Cấu hình IIS cho một FTP Site – Phần 1
Rất nhiều người nghĩ rằng IIS là một ứng dụng cho việc hosting các website, tuy nhiên ngoài nhiệm vụ đó IIS cũng được cấu hình để làm việc như một máy chủ FTP để cho phép upload hoặc download các file. Một IIS FTP site có thể là một website hoặc nó có thể là một site đơn lẻ. Trong cả hai trường hợp, IIS đều cung cấp cho bạn cách xử lý linh động trong việc thiết lập một FTP site. Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt các dịch vụ cần thiết, cách dự phòng máy chủ IIS của bạn. Bên cạnh đó chúng tôi cũng giới thiệu một số thay đổi của công nghệ để bạn có thể sử dụng để điều chỉnh thích nghi FTP site của bạn cho các kiểu tình huống cụ thể nào đó.
Tại sau sử dụng FTP?
FTP (File Transfer Protocol) là một giao thức truyền tải file được phát minh ra vào những năm 70. Có nhiều giao thức truyền tải file khác ngoài FTP, thậm chí còn hiệu quả hơn nhưng có một số lý do tại sao chúng tôi lại chọn sử dụng FTP là vì: Thứ nhất, FTP mang tính phổ biến, mọi người đều biết FTP là gì và nó làm việc trên khá tốt trên các hệ điều hành.
FTP che dấu hoàn toàn sự phức tạp trong việc tương tác với các hệ điều hành khác và các hệ thống file. Dù bạn có sử dụng Linux hay Windows 95, Windows Vista, hoặc một hệ điều hành nào đó. Miễn là hệ điều hành của bạn biết đến FTP thì chúng hoàn toàn có thể truyền tải file đến và đi từ máy chủ IIS đang chạy trên Windows Server 2008.
Một lý do khác tại sao chúng tôi muốn giới thiệu về FTP là vì các dịch vụ FTP được gộp vào trong IIS. Bạn không phải phát triển hoặc mua thêm bất cứ phần mềm nào. Chỉ cần cài đặt một cách đơn giản các thành phần cần thiết, điều chỉnh các thiết lập cấu hình là bạn hoàn toàn có thể sử dụng được nó.
Cài đặt máy chủ FTP
Windows Server 2008 cung cấp cho bạn hai tùy chọn khác nhau trong việc cài đặt FTP Server. Một tùy chọn ở đây là bạn có thể cài đặt máy chủ FTP thông qua giao diện đồ họa người dùng (GUI). Còn tùy chọn kia là cấu hình máy chủ để hoạt động như một cài đặt máy chủ lõi. Như những gì các bạn đã nghe thấy, các triển khai máy chủ lõi được sử dụng hoàn toàn bằng lệnh, tuy hơi phức tạp trong sử dụng nhưng lại an toàn hơn nhiều phương pháp sử dụng GUI vì có nó có ít thành phần Windows được cài đặt hơn. Với mục đích đơn giản chúng tôi xin giới thiệu phương pháp thực hiện cài đặt dựa trên GUI như truyền thống.
Với cài đặt dựa trên GUI, chúng ta sẽ bắt đầu quá trình bằng cách mở Server Manager, sau đó tìm trong panel ở phần bên phải Roles Summary. Kích vào liên kết Add Roles được định vị bên trong phần này. Khi thực hiện thao tác này, Windows sẽ khởi chạy Add Roles Wizard.
Kích Next để đi qua màn hình chào của giao diện, khi đó bạn sẽ gặp màn hình Select Server Roles. Chọn hộp kiểm tương ứng với Web Server (IIS) role và kích Next. Lúc này bạn sẽ được đưa đến màn hình Select Role Services. Màn hình này sẽ liệt kê các thành phần khác nhau có liên quan đến IIS mà bạn có thể cài đặt. Do nhiều trong số các dịch vụ được yêu cầu bởi máy chủ FTP này được lựa chọn một cách mặc định, bạn hãy kích Next để sử dụng các giá trị mặc định này. Khi đó bạn sẽ được đưa đến màn hình xác nhận, màn hình này có liệt kê các lựa chọn mà bạn đã thực hiện. Hãy quan sát lại các thành phần mà bạn sẽ cài đặt, sau đó kích nút Install. Khi tiến trình cài đặt hoàn tất, hãy thẩm định rằng việc cài đặt đã thành công và sau đó đó kích nút Close.
Mở Server Manager và điều hướng thông qua cây giao diện đến Server Manager | Roles | Web Server (IIS). Chọn mục Web Server (IIS), tìm trong panel phần Role Services. Khi kiểm tra các entry trong phần này, bạn sẽ thấy FTP Publishing Service và các thành phần của nó không được cài đặt.
Bạn có thể cài đặt các thành phần bằng cách kích vào liên kết Add Role Service. Khi thực hiện điều đó, Windows sẽ mở hộp thoại để nhắc nhở bạn chọn các dịch vụ role để cài đặt. Chọn hộp kiểm tương ứng với FTP Publishing Service. Khi đó các hộp kiểm underlying FTP Server service và FTP Management Console cũng sẽ được chọn. Hãy để nguyên trạng thái các mục này là được chọn.
Kích Next, khi đó Windows sẽ hiển thị một màn hình tổng thể, màn hình này sẽ thể hiện các dịch vụ role nào mà bạn muốn cài đặt. Giả dụ rằng các lựa chọn của bạn xuất hiện đúng, hãy tiếp tục quá trình bằng cách kích nút Install. Windows sẽ cài đặt các dịch vụ role đã chọn. Khi quá trình cài đặt được hoàn tất, bạn hãy thẩm định rằng cài đặt của mình đã thành công, sau đó kích nút Close. Chúng tôi khuyến nghị các bạn nên quay trở về Server Manager và quan sát vào Role Services cho Web Server (IIS) role. Bạn có thể thẩm định FTP Publishing Service, the FTP Server và FTP Management Console đã được cài đặt.
Bảo vệ FTP Server
Khi các dịch vụ role cần thiết đã được cài đặt, đây là lúc bạn cần phải thực hiện các hành động bảo vệ máy chủ FTP. Một trong những kỹ thuật chính được sử dụng để bảo vệ một FTP session là mã hóa bằng SSL. Các bạn cần phải biết rằng, mã hóa SSL không mang tính bắt buộc. Trong một số trường hợp, việc upload và download các file không mã hóa là không tốt. Cho ví dụ, chúng tôi đã download một template mới của Microsoft Word từ một website thông qua FTP tuần trước. Sự truyền tải không được mã hóa nhưng không gây ảnh hưởng gì vì nó chỉ là một mẫu tài liệu. Trong trường hợp khác, cho phép người dùng có được tùy chọn để mã hóa session nếu họ muốn là một giải pháp hữu hiệu.
Mã hóa SSL được dựa trên việc sử dụng các chứng chỉ số. Chứng chỉ không được sử dụng như cơ sở cho việc mã hóa nhưng nó lại phục vụ như một cơ chế để nhận dạng máy chủ của bạn. Có ba tùy chọn để bạn quan tâm đến việc sử dụng chứng chỉ. Bạn có thể mua một chứng chỉ từ một nhà thẩm định chứng chỉ với mục đích thương mại, có thể tạo một chứng chỉ cho riêng mình từ Windows Server được cấu hình để thực hiện như một Enterprise Certificate Authority hoặc có thể cấu hình máy chủ FTP để tạo một chứng chỉ tự ký.
Khi quyết định sử dụng phương pháp nào, hãy nhớ rằng máy khách phải tin tưởng chứng chỉ mà máy chủ đang sử dụng. Các máy khách Windows sẽ tự động tin tưởng các chứng chỉ từ các nhà cung cấp chứng chỉ thương mại. Chúng cũng sẽ tự động tin tưởng một Enterprise Certificate Authority miễn là máy khách làm một thành viên nằm trong miền. Tuy nhiên sẽ không bao giờ tự động tin tưởng một chứng chỉ tự ký.
Kết luận
Như những gì bạn thấy, sự tin tưởng chứng chỉ là một vấn đề lớn khi nói đến việc cung cấp mã hóa SSL. Trong phần 2 của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cách cấu hình máy khách tin tưởng một chứng chỉ không được tin cậy. Bên cạnh đó cũng giới thiệu cách sử dụng mã hóa SSL cho máy chủ FTP của bạn.
Văn Linh (Theo WindowsNetworking)
Cấu hình IIS cho một FTP Site – Phần 2
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách cài đặt các dịch vụ FTP role và đã bắt đầu giới thiệu về mã hóa SSL cho FTP. Mặc dù mã hóa SSL không yêu cầu cho việc sử dụng FTP nhưng nó là cách cần thực hiện nhằm cung cấp cho người dùng một tùy chọn mã hóa các FTP session của họ, cũng bởi lẽ bạn không bao giờ biết thời điểm nào họ sẽ cần truyền tải các tài liệu nhạy cảm. Qua hai phần tiếp theo, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung bảo mật SSL vào máy chủ FTP của bạn.
Phiên bản mới
Nếu quan sát vào menu Administrative Tools của máy chủ của mình, bạn sẽ thấy có một liên kết cho Internet Information Services (IIS) Manager, và một liên kết khác cho Internet Information Services (IIS) 6.0 Manager, xem thể hiện trong hình A. Điều này đều có lý do của nó.
Hình A: Windows Server 2008 gồm có hai công cụ quản lý IIS riêng biệt Khi Microsoft tạo Windows Server 2008, một trong những mục tiêu của họ là tân trang lại máy chủ FTP dưới một nỗ lực nào đó để đổi mới nó. Mặc dù vậy, mã mới đã không được hoàn thành kịp thời với thời điểm phát hành Windows Server 2008. Microsoft không muốn phát hành Windows Server 2008 không có sự hỗ trợ FTP nên họ cuối cùng đã đưa phiên bản IIS 6.0 của các dịch vụ FTP từ Windows Server 2003 vào Windows Server 2008.
Nếu chọn tùy chọn Internet Information Services (IIS) 6.0 từ menu Administrative Tools, bạn sẽ thấy một giao diện điều khiển như thể hiện trong hình B. Đây là một phiên bản của IIS Management Console được đưa vào quản lý các dịch vụ FTP. Nếu kích vào Default FTP Site, và chọn lệnh Properties, Windows sẽ hiển thị trang thuộc tính của FTP site. Quan sát trang thuộc tính này với các tab khác nhau bạn sẽ thấy có một tùy chọn cho việc mã hóa các FTP session.
Hình B: Trình quản lý Internet Information Services (IIS) 6.0 là một sản phẩm của Windows Server 2003 Tuy nhiên ở đây bạn không bị mắc kẹt trong việc sử dụng máy chủ FTP kế thừa. Microsoft đã hoàn tất máy chủ FTP mới của họ và đã phát hành nó như một add-on. Điều đó có nghĩa rằng nó không phải là một phần của hệ điều hành mà là một add-on được thiết kế để làm việc với hệ điều hành.
Do máy chủ FTP mới mạnh hơn nhiều so với máy chủ được phát hành với hệ điều hành nên chúng ta phải hủy cài đặt phiên bản IIS 6.0, sau đó download và cài đặt phiên bản mới.
Hủy cài đặt IIS 6.0 FTP Server
Mặc dù chúng ta đã cài đặt phiên bản IIS 6.0 cho các dịch vụ FTP nhưng giờ là lúc hãy remove nó. Ở đây chúng tôi đã cài đặt nó chỉ để giới thiệu cho bạn sự khác biệt giữa những gì có trong Windows Server 2008 và những gì được phát hành sau này.
Để remove phiên bản trước của các dịch vụ FTP, bạn hãy mở Server Manager và chọn mục Roles từ cây giao diện điều khiển. Kéo thanh cuộn cho tới khi giao diện điều khiển liệt kê tát cả các dịch vụ role đã được cài đặt, kích vào liên kết Remove Role Services. Khi đó Windows sẽ mở Remove Role Services Wizard. Hủy chọn hộp kiểm FTP Publishing Service và kích Next, tiếp sau đó là Remove và Close.
Cài đặt IIS 7 FTP Server
Thứ đầu tiên mà bạn cần phải thực hiện là download Microsoft FTP Services cho IIS 7.0. Liên kết download thực mà bạn sẽ sử dụng sẽ phụ thuộc vào bạn đang sử dụng phiên bản Windows Server 2008 32-bit hay 64-bit. Nếu đang sử dụng phiên bản 32-bit, bạn có thể download các dịch vụ FTP tại đây. Còn nếu đang sử dụng phiên bản Windows Server 2008 64-bit, bạn sẽ phải download các dịch vụ FTP tại đây.
Lưu file mà bạn đã download vào một thư mục trống rỗng trên ổ cứng của máy chủ. Tiếp đến, kích đúp vào file mà bạn đã download, kích nút Run khi được nhắc nhở bởi Windows. Windows lúc đó sẽ khởi chạy wizard cài đặt Microsoft FTP Services cho IIS 7.0
Kích Next để băng qua màn hình chào. Wizard sẽ hiển thị thỏa thuận đăng ký người dùng - End User License Agreement. Chấp nhận thỏa thuận đăng ký và kích Next. Tại đây, bạn sẽ thấy một màn hình tương tự như màn hình thể hiện trong hình C, màn hình này hỏi xem bạn thích cài đặt thành phần dịch vụ FTP nào. Với mục đích của chúng ta, hãy chọn tất cả các thành phần và kích Next.
Hình C: Chọn tất cả các thành phần để cài đặt Bạn sẽ thấy một thông báo cho bạn biết rằng Windows đã sẵn sàng cài đặt các dịch vụ FTP. Kích nút Install để khởi tạo quá trình cài đặt. Khi quá trình cài đặt hoàn tất, kích Finish.
Truy cập máy chủ FTP
Lúc này quá trình cài đặt của chúng ta đã hoàn tất, chúng ta hãy mở giao diện quản lý IIS 7.0. Để thực hiện điều đó, bạn hãy chọn tùy chọn Internet Information Services (IIS) Manager từ menu Administrative Tools. Khi giao diện Internet Information Services (IIS) Manager được mở, chọn mục từ cây giao diện tương ứng với tên của máy chủ của bạn. Như những gì bạn có thể thấy trong hình D, một số công cụ quản lý FTP đã được add vào máy chủ.
Hình D: Giao diện quản lý Internet Information Services (IIS) Manager hỗ trợ FTP Lúc này hãy cuộn thanh cuộn trong cây thư mục và tìm đến | Sites. Kích chuột phải vào mục Default Web Site và chọn tùy chọn Add FTP Site. Bạn sẽ được nhắc nhở nhập vào tên cho FTP site, đường dẫn vật lý mà bạn muốn liên kết site đó đến, xem thể hiện trong hình E, sau đó kích Next.
Hình F: Nhập vào tên của site và đường dẫn vật lý của nó Trên màn hình tiếp sau đó, bạn hãy chọn tùy chọn Allow SSL và kích Next. Kích Finish, khi đó IIS sẽ tạo một site FTP xương sống. Chúng ta sẽ cấu hình và bảo mật site này trong phần 3.
Kết luận
Như những gì bạn thấy, phiên bản IIS 7.0 của FTP services cung cấp rất nhiều tùy chọn hơn so với phiên bản IIS 6.0. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng mã hóa SSL cho máy chủ FTP. Bên cạnh đó cần phải kiểm tra để nâng cấp cho các dịch vụ FTP mới được phát hành ngay từ thời điểm đầu tiên Microsoft phát hành các dịch vụ này.
Văn Linh (Theo WindowsNetworking)
Cấu hình IIS cho một FTP Site – Phần 3
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách để có được IIS 7.0. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung mã hóa SSL vào FTP site.
Thu thập chứng chỉ SSL
Trước khi FTP server có thể cung cấp mã hóa SSL, bạn cần phải có một chứng chỉ X.509. Bạn có thể mua một chứng chỉ này từ một nhà thẩm định chứng chỉ (CA) thương mại, chẳng hạn như VeriSign hay Thawte, hoặc có thể sử dụng một CA của một tổ chức để phát hành chứng chỉ.
Với mục đích của bài viết, chúng tối sẽ giả định rằng bạn có một máy chủ Windows 2008 đã được cấu hình để thực hiện như một CA doanh nghiệp. Khi đó chúng tôi sẽ giới thiệu cho các bạn cách phát hành yêu cầu chứng chỉ và cách download chứng chỉ cần thiết trong phần tiếp theo. Nếu bạn đã thu thập được một chứng chỉ SSL từ một nhà thẩm định chứng chỉ thương mại, khi đó bạn có thể bỏ qua phần này và chuyển sang phần tiếp theo.
Để sử dụng mã hóa SSL, chúng ta cần phát hành một yêu cầu đến CA doanh nghiệp.Với mục đích của bài viết, chúng tôi giả dụ rằng máy chủ FTP của bạn là một thành viên trong cùng Active Directory forest.
Để yêu cầu một chứng chỉ cần thiết, bạn hãy mở Internet Explorer, nhập vào URL liên quan đến Enterprise Certificate Authority của bạn. Mặc định, URL sẽ là https:///CertSrv . Khi nhập vào URL này, bạn thường phải nhập vào tên miền đầy đủ của Enterprise Certificate Authority thay cho việc nhập vào tên NetBIOS của máy chủ.
Khi bạn nhập vào URL của Enterprise Certificate Authority, hãy đăng nhập vào Active Directory Certificate Services, Web site bổ sung quản trị viên miền (nếu cần). Sau khi thực hiện điều đó, kích vào liên kết “Request a Certificate”. Bạn sẽ thấy một màn hình xuất hiện yêu cầu bạn chọn giữa việc yêu cầu một chứng chỉ người dùng hoặc đệ trình một yêu cầu chứng chỉ nâng cao. Kích vào tùy chọn thứ hai, Advanced Certificate Request.
Màn hình sau đó sẽ cho phép bạn phát hành một yêu cầu trực tiếp đến nhà thẩm định chứng chỉ hoặc upload một file yêu cầu chứng chỉ được mã hóa theo định dạng Base-64 hoặc PKCS #10. Kích vào liên kết “Create and Submit a Request to This CA”.
Tại đây, bạn sẽ được nhắc nhở để cài đặt ActiveX control. Nếu gặp phải nhắc nhở này, hãy đi tiếp và thực hiện cài đặt điều khiển.
Tiếp đó bạn sẽ được đưa đến màn hình chính Advanced Certificate Request. Chọn tùy chọn Web Server từ danh sách Certificate Template sổ xuống. Lúc này phải nhập vào một số thông tin nhận dạng cơ bản để được nhóm vào trong chứng chỉ của bạn. Những thông tin này gồm có như: tên, địa chỉ email, và số điện thoại của bạn.
Trong phần Key Options, chọn tùy chọn Create a New Key Set. Bạn nên thẩm định rằng Cryptographic Service Provider (CSP) đã được thiết lập là Microsoft RSA SChannel Cryptographic Provider, và rằng Key Size được thiết lập là 1024, xem thể hiện trong hình A.
Hình A: Bạn phải bảo đảm rằng Cryptographic Service Provider (CSP) được thiết lập là Microsoft RSA SChannel Cryptographic Provider còn Key Size được thiết lập là 1024 Lúc này, hãy lăn chuột và tìm phía dưới giao diện, kích vào nút Submit. Bạn sẽ thấy một cảnh báo thông báo cho bạn biết rằng Web site đang tạo một yêu cầu chứng chỉ. Kích Yes để cho phép yêu cầu đó đi qua. Khi quá trình được hoàn tất, bạn sẽ thấy một thông báo, thông báo này cho biết rằng chứng chỉ đã được phát hành đến bạn và hỏi liệu có muốn cài đặt nó không. Hãy tiếp tục kích vào liên kết “Install This Certificate”. Tiếp đó, bạn sẽ thấy một thông báo báo cho bạn biết rằng Web site đang cài đặt chứng chỉ. Kích Yes để cho phép hoạt động đó.
Bạn sẽ thấy một thông báo nói rằng chứng chỉ đã được tạo thành công, tuy nhiên chúng ta cần phải bảo đảm điều đó. Để thực hiện như vậy, bạn hãy nhập vào lệnh MMC tại nhắc lệnh Run trên máy chủ FTP của mình. Khi đó Windows sẽ mở một instance trống cho Microsoft Management Console. Tại đây, bạn phải chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển. Khi đó Windows sẽ hiển thị hộp thoại Add or Remove Snap-ins.
Chọn tùy chọn Certificates từ danh sách các snap-in có sẵn. Bạn sẽ được hỏi liệu giao diện điều khiển có được sử dụng để quản lý các chứng chỉ cho tài khoản người dùng của bạn, tài khoản dịch vụ hay tài khoản máy tính hay không. Chọn tùy chọn Computer Account và kích nút Next.
Màn hình tiếp sau đó sẽ hỏi bạn có muốn quản lý các chứng chỉ cho máy tính nội bộ hay quản lý các chứng chỉ cho máy tính khách trên mạng. Bảo đảm rằng tùy chọn Local Computer được tích, sau đó kích nút Finish và OK.
Giao diện điều khiển lúc này sẽ load Certificates snap-in. Bạn phải điều hướng thông qua cây giao diện để vào Console Root | Certificates (Local Computer) | Personal | Certificates. Khi chọn mục Certificates, panel Details sẽ hiển thị cho bạn chứng chỉ đã được phát hành.
Kích hoạt SSL cho FTP Server
Lúc này, chúng ta đã có một chứng chỉ SSL, đây là lúc chúng ta có thể kích hoạt sự mã hóa SSL cho máy chủ FTP của mình. Mở Internet Information Services (IIS) Manager. Điều hướng thông qua cây giao diện để tìm đến | Sites | . Với FTP site của bạn đã chọn, kích đúp vào biểu tượng FTP SSL settings trong phần Details.
Giao diện điều khiển lúc này sẽ hiển thị trang FTP SSL Settings. Chọn SSL certificate từ danh sách SSL Certificate sổ xuống, như thể hiện trong hình B. Sau đó bạn có thể chọn cho phép các kết nối SSL hoặc yêu cầu kết nối SSL. Cũng có thể chọn mã hóa 128 bit cho tính năng bảo mật mạnh hơn. Kích nút Apply để lưu các thay đổi của bạn.
Hình B: Chọn chứng chỉ từ danh sách SSL Certificates Sử dụng SSL hay không sử dụng SSL?
Một trong những nhược điểm trong việc sử dụng mã hóa SSL là quá trình mã hóa này sẽ làm tăng workload của CPU. Workload mở rộng sẽ đáng giá nếu bạn đang truyền tải đi hay nhận những thông tin nhạy cảm hoặc nếu FTP site chỉ được sử dụng thỉnh thoảng. Nếu tránh FTP site bị sử dụng quá nặng tải bạn cần phải thực hiện test để bảo đảm rằng quá trình mã hóa không gây ra các vấn đề hiệu suất cho máy chủ.
Chúng tôi khuyên các bạn nên kiểm tra bộ đếm Processor / %Processor Time của Performance Monitor trước và sau khi mã hóa SSL được kích hoạt. Xung nhọn trong hành động CPU là hoàn toàn bình thường, nhưng hiệu quả sử dụng trung bình cần phải được duy trì dưới 80% bằng không CPU của bạn đang có vấn đề về phục vụ các nhu cầu đang đòi hỏi ở nó.
Kết luận
Khả năng mã hóa FTP site hẳn là một điều thú vị, tuy nhiên đó không phải là tất cả vì bạn vẫn là có thể đăng nhập FTP site theo cách nặc danh mà không cần bảo mật, thậm chí nếu mã hóa SSL được kích hoạt. Trong phần 4 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về sự thẩm định cho các FTP site.
Văn Linh (Theo WindowsNetworking)
Brien M. Posey
Quản trị mạng - Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn cách cấu hình IIS để làm việc như một máy chủ FTPRất nhiều người nghĩ rằng IIS là một ứng dụng cho việc hosting các website, tuy nhiên ngoài nhiệm vụ đó IIS cũng được cấu hình để làm việc như một máy chủ FTP để cho phép upload hoặc download các file. Một IIS FTP site có thể là một website hoặc nó có thể là một site đơn lẻ. Trong cả hai trường hợp, IIS đều cung cấp cho bạn cách xử lý linh động trong việc thiết lập một FTP site. Trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách cài đặt các dịch vụ cần thiết, cách dự phòng máy chủ IIS của bạn. Bên cạnh đó chúng tôi cũng giới thiệu một số thay đổi của công nghệ để bạn có thể sử dụng để điều chỉnh thích nghi FTP site của bạn cho các kiểu tình huống cụ thể nào đó.
Tại sau sử dụng FTP?
FTP (File Transfer Protocol) là một giao thức truyền tải file được phát minh ra vào những năm 70. Có nhiều giao thức truyền tải file khác ngoài FTP, thậm chí còn hiệu quả hơn nhưng có một số lý do tại sao chúng tôi lại chọn sử dụng FTP là vì: Thứ nhất, FTP mang tính phổ biến, mọi người đều biết FTP là gì và nó làm việc trên khá tốt trên các hệ điều hành.
FTP che dấu hoàn toàn sự phức tạp trong việc tương tác với các hệ điều hành khác và các hệ thống file. Dù bạn có sử dụng Linux hay Windows 95, Windows Vista, hoặc một hệ điều hành nào đó. Miễn là hệ điều hành của bạn biết đến FTP thì chúng hoàn toàn có thể truyền tải file đến và đi từ máy chủ IIS đang chạy trên Windows Server 2008.
Một lý do khác tại sao chúng tôi muốn giới thiệu về FTP là vì các dịch vụ FTP được gộp vào trong IIS. Bạn không phải phát triển hoặc mua thêm bất cứ phần mềm nào. Chỉ cần cài đặt một cách đơn giản các thành phần cần thiết, điều chỉnh các thiết lập cấu hình là bạn hoàn toàn có thể sử dụng được nó.
Cài đặt máy chủ FTP
Windows Server 2008 cung cấp cho bạn hai tùy chọn khác nhau trong việc cài đặt FTP Server. Một tùy chọn ở đây là bạn có thể cài đặt máy chủ FTP thông qua giao diện đồ họa người dùng (GUI). Còn tùy chọn kia là cấu hình máy chủ để hoạt động như một cài đặt máy chủ lõi. Như những gì các bạn đã nghe thấy, các triển khai máy chủ lõi được sử dụng hoàn toàn bằng lệnh, tuy hơi phức tạp trong sử dụng nhưng lại an toàn hơn nhiều phương pháp sử dụng GUI vì có nó có ít thành phần Windows được cài đặt hơn. Với mục đích đơn giản chúng tôi xin giới thiệu phương pháp thực hiện cài đặt dựa trên GUI như truyền thống.
Với cài đặt dựa trên GUI, chúng ta sẽ bắt đầu quá trình bằng cách mở Server Manager, sau đó tìm trong panel ở phần bên phải Roles Summary. Kích vào liên kết Add Roles được định vị bên trong phần này. Khi thực hiện thao tác này, Windows sẽ khởi chạy Add Roles Wizard.
Kích Next để đi qua màn hình chào của giao diện, khi đó bạn sẽ gặp màn hình Select Server Roles. Chọn hộp kiểm tương ứng với Web Server (IIS) role và kích Next. Lúc này bạn sẽ được đưa đến màn hình Select Role Services. Màn hình này sẽ liệt kê các thành phần khác nhau có liên quan đến IIS mà bạn có thể cài đặt. Do nhiều trong số các dịch vụ được yêu cầu bởi máy chủ FTP này được lựa chọn một cách mặc định, bạn hãy kích Next để sử dụng các giá trị mặc định này. Khi đó bạn sẽ được đưa đến màn hình xác nhận, màn hình này có liệt kê các lựa chọn mà bạn đã thực hiện. Hãy quan sát lại các thành phần mà bạn sẽ cài đặt, sau đó kích nút Install. Khi tiến trình cài đặt hoàn tất, hãy thẩm định rằng việc cài đặt đã thành công và sau đó đó kích nút Close.
Mở Server Manager và điều hướng thông qua cây giao diện đến Server Manager | Roles | Web Server (IIS). Chọn mục Web Server (IIS), tìm trong panel phần Role Services. Khi kiểm tra các entry trong phần này, bạn sẽ thấy FTP Publishing Service và các thành phần của nó không được cài đặt.
Bạn có thể cài đặt các thành phần bằng cách kích vào liên kết Add Role Service. Khi thực hiện điều đó, Windows sẽ mở hộp thoại để nhắc nhở bạn chọn các dịch vụ role để cài đặt. Chọn hộp kiểm tương ứng với FTP Publishing Service. Khi đó các hộp kiểm underlying FTP Server service và FTP Management Console cũng sẽ được chọn. Hãy để nguyên trạng thái các mục này là được chọn.
Kích Next, khi đó Windows sẽ hiển thị một màn hình tổng thể, màn hình này sẽ thể hiện các dịch vụ role nào mà bạn muốn cài đặt. Giả dụ rằng các lựa chọn của bạn xuất hiện đúng, hãy tiếp tục quá trình bằng cách kích nút Install. Windows sẽ cài đặt các dịch vụ role đã chọn. Khi quá trình cài đặt được hoàn tất, bạn hãy thẩm định rằng cài đặt của mình đã thành công, sau đó kích nút Close. Chúng tôi khuyến nghị các bạn nên quay trở về Server Manager và quan sát vào Role Services cho Web Server (IIS) role. Bạn có thể thẩm định FTP Publishing Service, the FTP Server và FTP Management Console đã được cài đặt.
Bảo vệ FTP Server
Khi các dịch vụ role cần thiết đã được cài đặt, đây là lúc bạn cần phải thực hiện các hành động bảo vệ máy chủ FTP. Một trong những kỹ thuật chính được sử dụng để bảo vệ một FTP session là mã hóa bằng SSL. Các bạn cần phải biết rằng, mã hóa SSL không mang tính bắt buộc. Trong một số trường hợp, việc upload và download các file không mã hóa là không tốt. Cho ví dụ, chúng tôi đã download một template mới của Microsoft Word từ một website thông qua FTP tuần trước. Sự truyền tải không được mã hóa nhưng không gây ảnh hưởng gì vì nó chỉ là một mẫu tài liệu. Trong trường hợp khác, cho phép người dùng có được tùy chọn để mã hóa session nếu họ muốn là một giải pháp hữu hiệu.
Mã hóa SSL được dựa trên việc sử dụng các chứng chỉ số. Chứng chỉ không được sử dụng như cơ sở cho việc mã hóa nhưng nó lại phục vụ như một cơ chế để nhận dạng máy chủ của bạn. Có ba tùy chọn để bạn quan tâm đến việc sử dụng chứng chỉ. Bạn có thể mua một chứng chỉ từ một nhà thẩm định chứng chỉ với mục đích thương mại, có thể tạo một chứng chỉ cho riêng mình từ Windows Server được cấu hình để thực hiện như một Enterprise Certificate Authority hoặc có thể cấu hình máy chủ FTP để tạo một chứng chỉ tự ký.
Khi quyết định sử dụng phương pháp nào, hãy nhớ rằng máy khách phải tin tưởng chứng chỉ mà máy chủ đang sử dụng. Các máy khách Windows sẽ tự động tin tưởng các chứng chỉ từ các nhà cung cấp chứng chỉ thương mại. Chúng cũng sẽ tự động tin tưởng một Enterprise Certificate Authority miễn là máy khách làm một thành viên nằm trong miền. Tuy nhiên sẽ không bao giờ tự động tin tưởng một chứng chỉ tự ký.
Kết luận
Như những gì bạn thấy, sự tin tưởng chứng chỉ là một vấn đề lớn khi nói đến việc cung cấp mã hóa SSL. Trong phần 2 của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cách cấu hình máy khách tin tưởng một chứng chỉ không được tin cậy. Bên cạnh đó cũng giới thiệu cách sử dụng mã hóa SSL cho máy chủ FTP của bạn.
Văn Linh (Theo WindowsNetworking)
Cấu hình IIS cho một FTP Site – Phần 2
Brien M. Posey
Quản trị mạng – Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số sự khác biệt trong hai phiên bản của dịch vụ FTP chạy trên Windows Server 2008.Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách cài đặt các dịch vụ FTP role và đã bắt đầu giới thiệu về mã hóa SSL cho FTP. Mặc dù mã hóa SSL không yêu cầu cho việc sử dụng FTP nhưng nó là cách cần thực hiện nhằm cung cấp cho người dùng một tùy chọn mã hóa các FTP session của họ, cũng bởi lẽ bạn không bao giờ biết thời điểm nào họ sẽ cần truyền tải các tài liệu nhạy cảm. Qua hai phần tiếp theo, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung bảo mật SSL vào máy chủ FTP của bạn.
Phiên bản mới
Nếu quan sát vào menu Administrative Tools của máy chủ của mình, bạn sẽ thấy có một liên kết cho Internet Information Services (IIS) Manager, và một liên kết khác cho Internet Information Services (IIS) 6.0 Manager, xem thể hiện trong hình A. Điều này đều có lý do của nó.
Hình A: Windows Server 2008 gồm có hai công cụ quản lý IIS riêng biệt
Nếu chọn tùy chọn Internet Information Services (IIS) 6.0 từ menu Administrative Tools, bạn sẽ thấy một giao diện điều khiển như thể hiện trong hình B. Đây là một phiên bản của IIS Management Console được đưa vào quản lý các dịch vụ FTP. Nếu kích vào Default FTP Site, và chọn lệnh Properties, Windows sẽ hiển thị trang thuộc tính của FTP site. Quan sát trang thuộc tính này với các tab khác nhau bạn sẽ thấy có một tùy chọn cho việc mã hóa các FTP session.
Hình B: Trình quản lý Internet Information Services (IIS) 6.0 là một sản phẩm của Windows Server 2003
Do máy chủ FTP mới mạnh hơn nhiều so với máy chủ được phát hành với hệ điều hành nên chúng ta phải hủy cài đặt phiên bản IIS 6.0, sau đó download và cài đặt phiên bản mới.
Hủy cài đặt IIS 6.0 FTP Server
Mặc dù chúng ta đã cài đặt phiên bản IIS 6.0 cho các dịch vụ FTP nhưng giờ là lúc hãy remove nó. Ở đây chúng tôi đã cài đặt nó chỉ để giới thiệu cho bạn sự khác biệt giữa những gì có trong Windows Server 2008 và những gì được phát hành sau này.
Để remove phiên bản trước của các dịch vụ FTP, bạn hãy mở Server Manager và chọn mục Roles từ cây giao diện điều khiển. Kéo thanh cuộn cho tới khi giao diện điều khiển liệt kê tát cả các dịch vụ role đã được cài đặt, kích vào liên kết Remove Role Services. Khi đó Windows sẽ mở Remove Role Services Wizard. Hủy chọn hộp kiểm FTP Publishing Service và kích Next, tiếp sau đó là Remove và Close.
Cài đặt IIS 7 FTP Server
Thứ đầu tiên mà bạn cần phải thực hiện là download Microsoft FTP Services cho IIS 7.0. Liên kết download thực mà bạn sẽ sử dụng sẽ phụ thuộc vào bạn đang sử dụng phiên bản Windows Server 2008 32-bit hay 64-bit. Nếu đang sử dụng phiên bản 32-bit, bạn có thể download các dịch vụ FTP tại đây. Còn nếu đang sử dụng phiên bản Windows Server 2008 64-bit, bạn sẽ phải download các dịch vụ FTP tại đây.
Lưu file mà bạn đã download vào một thư mục trống rỗng trên ổ cứng của máy chủ. Tiếp đến, kích đúp vào file mà bạn đã download, kích nút Run khi được nhắc nhở bởi Windows. Windows lúc đó sẽ khởi chạy wizard cài đặt Microsoft FTP Services cho IIS 7.0
Kích Next để băng qua màn hình chào. Wizard sẽ hiển thị thỏa thuận đăng ký người dùng - End User License Agreement. Chấp nhận thỏa thuận đăng ký và kích Next. Tại đây, bạn sẽ thấy một màn hình tương tự như màn hình thể hiện trong hình C, màn hình này hỏi xem bạn thích cài đặt thành phần dịch vụ FTP nào. Với mục đích của chúng ta, hãy chọn tất cả các thành phần và kích Next.
Hình C: Chọn tất cả các thành phần để cài đặt
Truy cập máy chủ FTP
Lúc này quá trình cài đặt của chúng ta đã hoàn tất, chúng ta hãy mở giao diện quản lý IIS 7.0. Để thực hiện điều đó, bạn hãy chọn tùy chọn Internet Information Services (IIS) Manager từ menu Administrative Tools. Khi giao diện Internet Information Services (IIS) Manager được mở, chọn mục từ cây giao diện tương ứng với tên của máy chủ của bạn. Như những gì bạn có thể thấy trong hình D, một số công cụ quản lý FTP đã được add vào máy chủ.
Hình D: Giao diện quản lý Internet Information Services (IIS) Manager hỗ trợ FTP
Hình F: Nhập vào tên của site và đường dẫn vật lý của nó
Kết luận
Như những gì bạn thấy, phiên bản IIS 7.0 của FTP services cung cấp rất nhiều tùy chọn hơn so với phiên bản IIS 6.0. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng mã hóa SSL cho máy chủ FTP. Bên cạnh đó cần phải kiểm tra để nâng cấp cho các dịch vụ FTP mới được phát hành ngay từ thời điểm đầu tiên Microsoft phát hành các dịch vụ này.
Văn Linh (Theo WindowsNetworking)
Cấu hình IIS cho một FTP Site – Phần 3
Brien M. Posey
Quản trị mạng – Trong phần ba này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cấu hình IIS cho một FTP site bằng việc kích hoạt mã hóa SSL.Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách để có được IIS 7.0. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách bổ sung mã hóa SSL vào FTP site.
Thu thập chứng chỉ SSL
Trước khi FTP server có thể cung cấp mã hóa SSL, bạn cần phải có một chứng chỉ X.509. Bạn có thể mua một chứng chỉ này từ một nhà thẩm định chứng chỉ (CA) thương mại, chẳng hạn như VeriSign hay Thawte, hoặc có thể sử dụng một CA của một tổ chức để phát hành chứng chỉ.
Với mục đích của bài viết, chúng tối sẽ giả định rằng bạn có một máy chủ Windows 2008 đã được cấu hình để thực hiện như một CA doanh nghiệp. Khi đó chúng tôi sẽ giới thiệu cho các bạn cách phát hành yêu cầu chứng chỉ và cách download chứng chỉ cần thiết trong phần tiếp theo. Nếu bạn đã thu thập được một chứng chỉ SSL từ một nhà thẩm định chứng chỉ thương mại, khi đó bạn có thể bỏ qua phần này và chuyển sang phần tiếp theo.
Để sử dụng mã hóa SSL, chúng ta cần phát hành một yêu cầu đến CA doanh nghiệp.Với mục đích của bài viết, chúng tôi giả dụ rằng máy chủ FTP của bạn là một thành viên trong cùng Active Directory forest.
Để yêu cầu một chứng chỉ cần thiết, bạn hãy mở Internet Explorer, nhập vào URL liên quan đến Enterprise Certificate Authority của bạn. Mặc định, URL sẽ là https://
Khi bạn nhập vào URL của Enterprise Certificate Authority, hãy đăng nhập vào Active Directory Certificate Services, Web site bổ sung quản trị viên miền (nếu cần). Sau khi thực hiện điều đó, kích vào liên kết “Request a Certificate”. Bạn sẽ thấy một màn hình xuất hiện yêu cầu bạn chọn giữa việc yêu cầu một chứng chỉ người dùng hoặc đệ trình một yêu cầu chứng chỉ nâng cao. Kích vào tùy chọn thứ hai, Advanced Certificate Request.
Màn hình sau đó sẽ cho phép bạn phát hành một yêu cầu trực tiếp đến nhà thẩm định chứng chỉ hoặc upload một file yêu cầu chứng chỉ được mã hóa theo định dạng Base-64 hoặc PKCS #10. Kích vào liên kết “Create and Submit a Request to This CA”.
Tại đây, bạn sẽ được nhắc nhở để cài đặt ActiveX control. Nếu gặp phải nhắc nhở này, hãy đi tiếp và thực hiện cài đặt điều khiển.
Tiếp đó bạn sẽ được đưa đến màn hình chính Advanced Certificate Request. Chọn tùy chọn Web Server từ danh sách Certificate Template sổ xuống. Lúc này phải nhập vào một số thông tin nhận dạng cơ bản để được nhóm vào trong chứng chỉ của bạn. Những thông tin này gồm có như: tên, địa chỉ email, và số điện thoại của bạn.
Trong phần Key Options, chọn tùy chọn Create a New Key Set. Bạn nên thẩm định rằng Cryptographic Service Provider (CSP) đã được thiết lập là Microsoft RSA SChannel Cryptographic Provider, và rằng Key Size được thiết lập là 1024, xem thể hiện trong hình A.
Hình A: Bạn phải bảo đảm rằng Cryptographic Service Provider (CSP) được thiết lập là Microsoft RSA SChannel Cryptographic Provider còn Key Size được thiết lập là 1024
Bạn sẽ thấy một thông báo nói rằng chứng chỉ đã được tạo thành công, tuy nhiên chúng ta cần phải bảo đảm điều đó. Để thực hiện như vậy, bạn hãy nhập vào lệnh MMC tại nhắc lệnh Run trên máy chủ FTP của mình. Khi đó Windows sẽ mở một instance trống cho Microsoft Management Console. Tại đây, bạn phải chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển. Khi đó Windows sẽ hiển thị hộp thoại Add or Remove Snap-ins.
Chọn tùy chọn Certificates từ danh sách các snap-in có sẵn. Bạn sẽ được hỏi liệu giao diện điều khiển có được sử dụng để quản lý các chứng chỉ cho tài khoản người dùng của bạn, tài khoản dịch vụ hay tài khoản máy tính hay không. Chọn tùy chọn Computer Account và kích nút Next.
Màn hình tiếp sau đó sẽ hỏi bạn có muốn quản lý các chứng chỉ cho máy tính nội bộ hay quản lý các chứng chỉ cho máy tính khách trên mạng. Bảo đảm rằng tùy chọn Local Computer được tích, sau đó kích nút Finish và OK.
Giao diện điều khiển lúc này sẽ load Certificates snap-in. Bạn phải điều hướng thông qua cây giao diện để vào Console Root | Certificates (Local Computer) | Personal | Certificates. Khi chọn mục Certificates, panel Details sẽ hiển thị cho bạn chứng chỉ đã được phát hành.
Kích hoạt SSL cho FTP Server
Lúc này, chúng ta đã có một chứng chỉ SSL, đây là lúc chúng ta có thể kích hoạt sự mã hóa SSL cho máy chủ FTP của mình. Mở Internet Information Services (IIS) Manager. Điều hướng thông qua cây giao diện để tìm đến
Giao diện điều khiển lúc này sẽ hiển thị trang FTP SSL Settings. Chọn SSL certificate từ danh sách SSL Certificate sổ xuống, như thể hiện trong hình B. Sau đó bạn có thể chọn cho phép các kết nối SSL hoặc yêu cầu kết nối SSL. Cũng có thể chọn mã hóa 128 bit cho tính năng bảo mật mạnh hơn. Kích nút Apply để lưu các thay đổi của bạn.
Hình B: Chọn chứng chỉ từ danh sách SSL Certificates
Một trong những nhược điểm trong việc sử dụng mã hóa SSL là quá trình mã hóa này sẽ làm tăng workload của CPU. Workload mở rộng sẽ đáng giá nếu bạn đang truyền tải đi hay nhận những thông tin nhạy cảm hoặc nếu FTP site chỉ được sử dụng thỉnh thoảng. Nếu tránh FTP site bị sử dụng quá nặng tải bạn cần phải thực hiện test để bảo đảm rằng quá trình mã hóa không gây ra các vấn đề hiệu suất cho máy chủ.
Chúng tôi khuyên các bạn nên kiểm tra bộ đếm Processor / %Processor Time của Performance Monitor trước và sau khi mã hóa SSL được kích hoạt. Xung nhọn trong hành động CPU là hoàn toàn bình thường, nhưng hiệu quả sử dụng trung bình cần phải được duy trì dưới 80% bằng không CPU của bạn đang có vấn đề về phục vụ các nhu cầu đang đòi hỏi ở nó.
Kết luận
Khả năng mã hóa FTP site hẳn là một điều thú vị, tuy nhiên đó không phải là tất cả vì bạn vẫn là có thể đăng nhập FTP site theo cách nặc danh mà không cần bảo mật, thậm chí nếu mã hóa SSL được kích hoạt. Trong phần 4 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về sự thẩm định cho các FTP site.
Văn Linh (Theo WindowsNetworking)
Cấu hình IIS cho một FTP Site
Reviewed by Trung Kiên
on
01:45:00
Rating:
Không có nhận xét nào: