Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 1)
Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 2)
Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 3)
Thomas Shinder
Đạt được chứng chỉ CA từ Enterprise CA
Máy khách SSL VPN cần phải tin cậy CA đã phát hành chứng chỉ được sử dụng bởi máy chủ VPN. Để thiết lập sự tin cậy này, chúng ta cần phải cài đặt chứng chỉ CA đã phát hành chứng chỉ của máy chủ VPN. Chúng ta có thể thực hiện điều này bằng việc kết nối đến Web site kết nạp trên CA trên mạng bên trong và cài đặt chứng chỉ trong kho lưu trữ chứng chỉ Trusted Root Certification Authorities của máy khách VPN. Thực hiện các bước dưới đây để có được chứng chỉ từ Web site kết nạp.
1. Trên máy khách VPN đã được kết nối với máy chủ VPN thông qua liên kết PPTP, nhập vào dòng http://10.0.0.2/certsrv trong thanh địa chỉ trong Internet Explorer và nhấn ENTER.
2. Nhập vào tên người dùng và mật khẩu hợp lệ trong hộp thoại cần thiết. Trong ví dụ này, chúng tôi sẽ sử dụng mật khẩu và tên người dùng của tài khoản quản trị viên miền mặc định.
3. Trong cửa sổ Welcome của Web site kết nạp, kích vào liên kết Download a CA certificate, certificate chain, or CRL.
Hình 17
4. Kích Allow trong hộp thoại cảnh báo rằng A website wants to open web content using this program on your computer. Sau đó kích Close trên hộp thoại Did you notice the Information bar nếu nó xuất hiện.
Hình 18
5. Lưu ý rằng các thông tin này cho bạn biết rằng Web site có thể làm việc không đúng, vì ActiveX control bị khóa. Tuy nhiên điều này không phải là một vấn đề, vì chúng tôi sẽ download một chứng chỉ CA và sử dụng Certificates MMC để cài đặt chứng chỉ. Kích vào liên kết Download CA certificate.
Hình 19
6. Trong hộp thoại File Download – Security Warning, kích nút Save. Lưu chứng chỉ vào Desktop.
Hình 20
7. Kích Close trong cửa sổ Download complete.
8. Đóng Internet Explorer.
Bây giờ chúng ta cần phải cài đặt chứng chỉ CA trong Trusted Root Certification Authorities Certificate Store của máy khách VPN. Thực hiện theo các bước dưới đây để cài đặt chứng chỉ:
1. Kích Start và sau đó nhập vào mmc trong hộp Search. Nhấn ENTER.
2. Kích Continue trong hộp thoại UAC
3. Trong cửa sổ Console1, kích menu File và sau đó kích tiếp Add/Remove Snap-in.
4. Trong hộp thoại Add or Remove Snap-ins, kích mục Certificates trong danh sách Available snap-ins và sau đó kích tiếp Add.
5. Trong cửa sổ Certificates snap-in, chọn tùy chọn Computer account và kích Finish.
6. Trong cửa sổ Select Computer, chọn tùy chọn Local computer và kích Finish.
7. Kích OK trong hộp thoại Add or Remove Snap-ins
8. Trong phần giao diện điều khiển bên trái, mở nút Certificates (Local Computer) và sau đó vào nút Trusted Root Certification Authorities. Kích nút Certificates. Kích chuột phải vào nút Certificates, trỏ đến All Tasks và kích Import.
Hình 21
9. Kích Next trên cửa sổ Welcome to the Certificate Import Wizard
10. Trên cửa sổ File to Import, sử dụng nút Browse để tìm chứng chỉ, sau đó kích Next.
Hình 22
11. Trong cửa sổ Certificate Store, xác nhận rằng tùy chọn Place all certificates in the following store đã được chọn và kho lưu trữ Trusted Root Certification Authorities được liệt kê trong danh sách. Kích Next.
Hình 23
12. Kích Finish trong cửa sổ Completing the Certificate Import.
13. Kích OK trong hộp thoại cho bạn biết rằng việc import đã thành công.
14. Chứng chỉ lúc này sẽ xuất hiện trong giao diện điều khiển, bạn có thể thấy như trong hình bên dưới đây.
Hình 24
15. Đóng giao diện điều khiển MMC.
Cấu hình máy khách để sử dụng SSTP và kết nối với máy chủ VPN bằng SSTP
Lúc này chúng ta cần hủy kết nối đối với kết nối VPN và cấu hình máy khách VPN để có thể sử dụng SSTP cho giao thức VPN của nó. Trong môi trường sản xuất, bạn sẽ không có người dùng thực hiện bước này, lý do là vì bạn sẽ sử dụng Connection Manager Administration Kit để tạo kết nối VPN cho người dùng, điều đó sẽ thiết lập máy khách sử dụng SSTP, hoặc bạn sẽ chỉ cấu hình các cổng SSTP trên máy chủ VPN. Phụ thuộc vào từng môi trường, vì đôi khi bạn muốn người dùng có thể sử dụng PPTP trong lúc bạn đang triển khai các chứng chỉ. Rõ ràng bạn luôn có thể triển khai các chứng chỉ CA ngoài dải thông qua download hoặc email, đó là trong trường hợp bạn không cần cho phép PPTP. Nhưng sau đó, nếu đã có một số máy khách ở mức thấp không có sự hỗ trợ SSTP thì bạn sẽ cần phải cho phép PPTP hoặc L2TP/IPSec, chính vì vậy sẽ không thể vô hiệu hóa tất cả các cổng non-SSTP. Trong trường hợp đó, bạn sẽ phải phụ thuộc vào vấn đề cấu hình thủ công hoặc một gói CMAK mới được nâng cấp.
Một cách khác ở đây là đóng lại các bộ nghe SSTP đối với một địa chỉ IP nào đó trong máy chủ RRAS. Trong trường hợp này, bạn có thể tạo một gói CMAK tùy chỉnh để chỉ ra địa chỉ IP trên máy chủ SSL VPN đang nghe các kết nối SSTP đi đến. Các địa chỉ khác trên máy chủ SSTP VPN sẽ nghe các kết nối PPTP hoặc L2TP/IPSec.
Thực hiện các bước sau để hủy kết nối session PPTP và cấu hình kết nối máy khách VPN sử dụng SSTP:
1. Tại máy khách VPN, mở Network and Sharing Center như những gì bạn đã thực hiện từ trước.
2. Trong cửa sổ Network and Sharing Center, kích liên kết Disconnect, liên kết này nằm dưới liên kết View Status mà chúng ta đã sử dụng từ trước.
3. Session SSL VPN sẽ biến mất trong Network and Sharing Center.
4. Trong Network and Sharing Center, kích vào liên kết Manage network connections.
5. Kích chuột phải vào liên kết SSL VPN và kích Properties.
Hình 25
5. Trong hộp thoại SSL VPN Properties, kích tab Networking. Trong mục chọn Type of VPN, kích vào mũi tên xuống và chọn tùy chọn Secure Socket Tunneling Protocol (SSTP), sau đó kích OK.
Hình 26
6. Kích đúp vào kết nối SSL VPN trong cửa sổ Network Connections
7. Trong hộp thoại Connect SSL VPN, kích nút Connect.
8. Khi kết nối được hoàn tất, kích chuột phải vào kết nối SSL VPN trong cửa sổ Network Connections và sau đó kích Status.
Hình 27
9. Trong hộp thoại SSL VPN Status, bạn có thể thấy được một kết nối SSTP WAN Miniport đã được thiết lập.
Hình 28
10. Nếu bạn vào máy chủ VPN và mở Routing and Remote Access Console thì sẽ nhận thấy rằng một kết nối SSTP đã được thiết lập.
Hình 29
Kết luận
Trong phần ba này, phần cuối của loạt bài báo về cách kết hợp cùng nhau một máy chủ SSL VPN bằng cách sử dụng Windows Server 2008, chúng tôi đã hoàn tất cấu hình của tài khoản người dùng, CRL Web site, và máy khách SSL VPN. Kết thúc bài chúng tôi đã hoàn tất kết nối SSTP và xác nhận rằng nó đã thành công. Hy vọng bạn sẽ thấy được nhiều thú vị trong loạt bài này.