2/ CA DOMAIN
Bây giờ ta xét trường hợp sử dụng Certificate Authority (CA) trong môi trường Domain để xem có gì khác biệt và có thêm những tính năng mạnh mẽ nào. Tất nhiên để làm được điếu này trước tiên máy bạn phải Upgrade lên DC trước và cũng như đã cài CA trong môi trường Workgroup bạn phải cài IIS trước.
Sau đó cài tiếp dịch vụ CA tại đây ta thấy 2 lựa chọn đầu tiên không bị mờ như ta đã cài CA trong môi trường Workgroup nữa vì đây là môi trường Domain nên Windows cho phép ta chọn Enterprise root CA. Nhấp vào Enterprise root CA và chọn Next
Đặt tên cho CA của mình và thực hiện các quá trình cài đặt tương tự như trong môi trường Workgroup
Bây giờ tôi sẽ thực hiện xin chứng thực từ CA Server cho gccom1 thao tác tương tự như trên
Nhấp vào Request a certificate
Chọn tiếp User Certificate
Do chúng ta đang ở trong môi trường Domain nên Windows sẽ tự hiểu bạn đang Logon với Account nào và nó sẽ thông báo rằng “No further identifying information is required. To complete your certificate, press submit” nghĩa nôm na rằng “Bạn không cần phải nhập thêm bất cứ thông tin gì cả. Nhấp nút Submit để hoàn tất”
Đến đây thay vì phải chờ cho Admin của CA trong môi trường WORKGROUP Issued thì tại môi trường Domain CA Server thông minh hơn và nó tự chứng thực cho User luôn và tại bước kế tiếp User chỉ việc cài đặt luôn Certificate mà không cần chờ đợi gì cả. Nhấp Install this certificate
Màn hình thông báo cài đặt CA hoàn tất
SSL (Secure Sockets Layer)
Bây giờ chúng ta tìm hiểu thêm về ứng dụng CA trong việc mã hóa thông tin trên Web hay còn gọi là SSL.
Thông thường với các trang Web không yêu cầu tính bảo mật cao người quản trị mạng không cần phải làm gì khác ngoài việc cho trang Web ấy chạy ổn định là xong.
Tuy nhiên đối với một số trang Web mà thông tin người dùng phải tuyệt đối được bảo mật ở mức độ cao như các trang Web về ngân hàng, mua bán qua mạng thì người quản trị mạng phải mã hóa dữ liệu trên Web…. Vì nếu không may tài khoản người dùng nhập trên Web lọt vào tay kẻ xấu thì vô cùng nguy hiểm.
Chính vì thế những thông tin cá nhân mà người dùng nhập tại máy Client trước khi gởi lên Server sẽ được mã hóa cẩn thận bởi chính CA của hệ thống Website đó
Tuy nhiên trên thực tế với các hãng phần mềm lớn như google.com, yahoo.com thì CA này họ không tự làm lấy mà thuê hẳn CA của các công ty chuyên cung cấp CA nổi tiếng trên thế giới. Có như vậy người dùng mới thực sự an tâm về thông tin của mình.
Để chạy trang Web theo giao thức SSL bạn phải thêm chữ “s” ngay sau cụm từ “http” trong địa chỉ Address của mình.
Bây giờ giả sử tôi đăng nhập vào trang Web của máy Server với địa chỉ http://192.168.1.1 kết quả truy cập thành công
Tuy nhiên khi tôi thêm chữ “s” vào sau “http” thì IE báo là không thể hiển thị được. Lý đo ta chưa đăng ký CA cho Website
Bây giờ ta tiến hành cấu hình SSL cho trang Web của chúng ta (trong ví dụ này trang Web chính của chúng ta chính là Default Website mà Windows tạo mặc định). Bạn mở IIS của máy chạy Web Server lên nhấp phải vào Default Website chọn tiếp Properties
Chọn tiếp Tab Directory Sercurity và để ý rằng nút View Certificate bị mờ đi vì chưa có Certificate
Nhấp vào nút Server Certificate trong màn hình Server Certificate chọn lưa chọn đầu tiên là Create a new certificate để tạo một Certificate mới cho Website
Chọn Send the request immediately to an online certificate authority và nhấp Next
Giữ nguyên giá trị mặc định chọn Next
Nhập thông tin của bạn vào đây
Ở màn hình Your Site’s Common Name bạn phải nhập chính xác Host(A) của bạn trong máy DNS Server.
Nhập tiếp các thông tin cần thiết khác
Tại màn hình SSL Port Windows thông báo với chúng ta rằng chúng ta sẽ chạy SSL trên Port 443
Giữ nguyên giá trị mặc định chọn Next
Màn hình kết thúc xin Certificate cho Website
Trở lại Tab Directory bây giờ bạn thấy nút View Certificate đã sáng lên nghĩa là chúng ta đăng ký thành công
Nhấp vào nút Certificate để xem thông tin Certificate
Trở lại Tab Website bạn thấy giờ đây trang Web chúng ta chạy được trên cả 2 Port là 80 và Port mới là 443
OK bây giờ trở lại IE đăng nhập lài trang Web với giao thức SSL xem thử. Windows sẽ thông báo hỏi xem bạn có muốn truy cập Web với giao thức này không, chọn Yes
Đăng nhập thành công
Tuy nhiên trên thực tế người ta không lạm dụng SSL trên toàn hệ thống Website mà chỉ yêu cầu khách hàng sử dụng nó khi mà đăng nhập vào tài khoản hoặc các thao tác có liên quan đến riêng tư cá nhân mà thôi.
Vì như chúng ta biết dữ liệu trên đường truyền khi đã mã hóa sẽ có dung lượng lớn hơn là dữ liệu thuần túy. Chính vì thế lạm dụng SSL sẽ làm cho trang Web của chúng ta thêm chậm chạp thêm mà thôi.
OK mình vừa giới thiệu xong phần Certificate Authority trong 70-291 của MCSA.