(+84) 463.28.7979

Cấu hình TMG Beta 3 cho các kết nối SSTP VPN phần 2


Giới thiệu

Trong phần 1 của loạt bài này, tôi đã nói về những ưu điểm của SSTP và network mẫu mà tôi đã làm việc với nó.

>> Cấu hình TMG Beta 3 cho các kết nối SSTP VPN phần 1

Bây giờ hãy thực hiện việc đặt một cài đặt SSTP trên TMG Beta 3. Hãy nhớ rằng cài đặt này chỉ cho beta 3, và có thể thay đổi ở những sản phẩm theo sau RTM. Trong ví dụ này, tôi đang dùng một array TMG Enterprise Edition một thành viên. Chu trình có thể hơi khác nếu bạn triển khai một giải pháp TMG VPN sử dụng array Enterprise, bởi vì bạn cần xác định chủ kết nối, và không thể dùng DHCP cho thông tin địa chỉ IP.

Các bước cần để giải pháp làm việc trên network lab của chúng ta là :

Tạo SSTP Web Listener Certificate

Cài đặt SSTP Web Listener Certificate

Đến CRL Issue

Cấu hình VPN Configuration on the TMG Firewall

Export CA Certificate

Import CA Certificate vào Machine Certificate Store của VPN Client

Thực hiện VPN Connection và Confirm an SSTP Link

Bắt đầu

Tạo SSTP Web Listener Certificate

TMG sử dụng một Web Listener để chấp nhận các kết nối client SSTP VPN. Điều này có một vài ẩn ý quan trọng. SSTP VPN Web Listener yêu cầu bạn bind một chứng nhận đến Listener. Điều này có nghĩa là bạn cần dành riêng một địa chỉ IP cho SSTP Web Listener trong phần lớn các trường hợp. Lý do là SSTP Web Listener không yêu cần chứng nhận. Không chỉ không yêu cầu chứng nhận, bạn không cần buộc chứng nhận trên Web Listener. Vì điều này, không có vẻ bạn sẽ dùng cùng Web Listener cho Web Publishing Rule. Do đó, lên kế hoạch cho việc dành riêng một địa chỉ IP trên giao diện external của tường lửa TMG đến SSTP Listener.

Vấn đề tiếp theo cần giải quyết là lấy chứng nhận. Trở lại với Windows 2003, vấn đề khá đơn giản để lấy một chứng nhận từ site enrollment Web. Tuy nhiên, mọi chuyện đã thay đổi với Windows Server 2008 và bạn nghĩ mình cần dùng Web enrollment site để lấy một chứng nhận Web site cho SSTP Listener, bạn sẽ khá thất vọng.

Bạn sẽ dùng các phương pháp thay thế để lấy chứng nhận của mình. Đầu tiên, bạn cần quyết định dùng loại chứng nhận nào:

Commercial Certificate – Một chứng nhận thương mại mà bạn đã mua từ tổ chức chứng nhận thương mại. Ưu điểm của chứng nhận thương mại là bạn không cần lo lắng nhiều là client có chứng nhận cài đặt trên thiết bị store chứng nhận Trusted Root Certification Authorities. Nhược điểm là bạn phải trả phí, và thỉnh thoảng có những vấn đề khó khăn liên quan đến các chứng nhận cấp thấp mà bạn sẽ khó để giải quyết.

Private Certificate – Một chứng nhận cá nhân là cái mà bạn tạo ra sử dụng PKI của riêng mình. Phần lớn trường hợp, bạn sẽ dùng PKI được thiết lập của mình có trong domain Windows của bạn. Ưu điểm sử dụng chứng nhận cá nhân là bạn không trả phí (ngoại trừ thời gian để nó tạo một PKI, điều có thể quan trọng). Nhược điểm là nếu client của bạn không phải là thành viên của domain, bạn cần tìm cách để cài đặt chứng nhận CA của bạn trên thiết bị store chứng nhận Trust Root Certification Authority trên client.

Trong ví dụ này tôi đang dùng một chứng nhận cá nhân. Điều đó có nghĩa là tôi phải thực hiện hai điều sau để giúp nó làm việc:

Publishing my internal Certificate Revocation List – Client SSTP mặc định thực hiện check CRL. Vì yêu cầu này, tôi cần publish CRL của mình

Place the CA certificate on the VPN client – Chúng ta cần làm điều này vì client cần trust chứng nhận Web site mà Web Listener đang present với nó trong suốt quá trình kết nối.
Còn chi tiết thế nào? Làm sao yêu cầu một chứng nhận Web site? Theo tôi, các bạn nên dùng Windows Server 2003 IIS Web Site Certificate Request Wizard để lấy được chứng nhận. Tuy nhiên, đây chỉ là một cách để làm điều này. Còn nhiều những cách khác.

Chứng nhận tôi đã tạo cho SSTP Web Listener xuất hiện trong hình dưới. Tên thông thường của nó là vpn.msfirewall.org và Enhanced Key Usage cho Server Authentication.

SSTP_VPN_P2_1

Hình 1

Lấy chứng nhận Web site sử dụng phương pháp bạn chọn và copy nó đến desktop trên tường lửa TMG.

Cài đặt SSTP Web Listener Certificate

Bước tiếp theo là cài đặt chứng nhận Web site trên tường lửa TMG. Đây là việc khá đơn giản.

Thực hiện những bước sau trên tường lửa TMG để cài đặt chứng nhận:

1. Click Start và sau đó click Run. Mở text box điền MMC và click OK.

2. Trong cửa sổ Console1, click menu File và sau đó click Add / Remove Snap-in.

3. Trong box dialog Add or Remove Snap-ins, click mục cổng vào Certificates trong Available snap-ins và click Add.

4. Trong box dialog Certificates snap-in, chọn mục Computer account và click Next.

5. Trong box dialog Select Computer, chọn mục Local computer và click Finish

6. Click OK trong box dialog Add or Remove Snap-ins

7. Trên pane bên trái của console, mở node Certificates (Local Computer) và sau đó click vào node Personal. Bây giờ click vào node Personal và point đến All Tasks và click Import.

8. Click Next trên trang Welcome to the Certificate Import Wizard.

9. Trên trang File to Import, click nút Browse và tìm chứng nhận bạn đã copy đến desktop của bạn. Tên file sẽ xuất hiện trong text box File name sau khi bạn chọn chứng nhận. Click Next.

10. Trên trang Password, điền password bạn đã gán vào chứng nhận (giả sử bạn gán chứng nhận một password). Đánh dấu vào Mark this key as exportable nếu bạn muốn export dễ dàng chứng nhận trong tương lai. Điều này sẽ ít bảo mật hơn một chút, nhưng làm việc lâu dài cho tôi biết là nếu bạn không chọn mục này, bạn sẽ thấy hối tiếc. Điều này bảo mật không thực nếu bạn chú ý đến những hoạt động bảo mật khi bạn cấu hình và quản lý tường lửa. Click Next.

11. Chọn mục Place all certificates in the following store trên trang Certificate Store. Personal store được chọn tự động cho bạn. Click Next.

12. Click Finish trong wizard Completing the Certificate Import

13. Click OK trên box The import was successful

Chứng nhận được import sẽ hiện ra trong cửa sổ console, tương tự với cái hiện ra trong hình dưới

SSTP_VPN_P2_2

Hình 2

Đảm bảo là chứng nhận CA được cài đặt trên thiết bị store chứng nhận Trusted Root Certificate Authorities của tường lửa TMG. Tường lửa TMG dùng trong cài đặt lab được cấu hình như là một ưu tiên thành viên domain để cài đặt phần mềm tường lửa TMG, nên với kết nạp tự động được cài đặt chứng nhận vì tôi đang dùng Windows Server 2003 Enterprise CA. Nếu bạn không dùng một cài đặt tương tự, bạn cần đảm bảo là đã cài đặt chứng nhận CA trên tường lửa. Hình dưới mô tả chứng nhận CA được cài đặt ở đúng vị trí.

SSTP_VPN_P2_3

Hình 3

Giải quyết vấn đề CRL

Tôi đã nói về vấn đề CRL trước đây. Khi client SSTP VPN thực hiện kết nối, nó sẽ kiểm tra CRL để xem liệu chứng nhận Web site có được gọi ra. Vị trí CRL có trong chứng nhận, như hình dưới

SSTP_VPN_P2_4

Hình 4

Trong hình này bạn sẽ thấy CRL có thể được truy cập qua kết nối HTTP. Điều này có nghĩa tôi cần publish Web site CRL của mình. Chú ý là đây là tên mặc định có trong chứng nhận. Có những việc bạn có thể làm với cấu hình CA cá nhân để thay đổi CRL dùng để publish CRL, bạn nên thực hiện điều này trong môi trường sử dụng các sản phẩm chính thức.
CRL Distribution Point không thật sự được truy cập thông qua URL. Do đó, nếu bạn dự định publish CRL của bạn và nghĩ bạn có thể dùng URL đó có trong chứng nhận, bạn sẽ ngạc nhiên là nó sẽ không có hiệu quả. Tôi sẽ nói chi tiết về vấn đề này sau.

Nếu bạn đang dùng một chứng nhận thương mại, không cần lo lắng về việc publish site CRL của bạn. CRL thương mại có thể được từ bất kì vị trí kết nối Internet nào.

Bây giờ chúng ta sẽ quay lại với việc publish site CRL. Nó yêu cầu chúng ta tạo một Web Publishing Rule:

Trong pane bên trái của console tường lửa TMG, click node Firewall Policy. Click tab Tasks trong Task Pane và click Publish Web Sites.

SSTP_VPN_P2_5

Hình 5

Trên trang Welcome to the New Web Publishing Rule Wizard, điền tên cho Web Publishing Rule. Trong ví dụ này chúng ta điền tên CRL Site và click Next

SSTP_VPN_P2_6

Hình 6

Trên trang Select Rule Action, chọn mục Allow và click Next.

SSTP_VPN_P2_7

Hình 7

Trên trang Publishing Type, chọn mục Publish a single Web site or load balancer và click Next

SSTP_VPN_P2_8

Hình 8

Trên trang Server Connection Security, chọn mục Use non-secured connection to connect the published Web server or server farm và click Next

SSTP_VPN_P2_9

Hình 9

Trên trang Internal Publishing Details, điền tên đầy đủ của server CRL Web site trong text box Internal site name. Đảm bảo tường lửa TMG có thể chuyển nghĩa chính xác tên này. Hay, để giải quyết vấn đề tên, bạn có thể điền một tên khác hay địa chỉ IP khác cho server CRL Web trong text box Computer name or IP address sau đó check Use a computer name or IP address to connect to the published server. Click Next

SSTP_VPN_P2_10

Hình 10

Trên trang Internal Publishing Details, điền đường dẫn đến CRL. Nếu xem chi tiết chứng nhận Web site, bạn sẽ thấy đường dẫn là /CertEnroll/DC.crl, nên chúng ta sẽ điền nó vào text box Patch. Điều này cho phép chỉ truy cập đến file .crl và không đến được vị trí khác trên server Web, bắt buộc ở một số mức độ đặc quyền. Sau đó click Next

SSTP_VPN_P2_11

Hình 11

Trên trang Public Name Details, chọn mục This domain name (type below) trong Accept requests for ở menu dropdown. Trong text box Public name, điền public name mà client SSTP sẽ dùng để truy cập ddeeesn CRL. Trong ví dụ này, tên là dc.msfirewall.org. Đường dẫn sẽ được điền vào tự động dựa trên cấu hình của bạn ở trang trước.

SSTP_VPN_P2_12

Hình 12

Trên trang Select Web Listener, click New để tạo HTTP Web Listener cho Web Publishing Rule này sử dụng

SSTP_VPN_P2_13

Hình 13

Trên trang Welcome to the New Web Listener Wizard, điền tên cho Web Listener. Trong ví dụ này chúng ta sẽ đặt tên Web Listener là HTTP Listener. Click Next.

SSTP_VPN_P2_14

Hình 14

Trên trang Client Connection Security, chọn mục Do not require SSL secured connections with clients và click Next.

SSTP_VPN_P2_15

Hình 15

Trong trang Web Listener IP Addresses, đánh dấu chọn vào checkbox External. Tôi sử dụng mục nó vì tôi có một địa chỉ IP đơn lẻ đi đến giao diện external của tường lửa, tôi chọn nút Select IP Addresses và chọn một địa chỉ IP xác định trên giao diện external tường lửa. Sau đó tôi chọn External Network. Click Next.

SSTP_VPN_P2_16

Hình 16

Trong trang Authentication Settings, chọn mục No Authentication từ danh sách Select how clients will provide credentials to Forefront TMG. Vì client SSTP không có giao diện cho phép bạn cài các credential cho việc check CRL, chúng ta phải kích hoạt các kết nối dấu tên đến CRL. Click Next

SSTP_VPN_P2_17

Hình 17

Click Next trên trang Single Sign On Settings

SSTP_VPN_P2_18

Hình 18

Click Finish trên trang Completing the New Web Listener Wizard

SSTP_VPN_P2_19

Hình 19

Click Next trên trang Select Web Listener

SSTP_VPN_P2_20

Hình 20

Chọn mục No delegation, client cannot authenticate directly từ danh sách Select the method used by Forefront TMG to authenticate to the published Web server. Click Next

SSTP_VPN_P2_21

Hình 21

Trên trang User Sets, chấp nhận cài đặt All Users và click Next

SSTP_VPN_P2_22

Hình 22

Click Finish trên trang Completing the New Web Publishing Rule Wizard.

SSTP_VPN_P2_23

Hình 23

Click nút Test Rule để xác nhận nguyên tắc làm việc. Hình dưới xác nhận Web site đã trực tuyến và nguyên tắc cho phép kết nối đến site.

SSTP_VPN_P2_24

Hình 24

Click Finish trên trang Completing the New Web Publishing Rule Wizard.

Điền một mô tả cho thay đổi ở box Configuration Change Description nếu muốn và sau đó click Apply.

Bây giờ đến một client và cố gắng truy cập site. Trong client Windows 7 test của tôi, tôi điền địa chỉ http://dc.msfirewall.org/CertEnroll/dc.crl và nhấn enter. Bạn sẽ thấy box dialog như hình dưới hiện ra

SSTP_VPN_P2_25

Hình 25

Nếu bạn mở CRL, bạn sẽ thấy như hình dưới

SSTP_VPN_P2_26

Hình 26

Đến giờ chúng ta đã biết cách thức nguyên tắc làm việc. Tuy nhiên, chúng ta không biết liệu client SSTP có thật sự dùng đường dẫn được qui định trong nguyên tắc. Tôi sẽ cho bạn một gợi ý: client SSTP không dùng đường dẫn này. Điều đó có nghĩa chúng ta cần xem lại nguyên tắc này sau.

Tóm tắt

Trong phần bai của loạt seri ba bài về cấu hình tường lửa để chấp nhận các kết nối client SSTP VPN này, chúng ta đã nói về các vấn đề liên quan chứng nhận đến và sau đó đã cài đặt chứng nhận Web site vào tường lửa TMG. Sau đó chúng ta đã tạo Web Publishing Rule để publish site CRL của CA riêng chúng ta. Chú ý bạn không cần qua bước này nếu đang dùng CA thương mại. Trong bài tiếp cũng là bài cuối, chúng ta sẽ nói về những bước cấu hình cho server thành phần VPN và sau đó thiết lập một kết nối VPN sử dụng SSTP.

CT (Theo Isaserver)

Leave a Reply

Your email address will not be published. Required fields are marked *