Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2 Nguồn : quantrimang.com Thomas Shinder Quản Trị Mạng - Trong phần 1 của loạt bài này chúng tôi
Trang 1Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2
Nguồn : quantrimang.com
Thomas Shinder
Quản Trị Mạng - Trong phần 1 của loạt bài này chúng tôi đã giới thiệu cho các
bạn về cách sử dụng thực thi IPsec với các chính sách “sức khỏe” NAP, trong đó
đã giới thiệu một mạng ví dụ và đã chỉ ra các bước cơ bản nhất cần thiết cho NAP để có thể làm việc với chinh sách thực thi IPsec
Dưới đây là danh sách các bước để thực hiện giải pháp
• Cấu hình Domain Controller
• Cài đặt và cấu hình Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới)
• Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server
• Cấu hình VISTASP1 và VISTASP1-2 cho việc kiểm thử
• Test Health Certificate và Auto-remediation Configuration
• Thẩm định NAP Policy Enforcement trên VISTASP1
• Cấu hình và test các chính sách IPsec
Trong phần đầu của loạt bài này, chúng tôi đã giới thiệu các bước cần thiết để cấu hình domain controller trong NAP với môi trường thực thi IPsec Trong phần
2 này, chúng tôi sẽ chuyển sang bước thứ hai, đây là bước cài đặt và cấu hình Network Policy Server, Health Registration Authority và subordinate CA
Cài đặt và cấu hình Network Policy Server, Health Registration Authority và
CA cấp dưới
Chúng ta hãy quan tâm trước tiên về phần Network Policy Server Network
Policy Server hoặc NPS đảm nhận RADIUS server role NPS là tên mới được thay cho tên trước đây Internet Access Server (IAS) của Microsoft Có hai thành phần chính đối với máy chủ NPS mới đó là: thành phần RADIUS (đây là thành phần gồm có sự hỗ trợ mới cho NAP) và thành phần RRAS Chúng ta sẽ không
đề cập đến thành phần RRAS trong kịch bản này chính vì vậy sẽ không cài đặt
và cấu hình RRAS.Chúng ta cần thực hiện một số bước dưới đây để tạo một máy chủ NPS cùng với Health Registration Authority và CA cấp dưới cung được cài đặt và được cấu hình trên máy này:
• Bổ sung thêm máy chủ chính sách mạng vào NAP Exempt Group
• Khởi động lại máy chủ Network Policy Server
Trang 2• Yêu cầu một chứng chỉ máy tính cho Network Policy Server
• Xem chứng chỉ máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy Server
• Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới)
• Cấu hình Subordinate CA trên Network Policy Server
• Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ
• Cấu hình Health Registration Authority để sử dụng CA cấp dưới để phát hành các chứng chỉ “sức khỏe”
Chúng ta hãy xem xét chi tiết đến từng bước này
Bổ sung Network Policy Server vào nhóm NAP Exempt Group
Chúng ta cần phải thiết lập sao cho máy tính WIN2008SRV1 trở thành một thành
viên của nhóm NAP Exempt Group để từ đó nó có thể tự động kết nạp chứng chỉ sức khỏe đã tạo Điều này sẽ cho phép máy tính này hành động như một máy chủ chính sách NAP và Health Registration Authority trong việc truyền thông với các máy tính khác ở một mạng an toàn, thậm chí máy tính này không là có đủ các yêu cầu của NAP
Thực hiện các bước dưới đây trên domain controller của máy tính WIN2008DC:
1 Trên WIN2008DC, click Start, trỏ đến Administrative Tools, sau đó kích Active Directory Users and Computers
2 Trong phần Panel bên trái của giao diện điều khiển Active Directory Users and Computers, hãy mở rộng phần msfirewall.org, sau đó kích nút Users
3 Kích đúp vào nhóm NAP Exempt trong phần panel bên phải của giao diện
điều khiển
4 Kích tab Members, kích Add, kích Object Types, chọn hộp kiểm Computers, sau đó kích OK
Trang 3Hình 1
5 Trong Enter the object names to select (examples), đánh WIN2008SRV1, sau đó kích Check Names Kích OK, sau đó kích tiếp OK trong hộp thoại NAP Exempt Properties
Trang 4
Hình 2
Trang 5Hình 3
6 Đóng giao diện điều khiển Active Directory Users and Computers
Khởi động lại Network Policy Server
Để kích hoạt các thiết lập thành viên miền nmới và thành viên nhóm bảo mật,
hãy khởi động lại WIN2008SRV1
1 Khởi động lại WIN2008SRV1
2 Sau khi máy tính của bạn khởi động lại, đăng nhập vào máy tính dưới tài khoản quản trị viên
Yêu cầu chứng chỉ máy tính cho máy chủ chính sách mạng
Máy WIN2008SRV1 cần một chứng chỉ để hỗ trợ các kết nối SSL cho máy chủ
Các kết nối SSL sẽ đến từ các máy khách NAP khi chúng kết nối đến Web
server Health Registration Authority trên máy chủ NPS Lưu ý rằng trong ví dụ này, máy chủ NPS và Health Registration Authority nằm trên cùng một máy Tuy
Trang 6nhiên không bắt buộc phải thực hiện theo cách đó – bạn hoàn toàn có thể đặt Health Registration Authority và NPS server trên các máy khác nhau Trong kịch bản đó, bạn cần phải cài đặt dịch vụ NPS trên máy tính HRA và cấu hình máy tính đó là một RADIUS proxy, do HRA là một máy chủ truy cập mạng trong kịch bản này và NAS cần khai báo dịch vụ NPS về trạng thái máy khách
Thực hiện các bước dưới đây trên máy WIN2008SRV1 NPS:
1 Trên máy WINS2008SRV1, kích Start, kích Run, đánh mmc, sau đó nhấn
ENTER
2 Kích File, sau đó kích Add/Remove Snap-in
3 Trong hộp thoại Add or Remove Snap-ins, kích Certificates sau đó kích Add Trong hộp thoại Certificates snap-in, chọn tùy chọn Computer account
và kích Next
Hình 4
Trang 74 Trong hộp kiểm Select Computer, chọn tùy chọn Local Computer và kích Finish
Hình 5
5 Kích OK trong hộp kiểm Add or Remove Snap-ins
Trang 8Hình 6
6 Trong giao diện điều khiển Certificates, mở nút Certificates (Local
Computer), sau đó mở Personal Kích nút Certificates, tiếp đó kích chuột phải vào đó và trỏ đến All Tasks sau đó kích Request New Certificate
Trang 9Hình 7
7 Kích Next trong trang Certificate Enrollment
Trong trang Request Certificates, bạn có thể bắt gặp một danh sách các mẫu
chứng chỉ có sẵn trên máy tính này Lưu ý rằng, tuy có nhiều các mẫu chứng chỉ
có sẵn nhưng chỉ có một số mẫu cho máy này, các mẫu này dựa trên các điều
khoản được cấu hình cho các mẫu chứng chỉ Tích vào hộp kiểm Computer và kích Enroll Lưu ý rằng bạn có thể thực hiện các chi tiết về chứng chỉ này bằng cách kích nút Properties
Trang 10Hình 8
8 Kích Finish trong hộp thoại Certificate Installation Result
Trang 11Hình 9
9 Để lại cửa sổ này cho thủ tục tiếp dưới đây
Trang 12sẽ được sử dụng cho IPsec exemption của máy khách NAP
Trang 13Hình 11
2 Trong panel bên phải, hãy thẩm định rằng chứng chỉ đã được kết nạp với
Intended Purposes của Client Authentication và Server Authentication
Chứng chỉ này sẽ được sử dụng cho thẩm định SSL bên phía trình chủ
Trang 14Tiếp đến, cài đặt các dịch vụ role để thiết lập WIN2008SRV1 thành một máy chủ
chính sách sức khỏe NAP, máy chủ thực thi NAP và máy chủ NAP CA
Trang 15Thực hiện các bước dưới đây trên WIN2008SRV1:
1 Trong Server Manager, phần Roles Summary, bạn hãy kích Add Roles, sau
đó kích Next
Hình 13
2 Trong trang Select Server Roles, chọn các hộp kiểm Active Directory
Certificate Services và Network Policy and Access Services, sau đó kích Next hai lần
Trang 16Hình 14
3 Trong trang Select Role Services, hãy chọn hộp kiểm Health Registration Authority, kích Add Required Role Services trong cửa sổ Add Roles Wizard
và kích Next
Trang 17Hình 15
4 Trong trang Choose the Certification Authority to use with the Health Registration Authority, chọn Install a local CA to issue health certificates for this HRA server, sau đó kích Next
Trang 18Hình 16
5 Trong trang Choose Authentication Requirements for the Health
Registration Authority, chọn No, allow anonymous requests for health
certificates, sau đó kích Next Lựa chọn này sẽ cho phép các máy tính có thể
được kết nạp các chính sách sức khỏe trong môi trường workgroup Chúng ta sẽ xem xét một ví dụ về một máy tính của workgroup đang nhận chứng chỉ “sức khỏe” sau
Trang 19Hình 17
6 Trong trang Choose a Server Authentication Certificate for SSL
Encryption, bạn hãy chọn Choose an existing certificate for SSL encryption (recommended), kích chứng chỉ được hiển thị trong tùy chọn này, sau đó kích Next
Lưu ý:
Bạn có thể xem các thuộc tính của các chứng chỉ trong kho lưu trữ chứng chỉ
của máy tính nội bộ bằng cách kích vào một chứng chỉ, chọn Properties sau đó kích tab Details Một chứng chỉ được sử dụng cho thẩm định SSL phải có giá trị của trường Subject tương ứng với tên miền đầy đủ của máy chủ HRA (cho ví dụ như NPS1.Contoso.com) và giá trị trường Enhanced Key Usage của Server Authentication Chứng chỉ cũng phải được phát hành từ một CA gốc được tin
tưởng bởi máy khách
Trang 21Hình 19
9 Trong trang Specify Setup Type, kích Standalone sau đó kích Next
Trang 22Hình 20
10 Trong trang Specify CA Type, kích Subordinate CA, sau đó kích Next
Chúng tôi chọn sử dụng CA cấp dưới cho mục đích an toàn hơn CA cấp dưới chịu trách nhiệm cho việc phát hành các chứng chỉ, trong khi đó công việc chính của CA gốc là ký các chứng chỉ của các CA cấp dưới đang được phát hành Điều này cho phép bạn có nhiều CA cấp dưới và một CA gốc Trong môi trường sản xuất, bạn có thể đặt CA ở trạng thái ofline và chỉ kích hoạt nó ở trạng thái online khi ký các chứng chỉ cho các CA cấp dưới
Trang 23Hình 21
11 Trong trang Set Up Private Key, kích Create a new private key, sau đó kích Next
Trang 24Hình 22
12 Trong trang Configure Cryptography for CA, kích Next
13 Trong trang Configure CA Name, phần Common name for this CA, đánh msfirewall-WIN2008SRV1-CA, sau đó kích Next
Trang 26Hình 24
15 Thẩm định rằng WIN2008DC.msfirewall.org\Root CA đã được hiển thị bên cạnh Parent CA, sau đó kích Next
Trang 27Hình 25
16 Kích Next ba lần để chấp nhận cơ sở dữ liệu mặc định, Web server, các thiết lập dịch vụ cho role, sau đó kích Install
Trang 28Hình 26
17 Thẩm định rằng tất cả các cài đặt đều thành công, sau đó kích Close Lưu ý rằng các kết quả cài đặt nói rằng Attempt to configure Health Registration Authority failed Failed to get name of the local Certification Authority thì bạn cũng không quá lo lắng về sự thất bại đó Chúng ta sẽ cấu hình Health Registration Authority trong các bước tiếp theo
Trang 29Hình 27
18 Để cửa sổ Server Manager mở để thực hiện thủ tục dưới đây
Cấu hình CA cấp dưới trên Network Policy Server
CA cấp dưới phải được cấu hình tự động phát hành các chứng chỉ khi các máy khách NAP của người có đầy đủ các yêu cầu chính sách NAP yêu cầu một chứng chỉ Mặc định, CA riêng sẽ đợi cho tới khi quản trị viên cho phép trước khi chứng chỉ được phát hành Chúng ta không muốn đợi cho sự cho phép của quản trị viên chính vì vậy sẽ cấu hình CA riêng để có thể tự động phát hành các chứng chỉ khi yêu cầu đến
Thực hiện các bước dưới đây trên máy WIN2008SRV1:
1 Trên WIN2008SRV1, kích Start, kích Run, đánh certsrv.msc, và sau đó nhấn
ENTER
2 Trong giao diện Certification Authority, kích chuột phải vào
msfirewall-WIN2008SRV1-CA, sau đó kích Properties
Trang 30Hình 28
3 Kích tab Policy Module, sau đó kích Properties
Trang 31Hình 29
4 Chọn Follow the settings in the certificate template, if applicable Otherwise, automatically issue the certificate, sau đó kích OK
Trang 32Hình 30
5 Khi được nhắc nhở rằng AD CS phải được khởi động lại, bạn hãy kích OK Kích OK, kích chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks sau đó kích Stop Service
Trang 33Hình 31
6 Kích chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks, và kích Start Service
Hình 32
Trang 347 Hãy để giao diện Certification Authority để thực hiện thủ tục dưới đây Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ
Health Registration Authority phải được gắn các điều khoản bảo mật để yêu cầu, phát hành và quản lý các chứng chỉ Nó cũng phài được phép quản lý CA cấp dưới để có thể vô hiệu hóa các chứng chỉ đã hết thời hạn từ kho lưu trữ các chứng chỉ
Khi Health Registration Authority được kích hoạt trên một máy tính khác với máy tính phát hành CA, các điều khoản phải được gán cho máy HRA Trong cấu hình này, HRA và CA được đặt trên cùng một máy tính Trong kịch bản này, các điều
khoản phải được gán cho Network Service
Thực hiện các bước dưới đây trên WIN2008SRV1:
1 Trong phần panel bên trái của giao diện điều khiển, kích
msfirewall-WIN2008SRV1-CA, sau đó kích Properties
2 Kích tab Security, sau đó kích Add
Trang 35Hình 33
3 Trong Enter the object names to select (examples), đánh Network Service
và sau đó kích OK
Trang 36Hình 34
4 Kích Network Service, trong Allow, chọn các hộp kiểm Issue and Manage Certificates, Manage CA, và Request Certificates, sau đó kích OK
Trang 37Hình 35
5 Đóng giao diện điều khiển Certification Authority
Cấu hình Health Registration Authority để sử dụng CA cấp dưới nhằm phát hành các chứng chỉ “sức khỏe”
Bạn phải thông tin cho Health Registration Authority về CA nào có thể sử dụng
để phát hành các chứng chỉ “sức khỏe” Bạn có thể sử dụng CA riêng hoặc CA doanh nghiệp Trong mạng ví dụ này, chúng ta đang sử dụng CA riêng đã được
cài đặt trên WIN2008SRV1
Thực hiện các bước dưới đây trên WIN2008SRV1:
1 Trên WIN2008SRV1, kích Server Manager
Trang 382 Trong Server Manager, mở Roles\Network Policy and Access
Services\Health Registration Authority(WIN2008SRV1)\Certification
Authority
Lưu ý:
Nếu Server Manager ở trạng thái mở khi bạn cài đặt HRA server role, thì bạn cần phải đóng lại và sau đó mở lại để truy cập vào giao diện HRA
3 Trong phần panel bên trái của giao diện điều khiển HRA, hãy kích chuột phải
vào Certification Authority và kích Add certification authority
Hình 36
4 Kích Browse, kích msfirewall-WIN2008SRV1-SubCA, sau đó kích OK Xem
ví dụ dưới đây
Trang 39Hình 37
5 Kích OK, sau đó kích Certification Authority và thẩm định rằng
\\WIN2008SRV1.msfirewall.org\msfirewall-WIN2008SRV1-CA được hiển thị
trong panel chi tiết Tiếp theo chúng ta sẽ cấu hình các thuộc tính của CA riêng này
Health Registration Authority có thể được cấu hình để sử dụng một CA riêng hoặc CA doanh nghiệp Các thuộc tính của CA (mà chúng ta sẽ cấu hình tiếp theo) được cấu hình trên Health Registration Authority phải phù hợp với kiểu CA
đã được chọn
Trang 40Registration Authority will be valid for là 4 giờ, sau đó bạn hãy kích OK Xem
ví dụ bên dưới
Trang 41Windows Server 2008 Network Policy Server, Health Registration Authority và
CA cấp dưới Với các thành phần này, chúng ta đã hoàn toàn có thể sẵn sàng cho bước tiếp theo, bước cấu hình chính sách thực thi IPsec