Реализация защиты доступа к сети (Network Access Protection) требует использования нескольких серверов, каждый из которых выполняет определенную роль. Как может выглядеть такая простая реализация, вы можете увидеть на рисунке 1.
Рисунок 1: Реализация защиты доступа к сети требует использования нескольких серверов
Как вы можете увидеть из диаграммы, клиент с операционной системой Windows Vista подключается к серверу Longhorn Server, на котором запущена служба удаленного доступа Remote Access (RRAS). Этот сервер работает как сервер VPN server для сети. Клиент с Windows Vista устанавливает соединение с этим сервером VPN server обычным способом.
Когда удаленный пользователь подключается к серверу VPN server, контроллер домена проверяет права пользователя. В обязанности сервера сетевых политик входит определение, какие политики необходимо задействовать, и что случиться, если удаленный клиент не имеет полномочий. В тестовой среде необходимо использовать один физический сервер для выполнения ролей службы маршрутизации и удаленного доступа, а также для роли сервера сетевых политик. В реальной ситуации сервера VPN server располагаются по периметру сети, и размещение сервера сетевых политик по периметру сети очень плохая идея.
Контроллер домена
Если вы посмотрите на диаграмму, изображенную на рисунке A, то вы увидите, что один из требуемых серверов – это контроллер домена. Не думайте, что это всего лишь единственный сервер – это вся инфраструктура Active Directory infrastructure. Как, я уверен, вы знаете, Active Directory не может работать без сервера DNS server. Именно поэтому, если бы эта диаграмма представляла собой буквально описание реальной сети, то тогда контроллер домена использовал бы для своей работы службы DNS services. Конечно, в реальной ситуации организации обычно используют несколько контроллеров домена и специальные DNS.
Еще необходимо также рассмотреть тот фактор, который может быть не таким очевидным из диаграммы, что также необходимы корпоративные сертификаты. В случае этой диаграммы, службы сертификатов можно легко разместить на контроллере домена. В реальной ситуации часто используется специальный сервер для сертификатов, т.к. природа цифровых сертификатов очень чувствительна.
В том случае, если вас это удивляет, то причина, по которой необходим корпоративный сертификат, заключается в том, что сервер VPN server использует протокол PEAP-MSCHAPv2 для аутентификации. А протокол PEAP для своей работы использует сертификаты. Сервер VPN server будет использовать сертификаты с серверной машины, в свою очередь удаленные клиенты будут использовать пользовательские сертификаты.
Установка корпоративного сертификата
Процедура установки корпоративного сертификата может отличаться в зависимости от того, устанавливаете ли вы службы на сервере Windows 2003 или же на сервер Longhorn. Т.к. одной из целей написания этой статьи было познакомить вас с операционной системой Longhorn Server, то следующая процедура будет описывать установку служб для сертификатов для операционной системы Longhorn Server.
Перед тем, как я покажу вам, как устанавливать службы для сертификатов, вы должны запомнить две вещи. Первое, операционная система Longhorn Server по-прежнему находится в бета тестировании. Поэтому, всегда существует шанс, что то, о чем я вам сейчас рассказываю, изменится к моменту выхода окончательной версии, хотя очень сильные изменения на этом этапе очень нежелательны.
Другая вещь, о которой также необходимо помнить, заключается в том, что вы должны предпринять экстренные меры для обеспечения безопасности вашего корпоративного сертификата. Ко всему прочему, если кто-то завладеет вашим корпоративным сертификатом, то он завладеет вашей сетью. Т.к. эта статья сфокусирована на защите доступа к сети, то я собираюсь показать вам, что необходимо сделать для того, чтобы установить и запустить ваши службы сертификатов. На практике вы должны лучше подумать о конфигурации сервера.
Начнем процесс установки с открытия менеджера сервера операционной системы Longhorn Server Manager и выбора настройки Управление ролями из дерева консоли. Далее нажмите на ссылку Добавить роли, которую можно найти в разделе Roles Summary в консоли. В результате этих действий Windows запустит мастера по добавлению ролей. Нажмите на кнопку Next, чтобы пропустить окно приветствия мастера. Теперь вы увидите список всех доступных ролей. Выберите параметр Active Directory Certificate Server из списка. Роли могут располагаться не в алфавитном порядке, поэтому, если это необходимо, прокрутите список до конца, чтобы найти необходимую службу. Для продолжения нажмите на кнопку Next.
После этого вы увидите экран, на котором представлены службы сертификатов и некоторые предупреждения. Нажмите на кнопку Next для того, чтобы пропустить этот экран и перейти к другому окну, на котором вам предлагают выбрать устанавливаемые компоненты. Выберите Certification Authority, а также Certificate Authority Web Enrollment, а затем нажмите на кнопку Next.
После этого вы увидите экран, на котором вас спрашивают, хотите ли вы создать корпоративный сертификат или отдельно стоящий сертификат. Выберите параметр Enterprise Certificate Authority и нажмите на кнопку Next. Далее вас спросят, будет ли этот сервер работать как корневой Root CA или же, как дополнительный Subordinate CA. Т.к. это первый (и единственный) сертификат в вашей лаборатории, то вы должны выбрать параметр Root CA. Для продолжения нажмите на кнопку Next.
Далее мастер спросит вас, хотите ли вы создать новый закрытый ключ или использовать существующий закрытый ключ. Т.к. это всего лишь тестовая установка, поэтому выбираем параметр для создания нового закрытого ключа и нажимает для продолжения на кнопку Next.
В следующем окне вы должны будете выбрать поставщика услуг для шифрования, длину ключ, а также алгоритм хеширования. На практике вы должны с осторожностью подойти к выбору этих параметров. Т.к. мы создаем этот сертификат исключительно в демонстрационных целях, то оставьте все по умолчанию и нажмите на кнопку Next.
На следующем экране у вас будет возможность определить общее название, а также различающийся суффикс для сертификата. Опять оставьте все по умолчанию и нажмите на кнопку Next.
Далее вы увидите окно, в котором вы должны задать срок действия сертификата. По умолчанию этот период составляет 5 лет, что великолепно подходит для наших целей, поэтому просто нажмите на кнопку Next. Далее откроется окно, в котором вы должны указать, где будут располагаться базы данных сертификатов и соответствующие им журналы транзакций (transaction log). В промышленной среде этот выбор необходимо сделать с особой осторожностью в плане безопасности и отказоустойчивости. Т.к. это всего лишь тестовая лаборатория, то просто нажмите на кнопку Next.
Далее вы увидите окно, на котором будут описаны, все выбранные вами настройки. Нажмите на кнопку Install (установить) и операционная система Windows скопирует все необходимы файлы и настроит все службы.
Заключение
Теперь, когда я показал вам, как настраивать корпоративные сертификаты, пришло время приступить к настройке сервера VPN server. Об этом я расскажу вам в третьей части (Part 3).
Автор: Брайн Позей (Brien Posey)
Взято на сайте netdocs.ru