Trao đổi với tôi

http://www.buidao.com

11/24/09

[MCSA] MCSA - Part 32 - Cerificate Authority (3)

2/ CA DOMAIN

Bây giờ ta xét trường hợp sử dụng Certificate Authority (CA) trong môi trường Domain để xem có gì khác biệt và có thêm những tính năng mạnh mẽ nào. Tất nhiên để làm được điếu này trước tiên máy bạn phải Upgrade lên DC trước và cũng như đã cài CA trong môi trường Workgroup bạn phải cài IIS trước.

Sau đó cài tiếp dịch vụ CA tại đây ta thấy 2 lựa chọn đầu tiên không bị mờ như ta đã cài CA trong môi trường Workgroup nữa vì đây là môi trường Domain nên Windows cho phép ta chọn Enterprise root CA. Nhấp vào Enterprise root CA và chọn Next

gccom_2008_12_19_171303_gf

Đặt tên cho CA của mình và thực hiện các quá trình cài đặt tương tự như trong môi trường Workgroup

gccom_2008_12_19_171330_gf

Bây giờ tôi sẽ thực hiện xin chứng thực từ CA Server cho gccom1 thao tác tương tự như trên

gccom_2008_12_19_172001_gf

Nhấp vào Request a certificate

gccom_2008_12_19_172026_gf

Chọn tiếp User Certificate

gccom_2008_12_19_172041_gf

Do chúng ta đang ở trong môi trường Domain nên Windows sẽ tự hiểu bạn đang Logon với Account nào và nó sẽ thông báo rằng “No further identifying information is required. To complete your certificate, press submit” nghĩa nôm na rằng “Bạn không cần phải nhập thêm bất cứ thông tin gì cả. Nhấp nút Submit để hoàn tất

gccom_2008_12_19_172100_gf

Đến đây thay vì phải chờ cho Admin của CA trong môi trường WORKGROUP Issued thì tại môi trường Domain CA Server thông minh hơn và nó tự chứng thực cho User luôn và tại bước kế tiếp User chỉ việc cài đặt luôn Certificate mà không cần chờ đợi gì cả. Nhấp Install this certificate

gccom_2008_12_19_172117_gf

Màn hình thông báo cài đặt CA hoàn tất

gccom_2008_12_19_172132_gf

SSL (Secure Sockets Layer)

Bây giờ chúng ta tìm hiểu thêm về ứng dụng CA trong việc mã hóa thông tin trên Web hay còn gọi là SSL.

Thông thường với các trang Web không yêu cầu tính bảo mật cao người quản trị mạng không cần phải làm gì khác ngoài việc cho trang Web ấy chạy ổn định là xong.

Tuy nhiên đối với một số trang Web mà thông tin người dùng phải tuyệt đối được bảo mật ở mức độ cao như các trang Web về ngân hàng, mua bán qua mạng thì người quản trị mạng phải mã hóa dữ liệu trên Web…. Vì nếu không may tài khoản người dùng nhập trên Web lọt vào tay kẻ xấu thì vô cùng nguy hiểm.

Chính vì thế những thông tin cá nhân mà người dùng nhập tại máy Client trước khi gởi lên Server sẽ được mã hóa cẩn thận bởi chính CA của hệ thống Website đó

Tuy nhiên trên thực tế với các hãng phần mềm lớn như google.com, yahoo.com thì CA này họ không tự làm lấy mà thuê hẳn CA của các công ty chuyên cung cấp CA nổi tiếng trên thế giới. Có như vậy người dùng mới thực sự an tâm về thông tin của mình.

Để chạy trang Web theo giao thức SSL bạn phải thêm chữ “s” ngay sau cụm từ “http” trong địa chỉ Address của mình.

Bây giờ giả sử tôi đăng nhập vào trang Web của máy Server với địa chỉ http://192.168.1.1 kết quả truy cập thành công

gccom_2008_12_19_172303_gf

Tuy nhiên khi tôi thêm chữ “s” vào sau “http” thì IE báo là không thể hiển thị được. Lý đo ta chưa đăng ký CA cho Website

gccom_2008_12_19_172327_gf

Bây giờ ta tiến hành cấu hình SSL cho trang Web của chúng ta (trong ví dụ này trang Web chính của chúng ta chính là Default WebsiteWindows tạo mặc định). Bạn mở IIS của máy chạy Web Server lên nhấp phải vào Default Website chọn tiếp Properties

gccom_2008_12_19_172358_gf

Chọn tiếp Tab Directory Sercurity và để ý rằng nút View Certificate bị mờ đi vì chưa có Certificate

gccom_2008_12_19_172451_gf

Nhấp vào nút Server Certificate trong màn hình Server Certificate chọn lưa chọn đầu tiên là Create a new certificate để tạo một Certificate mới cho Website

gccom_2008_12_19_172505_gf

Chọn Send the request immediately to an online certificate authority và nhấp Next

gccom_2008_12_19_172518_gf

Giữ nguyên giá trị mặc định chọn Next

gccom_2008_12_19_172531_gf

Nhập thông tin của bạn vào đây

gccom_2008_12_19_172600_gf

Ở màn hình Your Site’s Common Name bạn phải nhập chính xác Host(A) của bạn trong máy DNS Server.

gccom_2008_12_19_172627_gf

Nhập tiếp các thông tin cần thiết khác

gccom_2008_12_19_172654_gf

Tại màn hình SSL Port Windows thông báo với chúng ta rằng chúng ta sẽ chạy SSL trên Port 443

gccom_2008_12_19_172705_gf

Giữ nguyên giá trị mặc định chọn Next

gccom_2008_12_19_172718_gf

Màn hình kết thúc xin Certificate cho Website

gccom_2008_12_19_172733_gf

Trở lại Tab Directory bây giờ bạn thấy nút View Certificate đã sáng lên nghĩa là chúng ta đăng ký thành công

gccom_2008_12_19_172746_gf

Nhấp vào nút Certificate để xem thông tin Certificate

gccom_2008_12_19_172817_gf

Trở lại Tab Website bạn thấy giờ đây trang Web chúng ta chạy được trên cả 2 Port là 80 và Port mới là 443

gccom_2008_12_19_172858_gf

OK bây giờ trở lại IE đăng nhập lài trang Web với giao thức SSL xem thử. Windows sẽ thông báo hỏi xem bạn có muốn truy cập Web với giao thức này không, chọn Yes

gccom_2008_12_19_172930_gf

Đăng nhập thành công

gccom_2008_12_19_173000_gf

Tuy nhiên trên thực tế người ta không lạm dụng SSL trên toàn hệ thống Website mà chỉ yêu cầu khách hàng sử dụng nó khi mà đăng nhập vào tài khoản hoặc các thao tác có liên quan đến riêng tư cá nhân mà thôi.

Vì như chúng ta biết dữ liệu trên đường truyền khi đã mã hóa sẽ có dung lượng lớn hơn là dữ liệu thuần túy. Chính vì thế lạm dụng SSL sẽ làm cho trang Web của chúng ta thêm chậm chạp thêm mà thôi.

OK mình vừa giới thiệu xong phần Certificate Authority trong 70-291 của MCSA.