Giới thiệu bổ sung về Network Access Protection - Phần 2
Quản trị mạng - Phần đầu trong loạt bài này, chúng tôi đã giới thiệu về Network
Access Protection là gì và tại sao nó lại quan trọng đến vậy. Còn trong phần này,
chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu cho các bạn về cách chuẩn bị một
cơ sở hạ tầng mạng cho việc sử dụng Network Access Protection.
Cơ sở hạ tầng mạng cho Network Access Protection
Việc thực thi cơ sở hạ tầng mạng yêu cầu đến một vài máy chủ, mỗi một máy chủ ở đây
sẽ thực hiện một vai trò nào đó. Như những gì các bạn thấy trong hình bên dưới, chúng ta
sẽ sử dụng một Routing và Remote Access Server, một domain controller và một
Network Policy Server.

Hình A: Thực thi NAP yêu cầu tới một vài máy chủ
Như những gì bạn thấy trong hình trên, Windows Vista client đang được kết nối với máy
chủ Windows Server 2008 (máy chủ đang chạy dịch vụ Remote Access (RRAS)). Máy
chủ này đóng vai trò như một VPN server cho mạng. Windows Vista client thiết lập một
kết nối với máy chủ VPN này theo cách thức thông thường.
Khi người dùng từ xa kết nối với máy chủ VPN, các chứng chỉ của họ phải hợp lệ bằng
RADIUS protocol. Máy chủ chính sách mạng sẽ xác định chính sách “sức khỏe” nào
đang bị gây ảnh hưởng và điều gì sẽ xảy ra nếu máy khách từ xa không thỏa mãn chính
sách này.
Trong môi trường thí nghiệm, một máy chủ vật lý có thể được sử dụng để cấu hình cho
cả Routing and Remote Access Service role và Network Policy Server role. Trong các
máy chủ VPN thực tế tồn tại ở các mạng vành đai đôi khi độ bảo mật sẽ kém đi với mạng
nếu bạn cấu hình máy chủ chính sách mạng trên máy chủ này.
Domain ControllerNếu quan sát vào sơ đồ thể hiện trong hình A bạn sẽ thấy rằng một
trong các máy chủ yêu cầu là domain controller. Máy chủ này không phải là một máy chủ
đơn thuần mà đúng hơn là toàn bộ một cơ sở hạ tầng Active Directory. Như những gì bạn
đã biết, Active Directory không thể hoạt động mà không có máy chủ DNS. Nếu sơ đồ này
là một trường hợp của mạng thực thì domain controller phải cấu hình các dịch vụ DNS.
Các tổ chức thường sử dụng nhiều bộ điều khiển miền và các máy chủ DNS chuyên
dụng.

Những yêu cầu về cơ sở hạ tầng phụ không thể hiện trong hình vẽ trên là Enterprise
Certificate Authority. Tuy nhiên, Windows có thể được cấu hình để thực hiện theo khả
năng như vậy. Trong loạt bài này, chúng tôi sẽ cấu hình domain controller để thực hiện
như một bộ phận thẩm định chứng chỉ doanh nghiệp. Nếu đây là một triển khai thực của
bạn thì bạn sẽ sử dụng các máy chủ chuyên dụng để thẩm định chứng chỉ doanh nghiệp
với những lý do về của các chứng chỉ số.
Cài đặt thẩm định chứng chỉ doanh nghiệp (Enterprise Certificate Authority)
Thủ tục cho việc triển khai một bộ thẩm định chứng chỉ doanh nghiệp khác nhau tùy
thuộc vào những gì bạn sẽ cài đặt các dịch vụ trên Windows 2003 server hoặc Windows
2008 server. Do một mục đích của bài viết là làm sao thân thiện với bạn đọc nhất với
Windows 2008 Server nên thủ tục dưới đây được dự định cho việc cài đặt các dịch vụ
chứng chỉ trên Windows Server 2008.
Trước khi giới thiệu cho các bạn cách cài đặt các dịch vụ chứng chỉ, bạn cần lưu ý rằng
trong triển khai thực bạn sẽ sử dụng các thông số cực độ để bảo đảm cho bộ thẩm định
chứng chỉ doanh nghiệp của bạn được an toàn. Nếu ai đó thỏa hiệp với nó, họ sẽ sở hữu
mạng của bạn. Vì bài viết này chỉ tập trung vào Network Access Protection chứ hoàn
toàn không tập trung vào các dịch vụ của chứng chỉ nên chúng tôi sẽ giới thiệu cho các
bạn một chút về các dịch vụ chứng chỉ. Trong triển khai thực, bạn sẽ muốn có được khả
năng cấu hình cho máy chủ.
Bắt đầu quá trình triển khai bằng việc mở Server Manager của Windows 2008 Server và
chọn tùy chọn Roles từ cây giao diện điều khiển. Tiếp đến, kích vào liên kết Add Roles
trong phần Roles Summary của giao diện điều khiển. Thao tác này sẽ làm cho Windows
khởi chạy Add Roles Wizard. Kích Next để đi qua cửa sổ Welcome của wizard. Lúc này
bạn sẽ thấy một danh sách tất cả các role như thể hiện trong hình B. Chọn tùy chọn
Active Directory Certificate Server từ danh sách. Kích Next để tiếp tục.

Hình B: Windows liệt kê tất cả các role có sẵn cho bạn
Ở đây, bạn sẽ gặp một cửa sổ giới thiệu cho bạn về các dịch vụ chứng chỉ và cung cấp
một số chú ý cần thiết. Kích Next để bỏ qua cửa sổ này, bạn sẽ gặp một cửa sổ khác, cửa
sổ này sẽ hỏi bạn về các thành phần nào muốn cài đặt. Chọn các hộp kiểm Certification

Authority và Certificate Authority Web Enrollment
Bạn sẽ thấy một cửa sổ tương tự như cửa sổ xuất hiên trong hình C, cửa sổ này thông báo
cho bạn rằng một số role bổ sung phải được cài đặt trước để cài đặt Certificate Authority
Web Enrollment Role. Kích nút Add Required Role Service, sau đó kích Next.

Hình C: Certificate Services Web Enrollment Role không thể làm việc mà không có IIS
Một cửa sổ sẽ xuất hiện hỏi bạn xem có thích tạo một certificate authority doanh nghiệp
hoặc một certificate authority chuẩn. Chọn tùy chọn Enterprise Certificate Authority và
kích Next. Khi đó bạn sẽ được nhắc nhở về sử dụng máy chủ này như một Root CA hay
Subordinate CA. Do đây chỉ là certificate authority trong thí nghiệm nên bạn chọn tùy
chọn Root CA. Kích Next để tiếp tục.
Wizard sẽ hỏi bạn có muốn tạo một private key mới hay sử dụng private key hiện có hay
không. Cũng do thực hiện trong cài đặt thử nghiệm nên chúng ta hãy chọn tùy chọn tạo
private key mới và kích Next để tiếp tục.
Cửa sổ tiếp theo mà bạn bắt gặp sẽ hỏi bạn sẽ tạo một private key mới hoặc sử dụng
private key hiện có. Do không có private key tồn tại từ trước nên bạn hãy chọn tùy chọn
tạo private key mới và kích Next.
Lúc này bạn sẽ thấy một cửa sổ giống như thể hiện trong hình D, cửa sổ này hỏi bạn về
chọn nhà cung cấp dịchvụ mã hóa, độ dài khóa và thuật toán “hash”. Vì chúng ta sẽ thiết
lập certificate authority này với mục đích minh chứng nên hãy chọn các tùy chọn mặc
định và kích Next.

Hình D: Chọn các tùy chọn mã hóa thích hợp cho triển khai thực để đảm bảo vấn đề bảo
mật
Cửa sổ tiếp theo các bạn gặp sẽ cho bạn một sự lựa chọn để định nghĩa tên chung và hậu
tố tên phân biệt cho certificate authority, ở đây bạn cũng chọn mặc định và kích Next.
Bạn sẽ thấy một cửa sổ hỏi về khoảng thời gian mà các chứng chỉ vẫn còn hợp lệ. Chu kỳ
thời gian mặc định này là 5 năm, ở thực hành này không quan trọng về vấn đề này nên
chúng ta chỉ cần kích Next. Cửa sổ tíêp theo sẽ hỏi bạn về địa điểm đặt các cơ sở dữ liệu
và các bản ghi phiên liên lạc tương ứng. Trong môi trường sản xuất, việc chọn một địa

điểm thích hợp rất quan trọng để cho việc chuyển đổi dự phòng và bảo mật. Do đây là
thực hành thử nghiệm nên chúng ta chỉ cần chọn theo mặc định và kích Next.
Cho đến đây, chúng ta đã phải bổ sung vào giữa dòng một role để hỗ trợ cho Certificate
Services Web Enrollment role. Chính vì vậy cửa sổ kế tiếp mà bạn sẽ thấy là một giới
thiệu về IIS. Kích Next để đi qua cửa sổ này, bạn sẽ gặp tiếp một cửa sổ hỏi bạn về thành
phần Web Server nào muốn cài đặt. Tuy nhiên bạn cần phải hiểu rằng Windows đã tạo
những sự lựa chọn thích hợp cho bạn, chính vì vậy chỉ cần kích Next.
Bạn sẽ thấy một cửa sổ chi tiết các tùy chọn đã được chọn. Kích nút Install, khi đó
Windows sẽ copy các file cần thiết và cấu hình các dịch vụ bên dưới. Khi quá trình được
hoàn tất, các kết quả sẽ thể hiện trên màn hình cho bạn thấy được các role đã được cài đặt
thành công, xem thể hiện trong hình E. Kích Close để hoàn tất quá trình này.