[Tutorial] Bảo mật website với SSL certificate của VeriSign.com

[Support24H]

I. Giới thiệu

Giao thức Secure Socket Layer (SSL) được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên hệ thống mạng nhằm mục đích xác thực và mã hoá thông tin giữa client và server. Cụ thể SSL được sử dụng để mã hóa cho tất cà các protocol hoạt động tại lớp Application như: HTTP, FTP, SMTP, POP, IMAP…

Cơ chế mã hóa của SSL:

1. Client phát sinh 1 Session Key ngẫu nhiên khi truy cập đến Server
2. Client yêu cầu Server gởi Certificate (gồm Public Key của Server)
3. Client kiểm tra tính hợp lệ của Certificate
4. Nếu Certificate của Server hợp lệ, Client mã hóa Session Key bằng Public Key của Server
5. Client gởi Session Key đã mã hóa cho Server
6. Server giải mã Session Key đã được mã hóa bằng Private Key
7. Các thông tin trao đổi giữa server và client sẽ được mã hóa và giải mã bằng Session Key

Hiện nay, khi public một web site lên internet, để áp dụng cơ chế mã hóaSSL chúng ta phải thuê SSL Certificate cho Web Server từ các tổ chức cung cấp Digital Certificate như: Verisign, CyberTrust, EnTrust…

Mục đích của bài lab là hướng dẫn cách cấu hình Secure Web Server sử dụng SSL Certificate của VeriSign.com

Bài lab bao gồm các bước:

1. Tạo file Request Certificate
2. Xin SSL Certificate từ VeriSign.com
3. Cấu hình Trusted Root Certification Authority
4. Import SSL Certificate cho Web Server
5. Kiểm tra kết quả

Các bạn có thể xem PHIM LAB

II. Chuẩn bị

- Máy Windows Server 2003
- Cài đặt dịch vụ Internet Information Services (IIS)
- Hosting Web Site với nội dung bất kỳ, truy cập với địa chỉ http://www.MSOpenLab.com

III. Thực hiện

1. Tạo Request Certificate
- Logon Administrator, mở Internet Information Services (IIS) Manager, bung Web Site, chuột phải Default Web Site, chọn Properties
- Hộp thoại Default Web Site Properties, qua tab Directory Security, chọn Server Certificate




- Hộp thoại Welcome to the Web Server Certificate Wizard, chọn Next



- Hộp thoại Server Certificate, chọn Create anew certificate, chọn Next



-Trong hộp thoại Delayed or Immediate Request, chọn Prepare the request now, but send it later, chọn Next



- Hộp thoại Name and Security Settings, chọn Next




-Trong hộp thoại Organization Information, nhập thông tin như hình bên dưới, chọn Next



-Trong hộp thoại Your Site’s Common Name, nhập www.msopenlab.com vào ô Common name, chọn Next




-Hộp thoại Geographical Information, nhập thông tin như hình bên dưới, chọn Next



-Hộp thoại Certificate Request File Name, để mặc định đường dẫn C:\certreg.txt, chọn Next




-Hộp thoại Request File Summary, chọn Next, chọn Finish



- Trong hộp thoại Default Web Site Properties, chọn OK, tắt tất cả cửa sổ.





2. Xin SSL Certificate từ VeriSign.com
- Mở Windows Explorer, copy nội dụng của file C:\certreq.txt




- Mở Internet Explorer, truy cập địa chỉ http://www.verisign.com, chọn Free SSL Trial




- Trong cửa sổ Free SSL Trial Certificate, nhập đằy đủ thông tin (*: thông tin bắt buộc), chọn Continue



- Cửa sổ Welcome, chọn Continue



-Cửa sổ tiếp theo, nhập đầy đủ thông tin vào phần Technical Contact, chọn Continue




-Trong ô Select Server Platform, chọn Microsoft. Trong ô Select Version, chọn IIS 6.0. Dán nội dung file certreq.txt vào ô Paste Certificate Signing Request (CSR), optained from your server



-Trong ô What do you plan to use this SSL Certificate for?, chọn Web Server, chọn Continue



- Trong cửa sổ CRS Information, nhập MSOPENLAB vào ô Challenge Phrase và Re-enter Challenge Phrase. Nhập câu hỏi bất kỳ vào ô Reminder Question, chọn Continue




- Trong cửa sổ Order summary & acceptance, chọn Accept





-Kiểm tra: xin SSL Certificate thành công





3. Cấu hình Trusted Root Certification Authority
- Đăng nhập vào hộp mail, kiểm tra nhận được e-mail từ Support@verisign.com, chọn vảo link như trong hình bên dưới.




- Trong trang web của verisign, chọn VeriSign CA Certificates




- Cửa sổ tiếp theo, kéo thanh trượt xuống dưới, chọn Secure Site Trial Root CA Certificate




- Trong cửa sổ Root CA Certificate, chọn Select All, copy tất cả nội dung



- Dán nội dung vào Notepad và save lại với tên ca.cer




-Mở Internet Explorer, vào Tools, chọn Internet Options, qua tab Content, chọn Certificates




- Trong hộp thoại Certificates, chọn Import




- Hộp thoại Welcome to the Certificate Import Wizard, chọn Next



- Hộp thoại File to Import, chọn Browse, trõ đường dẫn đến C:\ca.cer, chọn Next




-Hộp thoại Certificate Store, chọn Automatically select the certificate store based on the type of certificate, chọn Next, chọn Finish




- Hộp thoại Security Warning, chọn Yes




4. Import SSL Certificate cho Web Server
- Đăng nhập vào hộp mail, mở e-mail của support@verisign.com, copy phần BEGIN CERTIFICATE … như trong hình bên dưới




-Dán nội dung vào Notepad, save lại với tên cert.txt



-Mở Internet Information Services (IIS) Manager, chuột phải Default Web Site chọn Properties
- Trong cửa sổ Default Web Site Properties, qua tab Directory Security, chọn Server Certificate




-Hộp thoại Welcome, chọn Next
- Hộp thoại Pending Certificate Request, chọn Process the pending request and install the certificate, chọn Next




- Hộp thoại Process a Pending Request, chọn Browse, trõ đường dẩn đến C:\cert.txt



-Hộp thoại SSL Port, giữ mặc định port 443, chọn Next 2 lần, chọn Finish



- Trong hộp thoại Default Web Site Properties, chọn View Certificate



-Kiểm tra Certificate được cấp bởi Verisign



5. Kiểm tra kết quả

-Mở Internet Explorer, truy cập https://www.MSOpenLab.com, kiểm tra truy cập thành công.

[nambac]

Ah, gmail dùng SSL của Thầy để Secure SMTP và POP.
Quá rõ, cảm ơn Thầy.
-------
DungLT

[obviouslai]

Cám ơn bài viết quá hay của thầy Hoàng ! Em đã hiểu rõ được hơn 1 chút rồi ạ

[Tony_nguyen19]

thầy cho em hỏi là bây giờ em muốn dùng certificate xin của Verisign để mã hóa data, e-mail và IPSEC dùng Cert thì làm sao thầy. cảm ơn thầy nhìu.

[Support24H]

Chào Tony_nguyen19!

Ngoài SSL Certificate, Verisign.com còn cung cấp các Certificate cho các dịch vụ khác, bạn có thể đăng ký thuê Certificate theo nhu cầu tại
http://www.verisign.com/products-services/index.html

Chúc bạn thành công!

[TamDang]

Thầy chỉ dùm.
Nếu em muốn publish OWA của Ex2k7 qua ISA server mà sử dụng certificate của verisign thì phải xin những CA nào?

[Support24H]

Trích:

Nguyên văn bởi mocde_vn

Thầy chỉ dùm.
Nếu em muốn publish OWA của Ex2k7 qua ISA server mà sử dụng certificate của verisign thì phải xin những CA nào?

Chào mocde_vn!

OWA của exchange cũng là 1 website.Trong trường hợp này thì bạn xin SSL Certificate như trong bài lab.

Cuối tuần vui vẻ!

[hau_hd]

Thầy ơi, Thầy cho em hỏi: Khi em vào Directory Security, mục chọn Server Certificater không sáng lên Thầy ạ.
Em không hiểu vì sao. Mong Thầy chỉ cho em.

[tuangia]

Bạn thử gỡ IIS ra rồi cài lại xem sao!

[jodyngo]

Em đã thực hiện theo đúng các bước trên, Nhưng khi em gõ https://www.msopenlab.com thì nó không chạy ra trang web. Em không biết máy mình có cần cài đặt thêm gì nữa hay không? Em xin được cái CA ròi, import nó vào rồi, nhưng gõ web thì nó ko chạy ra như trên bài lab của anh! Em Mong nhận được giúp đỡ , em gấp lắm rùi