
vấn đề về ph
ục vụ các nhu cầu đang đòi hỏi ở nó.
Kết luận
Khả năng mã hóa FTP site hẳn là một điều thú vị, tuy nhiên đó không phải là tất
cả vì bạn vẫn là có thể đăng nhập FTP site theo cách nặc danh mà không cần

bảo mật, thậm chí nếu mã hóa SSL được kích hoạt. Trong phần 4 của loạt bài
này, chúng tôi sẽ giới thiệu cho các bạn về sự thẩm định cho các FTP site.
