Khanh Hoang - Kenn
Kenn is a user experience designer and front end developer who enjoys creating beautiful and usable web and mobile experiences.
#ff0000;">I. Giới thiệu
SSTP (Secure Socket Tunneling Protocol) là một giao thức kết nối VPN mới có ở phiên bản Windows Server 2008. Đây thực sự không gì mới mẻ so với VPN Server là các thiết bị phần cứng của các hãng nổi tiếng như Checkpoint, Juniper, Cisco,...Tên gọi chung của giao thức này mà các hãng sản xuất thiết bị phần cứng thường gọi là SSL-VPN. Bạn có thể đọc thêm cách hoạt động giao thức này tại MSopenlab hoặc tại Nhất Nghệ. Tại các bài viết đó tác giả sử dụng Windows Server 2008 xây dựng VPN Server hỗ trợ remote user kết nối VPN Server bằng SSTP. Bài viết này tôi sử dụng sản phẩm mới Forefront TMG beta3 (phiên bản kế tiếp của ISA Server 2006) làm VPN Server. Tham khảo cách cài đặt TMG tại http://msopenlab.com/index.php?article=109
#ff0000;">II. Mô hình
#ff0000;">III. Các bước thực hiện
- SSTP Client sử dụng Windows Vista SP1 trở về sau, bài viết này sử dụng Windows 7 RC.
- Certfication Authority Server sử dụng Windows Server 2008 Enterprise Edition SP2
Phần 1:
1. Cài đặt Stand-alone Root CA
2. Cấu hình CRL (Certificate Revocation List)
3. Tạo Local User và Group tại TMG Server.
4. Tạo rule trên TMG Server
a. Tạo rule cho phép TMG Server truy cập mạng Internal
b. Tạo rule cho phép VPN Clients truy cập mạng Internal
5. Publish CA Server
Phần 2:
6. TMG Server xin certificate
7. CA Server cấp phát certificate
8. TMG server cài đặt certificate
a. Export certificate từ certificate của user
b. Import certificate vào certficate store của máy TMG Server
Phần 3:
9. Cấu hình VPN trên TMG server
10. Restart RRAS trên TMG server
11. Cấu hình SSTP Client và kết nối VPN
a. Cấu hình file hosts
b. Download CA certificate và import vào Trusted Root CA
c. Kết nối VPN Server
12. Kiểm tra TMG server
#ff0000;">IV. Thực hiện
1. Cài đặt Stand-alone Root CA
- Tại Certfication Authority Server mở Server Manager , chuột phải Roles > Add Roles
Chọn Next
Check ô Active Directory Certificate Services
Chọn Next
Chọn Next
Check ô Certification Authority > Next
Chọn Add Required Role Services
Check ô Certification Authority Web Enrollment > Next
Chọn Standalone > Next
Chọn RootCA > Next
Chọn Create a new private key > Next
Chọn Next
Chọn Next
Chọn Next
Chọn Next
Chọn Next
Chọn Next
Chọn Install
Chọn Close
2. Cấu hình CRL (Certificate Revocation List)
Tại máy Certification Authority Server , mở Certificate Authority, chuột phải tên Server > Properties
Chọn tab Extensions > Add
Gõ http://vpn.nhatnghe.com/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl > OK
Chọn như hình > OK
Chọn Yes
3. Tạo Local User và Group tại TMG server.
- Tạo User u1, password P@ssword
- Chuột phải user u1 > Properties > Dial-in > Chọn Allow access
- Tạo group VPN, add user u1 thuộc group VPN
4. Tạo rule trên TMG server
a. Tạo rule cho phép TMG Server truy cập mạng Internal
Chuột phải Firewall Policy > New Access Rule
Đặt tên cho Rule > Next
Chọn Allow > Next
Chọn như hình > Next
Chọn như hình > Next
Chọn Add > Local Host > Add
Chọn Next
Chọn Add > Local Host > Add Internal > Add
Chọn Next
Chọn Next
Chọn Finish
Chuột phải Firewall Policy > New > Access Rule
Đặt tên cho Rule
Chọn Allow > Next
Chọn như hình > Next
Chọn như hình > Next
Chọn Add > VPN clients > Add
Chọn Next
Chọn Add > Internal > Add
Chọn Next
Chọn Next
Chọn Finish
Chọn Apply
Chọn Apply
Chọn OK
5. Publish Root CA
Chuột phải Firewall Policy chọn New > Web site Publishing Rule
Đặt tên Rule > Next
Chọn Allow > Next
Chọn như hình > Next
Chọn như hình > Next
Chọn như hình > Next
Chọn Next
Chọn như hình > Next
Chọn New > Nhập tên Web Listener như hình > Next
Chọn như hình > Next
Chọn như hình > Next
Chọn Next
Chọn như hình > Next
Chọn như hình > Next
Chọn Finish
Chọn như hình > Next
Chọn như hình > Next
Chọn Next
Chọn Finish
Chọn Apply
Chọn OK
Kết thúc phần 1. Xem tiếp phần 2
suthuc - MCT