
C u hình IIS cho m t FTP Site – Ph nấ ộ ầ
3
Brien M. Posey
Trong ph n ba này chúng tôi s ti p t c gi i thi u cho các b n cách c u hình IISầ ẽ ế ụ ớ ệ ạ ấ
cho m t FTP site b ng vi c kích ho t mã hóa SSL.ộ ằ ệ ạ
Gi i thi uớ ệ
Trong ph n tr c c a lo t bài này, chúng tôi đã gi i thi u cho các b n cách đ cóầ ướ ủ ạ ớ ệ ạ ể
đ c IIS 7.0. Trong ph n này, chúng tôi s gi i thi u cho các b n cách b sung mãượ ầ ẽ ớ ệ ạ ổ
hóa SSL vào FTP site.
Thu th p ch ng ch SSLậ ứ ỉ
Tr c khi FTP server có th cung c p mã hóa SSL, b n c n ph i có m t ch ng chướ ể ấ ạ ầ ả ộ ứ ỉ
X.509. B n có th mua m t ch ng ch này t m t nhà th m đ nh ch ng ch (CA)ạ ể ộ ứ ỉ ừ ộ ẩ ị ứ ỉ
th ng m i, ch ng h n nh VeriSign hay Thawte, ho c có th s d ng m t CA c aươ ạ ẳ ạ ư ặ ể ử ụ ộ ủ
m t t ch c đ phát hành ch ng ch .ộ ổ ứ ể ứ ỉ
V i m c đích c a bài vi t, chúng t i s gi đ nh r ng b n có m t máy ch Windowsớ ụ ủ ế ố ẽ ả ị ằ ạ ộ ủ
2008 đã đ c c u hình đ th c hi n nh m t CA doanh nghi p. Khi đó chúng tôi sượ ấ ể ự ệ ư ộ ệ ẽ
gi i thi u cho các b n cách phát hành yêu c u ch ng ch và cách download ch ngớ ệ ạ ầ ứ ỉ ứ
ch c n thi t trong ph n ti p theo. N u b n đã thu th p đ c m t ch ng ch SSL tỉ ầ ế ầ ế ế ạ ậ ượ ộ ứ ỉ ừ
m t nhà th m đ nh ch ng ch th ng m i, khi đó b n có th b qua ph n này vàộ ẩ ị ứ ỉ ươ ạ ạ ể ỏ ầ
chuy n sang ph n ti p theo.ể ầ ế
Đ s d ng mã hóa SSL, chúng ta c n phát hành m t yêu c u đ n CA doanhể ử ụ ầ ộ ầ ế
nghi p.V i m c đích c a bài vi t, chúng tôi gi d r ng máy ch FTP c a b n làệ ớ ụ ủ ế ả ụ ằ ủ ủ ạ
m t thành viên trong cùng Active Directory forest.ộ
Đ yêu c u m t ch ng ch c n thi t, b n hãy m Internet Explorer, nh p vào URLể ầ ộ ứ ỉ ầ ế ạ ở ậ
liên quan đ n Enterprise Certificate Authority c a b n. M c đ nh, URL s là ế ủ ạ ặ ị ẽ https://
<server name>/CertSrv. Khi nh p vào URL này, b n th ng ph i nh p vào tênậ ạ ườ ả ậ
mi n đ y đ c a Enterprise Certificate Authority thay cho vi c nh p vào tênề ầ ủ ủ ệ ậ
NetBIOS c a máy ch .ủ ủ
Khi b n nh p vào URL c a Enterprise Certificate Authority, hãy đăng nh p vàoạ ậ ủ ậ
Active Directory Certificate Services, Web site b sung qu n tr viên mi n (n u c n).ổ ả ị ề ế ầ
Sau khi th c hi n đi u đó, kích vào liên k t “ự ệ ề ế Request a Certificate”. B n s th yạ ẽ ấ
m t màn hình xu t hi n yêu c u b n ch n gi a vi c yêu c u m t ch ng ch ng iộ ấ ệ ầ ạ ọ ữ ệ ầ ộ ứ ỉ ườ
dùng ho c đ trình m t yêu c u ch ng ch nâng cao. Kích vào tùy ch n th hai,ặ ệ ộ ầ ứ ỉ ọ ứ
Advanced Certificate Request.
Màn hình sau đó s cho phép b n phát hành m t yêu c u tr c ti p đ n nhà th mẽ ạ ộ ầ ự ế ế ẩ

đ nh ch ng ch ho c upload m t file yêu c u ch ng ch đ c mã hóa theo đ nhị ứ ỉ ặ ộ ầ ứ ỉ ượ ị
d ng Base-64 ho c PKCS #10. Kích vào liên k t “ạ ặ ế Create and Submit a Request to
This CA”.
T i đây, b n s đ c nh c nh đ cài đ t ActiveX control. N u g p ph i nh c nhạ ạ ẽ ượ ắ ở ể ặ ế ặ ả ắ ở
này, hãy đi ti p và th c hi n cài đ t đi u khi n.ế ự ệ ặ ề ể
Ti p đó b n s đ c đ a đ n màn hình chính ế ạ ẽ ượ ư ế Advanced Certificate Request.
Ch n tùy ch n ọ ọ Web Server t danh sách ừCertificate Template s xu ng. Lúc nàyổ ố
ph i nh p vào m t s thông tin nh n d ng c b n đ đ c nhóm vào trong ch ngả ậ ộ ố ậ ạ ơ ả ể ượ ứ
ch c a b n. Nh ng thông tin này g m có nh : tên, đ a ch email, và s đi n tho iỉ ủ ạ ữ ồ ư ị ỉ ố ệ ạ
c a b n.ủ ạ
Trong ph n Key Options, ch n tùy ch n ầ ọ ọ Create a New Key Set. B n nên th m đ nhạ ẩ ị
r ng ằCryptographic Service Provider (CSP) đã đ c thi t l p ượ ế ậ là Microsoft RSA
SChannel Cryptographic Provider, và r ng ằKey Size đ c thi t l p là ượ ế ậ 1024, xem
th hi n trong hình A.ể ệ
Hình A: B n ph i b o đ m r ng Cryptographic Service Provider (CSP) đ c thi tạ ả ả ả ằ ượ ế
l p là Microsoft RSA SChannel Cryptographic Provider còn Key Size đ c thi t l pậ ượ ế ậ
là 1024
Lúc này, hãy lăn chu t và tìm phía d i giao di n, kích vào nút ộ ướ ệ Submit. B n s th yạ ẽ ấ
m t c nh báo thông báo cho b n bi t r ng Web site đang t o m t yêu c u ch ngộ ả ạ ế ằ ạ ộ ầ ứ
ch . Kích Yes đ cho phép yêu c u đó đi qua. Khi quá trình đ c hoàn t t, b n sỉ ể ầ ượ ấ ạ ẽ
th y m t thông báo, thông báo này cho bi t r ng ch ng ch đã đ c phát hành đ nấ ộ ế ằ ứ ỉ ượ ế
b n và h i li u có mu n cài đ t nó không. Hãy ti p t c kích vào liên k t “ạ ỏ ệ ố ặ ế ụ ế Install

This Certificate”. Ti p đó, b n s th y m t thông báo báo cho b n bi t r ng Webế ạ ẽ ấ ộ ạ ế ằ
site đang cài đ t ch ng ch . Kích ặ ứ ỉ Yes đ cho phép ho t đ ng đó.ể ạ ộ
B n s th y m t thông báo nói r ng ch ng ch đã đ c t o thành công, tuy nhiênạ ẽ ấ ộ ằ ứ ỉ ượ ạ
chúng ta c n ph i b o đ m đi u đó. Đ th c hi n nh v y, b n hãy nh p vào l nhầ ả ả ả ề ể ự ệ ư ậ ạ ậ ệ
MMC t i nh c l nh ạ ắ ệ Run trên máy ch FTP c a mình. Khi đó Windows s m m tủ ủ ẽ ở ộ
instance tr ng cho Microsoft Management Console. T i đây, b n ph i ch n l nhố ạ ạ ả ọ ệ
Add / Remove Snap-In t menu File c a giao di n đi u khi n. Khi đó Windows sừ ủ ệ ề ể ẽ
hi n th h p tho i ể ị ộ ạ Add or Remove Snap-ins.
Ch n tùy ch n Certificates t danh sách các snap-in có s n. B n s đ c h i li uọ ọ ừ ẵ ạ ẽ ượ ỏ ệ
giao di n đi u khi n có đ c s d ng đ qu n lý các ch ng ch cho tài kho nệ ề ể ượ ử ụ ể ả ứ ỉ ả
ng i dùng c a b n, tài kho n d ch v hay tài kho n máy tính hay không. Ch n tùyườ ủ ạ ả ị ụ ả ọ
ch n ọComputer Account và kích nút Next.
Màn hình ti p sau đó s h i b n có mu n qu n lý các ch ng ch cho máy tính n iế ẽ ỏ ạ ố ả ứ ỉ ộ
b hay qu n lý các ch ng ch cho máy tính khách trên m ng. B o đ m r ng tùyộ ả ứ ỉ ạ ả ả ằ
ch n ọLocal Computer đ c tích, sau đó kích nút ượ Finish và OK.
Giao di n đi u khi n lúc này s load ệ ề ể ẽ Certificates snap-in. B n ph i đi u h ngạ ả ề ướ
thông qua cây giao di n đ vào ệ ể Console Root | Certificates (Local Computer) |
Personal | Certificates. Khi ch n m c ọ ụ Certificates, panel Details s hi n th choẽ ể ị
b n ch ng ch đã đ c phát hành.ạ ứ ỉ ượ
Kích ho t SSL cho FTP Serverạ
Lúc này, chúng ta đã có m t ch ng ch SSL, đây là lúc chúng ta có th kích ho t sộ ứ ỉ ể ạ ự
mã hóa SSL cho máy ch FTP c a mình. M ủ ủ ở Internet Information Services (IIS)
Manager. Đi u h ng thông qua cây giao di n đ tìm đ n ề ướ ệ ể ế <your server> | Sites |
<your FTP site>. V i FTP site c a b n đã ch n, kích đúp vào bi u t ng ớ ủ ạ ọ ể ượ FTP SSL
settings trong ph n Details.ầ
Giao di n đi u khi n lúc này s hi n th trang FTP SSL Settings. Ch n ệ ề ể ẽ ể ị ọ SSL
certificate t danh sách SSL Certificate s xu ng, nh th hi n trong hình B. Sauừ ổ ố ư ể ệ
đó b n có th ch n cho phép các k t n i SSL ho c yêu c u k t n i SSL. Cũng cóạ ể ọ ế ố ặ ầ ế ố
th ch n mã hóa 128 bit cho tính năng b o m t m nh h n. Kích nút ể ọ ả ậ ạ ơ Apply đ l uể ư
các thay đ i c a b n.ổ ủ ạ

Hình B: Ch n ch ng ch t danh sách SSL Certificatesọ ứ ỉ ừ
S d ng SSL hay không s d ng SSL?ử ụ ử ụ
M t trong nh ng nh c đi m trong vi c s d ng mã hóa SSL là quá trình mã hóaộ ữ ượ ể ệ ử ụ
này s làm tăng workload c a CPU. Workload m r ng s đáng giá n u b n đangẽ ủ ở ộ ẽ ế ạ
truy n t i đi hay nh n nh ng thông tin nh y c m ho c n u FTP site ch đ c sề ả ậ ữ ạ ả ặ ế ỉ ượ ử
d ng th nh tho ng. N u tránh FTP site b s d ng quá n ng t i b n c n ph i th cụ ỉ ả ế ị ử ụ ặ ả ạ ầ ả ự
hi n test đ b o đ m r ng quá trình mã hóa không gây ra các v n đ hi u su t choệ ể ả ả ằ ấ ề ệ ấ
máy ch .ủ
Chúng tôi khuyên các b n nên ki m tra b đ m Processor / %Processor Time c aạ ể ộ ế ủ
Performance Monitor tr c và sau khi mã hóa SSL đ c kích ho t. Xung nh n trongướ ượ ạ ọ
hành đ ng CPU là hoàn toàn bình th ng, nh ng hi u qu s d ng trung bình c nộ ườ ư ệ ả ử ụ ầ
ph i đ c duy trì d i 80% b ng không CPU c a b n đang có v n đ v ph c vả ượ ướ ằ ủ ạ ấ ề ề ụ ụ
các nhu c u đang đòi h i nó.ầ ỏ ở
K t lu nế ậ
Kh năng mã hóa FTP site h n là m t đi u thú v , tuy nhiên đó không ph i là t t cả ẳ ộ ề ị ả ấ ả
vì b n v n là có th đăng nh p FTP site theo cách n c danh mà không c n b oạ ẫ ể ậ ặ ầ ả
m t, th m chí n u mã hóa SSL đ c kích ho t. Trong ph n 4 c a lo t bài này,ậ ậ ế ượ ạ ầ ủ ạ
chúng tôi s gi i thi u cho các b n v s th m đ nh cho các FTP site.ẽ ớ ệ ạ ề ự ẩ ị
Văn Linh (Theo WindowsNetworking)