1 LỜI CẢM ƠN Sau thời gian học tập, được sự chỉ dẫn nhiệt tình, cũng như giúp đỡ của quý thầy cô trường Đại học Công Nghệ Thông Tin Truyền Thông, đặc biệt là các thầy cô khoa Công nghệ thông tin, cùng với thời gian ba tuần nghiên cứu và học tập, em đã học được những bài học kinh nghiệm quý báu giúp ích cho bản thân Để nay em có thể hoàn thành đề tài triển khai hệ thống Web Server sử dụng IIS trên nền tảng hệ điểu hành Windows Server 2012 Em xin chân thành cảm ơn sự giúp đỡ nhiệt tình của các t.
TÌM HIỂU VỀ WEB SERVER, ỨNG DỤNG IIS
Web Server 7
Web Server là máy chủ có dung lượng lớn và tốc độ cao, dùng để lưu trữ thông tin như ngân hàng dữ liệu, bao gồm các website, mã Script, chương trình và file Multimedia Nó có khả năng gửi trang Web đến máy khách qua Internet hoặc Intranet thông qua giao thức HTTP, được thiết kế để truyền tải file đến trình duyệt Web Mỗi Web Server đều có địa chỉ IP hoặc tên miền, và bất kỳ máy tính nào cũng có thể trở thành Web Server WebServer Software là ứng dụng phần mềm được cài đặt và chạy trên máy tính, cho phép người dùng truy cập thông tin trang Web từ máy tính khác trên mạng.
Hình 1.1 Một số cổng thông dụng truy cập các web trên web server
Web Server là phần mềm quan trọng trong hệ thống WWW, có nhiệm vụ lắng nghe và xử lý các yêu cầu từ client, như trình duyệt Coccoc hoặc Microsoft Internet Explorer Khi nhận được yêu cầu, Web Server sẽ trả về dữ liệu dưới dạng trang web được định dạng bằng văn bản hoặc hình ảnh Trình duyệt sau đó hiển thị dữ liệu này cho người sử dụng một cách tối ưu nhất.
Truy cập từ xa các đoạn mã nhị phân trước đây yêu cầu các giao thức đặc trưng như DCOM, nhưng DCOM gặp hạn chế không thể vượt qua tường lửa Để khắc phục điều này, WebServer cho phép truy cập assembly thông qua HTTP, giúp người triển khai sử dụng bất kỳ ngôn ngữ nào Người dùng WebServer có thể gọi các hàm thực thi trên các kiểu dữ liệu định nghĩa sẵn, không chỉ giới hạn ở Client sử dụng trình duyệt mà còn có thể là ứng dụng console hoặc Windows Form Trong mọi trường hợp, client tương tác gián tiếp với WebServer qua một proxy, nơi proxy chuyển các yêu cầu đến WebServer bằng HTTP chuẩn hoặc thông điệp SOAP.
1.1.3 T ầ m quan tr ọ ng c ủ a Web Server
WebServer đóng vai trò quan trọng trong hoạt động của xí nghiệp, cho phép truyền tải dữ liệu như văn bản, đồ họa, âm thanh và video đến người dùng Các thành phần chính của WebServer là phần mềm, và mỗi WebServer hoạt động trên một nền tảng phần cứng cùng hệ điều hành cụ thể Việc thiết lập WebServer phục vụ cho nghiệp vụ không hề đơn giản; ngoài việc chọn lựa WebServer mạnh mẽ, người quản lý cần chú ý đến thiết kế mạng, vì một WebServer được thiết kế kém có thể làm giảm hiệu suất mạng Những yếu tố này rất quan trọng để hiểu cách thức hoạt động của WebServer.
Hình 1 1: Hoạt động của Web Server
Bước 1: Người dùng truy cập tên miền Website bằng Web Client là IE hoặc
Firefox Web Client sẽ sinh ra một Port cao và dữ liệu từ tầng Application sẽ chuyển xuống tầng Transport
Bước 2: Đồng thời Web Client sẽ nhờ DNS Client phân giải hộ tên miền ra địa chỉ IP Web Server
Bước 3: Transport thấy dữ liệu là Web nó sẽ sử dụng giao thức TCP đóng
Port nguồn là Port cao và Port đích là Port Web Server Port Web Server là 80 (http) hoặc 443 (https) Sau đó sẽ truyền xuống tầng Internet
Bước 4: Dữ liệu sẽ được tầng Internet đóng IP máy mình và IP máy Web Server (IP Web Server được DNS Client nhờ DNS Server phân giải hộ)
Sau khi dữ liệu hoàn tất, địa chỉ IP sẽ được chuyển xuống tầng Network Access, nơi sử dụng giao thức MAC kết hợp với các giao thức khác để truyền gói tin tới Switch, Router và cuối cùng là Máy chủ Web Server.
Step 6: Once the data reaches the Web Server, it is sent to the Internet layer for IP verification If the IP is correct, it is forwarded to the Transport layer and then to the Application layer via Port 80 or 443.
Bước 7: Webserver sẽ xử lý yêu cầu và Sau đó dữ liệu được đóng lại và gửi xuống đường truyền Gói tin sẽ truyền lại tới máy Web Client
Khi Client nhận được dữ liệu, nó sẽ được Transport chuyển đến trình duyệt IE hoặc Firefox, sử dụng Port cao đã được khởi tạo Việc sử dụng Port cao này cho phép người dùng mở nhiều cửa sổ trên cùng một trình duyệt với nhiều website khác nhau mà không lo bị trùng lặp.
Máy chủ Apache là một nỗ lực quan trọng trong việc phát triển và duy trì một Web Server mã nguồn mở cho các hệ điều hành như Unix và Linux Apache Web Server tích hợp đầy đủ các tính năng như bảo mật, hiệu suất, khả năng mở rộng và phát triển, cung cấp dịch vụ Web đồng bộ theo các tiêu chuẩn hiện hành.
The Sun One Web Server enables the development of various applications and web services using the J2EE framework, offering high performance and efficient execution This software is modular in design and adheres to standards such as HTTP Server, Java Message Service (JMS), and Enterprise Edition (J2EE).
Internet Information Services (IIS): IIS là dịch vụ thông tin Internet do
Microsoft đã phát triển sản phẩm IIS, tích hợp cùng với hệ điều hành Windows Phiên bản mới nhất hiện nay là IIS 8.5, hoạt động trên hệ điều hành Windows Server.
IIS 2012 R2 cung cấp nhiều dịch vụ, bao gồm dịch vụ Web Server và dịch vụ FTP Server Đến tháng 5 năm 2015, có khoảng 248 triệu trang web sử dụng máy chủ IIS.
Webserver thương mại được trang bị hệ thống kiểm soát truy cập nhằm ngăn chặn xâm phạm Nhiều webserver cung cấp đa dạng tùy chọn kiểm soát cho quản trị viên, bao gồm địa chỉ IP, tên máy khách, tập tin, thư mục, tên người dùng và nhóm người dùng Cấu trúc bảo mật có thể được tích hợp trong web server hoặc hệ điều hành và các thành phần liên kết Các web server cũng xử lý thông tin nhạy cảm, đặc biệt trong các ứng dụng thương mại điện tử, nơi mà bảo mật giao dịch là rất quan trọng Tính năng này đảm bảo rằng mọi thông tin truyền tải giữa khách hàng và máy chủ đều được mã hóa.
Các giao thức bảo mật chính bao gồm Secure Sockets Layer (SSL) và Secure HTTP (SHTTP) SSL là giao thức phổ biến nhất, mã hóa toàn bộ phiên giao dịch giữa khách hàng và máy chủ Trong khi đó, SHTTP là giao thức mã hóa tập tin, chỉ mã hóa các văn bản Web mà không mã hóa toàn bộ giao dịch, và yêu cầu sự nhất quán về thuật toán giữa máy chủ và máy khách để đảm bảo an toàn dữ liệu.
Ứng dụng IIS 11
IIS (Internet Information Services) là dịch vụ máy chủ chạy trên hệ điều hành Windows, cung cấp và phân phối thông tin qua mạng Nó bao gồm nhiều dịch vụ khác nhau, như Web Server và FTP Server, hỗ trợ việc quản lý và chia sẻ dữ liệu hiệu quả.
IIS là một Web Server được sử dụng để xuất bản nội dung trang Web lên Internet hoặc Intranet thông qua giao thức HTTP (Phương thức chuyển giao siêu văn bản) Sau khi thiết kế xong trang Web, bạn cần IIS để đưa nó lên mạng, giúp người khác có thể truy cập và xem Nếu không sử dụng IIS, trang Web chỉ có thể được xem trên máy tính cá nhân hoặc thông qua chia sẻ tệp trong mạng nội bộ.
1.2.2 IIS có th ể làm đượ c gì?
IIS có nhiệm vụ nhận yêu cầu từ máy trạm và phản hồi bằng cách cung cấp thông tin mà máy trạm yêu cầu.
Hoạc có thể sử dụng IIS để:
- Xuất bản một Website của bạn trên Internet
Tạo giao dịch thương mại điện tử trên Internet cho phép hiển thị các catalog sản phẩm và nhận đơn đặt hàng từ người tiêu dùng Đồng thời, chia sẻ file dữ liệu qua giao thức FTP giúp tối ưu hóa quy trình truyền tải thông tin.
- Cho phép người ở xa có thể truy xuất database của bạn (gọi là Database remote access)
- Và rất nhiều khả năng khác
1.2.3 IIS ho ạt động như thế nào?
IIS sử dụng các giao thức mạng phổ biến như HTTP (Hyper Text Transfer Protocol) và FTP (File Transfer Protocol), cùng với một số giao thức khác như SMTP và POP3, để tiếp nhận yêu cầu và truyền tải thông tin trên mạng với nhiều định dạng khác nhau.
Một trong những dịch vụ phổ biến nhất của IIS mà chúng ta quan tâm nhất là dịch vụ WWW (World Wide Web), nói tắt là dịch vụ Web
Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yêu cầu (Requests) của trình duyệt Web (Web browser) dưới dạng một địa chỉ URL (Uniform Resource
Locator) của một trang Web và IIS phản hồi lại các yêu cầu bằng cách gửi về cho Web browser nội dung của trang Web tương ứng
1.2.4 Các thành ph ầ n có trong IIS
IIS Manager is a graphical interface designed for managing IIS Server, enabling the administration of resources such as files, directories, and application settings related to security, performance, and various other features.
Cần thiết lập chính sách kiểm toán (Audit Policy) trên máy chủ IIS để đảm bảo rằng mọi thông tin của người dùng khi đăng nhập vào hệ thống đều được ghi lại Tất cả dữ liệu truy cập sẽ được lưu trữ, giúp tăng cường an ninh và quản lý thông tin hiệu quả.
To enhance security, it is essential to configure "Deny access to this computer from the network," which determines which users are prohibited from accessing the IIS Server over the network This setting will restrict certain network protocols, ensuring that unauthorized users cannot connect to the server.
- Common Internet File System (CIFS)
- Component Object Model Plus (COM+)
Với thiết lập này, tài khoản người dùng sẽ được hạn chế, nâng cao tính bảo mật Dưới đây là danh sách những người dùng cần thực hiện các thiết lập này.
- Guest và toàn bộ người dùng không thuộc các tài khoản có sẵn
Tất cả những thiết lập trên đều được thực hiện trong User Rights Assignments
Cần thiết lập trên các máy chủ IIS để lưu trữ toàn bộ sự kiện theo một tiêu chuẩn thống nhất, với các tham số tùy chỉnh dựa trên yêu cầu cụ thể Hai yêu cầu chính cần được ghi lại là:
- Ghi lại quá trình đăng nhập hệ thống
- Ghi lại những đối tượng được truy cập (kể cả lỗi hay không có lỗi xảy ra trong quá trình đăng nhập)
Cần phải thiết lập những dịch vụ sau trong Microsoft Windows Server ở chế độ automatically:
SSL (Secure Sockets Layer) là một tiêu chuẩn quan trọng để đảm bảo an toàn khi truyền tải thông tin nhạy cảm Nếu tính năng HTTP SSL bị vô hiệu hóa, các máy chủ IIS sẽ không hoạt động với SSL, dẫn đến việc các dịch vụ khác phụ thuộc vào nó cũng bị ảnh hưởng.
IIS Admin Service là dịch vụ quan trọng giúp quản lý các thành phần trong Internet Information Services (IIS), bao gồm FTP, Application Pools, Web Sites, Web Service Extensions, cũng như NNTP và SMTP Dịch vụ này cần phải hoạt động liên tục để đảm bảo việc cung cấp Web, FTP, NNTP và SMTP Nếu IIS Admin Service bị tắt, việc cấu hình IIS sẽ không thể thực hiện, dẫn đến việc tất cả các yêu cầu đến dịch vụ Web sẽ bị ngưng trệ.
The World Wide Web Publishing Service enables website connectivity and management through the IIS Snap-in This service must operate on an IIS Server to facilitate web connections and administration via the IIS Manager.
Khi kích hoạt toàn bộ các Web Service Extensions trên IIS Server, ứng dụng sẽ được cải thiện khả năng tương thích và hỗ trợ Tuy nhiên, việc này cũng tiềm ẩn nguy cơ về bảo mật Để giảm thiểu rủi ro, cần nắm rõ các Extensions và chỉ kích hoạt những Extensions cần thiết.
Để bảo vệ website, hãy thiết lập một vùng an toàn bằng cách chuyển tất cả tập tin và thư mục vào đó, giúp ngăn chặn các cuộc tấn công và dễ dàng khôi phục khi có sự cố Bên cạnh đó, bạn cũng nên bảo mật các thư mục quan trọng bằng cách hạn chế quyền truy cập thông qua NTFS và áp dụng các cơ chế bảo mật khác.
CÀI ĐẶT, TẠO WEBSITE
Sơ đồ m ạ ng 15
Hình 2 1 Sơ đồ của Web Server.
Cài đặ t 15 1 Cài đặt Domain Controller trên máy chủ DC
2.2.1 Cài đặ t Domain Controller trên máy ch ủ DC
On the DC machine, install the Active Directory Domain Services (AD DS) role Once the AD DS role is successfully installed, select "Promote this server to a domain controller" from the Add Roles and Features Wizard screen.
To promote a server to a domain controller, select the Notifications icon in Server Manager and choose "Promote this server to a domain controller." To create a completely new domain, select "Add a new forest" and enter your desired domain name in the Root domain name field.
Tiếp theo, điền password cho Directory Services Restore Mode (password này không phải là password của user Administrator mà bạn đang dùng)
Trong phần DNS Options, bạn cần tạo một miền nội bộ mới mà không nhận được sự chứng thực ủy thác từ hệ thống DNS khác Hệ thống sẽ cảnh báo và bạn có thể nhấn Next để tiếp tục Để đảm bảo tính tương thích với các hệ thống cũ, hệ thống sẽ sử dụng thêm tên miền NetBIOS, và bạn có thể để mặc định.
Tiếp theo, chỉ định nơi lưu trữ cơ sở dữ liệu cho Domain, có thể để mặc định hoặc thay đổi theo cấu hình riêng của mình
Sau cùng hệ thống sẽ cho phép xem lại tất cả những thông tin đã chọn cho việc cấu hình domain
Hệ thống kiểm tra và đáp ứng các yêu cầu cần thiết giúp máy tính nâng cấp lên domain Để bắt đầu quá trình cài đặt và nâng cấp hệ thống, hãy nhấn nút Install.
Sau khi nâng cấp thành công lên domain, hệ thống yêu cầu khởi động lại máy để hoàn tất quá trình cài đặt.
After the computer has restarted, access the Server Manager and navigate to the Add Roles and Features section, where you will see that the DNS role has been installed following the system upgrade to a domain.
Trong Server Manager, ta vào menu Tools -> DNS
Khi nâng cấp hệ thống domain, dịch vụ DNS mặc định chỉ cấu hình Forward Lookup Zones Để thực hiện phân giải ngược từ địa chỉ IP sang tên miền, cần cấu hình Revert Lookup Zones.
Tiến hành theo wizard và đến mục Network ID, ở đây điền vào Network mình đang dùng.
After creating the Reverse Lookup Zones, reconfigure the IP address of the Preferred DNS server on the upgraded server to point to its own IP address.
2.2 2 Cài đặ t DHCP trên máy ch ủ DC
Để triển khai DHCP server, Tiến hành cài đặt roles DHCP Server
Sau khi hoàn tất cài đặt Server Roles DHCP, bạn cần chọn "Complete DHCP Configuration" để xác thực cho server hoạt động dịch vụ DHCP trong hệ thống Domain Controller Để giảm tải, có thể sử dụng server đang chạy DC làm DHCP server Trong thực tế, DHCP server cũng có thể được thiết lập trên một server riêng biệt.
Sau khi hoàn tất cài đặt và xác thực vai trò DHCP Server, bước tiếp theo là tạo các dãy địa chỉ IP để phân phối cho các thiết bị trong mạng.
Mở trình quản lý của DHCP trong Server Manager:
Vào mục IPv4, chọn New Scope…
Bước tiếp theo sẽ tiến hành cấu hình theo các bước Wizard Đầu tiên, ta sẽ điền tên và chú thích cho scope
Tiếp theo, Điện dãy địa chỉ IP sẽ cấp phát
Nếu bạn cần sử dụng một dãy địa chỉ đặc biệt cho các máy hoặc thiết bị cụ thể, hãy điền thông tin vào ô này Trong trường hợp này, không nên để trống.
Đặt thời gian sử dụng cho client với địa chỉ IP được cấp Khi thời gian này kết thúc và client không còn sử dụng địa chỉ IP, địa chỉ này sẽ được thu hồi và cấp cho client khác có nhu cầu.
Next, select "Yes, I want to configure these options now" to set up essential information such as the default gateway and DNS server This information will be assigned to the client along with the IP address received from the DHCP server Enter the router's address (Default Gateway), which in this case is 192.168.1.1.
Để cấu hình DNS servers, bạn cần nhập địa chỉ DNS server, ví dụ như 192.168.1.10 Nếu hệ thống của bạn có nhiều DNS server, bạn có thể thêm nhiều địa chỉ tương ứng vào phần này.
WINS Servers là dịch vụ phân giải tên được sử dụng trong các hệ thống máy tính cũ trước khi có sự phát triển của hệ thống DNS Hiện nay, trong các hệ thống mới, dịch vụ WINS không còn cần thiết nữa.
Cuối cùng, Chọn vào Yes, I want to active this scope now Sau khi chọn dòng này, scope đã có thể sử dụng để cấp phát
Sau khi hoàn tất việc tạo Scope cấp phát địa chỉ
Trong trường hợp hệ thống mạng chúng ta có chia nhiều VLAN, có thể tạo nhiều Scopes cấp phát cho các VLAN này
2.2.3 Cài đặ t IIS trên máy ch ủ Web Server
Trên máy Web Server, tiến hành vào Server manager và cài đặt Roles IIS
Sau khi chọn cài đặt IIS, thông báo yêu cầu những Feature quan trọng, chọn Add Feature
Tiếp theo, chọn Next đến phần Role Service Ở đây để mặc định
Sau khi cài đặt xong IIS, để quản trị dịch vụ, vào Server manager chọn Tools chọn Internet Infomation Services (IIS) Manager
Trong Default Web Site, chọn Default Document
Default Document quy định tên trang chủ mà sẽ sử dụng cho web site của mình
CẤU HÌNH BẢO MẬT CHO WEB SERVER
Bảo mật cho website với SSL 30 1 SSL là gì?
Đối với các website chứa thông tin nhạy cảm như đơn hàng, username và mật khẩu, việc người dùng đăng nhập qua giao thức HTTP thông thường có thể khiến mật khẩu dễ bị lộ trước các cuộc tấn công Man-in-the-Middle Trong kiểu tấn công này, hacker có khả năng đọc trộm dữ liệu, đồng nghĩa với việc họ có thể chiếm đoạt thông tin người dùng và mật khẩu Để bảo vệ thông tin trên website, việc sử dụng chứng chỉ SSL là một biện pháp hiệu quả giúp tăng cường bảo mật trước các mối đe dọa từ hacker.
SSL viết tắt của Secure Socket Layer là một giao thức (protocol) cho phép bạn truyền đạt thông tin một cách bảo mật và an toàn qua mạng
Khi kết nối từ trình duyệt web đến bất kỳ điểm nào trên Internet, dữ liệu phải đi qua nhiều hệ thống độc lập mà không có sự bảo vệ nào, khiến thông tin dễ bị tổn thương Người dùng và máy chủ web không kiểm soát được lộ trình dữ liệu, cũng như không thể ngăn chặn việc xâm nhập vào thông tin trong quá trình truyền tải Để bảo vệ thông tin nhạy cảm trên Internet và các mạng TCP/IP, SSL đã kết hợp nhiều yếu tố để thiết lập giao dịch an toàn.
Xác thực là yếu tố quan trọng để đảm bảo tính an toàn của trang web mà bạn đang làm việc Điều này không chỉ áp dụng cho người dùng mà còn cho chính các trang web, vì chúng cần phải kiểm tra tính xác thực của người truy cập để bảo vệ thông tin và dữ liệu.
Mã hóa thông tin là biện pháp quan trọng để bảo vệ dữ liệu khỏi sự truy cập của bên thứ ba Để ngăn chặn việc nghe lén các thông tin nhạy cảm khi truyền qua Internet, dữ liệu cần được mã hóa, đảm bảo rằng chỉ người gửi và người nhận mới có thể đọc được nội dung.
- Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác thông tin gốc gửi đến
Sử dụng SSL giúp các trang web bảo vệ thông tin, xác thực người dùng và đảm bảo toàn vẹn dữ liệu Công nghệ SSL được tích hợp trong các trình duyệt và máy chủ web, cho phép người dùng truy cập các trang web một cách an toàn.
SSL, được phát triển bởi Netscape, hiện nay là giao thức phổ biến trên World Wide Web cho việc xác thực và mã hóa thông tin giữa client và server Tổ chức IETF đã chuẩn hóa SSL và đổi tên thành TLS (Transport Layer Security), tuy nhiên, TLS chỉ là phiên bản mới của SSL Phiên bản TLS 1.0 tương đương với SSL 3.1, mặc dù SSL vẫn là thuật ngữ được sử dụng rộng rãi hơn.
SSL là một giao thức bảo mật được thiết kế để hỗ trợ nhiều ứng dụng khác nhau Nó hoạt động trên nền tảng TCP/IP và nằm dưới các giao thức ứng dụng cao hơn như HTTP, IMAP và FTP.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
Xác thực server là quá trình cho phép người dùng xác minh server mà họ muốn kết nối Trong quá trình này, trình duyệt sử dụng các kỹ thuật mã hóa công khai để đảm bảo rằng chứng chỉ và ID công khai của server là hợp lệ và được cấp phát bởi một cơ quan chứng thực (CA) nằm trong danh sách các CA đáng tin cậy của người dùng Điều này đặc biệt quan trọng, chẳng hạn như khi người dùng gửi thông tin thẻ tín dụng qua mạng, họ cần đảm bảo rằng server nhận thông tin đó thực sự là server mà họ dự định kết nối.
Xác thực Client là quá trình cho phép server xác minh danh tính người dùng muốn kết nối Server sử dụng các kỹ thuật mã hóa công khai để kiểm tra tính hợp lệ của chứng chỉ và ID công khai, đảm bảo rằng chúng được cấp phát bởi một cơ quan chứng thực (CA) nằm trong danh sách đáng tin cậy.
CA đáng tin cậy cho server là yếu tố quan trọng đối với các nhà cung cấp dịch vụ Chẳng hạn, khi ngân hàng gửi thông tin tài chính nhạy cảm đến khách hàng, họ cần xác minh danh tính của người nhận để đảm bảo tính bảo mật.
Mã hoá kết nối là quá trình bảo vệ thông tin trao đổi giữa client và server bằng cách mã hoá trên đường truyền, giúp tăng cường bảo mật, đặc biệt trong các giao dịch riêng tư Tất cả dữ liệu gửi qua kết nối SSL được mã hoá và bảo vệ bởi cơ chế tự động phát hiện xáo trộn thông qua các thuật toán băm (hash algorithm), đảm bảo an toàn cho thông tin.
Giao thức SSL bao gồm 2 giao thức con:
- Giao thức SSL record: xác định các định dạng dùng để truyền dữ liệu
The SSL handshake protocol, also known as the handshake protocol, utilizes the SSL record protocol to exchange essential information between the server and client during the initial establishment of an SSL connection.
3.1.3 Các thu ậ t toán dùng trong SSL
Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm:
- DES (Data Encryption Standard) là một thuật toán mã hoá có chiều dài khoá là 56 bit
- 3-DES (Triple-DES): là thuật toán mã hoá có độ dài khoá gấp 3 lần độ dài khoá trong mã hoá DES
- DSA (Digital Signature Algorithm): là một phần trong chuẩn về xác thực số đang được được chính phủ Mỹ sử dụng
- KEA (Key Exchange Algorithm) là một thuật toán trao đổi khoá đang được chính phủ Mỹ sử dụng
- MD5 (Message Digest algorithm) được phát thiển bởi Rivest
- RSA: là thuật toán mã hoá công khai dùng cho cả quá trình xác thực và mã hoá dữ liệu được Rivest, Shamir, and Adleman phát triển
- RSA key exchange: là thuật toán trao đổi khoá dùng trong SSL dựa trên thuật toán RSA
- RC2 and RC4: là các thuật toán mã hoá được phát triển bởi Rivest dùng cho RSA Data Security
- SHA-1 (Secure Hash Algorithm): là một thuật toán băm đang được chính
Trong quá trình bắt tay (handshake) giữa client và server, hai bên sẽ thống nhất bộ mã hoá mạnh nhất có thể để áp dụng trong phiên giao dịch SSL.
3.1.4 C ấ u hình SSL cho Web Site
Đầu tiên cài đặt CA Server trên máy chủ DC
Mở Server Manager, nhấn Add Roles and Features
Chọn Role-based or feature-based installtion ⇒ Next
Chọn Select a server from the server pool ⇒ Next
Check chọn Active Directory Certificate Services ⇒ nhấn Add Features. Ở đây ta giữ nguyên các cài đặt mặc định và ấn NEXT
Chọn vào dòng Certification Authority Web Enrollment sau đó ấn NEXT
Nhấn Next cho đến khi thấy hộp thoại sau hiển thị, check chọn thêm các role services để cài đặt chung Web Server (IIS) ⇒ nhấn Next
Sau khi cấu hình xong các thuộc tính ta chọn Install để cài đặt
Sau khi cài đặt xong CA Server chọn vào dòng chữ “Configure Active Directory Cetificate Services on the destination server”
Chọn dòng “Certication Authority” Và ấn NEXT
Chọn Standalone CA sau đó ấn NEXT
Chon Root CA ấn Next Ở đây ta tạo 1 private key mới, chọn Create a new private key ⇒ nhấn Next
Chọn kiểu mã hóa cryptographic cần thiết ⇒ nhấn Next
Thông tin của CA ⇒ Nhấn Next
Nhập thời gian CA hết hạn ⇒ Nhấn Next
Chọn nơi lưu trữ file log của CA ⇒ Nhấn Next
Nhấn Configure để máy tính thực hiện cấu hình
Quá trình cấu hình hoàn tất ⇒ Nhấn Close
Tiếp theo qua máy chủ WebServer Thiết lập SSL cho WebServer
Mở IIS, chọn Sever Certificates
Sau khi vào Sever Certificates Chọn Create Certificate Request bên phải màn hình
Tạo thông tin chứng chỉ như trên
Chọn đường dẫn lưu file CA.txt ở ngoài Desktop
Truy cập vào trang https://192.168.1.10/certsrv/Default.asp để kiểm tra
Chọn dòng chữ“Request a certificate.”
Chọn dòng chữ “Or, submit an advanced certificate request.“
Chọn dòng chữ “Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.”
Copy CA.txt ở ngoài Desktop và cho vào như trong hình Sau đó => Submit Đã xin request CA Server thành công
Tiếp theo qua máy chủ DC vào Server Manager => Tools => Certification Authority
Vào mục như trên hình chọn Issue
Quay lại máy chủ Web Server truy cập vào trang https://192.168.1.10/certsrv Chọn View the status of a pending certificate request
Chọn dòng “Saved-Request Certificate (Thursday July 9 2020 10:45:31 PM) “
Sau khi tải xong ta sẽ được 2 file certnew như trên hình
Tiến hành check CA trên Web Server ta chọn tổ hợp phím Windown + R nhập mmc => ok
Chọn Certificates và add nó vào => OK
Sau đó ta trỏ thư mục Certificates này xuống Tiếp theo ấn chuột phải vào Certificates All
Tiếp theo ấn chuột phải vào Certificates All Tasks => Import
Tạo đường dẫn dến 2 file Certnew.cer và Certnew.p7
Mở IIS, chọn => Server Certificates
Chọn =>Complete Certificates Bên góc phải màn hình
Tạo đường dẫn đến file Certnew.cer
“C:\Users\Administrator\Desktop\certnew.cer”
Friendly name dặt là “chứng chỉ số” => OK
Cấu hình SSL cho web
Nhấn chuột phải vào web chọn => Edit Bindings
Add chứng chỉ bảo mật => OK
Tiếp theo chọn => SSL Settings
Sau khi chọn xong ta ấn Apply
Ta đã cấu hình thành công SSL cho Web Site.
