IIS 7.0 – FTP Publishing Service – Phần 3: Bảo mật cho một FTP site


IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP siteIIS 7.0 – FTP Publishing Service – Phần 1: Cài đặt
IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP siteIIS 7.0 – FTP Publishing Service – Phần 2: Cấu hình

Peter Schmidt

Thích Máy Tính – Trong phần này chúng tôi sẽ giới thiệu các kịch bản khi nâng cao độ bảo mật bên trong máy chủ FTP.

Giới thiệu

Trong phần ba này chúng tôi sẽ giới thiệu cho các bạn một số kịch bản cấu hình nhằm nâng cao độ bảo mật cho một FTP site, sử dụng chứng chỉ SSL trong một FTP Publishing Service mới đối với IIS 7.0. Điều kiện tiên quyết cho phần ba này là FTP Publishing Service phải được cài đặt trên Windows Server 2008 rồi và một FTP site đã được cấu hình. Để xem cách thực hiện như thế nào, mời các bạn đọc lại phần 1 và phần 2 trong loạt bài này. Phần ba này sẽ gồm hai chủ đề chính cho việc cấu hình đó là:

  • Cách cấu hình một FTP site an toàn bằng chứng chỉ SSL thương mại
  • Cách cấu hình một FTP site an toàn bằng chứng chỉ SSL tự gán

FTP Publishing Service cho IIS 7.0 hỗ trợ việc bổ sung thêm chứng chỉ SSL vào một FTP site. Việc sử dụng chứng chỉ SSL với một FTP site cũng được biết đến như FTP-S hoặc FTP trên Secure Socket Layers (SSL). FTP-S là một chuẩn RFC (RFC 4217), ở đây chứng chỉ SSL được bổ sung vào một FTP site và từ đó làm cho nó có thể thực hiện việc bảo mật trong quá trình truyền tải file thông qua lớp TLS (SSL) layer dưới giao thức FTP. Bằng cách sử dụng SSL, sự truyền tải FTP sẽ được mã hóa và an toàn một cách xuyên suốt và tất cả lưu lượng FTP đều được bảo đảm tình trạng bị tắc nghẽn.

Các yêu cầu cho nguời dùng ở đây sẽ là sử dụng một FTP client có thể kết nối bằng cách sử dụng FTP-S. Cho ví dụ, các máy khách FTP site hỗ trợ FTP-S có thể là FTP client FileZilla mã nguồn mở hoặc FTP client CuteFTP thương mại.

Cấu hình một FTP site an toàn bằng cách sử dụng SSL thương mại

Bên dưới chúng tôi sẽ mô tả cách bảo mật một FTP site đang tồn tại bằng cách sử dụng chứng chỉ SSL. Chứng chỉ đã được phát hành và sử dụng bên dưới này sẽ được tạo trong Certificate Authority với mục đích kiểm thử, tuy nhiên quá trình phát hành chứng chỉ trên máy chủ là hoàn toàn tương tự như khi cung cấp một chứng chỉ từ một nhà cung cấp chứng chỉ thứ ba, chẳng hạn như Verisign hoặc Godaddy. Cũng có thể tạo chứng chỉ tự gán trực tiếp từ bên trong IIS, quá trình này sẽ được mô tả ở phần dưới.

Cần bảo đảm rằng bạn đang sở hữu một FTP site đang hoạt động và bạn có thể đăng nhập vào FTP site đó. FTP site được sử dụng với tư cách ví dụ trong phần này ftp.example.com được minh chứng bên dưới.

  1. Khởi chạy IIS Manager tại Start – Administrative Tools – Internet Information Service (IIS) Manager
  2. Trong IIS Manager, kích FTP server, đánh dấu máy chủ và chọn Server Certificates:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site

Hình A: Server Certificates

  1. Trong phần panel actions, chọn Create Certificate Request:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình B: Server Certificates – Actions

  1. Trong cửa sổ hộp thoại xuất hiện, bạn hãy điền vào các thông tin cần thiết cho chứng chỉ và kích Next:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình C: Hộp nhập các thông tin về chứng chỉ tự gán

  1. Chọn nhà cung cấp mã hóa mặc định và kích Next:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình D: Nhà cung cấp dịch vụ mã hóa

  1. Lưu yêu cầu đến file và kích Finish:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình E: Lưu yêu cầu chứng chỉ

Yêu cầu chứng chỉ lúc này được thực hiện và đang chờ giải quyết trong IIS. Yêu cầu lúc này đã sẵn sàng để gửi đến nhà cung cấp chứng chỉ thứ ba (chẳng hạn như Verisign, Godaddy,…)

Import yêu cầu chứng chỉ

Khi yêu cầu chứng chỉ được phản hồi về từ nhà cung cấp, nó cần phải được import vào IIS để làm việc.

  1. Trong IIS Manager, kích FTP server và chọn Server Certificates:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình F: IIS Manager – Server Certificates

  1. Chọn Complete Certificate Request…:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình G: Server Certificates – Complete Certificate Request

  1. Chọn Certificate request đến từ nhà cung cấp và nhập vào tên của site, sau đó kích OK:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình H: Complete Certificate Request

  1. Chứng chỉ hiện được hiển thị trong IIS Manager và đang sẵn sàng để sử dụng:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình I: Server Certificates

Kích hoạt chứng chỉ thương mại trên FTP site

Khi đã import, chứng chỉ SSL có thể được kích hoạt và được sử dụng cho một FTP site. Vào FTP site mà bạn muốn sử dụng chứng chỉ cho nó.

  1. Trong IIS Manager, chọn FTP site sau đó kích các thiết lập FTP SSL:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình J: Các thiết lập FTP site – FTP SSL

  1. Chọn chứng chỉ và các thiết lập chính sách SSL (Allow hoặc Required SSL), kích Apply:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình K: Các thiết lập FTP SSL

  1. Chứng chỉ SSL hiện đã được sử dụng cho FTP site:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình L: Các thiết lập FTP SSL

FTP site hiện được bảo vệ và yêu cầu kết nối đến FTP site để trở thành FTP-S bằng cách sử dụng FTP client có hỗ trợ FTP-S.

Cấu hình một FTP site an toàn bằng SSL tự gán

Như được mô tả từ trước, bạn hoàn toàn có thể tạo một chứng chỉ tự gán trực tiếp từ bên trong Internet Information Services (IIS) Manager. Quá trình này diễn ra nhanh hơn so với việc yêu cầu một chứng chỉ thương mại. Các chứng chỉ tự gán rất tuyệt vời cho việc kiểm tra FTP site hoặc có thể sử dụng bên trong, nhưng không được khuyến khích cho sử dụng sản xuất.

  1. Khởi động IIS Manager từ Start – Administrative Tools – Internet Information Service (IIS) Manager
  2. Trong IIS Manager, kích FTP server và chọn Server Certificates:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình M: Server Certificates

  1. Trong panel actions, chọn Create Self-Signed Certificate:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình N: Server Certificates – Actions

  1. Trong các cửa sổ hộp thoại bật ra, hãy đặt tên cho chứng chỉ và kích OK:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình O: Đặt tên cho chứng chỉ tự gán

  1. Chứng chỉ lúc này đã được tạo và sẵn sàng cho sử dụng:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình P: Các chứng chỉ đã được tạo

Bước tiếp theo là sử dụng và kích hoạt chứng chỉ mới trên FTP site đang tồn tại.

  1. Chọn FTP site (trong ví dụ này: ftp.example.com) và kích FTP SSL Settings:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình Q: FTP site – FTP SSL Settings

  1. Chọn chứng chỉ và chọn các thiết lập cần thiết (Require SSL Connections), kích Apply:

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site
Hình R: Các thiết lập FTP site – FTP SSL

FTP site lúc này đã sẵn sàng được sử dụng và tất cả lưu lượng đều được mã hóa. FTP client hỗ trợ nhiều FTP sẽ được yêu cầu để kết nối đến FTP site mới.

Kết nối đến một FTP site

Sử dụng FTP client có hỗ trợ FTP-S để kết nối đến FTP site, sau đó test kết nối. Ví dụ bên dưới đã sử dụng FileZilla. Bạn cần phải cấu hình thiết lập FTP server trong FileZilla để kết nối bằng cách sử dụng nhiều FTP, với FileZilla, các thiết lập sẽ là "FTPES – FTP over explicit TLS/SSL".

IIS 7.0 - FTP Publishing Service – Phần 3: Bảo mật cho một FTP site

Hình S: Các thiết lập FileZilla – FTPS

Thời gian đầu bạn cần phải đăng nhập vào một FTP site đang hoạt động bằng chứng chỉ tự gán của mình, FTP client (FileZilla) sẽ nhắc nhở cho bạn biết rằng root của chứng chỉ hiện vẫn chưa biết. Nếu bạn muốn tin tưởng và import chứng chỉ này, hãy kích OK.

FTP site sẽ sẵn sàng được sử dụng theo cách an toàn.

Kết luận

Với một Microsoft FTP Publishing Service mới, bạn hoàn toàn có thể triển khai một giải pháp FTP an toàn dựa trên sản phẩm của Microsoft, với sự tích hợp Internet Information Services và Active Directory. Tất cả sự truyền thông FTP lúc này đều có thể được mã hóa vì FTP Publishing Service for IIS 7.0 hỗ trợ FTP-S (FTP over SSL), FTP-S là một chuẩn RFC (RFC 4217) cho việc mã hóa lưu lượng FTP.

Sự mã hóa về lưu lượng FTP có thể được thực hiện bằng cách sử dụng chứng chỉ SSL tự gán hoặc thương mại. Tất cả việc cấu hình đều được thực hiện trên máy chủ. Các máy khách kết nối với FTP site an toàn cần phải sử dụng một máy khách FTP có hỗ trợ FTP-S.

Nguồn: Internet

Có thể bạn quan tâm

Để lại một trả lời

Địa chỉ email của bạn sẽ không được công bố.