HTTP AND HTTPS INSPECTION TRONG ỨNG DỤNG LỌC WEB PROXY

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



21.PUBLISHING SERVERS

21.1.



Làm thế nào để Publish một máy chủ Web?



Hình II.21.1.1 Sơ đồ mạng Contoso



Hình II.21.1.2 Bảng mô tả máy chủ web



21.2.



Publishing a Web Server Using HTTPS



Phần thứ hai của yêu cầu Contoso cho việc publish các máy chủ web là làm cho biên chế

hệ thống có sẵn cho người dùng bên ngoài thông qua TMG sử dụng mã hóa.Để đáp ứng

yêu cầu này bạn cần để có được một giấy chứng nhận và cài đặt nó trên TMG để bạn có

thể kết hợp chứng chỉ này với người nghe Web sẽ được sử dụng cho quy tắc publish máy

chủ Web.Giấy chứng nhận có thể được phát hành bởi một Certificate Authority nội bộ (CA)

hoặc bởi một CA thương mại bên ngoài.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 110



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Trước khi chúng ta bắt đầu cấu hình các quy tắc publish HTTPS, bạn cần phải:

 Có được một chứng chỉ từ một CA bên trong hoặc bên ngoài.

 Cài đặt chứng chỉ mà người nghe Web của TMG sẽ sử dụng máy tính địa phương

của TMG giấy chứng nhận lưu trữ. Bạn cần phải làm cho chắc chắn rằng bạn có giấy

chứng nhận với một khóa riêng.

 Nếu máy tính TMG không tin tưởng gốc (và trung cấp nếu có) CA, bạn cần để cài

đặt các chuỗi Giấy chứng nhận cho CA gốc trong máy tính địa phương của TMG máy

tính Trusted Root Store. Đối với kịch bản này cụ thể, cả hai đều có thể chất nằm

trong thư mục C:\certs thư mục trên TMG-chứng chỉ sẽ được sử dụng trong người

nghe Web của TMG (biên chế. Pfx) có chứa khóa riêng và CA gốc Giấy chứng nhận

(rootca. CER).

21.3.



Installing Certificates on TMG



1. Trên máy tính TMG Server, click Start, gõ mmc, và sau đó nhấn Enter hoặc click OK.

Một hộp thoại MMC tương tự như Hình II.21.3.1.



Hình II.21.3.1 Hộp thoại MMC



2. Nhấp vào trình đơn File và sau đó nhấp vào Add/Remove Snap-in hoặc nhấn Ctrl+M.

3. Theo Snap-in có sẵn, bấm vào giấy chứng nhận và sau đó nhấn Add như thể hiện

trong hình II.21.3.2.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 111



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.21.3.2 Thêm Certificates Snap-in vào MMC



4. Chọn tài khoản máy tính và sau đó kích Next, như thể hiện trong hình II.21.3.3.



Hình II.21.3.3 Quản lý Certificates bằng Computer account



5. Click vào máy tính local computer và sau đó nhấn Finish, như thể hiện trong hình

II.21.3.4.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 112



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.21.3.4 Lựa chọn nơi quản lý Certificates (local computer)



6. Kích OK trong hộp thoại Add Or Remove Snap-in, như thể hiện trong hình II.21.3.5.



Hình II.21.3.5 Add Certificates



7. Mở rộng Certificates (Local Computer), sau đó mở rộng cá nhân, và sau đó mở rộng

Giấy chứng nhận. Kích chuột phải vào nút Certificates, chọn All Tasks, và sau đó

chọn Yêu cầu Giấy chứng nhận mới như thể hiện trong hình II.21.3.6.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 113



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.21.3.6 Tạo mới Certificate



8. Hộp thoại Welcome to the Certificate Import Wizard xuất hiện. Nhấn Next.

9. File Import, loại vị trí nơi mà giấy chứng nhận có vị trí như thể hiện trong hình

II.21.3.7 và kích Next.



Hình II.21.3.7 Hộp thoại chọn Import Certificate



10. Trên trang Password, gõ mật khẩu được cung cấp bởi các tổ chức phát hành này

giấy chứng nhận như trong hình II.21.3.8 và kích Next.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 114



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình 6 II.21.3.8 Tạo Private key



11. Trên trang Certificate Store xác nhận vị trí đó là cá nhân, như trong Hình

II.21.3.9. Nhấn Next.



Hình II.21.3.9 Chọn nơi lưu Certificate



12. Các Hoàn thành Giấy chứng nhận trang Import Wizard sẽ xuất hiện với một bản tóm

tắt lựa chọn của bạn. Xem lại các trang và nhấn Finish.

Tại thời điểm này, giấy chứng nhận được cài đặt trong cửa hàng máy tính địa phương

của TMG và snap- sẽ hiển thị các chứng chỉ mới trong khung bên phải. Để xác nhận

rằng chứng chỉ này là hợp lệ, kích chuột phải vào nó và chọn Open. Nếu chứng chỉ này

được ban hành dựa trên một mẫu CNG, lỗi TMG sẽ chỉ ra một loại khóa không chính

xác, như thể hiện trong hình II.21.3.10.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 115



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.21.3.10 Lỗi khóa không chính xác



Để giải quyết vấn đề này, bạn cần để có được một giấy chứng nhận xác thực máy chủ

cấp từ Windows 2000 hoặc Windows 2003 mẫu và cài đặt nó trên tất cả các máy tính

TMG như được mô tả trước đó. Khi điều này được thực hiện, và giấy chứng nhận hợp lệ

được lựa chọn, giấy chứng nhận lựa chọn trang sẽ xuất hiện như trong hình II.21.3.11.



Hình II.21.3.11 Chứng chỉ hợp lệ



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 116



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Cấu hình TMG của bạn sẽ được sẵn sàng cho bước tiếp theo, mà là để tạo ra một Web nghe

cho HTTPS sử dụng giấy chứng nhận (pfx) được nhập khẩu. Tuy nhiên, trước khi chúng tôi di

chuyển trên, điều quan trọng là đề cập đến một vài khuyến nghị về các chứng chỉ:

•



•



21.4.



Nếu bạn có một mảng với nhiều nút, bạn cần phải thực hiện các thủ tục trên tất cả

các các nút. Nếu không, bạn sẽ không thể tạo người nghe cho HTTPS trừ khi bạn có

chỉ có một địa chỉ IP bên ngoài trên tất cả các nút và bạn đã chọn toàn bộ địa chỉ IP

trên người nghe.

Nếu bạn có bất kỳ thiết bị giao thông lọc giữa TMG và các gốc URL CA CRL, bạn cần

để đảm bảo rằng thiết bị này cho phép kết nối vào cổng 80 với điểm đến để TMG có

thể xác nhận các CRL (Thu hồi Giấy chứng nhận Danh sách).

Creating an https Web Listener



Thực hiện theo các bước sau để tạo ra một Web listener mới TMG sử dụng HTTPS:

1. Trên máy tính TMG, mở Forefront TMG Management Console.

2. Click vào Forefront TMG (mảng Name) trong khung bên trái và nhấp vào Firewall

Policy.

3. Trong cửa sổ bên phải bấm vào tab Toolbox, kích chuột phải vào Web Listener

thuộc mạng Đối tượng, và sau đó nhấp vào New Web Listener như thể hiện trong

hình II.21.4.1.



Hình II.21.4.1 Tạo mới Web Listener



4. Trang web Wizard Listener mới xuất hiện. Nhập tên cho Web listener này và kích

Next.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 117



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



5. Để lựa chọn tùy chọn mặc định (SSL), như thể hiện trong hình II.21.4.2, và kích

Next.



Hình II.21.4.2 Chọn SSL cho Web Listener



6. Trên trang Web Listener địa chỉ IP, chọn bên ngoài như thể hiện trong hình II.21.4.3

và click Next.



Hình II.21.4.3 Chọn Interface cho Web Listerner



7. Trên trang Listener Giấy chứng nhận SSL, nhấp vào Chọn Giấy chứng nhận, giấy

chứng nhận cho nghe này, và sau đó nhấp vào Chọn như trong hình II.21.4.4.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 118



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.21.4.4 Chọn chứng chỉ sử dụng cho web listener



8. Trên trang Listener SSL Giấy chứng nhận, xác nhận rằng chứng chỉ được chọn xuất

hiện như thể hiện trong hình II.21.4.5 và kích Next.



Hình II.21.4.5 Cấp chứng chỉ cho Web Listener



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 119



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



9. Trên trang Cài đặt xác thực, chọn xác thực Form HTML từ hộp thả xuống. Để lại các

tùy chọn khác tại các lựa chọn mặc định, như hình II.21.4.6, và nhấn Next.



Hình II.21.4.6 Cấu hình phương pháp chứng thực



10. Với mục đích của ví dụ này vô hiệu hóa SSO cài đặt, như thể hiện trong hình

II.21.4.7. Nhấn Next.



Hình II.21.4.7 Tắt chức năng SS0



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 120