Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008
Group Policy - Phần 2
Ngu
ồ
n:quantrimang.com
Thomas Shinde
r
Quản Trị Mạng - Trong phần 1 của loạt bài này chúng tôi đã giới thiệu cho các
bạn về cách sử dụng thực thi IPsec với các chính sách “sức khỏe” NAP, trong đó
đã giới thiệu một mạng ví dụ và đã chỉ ra các bước cơ bản nhất cần thiết cho
NAP để có thể làm việc với chinh sách thực thi IPsec.
Dưới đây là danh sách các bước để thực hiện giải pháp.

• Cấu hình Domain Controller
• Cài đặt và c
ấu hình Network Policy Server, Health Registration Authority và
Subordinate CA (CA cấp dưới)
• Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server
• Cấu hình VISTASP1 và VISTASP1-2 cho việc kiểm thử
• Test Health Certificate và Auto-remediation Configuration
• Thẩm định NAP Policy Enforcement trên VISTASP1
• Cấu hình và test các chính sách IPsec

Trong phần đầu của loạt bài này, chúng tôi đã giới thiệu các bước cần thiết để
cấu hình domain controller trong NAP với môi trường thực thi IPsec. Trong phần
2 này, chúng tôi sẽ chuyển sang bước thứ hai, đây là bước cài đặt và cấu hình
Network Policy Server, Health Registration Authority và subordinate CA.

Cài đặt và cấu h
ì
nh Network Policy Server, Health Registration Authority và

CA cấp dưới.

Chúng ta hãy quan tâm trước tiên về phần Network Policy Server. Network
Policy Server hoặc NPS đảm nhận RADIUS server role. NPS là tên mới được
thay cho tên trước đây Internet Access Server (IAS) của Microsoft. Có hai thành
phần chính đối với máy chủ NPS mới đó là: thành phần RADIUS (đây là thành
phần gồm có sự hỗ trợ mới cho NAP) và thành phần RRAS. Chúng ta sẽ không
đề cập đến thành phần RRAS trong kịch bản này chính vì vậy sẽ không cài đặt
và cấu hình RRAS.Chúng ta cần thực hiện một số bước dướ
i đây để tạo một
máy chủ NPS cùng với Health Registration Authority và CA cấp dưới cung được
cài đặt và được cấu hình trên máy này:

• Bổ sung thêm máy chủ chính sách mạng vào NAP Exempt Group
• Khởi động lại máy chủ Network Policy Server
• Yêu cầu một chứng chỉ máy tính cho Network Policy Server
• Xem chứng chỉ máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network
Policy Server.
• Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA
(CA cấp dưới).
• Cấu hình Subordinate CA trên Network Policy Server
• Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát
hành và quản lý các chứng chỉ.
• Cấu hình Health Registration Authority để sử dụng CA cấp dưới để phát hành
các chứng chỉ “sức khỏe”.

Chúng ta hãy xem xét chi tiết đến từng bước này.

Bổ sung Network Policy Server vào nhóm NAP Exempt Group


Chúng ta cầ
n phải thiết lập sao cho máy tính WIN2008SRV1 trở thành một thành
viên của nhóm NAP Exempt Group để từ đó nó có thể tự động kết nạp chứng chỉ
sức khỏe đã tạo. Điều này sẽ cho phép máy tính này hành động như một máy
chủ chính sách NAP và Health Registration Authority trong việc truyền thông với
các máy tính khác ở một mạng an toàn, thậm chí máy tính này không là có đủ
các yêu cầu của NAP.

Thực hiện các bước dưới đây trên domain controller của máy tính WIN2008DC:

1. Trên WIN2008DC, click Start, tr
ỏ đến Administrative Tools, sau đó kích
Active Directory Users and Computers.
2. Trong phần Panel bên trái của giao diện điều khiển Active Directory Users
and Computers, hãy mở rộng phần msfirewall.org, sau đó kích nút Users.
3. Kích đúp vào nhóm NAP Exempt trong phần panel bên phải của giao diện
điều khiển.
4. Kích tab Members, kích Add, kích Object Types, chọn hộp kiểm Computers,
sau đó kích OK.

Hình 1
5. Trong Enter the object names to select (examples), đánh WIN2008SRV1,
sau đó kích Check Names. Kích OK, sau đó kích tiếp OK trong hộp thoại NAP
Exempt Properties.


Hình 2


Hình 3


6. Đóng giao diện điều khiển Active Directory Users and Computers
Khởi động lại Network Policy Server
Để kích hoạt các thiết lập thành viên miền nmới và thành viên nhóm bảo mật,
hãy khởi động lại WIN2008SRV1.

1. Khởi động lại WIN2008SRV1.
2. Sau khi máy tính của bạn khởi động lại, đăng nhập vào máy tính dưới tài
khoản quản trị viên.
Yêu cầu chứng chỉ máy tính cho máy chủ chính sách mạng
Máy WIN2008SRV1 cần mộ
t chứng chỉ để hỗ trợ các kết nối SSL cho máy chủ.
Các kết nối SSL sẽ đến từ các máy khách NAP khi chúng kết nối đến Web
server Health Registration Authority trên máy chủ NPS. Lưu ý rằng trong ví dụ
này, máy chủ NPS và Health Registration Authority nằm trên cùng một máy. Tuy
nhiên không bắt buộc phải thực hiện theo cách đó – bạn hoàn toàn có thể đặt
Health Registration Authority và NPS server trên các máy khác nhau. Trong kịch
bản đó, bạn cần phải cài đặt dịch vụ NPS trên máy tính HRA và cấu hình máy
tính đó là một RADIUS proxy, do HRA là một máy chủ truy cập mạng trong kịch
bản này và NAS cần khai báo dịch vụ NPS về trạng thái máy khách.

Thực hiện các bước dưới đây trên máy WIN2008SRV1 NPS:

1. Trên máy WINS2008SRV1, kích Start, kích Run, đánh mmc, sau đó nhấn
ENTER.
2. Kích File, sau
đó kích Add/Remove Snap-in.
3. Trong hộp thoại Add or Remove Snap-ins, kích Certificates sau đó kích
Add. Trong hộp thoại Certificates snap-in, chọn tùy chọn Computer account
và kích Next.


Hình 4

4. Trong hộp kiểm Select Computer, chọn tùy chọn Local Computer và kích
Finish.

Hình 5

5. Kích OK trong hộp kiểm Add or Remove Snap-ins.

Hình 6

6. Trong giao diện điều khiển Certificates, mở nút Certificates (Local
Computer), sau đó mở Personal. Kích nút Certificates, tiếp đó kích chuột phải
vào đó và trỏ đến All Tasks sau đó kích Request New Certificate.

Hình 7

7. Kích Next trong trang Certificate Enrollment.

Trong trang Request Certificates, bạn có thể bắt gặp một danh sách các mẫu
chứng chỉ có sẵn trên máy tính này. Lưu ý rằng, tuy có nhiều các mẫu chứng chỉ
có sẵn nhưng chỉ có một số mẫu cho máy này, các mẫu này dựa trên các điều
khoản được cấu hình cho các mẫu chứng chỉ. Tích vào hộp kiểm Computer và
kích Enroll. Lưu ý rằng bạn có thể thực hiện các chi tiết về ch
ứng chỉ này bằng
cách kích nút Properties.

Hình 8


8. Kích Finish trong hộp thoại Certificate Installation Result.

Hình 9

9. Để lại cửa sổ này cho thủ tục tiếp dưới đây.

Hình 10

Xem máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy
Server

Tiếp đến, thẩm định rằng WIN2008SRV1 có một chứng chỉ SSL và một chứng
chỉ NAP exemption.

1. Trong panel bên trái của giao diện điều khiển Certificates, mở Certificates
(Local Computer)\Personal\Certificates. Trong panel bên phải, thẩm định rằng
chứng chỉ đã được tự động kết nạp bởi WIN2008SRV1 với Intended Purposes
của
System Health Authentication và Client Authentication. Chứng chỉ này
sẽ được sử dụng cho IPsec exemption của máy khách NAP.

Hình 11

2. Trong panel bên phải, hãy thẩm định rằng chứng chỉ đã được kết nạp với
Intended Purposes của Client Authentication và Server Authentication.
Chứng chỉ này sẽ được sử dụng cho thẩm định SSL bên phía trình chủ.

Hình 12

3. Đóng giao diện điều khiển Certificates. Nếu bạn gặp nhắc nhở cần lưu các

thiết lập, hãy kích No.
Cài đặt các role Network Policy Server, Health Registration Authority, và
Subordinate Certificate Server.

Tiếp đến, cài đặt các dịch vụ role để thiết lập WIN2008SRV1 thành một máy chủ
chính sách sức khỏe NAP, máy chủ thực thi NAP và máy chủ NAP CA.

Thực hiện các bước dưới đây trên WIN2008SRV1:

1. Trong Server Manager, phần Roles Summary, bạn hãy kích Add Roles, sau
đó kích Next.

Hình 13

2. Trong trang Select Server Roles, chọn các hộp kiểm Active Directory
Certificate Services và Network Policy and Access Services, sau đó kích
Next hai lần.

Hình 14

3. Trong trang Select Role Services, hãy chọn hộp kiểm Health Registration
Authority, kích Add Required Role Services trong cửa sổ Add Roles Wizard
và kích Next.
Hình 15

4. Trong trang Choose the Certification Authority to use with the Health
Registration Authority, chọn Install a local CA to issue health certificates
for this HRA server, sau đó kích Next.
Hình 16


5. Trong trang Choose Authentication Requirements for the Health
Registration Authority, chọn No, allow anonymous requests for health
certificates, sau đó kích Next. Lựa chọn này sẽ cho phép các máy tính có thể
được kết nạp các chính sách sức khỏe trong môi trường workgroup. Chúng ta sẽ
xem xét một ví dụ về một máy tính của workgroup đang nhận chứng chỉ “sức
khỏe” sau.
Hình 17

6. Trong trang Choose a Server Authentication Certificate for SSL
Encryption, bạn hãy chọn Choose an existing certificate for SSL encryption
(recommended), kích chứng chỉ được hiển thị trong tùy chọn này, sau đó kích
Next.

Lưu ý:
Bạn có thể xem các thuộc tính của các chứng chỉ trong kho lưu trữ chứng chỉ
của máy tính nội bộ bằng cách kích vào một chứng chỉ, chọn Properties sau đó
kích tab Details. Một chứng chỉ được sử dụng cho thẩm định SSL phải có giá trị
của trường Subject tương ứng với tên miền đầy đủ của máy chủ HRA (cho ví dụ
như NPS1.Contoso.com) và giá trị trường Enhanced Key Usage của Server
Authentication. Chứng chỉ cũng phải được phát hành từ một CA gốc được tin
tưởng bởi máy khách.
Hình 18

7. Trong trang Introduction to Active Directory Certificate Services, kích
Next.
8. Trong trang Select Role Services, thẩm định rằng các hộp kiểm Certification
Authority đã được chọn, sau đó kích Next.
Hình 19

9. Trong trang Specify Setup Type, kích Standalone sau đó kích Next.

Hình 20

10. Trong trang Specify CA Type, kích Subordinate CA, sau đó kích Next.
Chúng tôi chọn sử dụng CA cấp dưới cho mục đích an toàn hơn. CA cấp dưới
chịu trách nhiệm cho việc phát hành các chứng chỉ, trong khi đó công việc chính
của CA gốc là ký các chứng chỉ của các CA cấp dưới đang được phát hành.
Điều này cho phép bạn có nhiều CA cấp dưới và một CA gốc. Trong môi trường
sản xuất, bạn có thể đặt CA ở trạng thái ofline và chỉ kích ho
ạt nó ở trạng thái
online khi ký các chứng chỉ cho các CA cấp dưới.
Hình 21

11. Trong trang Set Up Private Key, kích Create a new private key, sau đó
kích Next.
Hình 22

12. Trong trang Configure Cryptography for CA, kích Next.
13. Trong trang Configure CA Name, phần Common name for this CA, đánh
msfirewall-WIN2008SRV1-CA, sau đó kích Next.
Hình 23

14. Trong trang Request Certificate from a Parent CA, chọn Send a certificate
request to a parent CA, sau đó kích Browse. Trong cửa sổ Select
Certification Authority, hãy kích Root CA, sau đó kích OK.