Bảo vệ máy chủ Web với SSL | VnExperts Academy - Đào tạo, học, thi chứng chỉ Quốc tế Cisco CCNA, CCNP, Microsoft MCP, MCSA, MCITP, Linux, Security+, CEH

Bảo vệ máy chủ Web với SSL

Giao tiếp HTTP được coi là tốt cho các máy chủ Web thông thường chỉ chứa các trang thông tin thuần túy. Nhưng nếu bạn đang có ý định vận hành một trang thương mại điện tử hoặc các dịch vụ Web cần các giao dịch bảo mật, thì bạn cần bảo mật giao tiếp giữa máy chủ Web của bạn và khác hàng. Cách thức phổ biến nhất là sử dụng Secure Sockets Layer (SSL), cách thức dùng một khóa mã công khai để bảo vệ các thông tin bí mật của người dùng (như thẻ tín dụng hoặc số tài khoản ngân hàng) khi truyền qua môi trường Web. Trong bài báo này, chúng ta sẽ cùng thảo luận về cách thức hoạt động của SSL như thế nào và sẽ chỉ ra cho bạn cách để sử dụng nó trên các máy chủ Web Internet Information Services (IIS) của bạn.

SSL hoạt động như thế nào?

SSL dùng một chứng nhận số được phát hành bởi nhà cung cấp chứng nhận (CA) hợp lệ để xác thực cho cả hai bên trong giao dịch (máy khách và máy chủ). Nếu máy chủ Web được cài đặt để yêu cầu các kết nối bảo mật, nó sẽ từ chối các yêu cầu không được bảo mật. Để kết nối tới một trang bảo mật, máy khách phải dùng https:// ở đầu của URL thay cho http://.

Chú ý: Nếu một vài thành phần của trang web dùng http:// trong liên kết, các khách viếng thăm sẽ nhận được một thống báo nói rằng một số đối tượng trên trang web không bảo mật. Bạn có thể tránh những thông báo này bằng cách dùng https:// cho tất cả các liên kết hoặc dùng các đường dẫn tương đối không chứa “http://” hoặc “https://”.

Khi trình duyệt máy khách khởi tạo một kết nối bảo mật, quá trình “bắt tay” SSL diễn ra. Trình duyệt kiểm tra chứng nhận số để xác thực định danh của máy chủ, sự xác thực của nhà cung cấp chứng nhận và xác nhận chứng nhận đó chưa hết hạn. Tiếp theo máy khách và chủ thỏa thuận phương thức bảo mật và các khóa được sử dụng.

Khi quá trình bắt tay hoàn thành, một khóa mới được tạo ra, và khóa này được dùng để tạo các khóa cho phiên làm việc, những cái mà chính chúng được dùng để mã hóa các giao tiếp còn lại, dùng phương thức mã hóa được thỏa thuận giữa máy khác và chủ. Máy chủ sẽ xác thực máy khách nếu máy chủ được cấu hình để yêu cầu sự xác thực của máy khách.

Bổ sung SSL như thế nào?

Bước đầu tiên để bổ sung SSL cho trang Web của bạn là xin một chứng nhận SSL từ một nhà cung cấp chứng nhận chuyên phát hành các chứng nhận SSL. Chứng nhận SSL máy chủ Web thừa nhận tư cách đầy đủ cho cả tên miền và địa chỉ IP.

Để cấu hình Website IIS 6.0 của bạn (đang chạy trên Windows Server 2003) dùng mã hóa SSL xin theo các bước sau:

1. Mở IIS Manager từ menu Programs | Administrative Tools

2. Ở ô cửa sổ trái của bảng giao tiếp, mở rộng nút cho tên máy chủ Web của bạn (trong ví dụ của chúng tôi là CA1) và sau đó mở rộng thư mục các Website như trên Hình A.

Hình A: Mở rộng thư mục các Website trong IIS Manager

3. Nhắp chuột phải vào Website mà bạn muốn dùng SSL, và sau đó chọn Properties từ menu ngữ cảnh. Nó sẽ mở trang Properties của Website.

4. Nhắp chuột vào thẻ Directory Security như trong Hình B.

Hình B: Thẻ Directory Security

5. Bên dưới Secure Communications, nhắp chuột vào nút Server Certificate. Nó sẽ khởi tạo Web Server Certificate Wizard.

6. Nhắp chuột vào nút Next trên trang đầu tiên của Wizard.

7. Trên trang Server Certificate, bạn sẽ nhìn thấy các tùy chọn sau: Tạo một chứng nhận mới, Gán một chứng nhận có sẵn, Nhập một chứng nhận từ một tệp tin sao lưu Key Manager, Nhập một chứng nhận từ một tệp tin .pfx hoặc Sao chép hay di chuyển một chứng nhận từ một máy chủ từ xa tới Website này. Chọn một lựa chọn thích hợp và theo lần lượt các bước.

Để nhập một chứng nhận bạn cần biết:

Đường dẫn nơi chứng nhận được lưu giữ
Mật khẩu tệp tin .pfx.

Để tạo một chứng nhận mới, bạn cần gửi yêu cầu tới nhà cung cấp chứng nhận trên mạng của bạn hoặc chuẩn bị yêu cầu và gửi thủ công tới một CA không thuộc mạng của bạn. Bạn phải nhập URL của Website và nếu bạn có ý định làm cho site có hiệu lực trên Internet thì tên phải trùng với tên miền đủ điều kiện bên ngoài của site. Nếu site chỉ hiệu lực cho các người dùng mạng intranet, bạn có thể dùng tên NetBIOS.

8. Nếu bạn tạo một chứng nhận mới, bạn sẽ cần nhập vị trí địa lý của bạn (quốc gia, bang/tỉnh và thành phố/khu vực) trên trang Geographical Information.

9. Yêu cầu chứng nhận sẽ được lưu như tệp văn bản nếu bạn chọn tạo yêu cầu thủ công và gửi đi sau đó. Nhập một tên cho tệp văn bản.

10. Xem lại thông tin yêu cầu trên trang Request File Summary và nhắp Next để tạo tệp. Bạn có thể gửi e-mail tới một nhà cung cấp chứng nhận.

Nếu bạn gửi yêu cầu tới một CA nội bộ:

11. Chắc chắn rằng cổng 443 được chọn ở trang SSL Port.

12. Chọn CA ở trang Choose a Certification Authority.

13. Xem lại thông tin yêu cầu và nhắp Next để gửi yêu cầu ở trang Certificate Request Submission.

Chú ý: Bạn có thể xóa yêu cầu bằng cách chạy lại Wizard. Quay lại thẻ Directory Security trên trang Properties của site và nhắp Server Certificate lần nữa. Wizard sẽ thông báo cho bạn biết rằng một yêu cầu chứng nhận đang chờ và hỏi nếu bạn muốn xử lý yêu cầu đang chờ và cài đặt chứng nhận hay xóa yêu cầu đang chờ.

Một khi bạn đã có chứng nhận, bạn có thể bảo mật Website với chúng theo những bước sau:

1. Trên thẻ Directory Security trang Properties của site, dưới phần Secure Communications, nhắp chuột vào nút Edit (chú ý rằng có tới ba nút Edit trên trang này, bạn phải nhắp chuột vào nút dưới phần Secure Communications).

2. Chọn vào nút có nhãn Require secure channel (SSL) ở đầu của hộp thoại Secure Communications. Nếu bạn muốn mã hóa 128 bit, chọn vào nút thích hợp như Hình C. Một vài trình duyệt cũ có thể không hỗ trợ mã hóa 128 bit.

Hình C: Cài đặt site để yêu cầu một kênh mã hóa (SSL)

3. Dưới mục Client Certificates, chọn nếu bạn muốn bỏ qua chứng nhận máy khách, chấp nhận chứng nhận máy khách, hoặc yêu cầu chứng nhận máy khách (cái sau là bảo mật nhất). Bạn cũng có thể ánh xạ chứng nhận máy khách sang tài khoản người dùng Windows và làm hiệu lực Certificate Trust List. Nhắp OK khi bạn đã kết thức cấu hình những cài đặt này.

4. Quay trở lại thẻ Directory Security, dưới mục Authentication and Access Control ở đầu trang, nhắp nút Edit.

5. Dưới mục Authenticated Access, bạn có thể chọn để yêu cầu tên người dùng và mật khẩu cho bắt kỳ hoặc tất cả các cách thức xác thực sau: Integrated Windows authentication, Digest authentication for Windows domain servers, Basic authentication, .NET Passport authentication. Sau khi cấu hình theo ý muốn, nhắp OK.

6. Nhắp OK lần nữa để đóng các hộp thoại và đóng IIS MMC.

Thử kết nối

Để kiểm chứng rằng kết nối SSL của bạn có hoạt động, trong trình duyệt nhập tên máy chủ (tên miền đầy đủ cho máy chủ Internet Web hoặc tên NetBIOS cho máy chủ intranet), đặt https:// ở đầu của URL. Bạn sẽ nhận được một thông báo rằng bạn sắp xem các trang web qua kết nối bảo mật. Nhắp OK. Website bảo mật sẽ phải hiển thị.

Theo Deb Shinder

Tin mới hơn:

11/02/2006 16:14 - Những hướng dẫn tăng cường an toàn, bảo mật cho hệ thống mạng
11/02/2006 13:07 - Hỏi đáp về hacker và các vấn đề liên quan
10/02/2006 10:59 - RFID – Công nghệ của thế giới di động
19/01/2006 02:24 - Khái niệm về Cryptography
18/01/2006 04:01 - Rootkit-mỗi nguy hiểm tiềm tàng

Tin cũ hơn:

15/01/2006 12:15 - Chữ ký điện tử: Đảm bảo an toàn dữ liệu truyền trên mạng
14/01/2006 11:34 - Giới thiệu về SSL
13/01/2006 08:56 - Không thể chống đỡ tấn công từ chối dịch vụ
11/01/2006 15:14 - Tìm hiểu về SSH
10/01/2006 17:01 - Giải pháp giám sát user truy cập Internet cho ISP

<< Trang truớcTrang kế >>

VnExperts Academy - Đào tạo, học, thi chứng chỉ Quốc tế Cisco CCNA, CCNP, Microsoft MCP, MCSA, MCITP, Linux, Security+, CEH

ĐỌC NHIỀU NHẤT