Xem mẫu
- Thực thi và khắc phục sự cố triển khai chứng chỉ trong ISA Server 2006 –
Phần 2
Quản trị mạng – Trong phần hai này chúng tôi sẽ hướng dẫn các bạn cách sử
dụng các chứng chỉ số trong các kịch bản web chain v à reverse publish.
Giới thiệu
Chúng ta sẽ bắt đầu bằng một giới thiệu vắn tắt về các kiểu chứng chỉ đ ược sử
dụng trong kịch bản publish an toàn và sau đó sẽ giới thiệu về chức năng m à
các chứng chỉ SAN (SAN = Subject Alternate Name) cung cấp cũng nh ư
những điểm khác biệt của chúng với các chứng chỉ cổ điể n, chẳng hạn như các
chứng chỉ wildcard.
Các kiểu chứng chỉ
Có ba kiểu chứng chỉ thường được sử dụng:
Chứng chỉ thông thường
Chứng chỉ wildcard
Chứng chỉ SAN (Subject Alternate Name)
Chứng chỉ thông thường
Một chứng chỉ thông thường là một chứng chỉ “classic”. Kiểu chứng chỉ này
được sử dụng cho một FQDN (Fully Qualified Domain Name) cũng đ ược biết
đến như một DNS hostname giống nh ư owa.it-training-grote.de.
Chứng chỉ Wildcard
Chứng chỉ Wildcard thường được sử dụng khi một công ty cần publish các
hostname khác nhau với cùng một tên miền. Thay vì sử dụng nhiều chứng chỉ
thông thường, chúng ta có thể sử dụng kiểu chứng chỉ n ày. Ví dụ như nếu bạn
mua một chứng chỉ wildcard cho *.it -training-grote.de, khi đó bạn hoàn toàn có
thể sử dụng chứng chỉ để publish các webserver với nó, với các tên owa.it-
training-grote.de và www.it -training-grote.de.
Chứng chỉ SAN
Các chứng chỉ SAN (Subject Alternate Name) cũng đ ược gọi là chứng chỉ
miền hoặc chứng chỉ Unified Communication (UC). Với sự trợ giúp của các
- chứng chỉ SAN, c húng ta hoàn toàn có th ể publish nhiều FQDN ới c ùng một
hoặc khác tên Top Level Domain (TLD).
Cho ví dụ:
owa.it-training-grote.de
www.it-training-grote.de
Server01
Server01.exchange.internal
Autodiscover.exchange.internal
Autodiscover.it-training-grote.de
Chứng chỉ SAN được sử dụng rộng rãi trong các kịch bản publish của
Exchange Server có hoặc không có ISA Server 2006.
Những nâng cao trong ISA Server 2006 Service Pack 1
ISA Server 2006 Service Pack 1 hỗ trợ sử dụng các chứng chỉ SAN. Tr ước
ISA Server 2006 Service Pack 1, ISA Server chỉ kiểm tra tên chứng chỉ và bỏ
qua các tên bổ sung trong trường SAN của chứng chỉ.
Sử dụng chứng chỉ tự ký
Có một cách để sử dụng các chứng chỉ cho việc publish ISA Server l à sử dụng
công cụ SELFSSL.EXE từ bộ kit của IIS 6. Với sự trợ giúp của công cụ
SELFSSL, các quản trị viên có thể tạo các chứng chỉ cho các Common Name
(CN).
- Hình 1: SELFSSL từ IIS 6 Resource Kit
Vì chứng chỉ tự ký không được phát hành bởi một CA Root tin cậy nên người
dùng phải tự đặt chứng chỉ tự ký trong kho lưu trữ CA Root tin cậy trên ISA
Server nội bộ.
Hình 2: Snap-In bổ sung chứng chỉ
Tiếp đến, chọn tài khoản máy tính nội bộ với t ư cách kho lưu trữ chứng chỉ để
thấy tất cả các chứng chỉ đã được cài đặt, đây là các chứng chỉ mà ISA Server
sẽ sử dụng cho các kịch bản publish và webchain.
- Hình 3: Hiển thị chứng chỉ trong kho l ưu trữ
Các chứng chỉ Root CA tin cậy
ISA Server bảo đảm cho mỗi chứng chỉ đ ược sử dụng có thể được thẩm định
đối với CA phát hành. ISA Server ki ểm tra chuỗi chứng chỉ đối với Root CA.
Danh sách các CA root tin cậy có thể được tìm thấy trong kho l ưu trữ máy tính
nội bộ trên máy ISA Server 2006.
Hình 4: Các chứng chỉ Root CA tin cậy
- Các chứng chỉ được sử dụng trong kịch bản Web chain
Một trong những tính năng kém đ ược sử dụng trong ISA Server 2006 là việc
sử dụng các chứng chỉ trong kịch bản web chain. Web chain đ ược sử dụng để
xâu chuỗi lưu lượng web từ ISA Server với Webproxy khác giống ISA Server.
Để sử dụng một chứng chỉ trong kịch bản webchain, ng ười dùng phải có các
điều kiện tiên quyết dưới đây:
Có một chứng chỉ thẩm định máy khách
Được tin tưởng bởi một CA root
Có khóa riêng được cài đặt trong kho l ưu trữ chứng chỉ máy tính nội bộ
Kho lưu trữ chứng chỉ cá nhân Được cài đặt trong tài khoản dịch vụ
tường lửa
Hình 5: Chọn các chứng chỉ trong kịch bản Web chain
Exchange Remote Connectivity Analyzer
Microsoft Exchange Remote Connectivity Analyzer là m ột công cụ rất hữu
dụng cho việc test các kiểu publish khác nhau có hoặc không có ISA Server,
không sử dụng các công cụ y êu cầu như Microsoft Outlook. Exchange Remote
Connectivity Analyzer c ũng rất hữu dụng cho việc thẩ m định việc triển khai
đúng các chứng chỉ trên Exchange Client Access Server (CAS) hoặc trên ISA
- Server.
Hình 6: Exchange Remote Connectivity Analyzer
ISA Server 2006 Best Practice Analyzer
Một tiện ích khắc phục sự cố hữu dụng nữa với các vấn đề của chứ ng chỉ cho
ISA Server 2006 là ISA Server 2006 Best Practice Analyzer, đây là b ộ phân
tích cài đặt ISA Server với c ơ sở dữ liệu bằng các thực hành tốt nhất từ
Microsoft để tìm ra các lỗi cấu hình có thể hoặc các vấn đề có liên quan. Với
mục đích khắc phục sự cố chứng chỉ, ISABPA kiểm tra cấu hình ISA Server và
tìm kiếm xem liệu các chứng chỉ có đ ược sử dụng trong các kịch bản publish
và web chain hay không, thêm vào đó là các ch ứng chỉ tương ứng có được tìm
thấy trong kho l ưu trữ chứng chỉ máy tính nội bộ hay không.
- Hình 7: ISA Server Best Practices Analyzer
Để cung cấp thêm cho các bạn một số thông tin về cách ISABPA hiển thị các
vấn đề có liên quan đến chứng chỉ, chúng tôi đã xóa tất cả các chứng chỉ từ kho
lưu trữ máy tính nội bộ.
Kết luận
Trong phần hai này, chúng tôi đã cung cấp cho các bạn thêm một số thông tin
về triển khai và khắc phục sự cố chứng chỉ ISA Server 2006. Thêm vào đó
chúng tôi c ũng giới thiệu một số tính năng mới của ISA Server 2006 Service
Pack 1 có thể mở rộng khả năng của ISA Server 2006 trong việc sử dụng các
chứng chỉ SAN trong kịch bản webserver publish.
Văn Linh (Theo IsaServer)
nguon tai.lieu . vn