Kích hoạt truy cập từ xa trong mạng nội bộ với chứng chỉ TLS/SSL (Nâng cao)

Bài viết • 03/10/2024

Trong hướng dẫn này, bạn sẽ học cách thiết lập một môi trường tích hợp tự quản (self-hosted integration runtime) với nhiều máy tại chỗ (on-premises machines) và kích hoạt truy cập từ xa từ mạng nội bộ (intranet) với chứng chỉ TLS/SSL (Nâng cao) để bảo mật giao tiếp giữa các nút môi trường tích hợp (integration runtime nodes).

Điều kiện tiên quyết

• Giới thiệu về mã hóa mạnh SSL/TLS (An introduction to SSL/TLS Strong Encryption).
• Chứng chỉ có thể là chứng chỉ TLS tổng quát cho Máy chủ Web (Web Server). Yêu cầu:
  • Chứng chỉ phải là chứng chỉ X509 v3 được tin cậy công khai (publicly trusted). Chúng tôi khuyến nghị sử dụng các chứng chỉ được cấp bởi cơ quan chứng nhận công khai (public partner certification authority – CA).
  • Mỗi nút môi trường tích hợp (integration runtime node) phải tin cậy chứng chỉ này.
  • Chúng tôi khuyến nghị sử dụng chứng chỉ Tên Thay thế Chủ thể (Subject Alternative Name – SAN) vì tất cả các tên miền đầy đủ (fully qualified domain names – FQDN) của các nút môi trường tích hợp đều cần được bảo mật bởi chứng chỉ này. (WCF TLS/SSL chỉ kiểm tra Tên DNS cuối cùng trong SAN đã được sửa trong .NET Framework 4.6.1. Tham khảo Mitigation: X509CertificateClaimSet.FindClaims Method để biết thêm thông tin.)
  • Chứng chỉ ký tự đại diện (Wildcard certificates – *) không được hỗ trợ.
  • Chứng chỉ phải có khóa riêng (private key) (như định dạng PFX).
  • Chứng chỉ có thể sử dụng bất kỳ kích thước khóa nào được hỗ trợ bởi Windows Server 2012 R2 cho chứng chỉ TLS/SSL.
  • Chúng tôi chỉ hỗ trợ chứng chỉ Nhà cung cấp Dịch vụ Mật mã (Cryptographic Service Provider – CSP) cho đến nay. Các chứng chỉ sử dụng khóa CNG (Key Storage Provider) không được hỗ trợ.

Các bước thực hiện

1. Chạy lệnh PowerShell dưới đây trên tất cả các máy để lấy tên miền đầy đủ (FQDN) của chúng:[System.Net.Dns]::GetHostByName(“localhost”).HostName Ví dụ, các FQDN là node1.domain.contoso.com và node2.domain.contoso.com.
2. Tạo chứng chỉ với các FQDN của tất cả các máy trong Tên Thay thế Chủ thể (Subject Alternative Name).
3. Cài đặt chứng chỉ trên tất cả các nút vào Máy cục bộ (Local Machine) -> Cá nhân (Personal) để có thể chọn trong trình quản lý cấu hình môi trường tích hợp (integration runtime configuration manager):
   1. Nhấp vào chứng chỉ và cài đặt.
   2. Chọn Máy cục bộ (Local Machine) và nhập mật khẩu.
   3. Hình ảnh: Trình hướng dẫn nhập chứng chỉ (Certificate Import Wizard) hiển thị màn hình chào mừng với các tùy chọn “Current User” và “Local Machine”.
   4. Chọn “Đặt tất cả chứng chỉ vào kho lưu trữ sau” (Place all certificates in the following store). Nhấp vào Duyệt (Browse). Chọn Cá nhân (Personal).
   5. Chọn Hoàn tất (Finish) để cài đặt chứng chỉ.
4. Kích hoạt truy cập từ xa từ mạng nội bộ (intranet):
   1. Trong quá trình đăng ký nút môi trường tích hợp tự quản (self-hosted integration runtime node):
      1. Chọn Kích hoạt truy cập từ xa từ mạng nội bộ (Enable remote access from intranet) và chọn Tiếp theo (Next).
      2. Hình ảnh: Trình quản lý cấu hình môi trường tích hợp của Microsoft (Microsoft Integration Runtime Configuration Manager) hiển thị màn hình “New Integration Runtime (Self-hosted) Node” với tên nút “DAVIDEN DEV” và tùy chọn “Enable remote access from intranet”.
      3. Đặt Cổng Tcp (Tcp Port) (mặc định là 8060). Đảm bảo cổng này được mở trên tường lửa (firewall).
      4. Nhấp vào Chọn (Select). Trong cửa sổ bật lên, chọn chứng chỉ phù hợp và chọn Hoàn tất (Finish).
   2. Hình ảnh: Trình quản lý cấu hình môi trường tích hợp của Microsoft (Microsoft Integration Runtime Configuration Manager) hiển thị màn hình “Remote access from intranet” với các trường “Tcp Port” và “TLS/SSL Certificate”, cùng với tùy chọn “Enable remote access without TLS/SSL certificate”.
   3. Xác minh cài đặt truy cập từ xa trong Trình quản lý cấu hình môi trường tích hợp tự quản (self-hosted Integration Runtime Configuration Manager).
   4. Hình ảnh: Trình quản lý cấu hình môi trường tích hợp của Microsoft (Microsoft Integration Runtime Configuration Manager) hiển thị tab “Settings” với trạng thái “Remote access from intranet” là “Enabled”, cổng 8060 mã hóa SSL, và trạng thái “Connected to the cloud service (Data Factory V2)”.
5. Để kích hoạt giao tiếp giữa các nút (Node-node communication) trong thiết lập Tính sẵn sàng cao và Khả năng mở rộng (High Availability and Scalability – 2 nodes):
   1. Hình ảnh: Trình quản lý cấu hình môi trường tích hợp của Microsoft (Microsoft Integration Runtime Configuration Manager) hiển thị màn hình “Remote access from intranet” với các tùy chọn “Enable without TLS/SSL certificate (Basic)” và “Enable with TLS/SSL certificate (Advanced)”, cùng với trường “TLS/SSL Certificate” hiển thị “ipontoss.com” và cổng Tcp là 10000.
   2. Lưu ý: Truyền dữ liệu giữa nút môi trường tích hợp tự quản (self-hosted integration runtime node) và các kho dữ liệu đám mây (Cloud data stores) luôn được mã hóa bằng HTTPS.
6. Sử dụng chứng chỉ tự ký (self-signed certificate) nếu bạn không có chứng chỉ được tin cậy công khai (publicly trusted certificate):
   1. Tạo và xuất chứng chỉ tự ký (bước này có thể bỏ qua nếu bạn đã có chứng chỉ):
      1. Tạo chứng chỉ tự ký thông qua PowerShell (với quyền quản trị cao):New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider “Microsoft Enhanced RSA and AES Cryptographic Provider” -CertStoreLocation cert:\LocalMachine\My
      2. Để xuất chứng chỉ đã tạo với khóa riêng (private key) sang tệp PFX được bảo vệ bằng mật khẩu, bạn sẽ cần dấu vân tay (thumbprint) của nó. Dấu vân tay có thể được sao chép từ kết quả của lệnh New-SelfSignedCertificate. Ví dụ, dấu vân tay là CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F.
      3. Xuất chứng chỉ đã tạo với khóa riêng thông qua PowerShell (với quyền quản trị cao):$CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText Export-PfxCertificate -Cert cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedCertificate.pfx -Password $CertPassword
      4. Bạn đã xuất chứng chỉ với khóa riêng sang C:\self-signedCertificate.pfx.
   2. Cài đặt chứng chỉ trên tất cả các nút vào: Máy cục bộ (Local Machine) -> Kho Cơ quan chứng nhận gốc đáng tin cậy (Trusted Root Certification Authorities):
      1. Nhấp vào chứng chỉ và cài đặt.
      2. Chọn Máy cục bộ (Local Machine) và nhập mật khẩu.
      3. Chọn “Đặt tất cả chứng chỉ vào kho lưu trữ sau” (Place all certificates in the following store). Nhấp vào Duyệt (Browse). Chọn Cơ quan chứng nhận gốc đáng tin cậy (Trusted Root Certification Authorities).
      4. Chọn Hoàn tất (Finish) để cài đặt chứng chỉ.
      5. Hình ảnh: Trình hướng dẫn nhập chứng chỉ (Certificate Import Wizard) hiển thị màn hình “Certificate Store” với tùy chọn “Trusted Root Certification Authorities” được chọn.
7. Khắc phục sự cố:
   1. Xác minh chứng chỉ tồn tại trong kho lưu trữ mục tiêu:
      1. Thực hiện quy trình How to: View certificates with the MMC snap-in – WCF để xem Chứng chỉ (Certificates – Local Computer) trong MMC snap-in.
      2. Xác nhận chứng chỉ được cài đặt trong kho Cá nhân (Personal) và Cơ quan chứng nhận gốc đáng tin cậy (Trusted Root Certification Authorities) (nếu là chứng chỉ tự ký).
      3. Hình ảnh: MMC snap-in hiển thị cây điều hướng với “Certificates (Local Computer)” mở rộng, hiển thị các kho “Personal” và “Trusted Root Certification Authorities”.
   2. Xác minh chứng chỉ có khóa riêng (private key) và chưa hết hạn.
   3. Hình ảnh: Cửa sổ thông tin chứng chỉ hiển thị tab “General” với các chi tiết như mục đích sử dụng, nhà phát hành, và ngày hiệu lực từ 03/12/2021 đến 03/12/2022, cùng ghi chú “You have a private key that corresponds to this certificate”.
   4. Đảm bảo tài khoản dịch vụ (service account) cho môi trường tích hợp tự quản (mặc định là NT SERVICE\DIAHostService) có quyền đọc (read permission) đối với các khóa riêng của chứng chỉ:
      1. Nhấp chuột phải vào chứng chỉ -> Tất cả tác vụ (All Tasks) -> Quản lý khóa riêng (Manage Private Keys).
      2. Nếu chưa có, cấp quyền, Áp dụng (Apply) và lưu.
      3. Hình ảnh: Cửa sổ “Permissions for contoso.com private keys” hiển thị danh sách người dùng với tài khoản DIAHostService có quyền “Read” được chọn.