Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2

Xem thêm: bảo mật, giải pháp bảo mật, ipsec server, domain isolation, windows server 2008, group policy, nap

 Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 1

Thomas Shinder

Quản Trị Mạng - Trong phần 1 của loạt bài này chúng tôi đã giới thiệu cho các bạn về cách sử dụng thực thi IPsec với các chính sách “sức khỏe” NAP, trong đó đã giới thiệu một mạng ví dụ và đã chỉ ra các bước cơ bản nhất cần thiết cho NAP để có thể làm việc với chinh sách thực thi IPsec.

Dưới đây là danh sách các bước để thực hiện giải pháp. 

• Cấu hình Domain Controller
• Cài đặt và cấu hình Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới)
• Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server
• Cấu hình VISTASP1 và VISTASP1-2 cho việc kiểm thử
• Test Health Certificate và Auto-remediation Configuration
• Thẩm định NAP Policy Enforcement trên VISTASP1
• Cấu hình và test các chính sách IPsec 

Trong phần đầu của loạt bài này, chúng tôi đã giới thiệu các bước cần thiết để cấu hình domain controller trong NAP với môi trường thực thi IPsec. Trong phần 2 này, chúng tôi sẽ chuyển sang bước thứ hai, đây là bước cài đặt và cấu hình Network Policy Server, Health Registration Authority và subordinate CA. 

Cài đặt và cấu hình Network Policy Server, Health Registration Authority và CA cấp dưới. 

Chúng ta hãy quan tâm trước tiên về phần Network Policy Server. Network Policy Server hoặc NPS đảm nhận RADIUS server role. NPS là tên mới được thay cho tên trước đây Internet Access Server (IAS) của Microsoft. Có hai thành phần chính đối với máy chủ NPS mới đó là: thành phần RADIUS (đây là thành phần gồm có sự hỗ trợ mới cho NAP) và thành phần RRAS. Chúng ta sẽ không đề cập đến thành phần RRAS trong kịch bản này chính vì vậy sẽ không cài đặt và cấu hình RRAS.Chúng ta cần thực hiện một số bước dưới đây để tạo một máy chủ NPS cùng với Health Registration Authority và CA cấp dưới cung được cài đặt và được cấu hình trên máy này: 

• Bổ sung thêm máy chủ chính sách mạng vào NAP Exempt Group
• Khởi động lại máy chủ Network Policy Server
• Yêu cầu một chứng chỉ máy tính cho Network Policy Server
• Xem chứng chỉ máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy Server.
• Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới).
• Cấu hình Subordinate CA trên Network Policy Server
• Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ.
• Cấu hình Health Registration Authority để sử dụng CA cấp dưới để phát hành các chứng chỉ “sức khỏe”. 

Chúng ta hãy xem xét chi tiết đến từng bước này. 

Bổ sung Network Policy Server vào nhóm NAP Exempt Group 

Chúng ta cần phải thiết lập sao cho máy tính WIN2008SRV1 trở thành một thành viên của nhóm NAP Exempt Group để từ đó nó có thể tự động kết nạp chứng chỉ sức khỏe đã tạo. Điều này sẽ cho phép máy tính này hành động như một máy chủ chính sách NAP và Health Registration Authority trong việc truyền thông với các máy tính khác ở một mạng an toàn, thậm chí máy tính này không là có đủ các yêu cầu của NAP. 

Thực hiện các bước dưới đây trên domain controller của máy tính WIN2008DC: 

1. Trên WIN2008DC, click Start, trỏ đến Administrative Tools, sau đó kích Active Directory Users and Computers.
2. Trong phần Panel bên trái của giao diện điều khiển Active Directory Users and Computers, hãy mở rộng phần msfirewall.org, sau đó kích nút Users.
3. Kích đúp vào nhóm NAP Exempt trong phần panel bên phải của giao diện điều khiển.
4. Kích tab Members, kích Add, kích Object Types, chọn hộp kiểm Computers, sau đó kích OK. 

Hình 1

5. Trong Enter the object names to select (examples), đánh WIN2008SRV1, sau đó kích Check Names. Kích OK, sau đó kích tiếp OK trong hộp thoại NAP Exempt Properties. 
 

Hình 2

Hình 3

6. Đóng giao diện điều khiển Active Directory Users and Computers

Khởi động lại Network Policy Server

Để kích hoạt các thiết lập thành viên miền nmới và thành viên nhóm bảo mật, hãy khởi động lại WIN2008SRV1. 

1. Khởi động lại WIN2008SRV1.
2. Sau khi máy tính của bạn khởi động lại, đăng nhập vào máy tính dưới tài khoản quản trị viên.

Yêu cầu chứng chỉ máy tính cho máy chủ chính sách mạng

Máy WIN2008SRV1 cần một chứng chỉ để hỗ trợ các kết nối SSL cho máy chủ. Các kết nối SSL sẽ đến từ các máy khách NAP khi chúng kết nối đến Web server Health Registration Authority trên máy chủ NPS. Lưu ý rằng trong ví dụ này, máy chủ NPS và Health Registration Authority nằm trên cùng một máy. Tuy nhiên không bắt buộc phải thực hiện theo cách đó – bạn hoàn toàn có thể đặt Health Registration Authority và NPS server trên các máy khác nhau. Trong kịch bản đó, bạn cần phải cài đặt dịch vụ NPS trên máy tính HRA và cấu hình máy tính đó là một RADIUS proxy, do HRA là một máy chủ truy cập mạng trong kịch bản này và NAS cần khai báo dịch vụ NPS về trạng thái máy khách. 

Thực hiện các bước dưới đây trên máy WIN2008SRV1 NPS: 

1. Trên máy WINS2008SRV1, kích Start, kích Run, đánh mmc, sau đó nhấn ENTER.
2. Kích File, sau đó kích Add/Remove Snap-in.
3. Trong hộp thoại Add or Remove Snap-ins, kích Certificates sau đó kích Add. Trong hộp thoại Certificates snap-in, chọn tùy chọn Computer account và kích Next. 

Hình 4

4. Trong hộp kiểm Select Computer, chọn tùy chọn Local Computer và kích Finish. 

Hình 5

5. Kích OK trong hộp kiểm Add or Remove Snap-ins. 

Hình 6

6. Trong giao diện điều khiển Certificates, mở nút Certificates (Local Computer), sau đó mở Personal. Kích nút Certificates, tiếp đó kích chuột phải vào đó và trỏ đến All Tasks sau đó kích Request New Certificate. 

Hình 7

7. Kích Next trong trang Certificate Enrollment. 

Trong trang Request Certificates, bạn có thể bắt gặp một danh sách các mẫu chứng chỉ có sẵn trên máy tính này. Lưu ý rằng, tuy có nhiều các mẫu chứng chỉ có sẵn nhưng chỉ có một số mẫu cho máy này, các mẫu này dựa trên các điều khoản được cấu hình cho các mẫu chứng chỉ. Tích vào hộp kiểm Computer và kích Enroll. Lưu ý rằng bạn có thể thực hiện các chi tiết về chứng chỉ này bằng cách kích nút Properties. 

Hình 8

8. Kích Finish trong hộp thoại Certificate Installation Result. 

Hình 9

9. Để lại cửa sổ này cho thủ tục tiếp dưới đây. 

Hình 10

Xem máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy Server 

Tiếp đến, thẩm định rằng WIN2008SRV1 có một chứng chỉ SSL và một chứng chỉ NAP exemption. 

1. Trong panel bên trái của giao diện điều khiển Certificates, mở Certificates (Local Computer)\Personal\Certificates. Trong panel bên phải, thẩm định rằng chứng chỉ đã được tự động kết nạp bởi WIN2008SRV1 với Intended Purposes của System Health Authentication và Client Authentication. Chứng chỉ này sẽ được sử dụng cho IPsec exemption của máy khách NAP. 

Hình 11

2. Trong panel bên phải, hãy thẩm định rằng chứng chỉ đã được kết nạp với Intended Purposes của Client Authentication và Server Authentication. Chứng chỉ này sẽ được sử dụng cho thẩm định SSL bên phía trình chủ. 

Hình 12

3. Đóng giao diện điều khiển Certificates. Nếu bạn gặp nhắc nhở cần lưu các thiết lập, hãy kích No.

Cài đặt các role Network Policy Server, Health Registration Authority, và Subordinate Certificate Server. 

Tiếp đến, cài đặt các dịch vụ role để thiết lập WIN2008SRV1 thành một máy chủ chính sách sức khỏe NAP, máy chủ thực thi NAP và máy chủ NAP CA. 

Thực hiện các bước dưới đây trên WIN2008SRV1: 

1. Trong Server Manager, phần Roles Summary, bạn hãy kích Add Roles, sau đó kích Next. 

Hình 13

2. Trong trang Select Server Roles, chọn các hộp kiểm Active Directory Certificate Services và Network Policy and Access Services, sau đó kích Next hai lần. 

Hình 14

3. Trong trang Select Role Services, hãy chọn hộp kiểm Health Registration Authority, kích Add Required Role Services trong cửa sổ Add Roles Wizard và kích Next. 

Hình 15

4. Trong trang Choose the Certification Authority to use with the Health Registration Authority, chọn Install a local CA to issue health certificates for this HRA server, sau đó kích Next. 

Hình 16

5. Trong trang Choose Authentication Requirements for the Health Registration Authority, chọn No, allow anonymous requests for health certificates, sau đó kích Next. Lựa chọn này sẽ cho phép các máy tính có thể được kết nạp các chính sách sức khỏe trong môi trường workgroup. Chúng ta sẽ xem xét một ví dụ về một máy tính của workgroup đang nhận chứng chỉ “sức khỏe” sau. 

Hình 17

6. Trong trang Choose a Server Authentication Certificate for SSL Encryption, bạn hãy chọn Choose an existing certificate for SSL encryption (recommended), kích chứng chỉ được hiển thị trong tùy chọn này, sau đó kích Next. 

Lưu ý: 
Bạn có thể xem các thuộc tính của các chứng chỉ trong kho lưu trữ chứng chỉ của máy tính nội bộ bằng cách kích vào một chứng chỉ, chọn Properties sau đó kích tab Details. Một chứng chỉ được sử dụng cho thẩm định SSL phải có giá trị của trường Subject tương ứng với tên miền đầy đủ của máy chủ HRA (cho ví dụ như NPS1.Contoso.com) và giá trị trường Enhanced Key Usage của Server Authentication. Chứng chỉ cũng phải được phát hành từ một CA gốc được tin tưởng bởi máy khách. 

Hình 18

7. Trong trang Introduction to Active Directory Certificate Services, kích Next.
8. Trong trang Select Role Services, thẩm định rằng các hộp kiểm Certification Authority đã được chọn, sau đó kích Next. 

Hình 19

9. Trong trang Specify Setup Type, kích Standalone sau đó kích Next. 

Hình 20

10. Trong trang Specify CA Type, kích Subordinate CA, sau đó kích Next. Chúng tôi chọn sử dụng CA cấp dưới cho mục đích an toàn hơn. CA cấp dưới chịu trách nhiệm cho việc phát hành các chứng chỉ, trong khi đó công việc chính của CA gốc là ký các chứng chỉ của các CA cấp dưới đang được phát hành. Điều này cho phép bạn có nhiều CA cấp dưới và một CA gốc. Trong môi trường sản xuất, bạn có thể đặt CA ở trạng thái ofline và chỉ kích hoạt nó ở trạng thái online khi ký các chứng chỉ cho các CA cấp dưới. 

Hình 21

11. Trong trang Set Up Private Key, kích Create a new private key, sau đó kích Next. 

Hình 22

12. Trong trang Configure Cryptography for CA, kích Next.
13. Trong trang Configure CA Name, phần Common name for this CA, đánh msfirewall-WIN2008SRV1-CA, sau đó kích Next. 

Hình 23

14. Trong trang Request Certificate from a Parent CA, chọn Send a certificate request to a parent CA, sau đó kích Browse. Trong cửa sổ Select Certification Authority, hãy kích Root CA, sau đó kích OK. 

Hình 24

15. Thẩm định rằng WIN2008DC.msfirewall.org\Root CA đã được hiển thị bên cạnh Parent CA, sau đó kích Next. 

Hình 25

16. Kích Next ba lần để chấp nhận cơ sở dữ liệu mặc định, Web server, các thiết lập dịch vụ cho role, sau đó kích Install. 

Hình 26

17. Thẩm định rằng tất cả các cài đặt đều thành công, sau đó kích Close. Lưu ý rằng các kết quả cài đặt nói rằng Attempt to configure Health Registration Authority failed. Failed to get name of the local Certification Authority thì bạn cũng không quá lo lắng về sự thất bại đó. Chúng ta sẽ cấu hình Health Registration Authority trong các bước tiếp theo. 

Hình 27

18. Để cửa sổ Server Manager mở để thực hiện thủ tục dưới đây. 

Cấu hình CA cấp dưới trên Network Policy Server 

CA cấp dưới phải được cấu hình tự động phát hành các chứng chỉ khi các máy khách NAP của người có đầy đủ các yêu cầu chính sách NAP yêu cầu một chứng chỉ. Mặc định, CA riêng sẽ đợi cho tới khi quản trị viên cho phép trước khi chứng chỉ được phát hành. Chúng ta không muốn đợi cho sự cho phép của quản trị viên chính vì vậy sẽ cấu hình CA riêng để có thể tự động phát hành các chứng chỉ khi yêu cầu đến. 

Thực hiện các bước dưới đây trên máy WIN2008SRV1: 

1. Trên WIN2008SRV1, kích Start, kích Run, đánh certsrv.msc, và sau đó nhấn ENTER.
2. Trong giao diện Certification Authority, kích chuột phải vào msfirewall-WIN2008SRV1-CA, sau đó kích Properties. 

Hình 28

3. Kích tab Policy Module, sau đó kích Properties. 

Hình 29

4. Chọn Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate, sau đó kích OK. 

Hình 30

5. Khi được nhắc nhở rằng AD CS phải được khởi động lại, bạn hãy kích OK. Kích OK, kích chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks sau đó kích Stop Service. 

Hình 31

6. Kích chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks, và kích Start Service. 

Hình 32

7. Hãy để giao diện Certification Authority để thực hiện thủ tục dưới đây.

Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ.

Health Registration Authority phải được gắn các điều khoản bảo mật để yêu cầu, phát hành và quản lý các chứng chỉ. Nó cũng phài được phép quản lý CA cấp dưới để có thể vô hiệu hóa các chứng chỉ đã hết thời hạn từ kho lưu trữ các chứng chỉ. 

Khi Health Registration Authority được kích hoạt trên một máy tính khác với máy tính phát hành CA, các điều khoản phải được gán cho máy HRA. Trong cấu hình này, HRA và CA được đặt trên cùng một máy tính. Trong kịch bản này, các điều khoản phải được gán cho Network Service. 

Thực hiện các bước dưới đây trên WIN2008SRV1: 

1. Trong phần panel bên trái của giao diện điều khiển, kích msfirewall-WIN2008SRV1-CA, sau đó kích Properties.
2. Kích tab Security, sau đó kích Add. 

Hình 33

3. Trong Enter the object names to select (examples), đánh Network Service và sau đó kích OK. 

Hình 34

4. Kích Network Service, trong Allow, chọn các hộp kiểm Issue and Manage Certificates, Manage CA, và Request Certificates, sau đó kích OK. 

Hình 35

5. Đóng giao diện điều khiển Certification Authority. 

Cấu hình Health Registration Authority để sử dụng CA cấp dưới nhằm phát hành các chứng chỉ “sức khỏe” 

Bạn phải thông tin cho Health Registration Authority về CA nào có thể sử dụng để phát hành các chứng chỉ “sức khỏe”. Bạn có thể sử dụng CA riêng hoặc CA doanh nghiệp. Trong mạng ví dụ này, chúng ta đang sử dụng CA riêng đã được cài đặt trên WIN2008SRV1. 

Thực hiện các bước dưới đây trên WIN2008SRV1: 

1. Trên WIN2008SRV1, kích Server Manager.
2. Trong Server Manager, mở Roles\Network Policy and Access Services\Health Registration Authority(WIN2008SRV1)\Certification Authority. 

Lưu ý:
Nếu Server Manager ở trạng thái mở khi bạn cài đặt HRA server role, thì bạn cần phải đóng lại và sau đó mở lại để truy cập vào giao diện HRA. 

3. Trong phần panel bên trái của giao diện điều khiển HRA, hãy kích chuột phải vào Certification Authority và kích Add certification authority. 

Hình 36

4. Kích Browse, kích msfirewall-WIN2008SRV1-SubCA, sau đó kích OK. Xem ví dụ dưới đây. 

Hình 37

5. Kích OK, sau đó kích Certification Authority và thẩm định rằng \\WIN2008SRV1.msfirewall.org\msfirewall-WIN2008SRV1-CA được hiển thị trong panel chi tiết. Tiếp theo chúng ta sẽ cấu hình các thuộc tính của CA riêng này. 

Health Registration Authority có thể được cấu hình để sử dụng một CA riêng hoặc CA doanh nghiệp. Các thuộc tính của CA (mà chúng ta sẽ cấu hình tiếp theo) được cấu hình trên Health Registration Authority phải phù hợp với kiểu CA đã được chọn. 

Hình 38

6. Kích chuột phải vào Certification Authority, sau đó kích Properties. 

Hình 39

7. Thẩm định rằng tùy chọn Use standalone certification authority đã được tích và giá trị nằm trong Use standalone certification authority is selected and that the value under The certificates approved by this Health Registration Authority will be valid for là 4 giờ, sau đó bạn hãy kích OK. Xem ví dụ bên dưới. 

Hình 40

8. Đóng Server Manager. 

Kết luận 

Trong phần hai của loạt bài này chúng tôi đã giới thiệu cho các bạn về cách sử dụng thực thi IPsec với NAP, giới thiệu cho các bạn các thủ tục cần thiết để tạo máy chủ NPS server. Trên máy chủ này chúng ta đã cài đặt và cấu hình Windows Server 2008 Network Policy Server, Health Registration Authority và CA cấp dưới. Với các thành phần này, chúng ta đã hoàn toàn có thể sẵn sàng cho bước tiếp theo, bước cấu hình chính sách thực thi IPsec.

Xem thêm: bảo mật, giải pháp bảo mật, ipsec server, domain isolation, windows server 2008, group policy, nap