Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 4)
Máy khách SSL VPN cần phải tin cậy CA đã phát hành chứng chỉ được sử dụng bởi máy chủ VPN. Để thiết lập sự tin cậy này, chúng ta cần phải cài đặt chứng chỉ CA đã phát hành chứng chỉ của máy chủ VPN.
Đạt được chứng chỉ CA từ Enterprise CA
Máy khách SSL VPN cần phải tin cậy CA đã phát hành chứng chỉ được sử dụng bởi
máy chủ VPN. Để thiết lập sự tin cậy này, chúng ta cần phải cài đặt chứng chỉ CA
đã phát hành chứng chỉ của máy chủ VPN. Chúng ta có thể thực hiện điều này bằng
việc kết nối đến Web site kết nạp trên CA trên mạng bên trong và cài đặt chứng
chỉ trong kho lưu trữ chứng chỉ Trusted Root Certification Authorities của máy
khách VPN. Thực hiện các bước dưới đây để có được chứng chỉ từ Web site kết nạp.
1. Trên máy khách VPN đã được kết nối với máy chủ VPN thông qua liên kết PPTP,
nhập vào dòng
http://10.0.0.2/certsrv trong thanh địa chỉ trong Internet
Explorer và nhấn ENTER.
2. Nhập vào tên người dùng và mật khẩu hợp lệ trong hộp thoại cần thiết. Trong
ví dụ này, chúng tôi sẽ sử dụng mật khẩu và tên người dùng của tài khoản quản
trị viên miền mặc định.
3. Trong cửa sổ Welcome của Web site kết nạp, kích vào liên kết
Download a CA
certificate, certificate chain, or CRL.
Hình 17
4. Kích
Allow trong hộp thoại cảnh báo rằng
A website wants to open web
content using this program on your computer. Sau đó kích
Close trên hộp thoại
Did you notice the Information bar nếu nó xuất hiện.
Hình 18
5. Lưu ý rằng các thông tin này cho bạn biết rằng Web site có thể làm việc
không đúng, vì ActiveX control bị khóa. Tuy nhiên điều này không phải là một vấn
đề, vì chúng tôi sẽ download một chứng chỉ CA và sử dụng Certificates MMC để cài
đặt chứng chỉ. Kích vào liên kết
Download CA certificate.
Hình 19
6. Trong hộp thoại
File Download – Security Warning, kích nút
Save. Lưu chứng
chỉ vào Desktop.
Hình 20
7. Kích
Close trong cửa sổ
Download complete.
8. Đóng Internet Explorer.
Bây giờ chúng ta cần phải cài đặt chứng chỉ CA trong Trusted Root Certification
Authorities Certificate Store của máy khách VPN. Thực hiện theo các bước dưới
đây để cài đặt chứng chỉ:
1. Kích
Start và sau đó nhập vào
mmc trong hộp Search. Nhấn ENTER.
2. Kích
Continue trong hộp thoại UAC
3. Trong cửa sổ
Console1, kích menu File và sau đó kích tiếp
Add/Remove Snap-in.
4. Trong hộp thoại
Add or Remove Snap-ins, kích mục
Certificates trong danh sách
Available snap-ins và sau đó kích tiếp
Add.
5. Trong cửa sổ
Certificates snap-in, chọn tùy chọn
Computer account và kích
Finish.
6. Trong cửa sổ
Select Computer, chọn tùy chọn
Local computer và kích
Finish.
7. Kích
OK trong hộp thoại
Add or Remove Snap-ins
8. Trong phần giao diện điều khiển bên trái, mở nút
Certificates (Local
Computer) và sau đó vào nút
Trusted Root Certification Authorities. Kích nút
Certificates. Kích chuột phải vào nút Certificates, trỏ đến
All Tasks và kích
Import.
Hình 21
9. Kích
Next trên cửa sổ
Welcome to the Certificate Import Wizard
10. Trên cửa sổ
File to Import, sử dụng nút
Browse để tìm chứng chỉ, sau đó kích
Next.
Hình 22
11. Trong cửa sổ
Certificate Store, xác nhận rằng tùy chọn
Place all
certificates in the following store đã được chọn và kho lưu trữ
Trusted Root
Certification Authorities được liệt kê trong danh sách. Kích
Next.
Hình 23
12. Kích
Finish trong cửa sổ
Completing the Certificate Import.
13. Kích
OK trong hộp thoại cho bạn biết rằng việc import đã thành công.
14. Chứng chỉ lúc này sẽ xuất hiện trong giao diện điều khiển, bạn có thể thấy
như trong hình bên dưới đây.
Hình 24
15. Đóng giao diện điều khiển MMC.
Cấu hình máy khách để sử dụng SSTP và kết nối với máy chủ VPN bằng SSTP
Lúc này chúng ta cần hủy kết nối đối với kết nối VPN và cấu hình máy khách VPN
để có thể sử dụng SSTP cho giao thức VPN của nó. Trong môi trường sản xuất, bạn
sẽ không có người dùng thực hiện bước này, lý do là vì bạn sẽ sử dụng Connection
Manager Administration Kit để tạo kết nối VPN cho người dùng, điều đó sẽ thiết
lập máy khách sử dụng SSTP, hoặc bạn sẽ chỉ cấu hình các cổng SSTP trên máy chủ
VPN. Phụ thuộc vào từng môi trường, vì đôi khi bạn muốn người dùng có thể sử
dụng PPTP trong lúc bạn đang triển khai các chứng chỉ. Rõ ràng bạn luôn có thể
triển khai các chứng chỉ CA ngoài dải thông qua download hoặc email, đó là trong
trường hợp bạn không cần cho phép PPTP. Nhưng sau đó, nếu đã có một số máy khách
ở mức thấp không có sự hỗ trợ SSTP thì bạn sẽ cần phải cho phép PPTP hoặc
L2TP/IPSec, chính vì vậy sẽ không thể vô hiệu hóa tất cả các cổng non-SSTP.
Trong trường hợp đó, bạn sẽ phải phụ thuộc vào vấn đề cấu hình thủ công hoặc một
gói CMAK mới được nâng cấp.
Một cách khác ở đây là đóng lại các bộ nghe SSTP đối với một địa chỉ IP nào đó
trong máy chủ RRAS. Trong trường hợp này, bạn có thể tạo một gói CMAK tùy chỉnh
để chỉ ra địa chỉ IP trên máy chủ SSL VPN đang nghe các kết nối SSTP đi đến. Các
địa chỉ khác trên máy chủ SSTP VPN sẽ nghe các kết nối PPTP hoặc L2TP/IPSec.
Thực hiện các bước sau để hủy kết nối session PPTP và cấu hình kết nối máy khách
VPN sử dụng SSTP:
1. Tại máy khách VPN, mở
Network and Sharing Center như những gì bạn đã thực
hiện từ trước.
2. Trong cửa sổ Network and Sharing Center, kích liên kết
Disconnect, liên kết
này nằm dưới liên kết View Status mà chúng ta đã sử dụng từ trước.
3. Session SSL VPN sẽ biến mất trong Network and Sharing Center.
4. Trong Network and Sharing Center, kích vào liên kết
Manage network
connections.
5. Kích chuột phải vào liên kết
SSL VPN và kích
Properties.
Hình 25
5. Trong hộp thoại
SSL VPN Properties, kích tab
Networking. Trong mục chọn
Type of VPN, kích vào mũi tên xuống và chọn tùy chọn
Secure Socket Tunneling
Protocol (SSTP), sau đó kích
OK.
Hình 26
6. Kích đúp vào kết nối
SSL VPN trong cửa sổ Network Connections
7. Trong hộp thoại
Connect SSL VPN, kích nút
Connect.
8. Khi kết nối được hoàn tất, kích chuột phải vào kết nối SSL VPN trong cửa sổ
Network Connections và sau đó kích
Status.
Hình 27
9. Trong hộp thoại
SSL VPN Status, bạn có thể thấy được một kết nối
SSTP WAN
Miniport đã được thiết lập.
Hình 28
10. Nếu bạn vào máy chủ VPN và mở
Routing and Remote Access Console thì sẽ
nhận thấy rằng một kết nối SSTP đã được thiết lập.
Hình 29
Kết luận
Trong phần ba này, phần cuối của loạt bài báo về cách kết hợp cùng nhau một máy
chủ SSL VPN bằng cách sử dụng Windows Server 2008, chúng tôi đã hoàn tất cấu
hình của tài khoản người dùng, CRL Web site, và máy khách SSL VPN. Kết thúc bài
chúng tôi đã hoàn tất kết nối SSTP và xác nhận rằng nó đã thành công. Hy vọng
bạn sẽ thấy được nhiều thú vị trong loạt bài này.