Trong phần trước về loạt bài này, chúng tôi đã giới thiệu cho các bạn cách cấu hình TMG firewall làm PPTP remote access VPN server. Như những gì các bạn thấy qua phần đó, việc cấu hình TMG firewall làm PPTP remote access VPN server diễn ra khá đơn giản. Đó là lý do tại sao các máy chủ PPTP VPN lại phổ biến đến như vậy.
Trong phần này chúng tôi sẽ giới thiệu cho các bạn cách cấu hình TMG firewall làm L2TP/IPsec VPN server. Cần phải nói rằng đây là một cấu hình không đơn giản giống như cấu hình PPTP VPN server. Đó là vì, nếu muốn cấu hình máy chủ L2TP/IPsec remote access VPN server đúng cách, bạn cần phải xử lý các chứng chỉ. Rõ ràng bạn có thể tránh toàn bộ các vấn đề về chứng chỉ bằng cách sử dụng khóa tiền chia sẻ, nhưng các khóa tiền chia sẻ thường là các khóa không an toàn và chúng hầu như không thể mở rộng. Chúng tôi sẽ giới thiệu cho bạn cách sử dụng một khóa tiền chia sẻ ở cuối phần này nhưng đầu tiên chúng ta hãy đi vào xem xét cách thực hiện khác như thế nào.
Để mọi thành phần làm việc trong một môi trường an toàn nhất cho L2TP/IPsec, bạn cần bảo đảm có những thứ dưới đây:
- TMG firewall phải có chứng chỉ máy chủ với tên chung (common name) mà VPN client sẽ sử dụng để kết nối đến VPN server. Điều này có nghĩa rằng VPN server trên Internet phải có thể phân định tên chung này thành địa chỉ IP trên giao diện ngoài của tường lửa TMG firewall.
- TMG firewall phải tin tưởng CA đã phát hành chứng chỉ máy chủ được sử dụng bởi máy chủ VPN. Trong ví dụ được sử dụng trong bài này, TMG firewall là một thành viên miền và một CA doanh nghiệp và được cài đặt trên domain controller, vì vậy chứng chỉ CA sẽ tự động được cài đặt trên TMG firewall vì nó là một thành viên miền.
- VPN client phải tin tưởng CA đã phát hành chứng chỉ máy chủ của TMG firewall được sử dụng bởi cấu hình VPN. Do VPN client trong ví dụ mà chúng tôi sử dụng trong lab là một thành viên miền, nên nó sẽ có chứng chỉ CA được cài đặt trong kho Trusted Root Certification Authorities của nó.
Cấu hình máy chủ
Chúng ta hãy bắt đầu bằng cách xem xét Certificates MMC trên TMG firewall. Tập trung ở đây là kho lưu trữ chứng chỉ máy, như những gì thể hiện trong hình 1 bên dưới. Lưu ý rằng, máy tính dường như đã cài đặt một chứng chỉ. Mặc dù vậy, đây là một chứng chỉ máy tính được cài đặt tự động vì sự tự động kết nạp (autoenrollment). Chúng ta không thể sử dụng chứng chỉ này cho L2TP/Ipsec do tên chung trên chứng chỉ không phải là tên có thể phân giải trên Internet. Thêm vào đó, chúng ta thực sự không muốn tiết lộ tên của TMG firewall cho những kẻ xâm nhập tiềm tàng, vì vậy đó là một lý do không sử dụng chứng chỉ này, thậm chí nếu chúng ta có thể.
Hình 1
Khi ở đây, chúng ta hãy tạo một chứng chỉ. Kích phải vào phần panel ở giữa của giao diện và trỏ đến All Tasks sau đó kích Request New Certificate, xem thể hiện như hình 2 bên dưới.
Hình 2
Kích Next trong trang Certificate Enrollment, xem thể hiện trong hình 3.
Hình 3
Trong trang Select Certificate Enrollment Policy, xem trong hình 4, kích Next.
Hình 4
Trong hình 5 bên dưới, bạn có thể thấy chứng chỉ Web Server, đây là chứng chỉ mẫu mà chúng ta muốn sử dụng. Mặc dù vậy, mẫu này không có sẵn cho chúng ta. Tại đây, bạn có thể bắt đầu hoài nghi rằng có thể ở đây mọi thứ sẽ không dễ dàng như những gì bạn đã nghĩ.
Hình 5
Những gì cần thực hiện bây giờ? Bạn có thể nhớ lại rằng chúng ta đã sử dụng site kết nạp trong thời kỳ Windows Server 2003. Hãy thử với nó xem sao. Trong hình 6 bên dưới, bạn có thể thấy chúng tôi đã nhập vào URL http://dc1/certsrv. Dường như chúng ta không cài đặt site kết nạp trên máy chủ chứng chỉ.
Hình 6
Lúc này chúng ta cần chỉ ra những gì cần thực hiện. Chúng tôi có thể quay trở lại và cài đặt site kết nạp (Web enrollment), nhưng điều này không thực sự khắc phục được vấn đề vì những thay đổi trong Windows Server 2008 và các phiên bản trên nó không cho bạn nhận được chứng chỉ máy chủ từ Web enrollment site, vì vậy tùy chọn đó là không thích hợp. Chúng ta có thể tạo một mẫu chứng chỉ mới và cấu hình các điều khoản trên mẫu để có thể sử dụng Certificates MMC để đạt được chứng chỉ. Tuy nhiên nếu thực hiện điều đó, chúng ta sẽ thấy rằng mình không thể yêu cầu chứng chỉ từ TMG firewall vì theo mặc định chính sách của TMG firewall sẽ khóa truyền thông DCOM cần thiết để yêu cầu chứng chỉ thông qua MMC. Chúng ta có thể thay đổi System Policy để cho phép các chứng chỉ này và sau đó yêu cầu chứng chỉ, cuối cùng thay đổi System Policy trở lại, tuy nhiên biện pháp đó có vẻ khá phức tạp và cầu kỳ. Cách khác, chúng ta có thể tạo một yêu cầu offline bằng công cụ Certutil, sau đó sử dụng nó cho CA và nhận chứng chỉ, nhưng hầu hết trong số chúng ta đều không nhớ lệnh đó, và nó không cũng không thực sự thân thiện trong sử dụng.
Những gì chúng ta tìm kiếm là một cách đơn giản để có thể nhận được chứng chỉ bằng cách sử dụng thứ gì đó mà mình đang chạy. May thay, Web server role hiện đã cài đặt trên domain controller, do chúng ta muốn sử dụng website để test kết nối. Hay, đó là một giải pháp: Bạn có thể sử dụng giao diện IIS để yêu cầu chứng chỉ cho TMG firewall sau đó copy nó vào tường lửa sau khi đã thực hiện xong. Một cách làm hết sức đơn giản.
Trong hình 7, bạn có thể thấy giao diện điều khiển Internet Information Services. Kích tên máy tính trong phần panel bên trái của giao diện. Trong phần panel giữa của giao diện, bạn sẽ thấy biểu tượng Server Certificates. Hãy kích đúp vào biểu tượng Server Certificates này.
Hình 7
Trong phần bên phải của giao diện, kích liên kết Create Domain Certificate, như thể hiện trong hình 8.
Hình 8
Thao tác này của bạn sẽ mở Create Certificate wizard. Trong hộp thoại Distinguished Name Properties, mục quan trọng nhất là Common name. Tên mà bạn nhập vào trong hộp văn bản này phải tương xứng với tên mà bạn sử dụng để kết nối đến VPN server, tên này phải phân giải thành địa chỉ IP trên giao diện ngoài của TMG firewall (hoặc nếu TMG firewall nằm phía sau thiết bị NAT, nó phải phân giải thành địa chỉ public trên thiết bị NAT đang chấp nhận các kết nối và chuyển tiếp chúng đến giao diện ngoài của TMG firewall). Các mục còn lại trên trang này không quá quan trọng, tuy nhiên bạn cần điền đầy đủ chúng, xem thể hiện trong hình 9 bên dưới. Kích Next.
Hình 9
Trong trang Online Certificate Authority, thể hiện trong hình 10, kích Select.
Hình 10
Thao tác này của bạn sẽ mở ra hộp thoại Select Certification Authority. Trong hình 11 bên dưới, bạn có thể thấy rằng chúng ta có một CA hiện hữu, tên msfirewall-DC-CA. Chọn CA và kích OK.
Hình 11
Văn Linh (Theo Isaserver)
Bình luận (0)
Add Comment