Bảo vệ các máy chủ Web với SSL

Truyền thông HTTP được định nghĩa cho máy chủ Web nói chung, thông thường là các trang thông tin. Tuy nhiên nếu đang nghĩ đến việc chạy một trang điện tử hoặc các dịch vụ Web khác yêu cầu phiên giao dịch an toàn thì bạn cần phải mã hóa dữ liệu được truyền thông giữa máy chủ Web và các máy khách của nó. Trường hợp thường được sử dụng nhất đó là Secure Sockets Layer (SSL), SSL sử dụng mã hóa khóa công khai để bảo vệ thông tin bí mật của người dùng (như là thẻ tín dụng, số tài khoản ngân hàng) vẫn được truyền tải trên Web. Trong bài viết này chúng tôi sẽ giới thiệu với các bạn SSL làm việc như thế nào và làm thế nào để kích hoạt nó trên máy chủ Internet Information Services (IIS) Web của bạn.

SSL làm việc như thế nào

SSL sử dụng chứng chỉ số được đưa ra bởi một nhóm có thẩm quyền về cấp chứng chỉ hợp lệ (CA) để thẩm định các thành phần tham dự liên quan đến phiên giao dịch (cả máy khách và máy chủ). Nếu máy chủ Web được thiết lập yêu cầu đến các kết nối an toàn thì nó sẽ từ chối những yêu cầu không an toàn. Để kết nối đến một trang an toàn, máy khách phải sử dụng https:// để bắt đầu địa chỉ URL thay vì http://.

Lưu ý:
Nếu một số thành phần trên trang sử dụng http:// trong các liên kết thì người duyệt web sẽ nhận được một thông báo cho biết rằng một số mục trên trang này là không an toàn. Bạn có thể tránh được điều này bằng cách sử dụng https:// cho tất cả các liên kết hoặc sử dụng một đường dẫn tương đối không chứa “http” hay “https”.

Khi trình duyệt của máy khách khởi tạo một kết nối an toàn, “sự bắt tay” SSL xuất hiện. Trình duyệt sẽ kiểm tra chứng chỉ để xác nhận tính hợp lệ đồng nhất của máy chủ, giá trị của chứng chỉ và xác nhận chứng chỉ đã hết hạn sử dụng. Sau đó máy khách và máy chủ tìm ra phương pháp mã hóa và các khóa để sử dụng.

Khi thủ tục “bắt tay” được hoàn tất, một khóa mới sẽ được tạo và khóa này sử dụng để tạo các khóa session, khóa session được dùng để mã hóa phần tin còn lại bằng sử dụng phương pháp mã hóa giữa máy khách và máy chủ. Máy chủ sẽ thích hợp với máy khách nếu nó được cấu hình để xác nhận thẩm quyền máy khách.

Khi một yêu cầu HTTP được gửi đi, các yêu cầu trong trường biểu mẫu và các biến chương trình (biến được gắn vào phần cuối của URL) được gỡ bỏ khỏi URL và được chèn vào khối dữ liệu đã mã hóa, dữ liệu đã mã hóa gồm có dữ liệu được nhập vào trên biểu mẫu trong trình duyệt máy khách. Đáp ứng từ phía máy chủ cũng tương tự như vậy khi nó trả về cho máy khách.

Làm thế nào để thực thi SSL

Bước đầu tiên trong việc thực thi SSL cho Web site của bạn đó là phải có được chứng chỉ SSL từ một trung tâm cấp chứng chỉ SSL. Chứng chỉ SSL của Web Server để phân biệt tên miền và địa chỉ IP riêng biệt của nó. Bạn có thể mua chứng chỉ SSL từ các nhà cung cấp chứng chỉ như Verisign, Thawte, Entrust hay một số nhà cung cấp chứng chỉ công cộng khác. Chứng chỉ của những công ty đó đều được các trình duyệt lớn nhận ra. Bạn cũng có thể có được chứng chỉ từ một CA nội bộ.

Để cấu hình IIS 6.0 Web site (chạy trên Windows Server 2003) sử dụng mã hóa SSL, bạn thực hiện theo các bước dưới đây:

1. Mở IIS Manager từ menu Programs | Administrative Tools

2. Trong cửa sổ bên trái của giao diện người dùng, bạn mở nút có tên Web server (trong ví dụ là CA1), sau đó mở rộng thư mục Web Sites như trong hình A.


Hình A: Mở thư mục Web Sites trong IIS Manager

3. Kích chuột phải vào Web site mà bạn muốn sử dụng SSL, sau đó chọn Properties để mở được trang thuộc tính Properties cho trang này.

4. Kích vào tab Directory Security như trong hình B.


Hình B: Tab Directory Security

6. Bên dưới Secure Communications, bạn kích chuột vào nút Server Certificate. Động tác này sẽ khởi chạy Web Server Certificate Wizard. Kích nút Next trên trang đầu tiên của Wizard.

7. Trên trang Server Certificate, bạn sẽ có các lựa chọn như sau: Create a new certificate (Tạo một chứng chỉ mới), Assign an existing certificate (Gán một chứng chỉ đang tồn tại), Import a certificate from a Key Manager backup file (Nhập một chứng chỉ từ file backup Key Manager), Import a certificate from a .pfx file (Nhập một chứng chỉ từ file .pfx), Copy or move a certificate from a remote server to this site (Sao chép hoặc di chuyển một chứng chỉ từ một máy chủ điều khiển từ xa đến site này). Tạo lựa chọn thích hợp và theo các bước dưới đây.

Để nhập một chứng chỉ, bạn cần biết:

  • Đường dẫn tới nơi mà chứng chỉ được lưu
  • Mật khẩu trên file .plx

Để tạo một chứng chỉ mới, bạn cần gửi yêu cầu đến một bộ phận có thẩm quyền cấp chứng chỉ cho mạng của bạn hoặc chuẩn bị yêu cầu và gửi nó một cách thủ công đến CA không trên mạng của bạn. Bạn phải nhập vào URL cho Web site và nếu dự định là cho site này có thể dùng được trên Internet thì tên của nó phải hợp với tên miền riêng bên ngoài trang. Nếu trang chỉ sử dụng cho người dùng nội bộ thì bạn có thể sử dụng tên NetBIOS.

8. Nếu đang tạo một chứng chỉ mới, bạn phải nhập vào vị trí địa lý của mình (như là quốc gia, tỉnh thành,…) trong trang thông tin địa lý.

9. Yêu cầu chứng chỉ sẽ được lưu dưới dạng file text nếu bạn chọn tạo yêu cầu thủ công và gửi nó đến sau. Nhập vào tên cho file văn bản này.

10. Xem lại những thông tin yêu cầu trên trang Request File Summary và kích Next để tạo file. Bạn có thể gửi file đến bộ phận cấp chứng chỉ.

Nếu đang đệ trình một yêu cầu đến CA nội bộ:

11. Bảo đảm rằng cổng 443 được chọn trong trang SSL Port

12. Chọn CA trong trang Choose a Certification Authority

13. Xem lại thông tin yêu cầu và kích Next để đệ trình yêu cầu trong trang Certificate Request Submission

Lưu ý:
Bạn có thể xóa yêu cầu bằng cách chạy Wizard một lần nữa. Trở về tab Directory Security trong trang thuộc tính và kích Server Certificate. Wizard sẽ thông báo rằng một yêu cầu chứng chỉ đang chờ và hỏi xem bạn có muốn tiếp tục yêu cầu đang chờ và cài đặt hay xóa yêu cầu đang chờ này hay không.

Khi có chứng chỉ, bạn có thể bảo đảm cho Web site bằng những bước dưới đây:

1. Trên tab Directory Security của trang thuộc tính, dưới Secure Communications, bạn kích nút Edit (lưu ý rằng có 3 nút Edit trên trang này; bạn chỉ kích vào nút dưới Secure Communications).

2. Tích vào hộp Require secure channel (SSL) tại phần trên cùng của hộp thoại Secure Communications. Nếu bạn muốn yêu cầu mã hóa 128 bit, hãy tích vào hộp kiểm thích hợp như những gì thể hiện trong hình C. Một số trình duyệt cũ có thể không hỗ trợ mã hõa 128 bit.


Hình C: Thiết lập yêu cầu về an toàn SSL

3. Dưới Client Certificates, bạn cần phải quyết định chọn xem muốn bỏ qua các chứng chỉ máy khác, chấp nhận hoặc yêu cầu chứng chỉ máy khách. Bạn cũng có thể ánh xạ các chứng chỉ máy khách đối với tài khoản người dùng Windows ở đây và kích hoạt danh sách chứng chỉ thực Certificate Trust List. Kích OK khi đã kết thúc việc cấu hình các thiết lập đó.

4. Quay trở lại tab Directory Security, dưới Authentication Access Control tại phần trên của trang, bạn kích nút Edit.

5. Dưới Authenticated Access, bạn có thể chọn tên người dùng yêu cầu và mật khẩu của họ bất kỳ hoặc tất cả các phương pháp thẩm định sau đây: thẩm định Integrated Windows, thẩm định Digest cho các máy chủ miền Windows, thẩm định cơ bản Basic, NET Passport,…. Sau khi cấu hình các tham chiếu ở đây, bạn kích OK.

6. Kích OK một lần nữa để đóng các hộp thoại và đóng IIS MMC.

Kiểm tra kết nối

Để thẩm định rằng kết nối SSL của bạn làm việc, trong trình duyệt nhập vào tên của máy chủ (tên miền đầy đủ cho Internet Web server hoặc tên NetBIOS cho máy chủ nội bộ), gõ https:// vào vị trí bắt đầu của URL. Bạn sẽ nhận được một thông báo rằng bạn đang xem các trang trên một kết nối an toàn. Kích OK. Web site an toàn sẽ được hiển thị.

Thứ Ba, 19/06/2007 10:20
31 👨 1.411
0 Bình luận
Sắp xếp theo