Cài đặt IIS trên máy chủ VPN
Yêu cầu một chứng chỉ máy tính cho máy chủ VPN bằng cách sử dụng IIS Certificate Request Wizard
Cài đặt role RRAS server trên máy chủ VPN
Kích hoạt máy chủ RRAS Server và cấu hình nó thành máy chủ VPN và NAT
Cấu hình máy chủ NAT để xuất bản CRL
Cấu hình User Account để cho phép các kết nối dial-up
Cấu hình IIS trên Certificate Server để cho phép các kết nối HTTP cho thư mục CRL
Cấu hình file HOSTS trên VPN client
Sử dụng PPTP để kết nối với máy chủ VPN
Thu được chứng chỉ CA từ Enterprise CA
Cấu hình Client để có thể sử dụng SSTP và Connect đối với VPN Server bằng cách sử dụng SSTP
Cài đặt IIS trên máy chủ VPN Server Có thể bạn sẽ thấy làm lạ vì thông thường chúng tôi vẫn gợi ý rằng đừng bao giờ đặt máy chủ web (Web server) trước một thiết bị bảo vệ mạng. Điều này là vì chúng ta không cần giữ Web server trên một VPN server mà chỉ cần sử dụng nó trong một thời điểm nào đó. Bởi site kết nạp Web gồm có Windows Server 2008 Certificate Server không hữu dụng cho việc yêu cầu các chứng chỉ máy tính. Trong thực tế, nó hoàn toàn không được sử dụng. Những gì đáng quan tâm ở đây là bạn có thể có được chứng chỉ máy tính bằng sử dụng site kết nạp Web.
Để giải quyết vấn đề này, chúng ta sẽ lợi dụng enterprise CA. Khi sử dụng enterprise CA, bạn có thể tạo một yêu cầu đối với một máy chủ chứng chỉ trực tuyến. Yêu cầu trực tuyến cho một chứng chỉ máy tính được cho phép khi bạn sử dụng IIS Certificate Request Wizard và yêu cầu “Domain Certificate”- chứng chỉ miền. Vấn đề này chỉ làm việc khi máy tính yêu cầu chứng chỉ cùng với tên miền Enterprise CA.
Thực hiện theo các bước sau trên máy chủ VPN để cài đặt role IIS Web server:
1. Mở Server Manager của Windows 2008
2. Trong phần panel bên phía trái của giao diện điều khiển, kích nút Roles
3. Kích vào liên kết Add Roles ở phần bên phải của panel bên phải.
4. Kích Next trên cửa sổ Before You Begin
5. Tích vào hộp kiểm Web Server (IIS) trên cửa sổ Select Server Roles sau đó kích Next.
6. Đọc thông tin trên cửa sổ Web Server (IIS) nếu cần. Đây là một thông tin tổng quan rất tốt đối với việc sử dụng IIS7 như một máy chủ Web, tuy nhiên do chúng ta sẽ không sử dụng máy chủ Web IIS trên máy chủ VPN nên thông tin này không áp dụng cho kịch bản của chúng ta.
7. Trên cửa sổ Select Role Services, có một số tùy chọn đã được chọn sẵn. Kể cả bạn sử dụng các tùy chọn mặc định thì cũng không có nghĩa sẽ có được tùy chọn sử dụng Certificate Request Wizard. Chính vì vậy hãy tích vào các tùy chọn bảo mật Security để có Role Service cho Certificate Request Wizard và sau đó kích Next.
8. Xem lại các thông tin trên cửa sổ Confirm Installation Selections và kích Install.
9. Kích Close trên cửa sổ Installation Results
2. Trong giao diện điều khiển Internet Information Services (IIS) Manager xuất hiện ở panel bên phải, hãy kích tên của máy chủ. Trong ví dụ này, tên của máy chủ là W2008RC0-VPNGW. Kích vào biểu tượng Server Certificates trong panel bên phải của giao diện điều khiển IIS.
3. Trong panel bên phải của giao diện điều khiển, kích vào liên kết Create Domain Certificate.
5. Trên cửa sổ Online Certification Authority, kích nút Select. Trong hộp thoại Select Certification Authority, kích tên của Enterprise CA sau đó kích OK. Nhập vào đó tên của chứng chỉ bên trong hộp văn bản Friendly name. Trong ví dụ này chúng tôi sử dụng tên SSTP Cert để biết rằng nó đang được sử dụng cho SSTP VPN gateway.
6. Kích Finish trên cửa sổ Online Certification Authority
7. Tiện ích sẽ chạy và sau đó không xuất hiện nữa. Sau thời điểm này, bạn sẽ nhìn thấy chứng chỉ xuất hiện trong giao diện điều khiển IIS. Kích đúp vào chứng chỉ và bạn có thể xem tên chung trong phần Issued to và chúng ta sẽ có một khóa riêng tương ứng với chứng chỉ. Kích OK để đóng hộp thoại Certificate.
5. Đọc các thông tin trên cửa sổ Network Policy and Access Services. Hầu hết các thông tin này cho chúng ta biết về Network Policy Server mới (máy chủ chính sách vẫn được gọi là Internet Authentication Server [IAS] là RADIUS server), tất cả trong chúng hiện đều không áp dụng cho kịch bản của chúng ta. Kích Next.
6. Trên cửa sổ Select Role Services, hãy tích vào hộp kiểm Routing and Remote Access Services. Khi tích vào hộp kiểm này, tiện ích cũng sẽ tự tích vào các hộp kiểm Remote Access Service và Routing. Kích Next.
2. Kích Next trên cửa sổ Welcome to the Routing and Remote Access Server Setup Wizard
3. Trên cửa sổ Configuration, chọn tùy chọn Virtual private network (VPN) access and NAT và kích Next.
4. Trên cửa sổ VPN Connection, chọn NIC trong phần Network interfaces, phần có giao diện bên ngoài của máy chủ VPN. Sau đó kích Next.
5. Trên cửa sổ IP Address Assignment, chọn tùy chọn Automatically. Chúng ta có thể chọn tùy chọn này vì đã cài đặt máy chủ DHCP trên bộ điều khiển miền phía sau máy chủ VPN. Nếu bạn chưa cài đặt máy chủ DHCP thì cần phải chọn tùy chọn From a specified range of addresses và sau đó cung cấp một danh sách các địa chỉ mà máy chủ VPN có thể sử dụng khi kết nối với mạng thông qua VPN gateway. Kích Next.
6. Trên cửa sổ Managing Multiple Remote Access Servers, chọn No, use Routing and Remote Access to authenticate connection requests. Đây là tùy chọn mà chúng ta sử dụng khi không có máy chủ NPS hay RADIUS. Vì máy chủ VPN là một thành viên của miền nên bạn có thể chứng thực người dùng bằng cách sử dụng các tài khoản miền. Nếu máy chủ VPN không phải là thành viên miền thì chỉ có các tài khoản cục bộ trên máy chủ VPN mới có thể được sử dụng, trừ khi bạn quyết định sử dụng máy chủ NPS. Kích Next.
7. Đọc các thông tin tóm tắt trên cửa sổ Completing the Routing and Remote Access Server Setup Wizard và kích Finish.
8. Kích OK trong hộp thoại Routing and Remote Access, đây là hộp thoại thông báo cho bạn biết rằng việc chuyển tiếp các thông báo DHCP yêu cầu đến một tác nhân chuyển tiếp.
9. Trong phần panel bên trái của giao diện điều khiển, mở phần Routing and Remote Access, sau đó kích vào nút Ports. Ở phần giữa của panel, bạn sẽ thấy các kết nối cho SSTP.
Cấu hình máy chủ NAT để công bố CRL
Như chúng tôi đã đề cập từ trước, máy khách SSL VPN cần có thể download được CRL để xác nhận rằng chứng chỉ máy chủ trên máy chủ VPN đã không được hủy bỏ. Để thực hiện điều này, bạn cần cấu hình một thiết bị trước máy chủ chứng chỉ để chuyển tiếp các yêu cầu HTTP cho vị trí CRL đến được máy chủ chứng chỉ.
Vậy bạn đã biết được URL nào mà máy khách SSL VPN cần kết nối để thực hiện việc download CRL chưa? Các thông tin này được giới thiệu đến ngay bên trong bản thân mỗi chứng chỉ. Nếu bạn vào máy chủ VPN một lần nữa và kích đúp vào chứng chỉ trên giao diện điều khiển IIS (đây là do bạn đã thực hiện trước), thì bạn sẽ có thể tìm được các thông tin này. Kích vào tab Details của chứng chỉ và kéo xuống mục CRL Distribution Points, sau đó kích chuột vào mục đó. Trong panel thấp hơn, bạn có thể thấy các điểm phân phối khác nhau được dựa trên giao thức sử dụng để truy cập vào các điểm này. Trong màn hình chứng chỉ ở hình bên dưới, bạn có thể thấy được rằng chúng ta cần phải cho phép truy cập máy khách SSL VPN vào CRL thông qua URL:
http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl
3. Trong hộp thoại Local Area Connection Properties, tích vào hộp kiểm Web Server (HTTP). Khi thực hiện như vậy, hộp thoại Edit Service sẽ xuất hiện. Trong hộp văn bản Private Address, bạn nhập vào địa chỉ IP của máy chủ chứng chỉ trên mạng bên trong. Kích OK.
4. Kích OK trong hộp thoại Local Area Connection Properties.
Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 3)Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 4)
Lúc này, NAT server đã được cài đặt và được cấu hình, chúng ta có thể chuyển sự quan tâm của mình sang việc cấu hình máy chủ CA và máy khách SSTP VPN.
Trong phần hai này, chúng tôi đã tiếp tục giới thiệu cho các bạn về việc cấu hình máy chủ SSL VPN bằng cách sử dụng Windows Server 2008. Chúng tôi đã đi vào các vấn đề cài đặt IIS trên máy chủ VPN, yêu cầu và cài đặt chứng chỉ máy chủ, cài đặt và cấu hình các dịch vụ RRAS và NAT. Trong phần tiếp theo của loạt bài này chúng tôi sẽ kết thúc bằng việc giới thiệu cách cấu hình máy chủ CA và máy khách SSTP VPN, mong các bạn đón đọc.