Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
21.PUBLISHING SERVERS
21.1.
Làm thế nào để Publish một máy chủ Web?
Hình II.21.1.1 Sơ đồ mạng Contoso
Hình II.21.1.2 Bảng mô tả máy chủ web
21.2.
Publishing a Web Server Using HTTPS
Phần thứ hai của yêu cầu Contoso cho việc publish các máy chủ web là làm cho biên chế
hệ thống có sẵn cho người dùng bên ngoài thông qua TMG sử dụng mã hóa.Để đáp ứng
yêu cầu này bạn cần để có được một giấy chứng nhận và cài đặt nó trên TMG để bạn có
thể kết hợp chứng chỉ này với người nghe Web sẽ được sử dụng cho quy tắc publish máy
chủ Web.Giấy chứng nhận có thể được phát hành bởi một Certificate Authority nội bộ (CA)
hoặc bởi một CA thương mại bên ngoài.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 110
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Trước khi chúng ta bắt đầu cấu hình các quy tắc publish HTTPS, bạn cần phải:
Có được một chứng chỉ từ một CA bên trong hoặc bên ngoài.
Cài đặt chứng chỉ mà người nghe Web của TMG sẽ sử dụng máy tính địa phương
của TMG giấy chứng nhận lưu trữ. Bạn cần phải làm cho chắc chắn rằng bạn có giấy
chứng nhận với một khóa riêng.
Nếu máy tính TMG không tin tưởng gốc (và trung cấp nếu có) CA, bạn cần để cài
đặt các chuỗi Giấy chứng nhận cho CA gốc trong máy tính địa phương của TMG máy
tính Trusted Root Store. Đối với kịch bản này cụ thể, cả hai đều có thể chất nằm
trong thư mục C:\certs thư mục trên TMG-chứng chỉ sẽ được sử dụng trong người
nghe Web của TMG (biên chế. Pfx) có chứa khóa riêng và CA gốc Giấy chứng nhận
(rootca. CER).
21.3.
Installing Certificates on TMG
1. Trên máy tính TMG Server, click Start, gõ mmc, và sau đó nhấn Enter hoặc click OK.
Một hộp thoại MMC tương tự như Hình II.21.3.1.
Hình II.21.3.1 Hộp thoại MMC
2. Nhấp vào trình đơn File và sau đó nhấp vào Add/Remove Snap-in hoặc nhấn Ctrl+M.
3. Theo Snap-in có sẵn, bấm vào giấy chứng nhận và sau đó nhấn Add như thể hiện
trong hình II.21.3.2.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 111
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.21.3.2 Thêm Certificates Snap-in vào MMC
4. Chọn tài khoản máy tính và sau đó kích Next, như thể hiện trong hình II.21.3.3.
Hình II.21.3.3 Quản lý Certificates bằng Computer account
5. Click vào máy tính local computer và sau đó nhấn Finish, như thể hiện trong hình
II.21.3.4.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 112
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.21.3.4 Lựa chọn nơi quản lý Certificates (local computer)
6. Kích OK trong hộp thoại Add Or Remove Snap-in, như thể hiện trong hình II.21.3.5.
Hình II.21.3.5 Add Certificates
7. Mở rộng Certificates (Local Computer), sau đó mở rộng cá nhân, và sau đó mở rộng
Giấy chứng nhận. Kích chuột phải vào nút Certificates, chọn All Tasks, và sau đó
chọn Yêu cầu Giấy chứng nhận mới như thể hiện trong hình II.21.3.6.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 113
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.21.3.6 Tạo mới Certificate
8. Hộp thoại Welcome to the Certificate Import Wizard xuất hiện. Nhấn Next.
9. File Import, loại vị trí nơi mà giấy chứng nhận có vị trí như thể hiện trong hình
II.21.3.7 và kích Next.
Hình II.21.3.7 Hộp thoại chọn Import Certificate
10. Trên trang Password, gõ mật khẩu được cung cấp bởi các tổ chức phát hành này
giấy chứng nhận như trong hình II.21.3.8 và kích Next.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 114
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 6 II.21.3.8 Tạo Private key
11. Trên trang Certificate Store xác nhận vị trí đó là cá nhân, như trong Hình
II.21.3.9. Nhấn Next.
Hình II.21.3.9 Chọn nơi lưu Certificate
12. Các Hoàn thành Giấy chứng nhận trang Import Wizard sẽ xuất hiện với một bản tóm
tắt lựa chọn của bạn. Xem lại các trang và nhấn Finish.
Tại thời điểm này, giấy chứng nhận được cài đặt trong cửa hàng máy tính địa phương
của TMG và snap- sẽ hiển thị các chứng chỉ mới trong khung bên phải. Để xác nhận
rằng chứng chỉ này là hợp lệ, kích chuột phải vào nó và chọn Open. Nếu chứng chỉ này
được ban hành dựa trên một mẫu CNG, lỗi TMG sẽ chỉ ra một loại khóa không chính
xác, như thể hiện trong hình II.21.3.10.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 115
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.21.3.10 Lỗi khóa không chính xác
Để giải quyết vấn đề này, bạn cần để có được một giấy chứng nhận xác thực máy chủ
cấp từ Windows 2000 hoặc Windows 2003 mẫu và cài đặt nó trên tất cả các máy tính
TMG như được mô tả trước đó. Khi điều này được thực hiện, và giấy chứng nhận hợp lệ
được lựa chọn, giấy chứng nhận lựa chọn trang sẽ xuất hiện như trong hình II.21.3.11.
Hình II.21.3.11 Chứng chỉ hợp lệ
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 116
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Cấu hình TMG của bạn sẽ được sẵn sàng cho bước tiếp theo, mà là để tạo ra một Web nghe
cho HTTPS sử dụng giấy chứng nhận (pfx) được nhập khẩu. Tuy nhiên, trước khi chúng tôi di
chuyển trên, điều quan trọng là đề cập đến một vài khuyến nghị về các chứng chỉ:
•
•
21.4.
Nếu bạn có một mảng với nhiều nút, bạn cần phải thực hiện các thủ tục trên tất cả
các các nút. Nếu không, bạn sẽ không thể tạo người nghe cho HTTPS trừ khi bạn có
chỉ có một địa chỉ IP bên ngoài trên tất cả các nút và bạn đã chọn toàn bộ địa chỉ IP
trên người nghe.
Nếu bạn có bất kỳ thiết bị giao thông lọc giữa TMG và các gốc URL CA CRL, bạn cần
để đảm bảo rằng thiết bị này cho phép kết nối vào cổng 80 với điểm đến để TMG có
thể xác nhận các CRL (Thu hồi Giấy chứng nhận Danh sách).
Creating an https Web Listener
Thực hiện theo các bước sau để tạo ra một Web listener mới TMG sử dụng HTTPS:
1. Trên máy tính TMG, mở Forefront TMG Management Console.
2. Click vào Forefront TMG (mảng Name) trong khung bên trái và nhấp vào Firewall
Policy.
3. Trong cửa sổ bên phải bấm vào tab Toolbox, kích chuột phải vào Web Listener
thuộc mạng Đối tượng, và sau đó nhấp vào New Web Listener như thể hiện trong
hình II.21.4.1.
Hình II.21.4.1 Tạo mới Web Listener
4. Trang web Wizard Listener mới xuất hiện. Nhập tên cho Web listener này và kích
Next.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 117
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
5. Để lựa chọn tùy chọn mặc định (SSL), như thể hiện trong hình II.21.4.2, và kích
Next.
Hình II.21.4.2 Chọn SSL cho Web Listener
6. Trên trang Web Listener địa chỉ IP, chọn bên ngoài như thể hiện trong hình II.21.4.3
và click Next.
Hình II.21.4.3 Chọn Interface cho Web Listerner
7. Trên trang Listener Giấy chứng nhận SSL, nhấp vào Chọn Giấy chứng nhận, giấy
chứng nhận cho nghe này, và sau đó nhấp vào Chọn như trong hình II.21.4.4.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 118
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.21.4.4 Chọn chứng chỉ sử dụng cho web listener
8. Trên trang Listener SSL Giấy chứng nhận, xác nhận rằng chứng chỉ được chọn xuất
hiện như thể hiện trong hình II.21.4.5 và kích Next.
Hình II.21.4.5 Cấp chứng chỉ cho Web Listener
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 119
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
9. Trên trang Cài đặt xác thực, chọn xác thực Form HTML từ hộp thả xuống. Để lại các
tùy chọn khác tại các lựa chọn mặc định, như hình II.21.4.6, và nhấn Next.
Hình II.21.4.6 Cấu hình phương pháp chứng thực
10. Với mục đích của ví dụ này vô hiệu hóa SSO cài đặt, như thể hiện trong hình
II.21.4.7. Nhấn Next.
Hình II.21.4.7 Tắt chức năng SS0
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 120