Hvis du ønsker å lese andre deler til artikkelserien kan du lese:
)
)
)
I den første artikkelen i denne serien, jeg snakket om hva Network Access Protection er, og hvorfor det er så viktig. I denne artikkelen vil jeg diskusjonen ved å vise deg hvordan du kan forberede din nettverksinfrastruktur for eventuell bruk av Network Access Protection for å fortsette.
Network Access Protection Infrastruktur
Implementing Network Access Protection krever bruk av flere servere, hver utfører en bestemt rolle. Som du kan se i figuren nedenfor, har vi tenkt å bruke en Routing and Remote Access Server, en domenekontroller, og et nettverk Policy Server
Figur A:.
Implementing Network Access Beskyttelse krever flere servere som skal brukes
Som du kan se i diagrammet, er Windows Vista-klienten kobler til en Windows 2008 Server som kjører Remote Access (RRAS) service. Denne serveren fungerer som VPN server for nettverket. Windows Vista-klienten oppretter en forbindelse til denne VPN-serveren på vanlig måte.
Når den eksterne brukeren kobler til VPN-serveren, er brukerens legitimasjon validert ved hjelp av RADIUS-protokollen. Sikret nettverk politikk server så bestemmer hvilke helsepolitikk er i kraft, og hva som skal skje hvis den eksterne klienten er ute av samsvar.
I en lab miljø, kan en enkelt fysisk server brukes til å arrangere både Routing and Remote Access Tjenesten rolle og rollen Network Policy Server. I den virkelige verden VPN servere finnes på nettverket omkretsen, og det ville helt undergrave nettverkets sikkerhet hvis du vert nettverkspolicyserveren på en omkrets server.
Domain Controller
Hvis du ser på diagrammet vist i Figur A, vil du se at en av de nødvendige servere er en domenekontroller. Tror ikke på dette som en enkelt server, men heller som en hel Active Directory infrastruktur. Som jeg er sikker på at du vet, kan Active Directory ikke fungere uten en DNS-server. At det å være tilfelle, dersom dette diagrammet var en ordrett gjengivelse av en faktisk nettverk, deretter domenekontrolleren vil være vertskap for DNS-tjenester. Of course, i den virkelige verden organisasjoner bruker vanligvis flere domenekontrollere og et eget DNS-servere.
En ekstra infrastruktur krav som ikke er vist på tegningen er en Enterprise Certificate Authority. Heldigvis kan Windows konfigureres til å handle på en slik kapasitet. I denne artikkelserien, vil jeg være konfigurere domenekontroller for å også fungere som vår virksomhet sertifiseringsinstans. Hvis dette var en virkelig verden distribusjon du ønsker å bruke en dedikert server som virksomhetssertifikat myndighet på grunn av den sensitive natur av digitale sertifikater.
Installere en Enterprise Certificate Authority
Prosedyren for distribusjon av et foretak sertifiseringsinstans varierer litt avhengig av om du skal installere tjenestene på en Windows 2003 server eller på en Windows 2008 server. Fordi en av min hensikt er i å skrive denne artikkelserien er å gjøre deg kjent med Windows 2008 Server, er følgende prosedyre ment for installasjon av sertifikattjenester på en Windows 2008 Server.
Før et show deg hvordan du kan installere sertifikattjenester, du må huske på at i en virkelig verden distribusjon, vil du ønsker å ta ekstreme tiltak for å sørge for at bedriften sertifiseringsinstansen er sikker. Tross alt, hvis noen skulle invadere bedriften sertifiseringsinstans, de eier nettverket. Fordi denne artikkelen fokuserer på Network Access Protection og ikke på sertifikattjenester per se, jeg kommer til å vise deg akkurat nok til å få sertifikatet tjenester oppe og går. I en virkelig verden distribusjon, vil du ønsker å sette en hel masse mer omtanke i serverkonfigurasjonen.
Begynn distribusjonsprosessen ved å åpne Windows 2008 Server Server Manager og velg Roller alternativet fra konsolltreet. Deretter klikker du på Legg Roller lenke funnet i Roller Oppsummering delen av konsollen. Dette vil få Windows til å lansere Legg Roller Wizard. Klikk på Neste for å omgå trollmannens velkomstskjermen. Du vil nå se en liste over alle tilgjengelige roller, som vist i figur B. Velg Active Directory Certificate Server alternativ fra listen. Klikk på Neste for å fortsette
Figur B:.
Windows viser alle de rollene som er tilgjengelige for deg
På dette punktet, vil du se et skjermbilde som introduserer deg til de sertifikattjenester og gir deg noen ord om forsiktighet. Klikk Neste for å ignorere denne skjermen, og du vil se en annen skjerm som ber deg om hvilke komponenter du vil installere. Velg Certification Authority og Certificate Authority Web Påmeldings avmerkingsboksene.
Du vil nå se en skjerm lik den som er vist i figur C, som forteller deg at noen flere roller må være installert før du installerer Certificate Authority Web påmelding Rolle . Klikk på Legg Må Role Tjenesten knappen, og klikk deretter Neste
Figur C:.
Certificate Services Web Innmelding Role kan ikke fungere uten IIS
Du vil nå se en skjerm som ber deg Hvis du ønsker å opprette et foretak sertifiseringsinstans eller en frittstående sertifiseringsinstans. Velg Enterprise Certificate Authority og klikk på Neste. Du vil nå bli bedt om hvorvidt denne serveren skal fungere som en referanse CA eller som en underordnet CA. Siden dette er den første (og eneste) sertifiseringsinstans i laboratoriet, bør du velge Root CA alternativet. Klikk på Neste for å fortsette.
Veiviseren vil nå spørre deg om du ønsker å opprette en ny privat nøkkel, eller hvis du ønsker å bruke et eksisterende privat nøkkel. Igjen, dette er en lab oppsett, så velg alternativet for å opprette en ny privat nøkkel og klikk på Neste for å fortsette.
neste skjermbildet som du vil støte ber deg om å enten lage en ny privat nøkkel eller å bruke et eksisterende privat nøkkel. Siden ingen private nøkkelen finnes ennå, velge alternativet for å opprette en ny privat nøkkel, og klikk på Neste.
Du skal nå se et skjermbilde som ligner på det som er vist i figur D, som ber deg velge en kryptografisk tjenesteleverandør, en nøkkellengde, og en hash algoritme. I en virkelig verden utplassering disse er alle ting som du ønsker å nøye vurdere. Siden vi setter denne sertifiseringsinstansen opp utelukkende for demonstrasjonsformål, bare gå med standardinnstillingene og klikk på Neste
Figur D:.
Velge riktig kryptografiske alternativer vil være avgjørende i en virkelig verden distribusjon for sikkerhetsmessige grunner
neste skjermbildet som du vil se gir deg en sjanse til å definere et felles navn og et unikt navn suffiks for sertifiseringsinstansen. Igjen, bare gå med standardinnstillingene og klikk på Neste.
Du skal nå se en skjerm som spør hvor lenge sertifikatene skal være gyldig for. Standardtiden er 5 år, noe som er bra for vårt formål, så bare klikker du Neste. Det neste skjermbildet som du vil se spør deg hvor sertifikat databaser og tilhørende transaksjonslogger bør plasseres. I et produksjonsmiljø, velge riktig plassering er kritisk til feiltoleranse og sikkerhet. Siden dette er en lab bare gå med standardinnstillingene og klikk på Neste.
Som dere husker, måtte vi legge til en ekstra rolle midtstrøms for å støtte Certificate Services Web påmelding rolle. Derfor, neste skjermen som du vil se er en introduksjon til IIS. Klikk Neste for å omgå denne skjermen, og du vil se et skjermbilde som ber deg som Web Server komponentene du vil installere. Det er viktig å forstå at Windows har allerede gjort de riktige valgene for deg, så bare klikker du Neste.
Du vil nå se en skjerm detaljering alternativene du har valgt. Klikk på Installer-knappen og Windows vil kopiere de nødvendige filene og konfigurere de underliggende tjenester. Når prosessen er ferdig, bør resultatene skjermen vise deg at rollene har blitt installert, som vist i Figur E. Klikk Lukk for å fullføre prosessen
Figur E:.
Når installasjonen prosessen er ferdig, klikker du på lukkeknappen
Konklusjon
Nå som jeg har vist deg hvordan du konfigurerer foretaket sertifiseringsinstans, er det på tide å begynne konfigurasjon av VPN-serveren. Jeg vil vise deg hvordan i del 3.
Datamaskin læring 