Cấu hình IIS cho một FTP Site – Phần 1
Cấu hình IIS cho một FTP Site – Phần 2
Quản trị mạng – Trong phần ba này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cấu hình IIS cho một FTP site bằng việc kích hoạt mã hóa SSL.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách để có được IIS 7.0. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung mã hóa SSL vào FTP site.
Thu thập chứng chỉ SSL
Trước khi FTP server có thể cung cấp mã hóa SSL, bạn cần phải có một chứng chỉ X.509. Bạn có thể mua một chứng chỉ này từ một nhà thẩm định chứng chỉ (CA) thương mại, chẳng hạn như VeriSign hay Thawte, hoặc có thể sử dụng một CA của một tổ chức để phát hành chứng chỉ.
Với mục đích của bài viết, chúng tối sẽ giả định rằng bạn có một máy chủ Windows 2008 đã được cấu hình để thực hiện như một CA doanh nghiệp. Khi đó chúng tôi sẽ giới thiệu cho các bạn cách phát hành yêu cầu chứng chỉ và cách download chứng chỉ cần thiết trong phần tiếp theo. Nếu bạn đã thu thập được một chứng chỉ SSL từ một nhà thẩm định chứng chỉ thương mại, khi đó bạn có thể bỏ qua phần này và chuyển sang phần tiếp theo.
Để sử dụng mã hóa SSL, chúng ta cần phát hành một yêu cầu đến CA doanh nghiệp.Với mục đích của bài viết, chúng tôi giả dụ rằng máy chủ FTP của bạn là một thành viên trong cùng Active Directory forest.
Để yêu cầu một chứng chỉ cần thiết, bạn hãy mở Internet Explorer, nhập vào URL liên quan đến Enterprise Certificate Authority của bạn. Mặc định, URL sẽ là https://<server name>/CertSrv. Khi nhập vào URL này, bạn thường phải nhập vào tên miền đầy đủ của Enterprise Certificate Authority thay cho việc nhập vào tên NetBIOS của máy chủ.
Khi bạn nhập vào URL của Enterprise Certificate Authority, hãy đăng nhập vào Active Directory Certificate Services, Web site bổ sung quản trị viên miền (nếu cần). Sau khi thực hiện điều đó, kích vào liên kết “Request a Certificate”. Bạn sẽ thấy một màn hình xuất hiện yêu cầu bạn chọn giữa việc yêu cầu một chứng chỉ người dùng hoặc đệ trình một yêu cầu chứng chỉ nâng cao. Kích vào tùy chọn thứ hai, Advanced Certificate Request.
Màn hình sau đó sẽ cho phép bạn phát hành một yêu cầu trực tiếp đến nhà thẩm định chứng chỉ hoặc upload một file yêu cầu chứng chỉ được mã hóa theo định dạng Base-64 hoặc PKCS #10. Kích vào liên kết “Create and Submit a Request to This CA”.
Tại đây, bạn sẽ được nhắc nhở để cài đặt ActiveX control. Nếu gặp phải nhắc nhở này, hãy đi tiếp và thực hiện cài đặt điều khiển.
Tiếp đó bạn sẽ được đưa đến màn hình chính Advanced Certificate Request. Chọn tùy chọn Web Server từ danh sách Certificate Template sổ xuống. Lúc này phải nhập vào một số thông tin nhận dạng cơ bản để được nhóm vào trong chứng chỉ của bạn. Những thông tin này gồm có như: tên, địa chỉ email, và số điện thoại của bạn.
Trong phần Key Options, chọn tùy chọn Create a New Key Set. Bạn nên thẩm định rằng Cryptographic Service Provider (CSP) đã được thiết lập là Microsoft RSA SChannel Cryptographic Provider, và rằng Key Size được thiết lập là 1024, xem thể hiện trong hình A.
Hình A: Bạn phải bảo đảm rằng Cryptographic Service Provider (CSP) được thiết lập là Microsoft RSA SChannel Cryptographic Provider còn Key Size được thiết lập là 1024
Lúc này, hãy lăn chuột và tìm phía dưới giao diện, kích vào nút Submit. Bạn sẽ thấy một cảnh báo thông báo cho bạn biết rằng Web site đang tạo một yêu cầu chứng chỉ. Kích Yes để cho phép yêu cầu đó đi qua. Khi quá trình được hoàn tất, bạn sẽ thấy một thông báo, thông báo này cho biết rằng chứng chỉ đã được phát hành đến bạn và hỏi liệu có muốn cài đặt nó không. Hãy tiếp tục kích vào liên kết “Install This Certificate”. Tiếp đó, bạn sẽ thấy một thông báo báo cho bạn biết rằng Web site đang cài đặt chứng chỉ. Kích Yes để cho phép hoạt động đó.
Bạn sẽ thấy một thông báo nói rằng chứng chỉ đã được tạo thành công, tuy nhiên chúng ta cần phải bảo đảm điều đó. Để thực hiện như vậy, bạn hãy nhập vào lệnh MMC tại nhắc lệnh Run trên máy chủ FTP của mình. Khi đó Windows sẽ mở một instance trống cho Microsoft Management Console. Tại đây, bạn phải chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển. Khi đó Windows sẽ hiển thị hộp thoại Add or Remove Snap-ins.
Chọn tùy chọn Certificates từ danh sách các snap-in có sẵn. Bạn sẽ được hỏi liệu giao diện điều khiển có được sử dụng để quản lý các chứng chỉ cho tài khoản người dùng của bạn, tài khoản dịch vụ hay tài khoản máy tính hay không. Chọn tùy chọn Computer Account và kích nút Next.
Màn hình tiếp sau đó sẽ hỏi bạn có muốn quản lý các chứng chỉ cho máy tính nội bộ hay quản lý các chứng chỉ cho máy tính khách trên mạng. Bảo đảm rằng tùy chọn Local Computer được tích, sau đó kích nút Finish và OK.
Giao diện điều khiển lúc này sẽ load Certificates snap-in. Bạn phải điều hướng thông qua cây giao diện để vào Console Root | Certificates (Local Computer) | Personal | Certificates. Khi chọn mục Certificates, panel Details sẽ hiển thị cho bạn chứng chỉ đã được phát hành.
Kích hoạt SSL cho FTP Server
Lúc này, chúng ta đã có một chứng chỉ SSL, đây là lúc chúng ta có thể kích hoạt sự mã hóa SSL cho máy chủ FTP của mình. Mở Internet Information Services (IIS) Manager. Điều hướng thông qua cây giao diện để tìm đến <your server> | Sites | <your FTP site>. Với FTP site của bạn đã chọn, kích đúp vào biểu tượng FTP SSL settings trong phần Details.
Giao diện điều khiển lúc này sẽ hiển thị trang FTP SSL Settings. Chọn SSL certificate từ danh sách SSL Certificate sổ xuống, như thể hiện trong hình B. Sau đó bạn có thể chọn cho phép các kết nối SSL hoặc yêu cầu kết nối SSL. Cũng có thể chọn mã hóa 128 bit cho tính năng bảo mật mạnh hơn. Kích nút Apply để lưu các thay đổi của bạn.
Hình B: Chọn chứng chỉ từ danh sách SSL Certificates
Sử dụng SSL hay không sử dụng SSL?
Một trong những nhược điểm trong việc sử dụng mã hóa SSL là quá trình mã hóa này sẽ làm tăng workload của CPU. Workload mở rộng sẽ đáng giá nếu bạn đang truyền tải đi hay nhận những thông tin nhạy cảm hoặc nếu FTP site chỉ được sử dụng thỉnh thoảng. Nếu tránh FTP site bị sử dụng quá nặng tải bạn cần phải thực hiện test để bảo đảm rằng quá trình mã hóa không gây ra các vấn đề hiệu suất cho máy chủ.
Chúng tôi khuyên các bạn nên kiểm tra bộ đếm Processor / %Processor Time của Performance Monitor trước và sau khi mã hóa SSL được kích hoạt. Xung nhọn trong hành động CPU là hoàn toàn bình thường, nhưng hiệu quả sử dụng trung bình cần phải được duy trì dưới 80% bằng không CPU của bạn đang có vấn đề về phục vụ các nhu cầu đang đòi hỏi ở nó.
Kết luận
Khả năng mã hóa FTP site hẳn là một điều thú vị, tuy nhiên đó không phải là tất cả vì bạn vẫn là có thể đăng nhập FTP site theo cách nặc danh mà không cần bảo mật, thậm chí nếu mã hóa SSL được kích hoạt. Trong phần 4 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về sự thẩm định cho các FTP site.