Cài đặt và cấu hình ISA Server Firewall 2004 - Chương 2 Cài đặt Certificate Services MicrosoftCertificate Servicescó thể được cài đặt trênDomain controller của internalNetwork và cung cấpcác Certificates cho các Hosts trong Internal Networkdomain,cũng như các Hosts không là thành viêncủa Internal Network domain.Chúng ta sẽ sử dụngCertificates trong nhiều kịch bản khác nhau, các công việc cần hoàn thành: • Chophép ISA Server 2004Firewall cungcấp kênh để hỗ trợ L2TP/IPSec VPN protocol,tạo liên kết site-to-site VPN. • Chophép ISA Server 2004Firewall cungcấp kênh để hỗ trợ L2TP/IPSec VPN protocol,tạo điều kiện cho VPNclient thựchiện kếtnối từ một Remote Location(site) • Chophép remote users có thể truy cập đếnOutlook Web Access site, phươngthức bảo mật mạnh SSL-to- SSL bridged connections. • Publish secureExchange SMTP và POP3 services lên InternetCertificates cho phép dùng SSL/TLS security. SSL (Secure Sockets Layer) protocol, làmột giao thức lớpsession (layer)có khả năng mã hóa dữ liệu truyềngiữa clientvà server. SSL securityhiện được xemlà chuẩn cungcấp an toàn cho các remote access đến cácWebsites. Ngoài ra,certificates còn có thể được dùng để xác nhận cácđối tượng tham gia các kết nối VPN, bao gồm VPN clientsvà VPN servers(phương pháp này gọi là xác thực cả hai chiều- mutual Authentication) Trongphần nàychúng ta sẽ đề cập đến các tiến trìnhsau: • Cài đặt Internet Information Services 6.0 để hỗ trợ Certificate Authority’s Web Enrollment ( nhận các Certificatestừ CA server thông qua hìnhthức đăngkí trên CA’sWeb) • Cài đặt MicrosoftCertificateServices ở chế độ Enterprise CA Cài đặt Internet Information Services 6.0 Certificate Authority’s Web enrollment site sử dụng Internet Information Services World Wide Publishing Service. Bởi vì chúngta đã cài IISWeb services,trong chương 1khi tiến hành cài Exchange2003 hỗ trợ Outlook Web Accesssite, nên sẽ khôngcần cài lại IIS service. Tuynhiên, bạn nên xác nhận lại WWW Publishing Service đã được Enabled,trướckhi tiến hành càiEnterprise CA. Thi hành cácbước sau để xác nhậnWWW PublishingService đangchạy trên domaincontroller: 1. Click Start chọn Administrative Tools. Click Services 2. TrongServices console, click Standard tab phía dưới.Kéo xuống danh sách và double-click vào World Wide Web Publishing Service. 3. TrongWorld Wide Web Publishing Server Properties dialogbox, xác nhậnStartup type là Automatic, và trang thái vận hành củaservice là Started. 4. Click Cancelvà đóng Services console. Như vậy WWWPublishing Service đã vận hành, bước tiếp theo là cài đặtEnterprise CA software. Cài đặt Certificate Services ở chế độ Enterprise CA MicrosoftCertificate Servicessẽ được cài đặtở chế độ này trên chính domaincontroller.Có nhữngthuận lơikhi cài CA ở chế độ Enterprisemode (ngược lại với Standalone mode)bao gồm: • Chứng từ gốc của CA (root CA certificate) được tự động đưa vào vùnglưu trữ Certificate củaTrusted Root Certification Authorities (certificatestore) trên tất cả các máy thành viên củaDomain (domain member). CácComputer thành viên của Domainkhi dùng cácgiao dịch cần Certificatesđể nângcao tính an toàn, có thể dễ dàngtìm các nhà cung cấp hơp pháp-CA servers, trong Trusted Root Certification Authorities trên Computer củamình. • CácClients này cũngdễ dàng dùng Certificates MMC snap-in (tạiRUN, type mmc, chọn File, Add/Remove snap-in, Add, chọn Certificates),và dễ dàng dùngsnap-innàyđể yêu cầu certificatestừ CA Servershoặc từ CA’s Websites • Tất cả các Computer trongDomain có thể được phân chia Certificatesđồng loạt thông quatính năng Active Directory autoenrollment feature Lưu ý rằng khôngnhấtthiết phải cài CA ở Enterprisemode. Bạn có thể cài CA ở chế độStandalone mode, nhưngtrong Lab nàychúng ta sẽ khôngđề cập standalone modehoặclàm thế nào để xin cấp certificatetừ một StandaloneCA Tiếnhànhcác bước sauđể cài đặt EnterpriseCA trênDomain ControllerEXCHANGE2003BE 1. Click Start, Control Panel.Click Add or Remove Programs. 2. TrongAdd or Remove Programs, click Add/Remove Windows Components 3. TrênWindows Components page,kéo danhsách xuốngvà check vào Certificate Services checkbox. Click Yes trong Microsoft Certificate Services dialogbox, thôngbáo rằng informing“you may not change the name of the machine or the machine’s domain membership while it is acting as a CA”. Như vậy là rấtrõ ràng Bạnkhông thể thay đổi ComputerName hoặc thayđổi tư cách thành viên Domain củaComputernày, sau khiđã cài CA service.ClickYes. 4. Click Next trên Windows Components page. 5. TrênCA Type page, chọn Enterprise root CA option và click Next. 6. TrênCA Identifying Information page, điềntên cho CA servernày trong Common name của CA textbox. Nên dùngtên dạng DNS host name của domaincontroller.Tham khảo về cấu hình DNShỗ trợISA Server http://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport. htm Trongtext box này các bạn điền vào NetBIOS name của domaincontroller làEXCHANGE2003BE. Click Next. 7. Nếu Computer nàytrước đâyđã cài đặt mộtCA, bạnsẽ được hỏi “you wish to overwrite the existing key”, ghi đè lên các khóa đã tồn tại. Còn nếu bạn đã triển khai cácCA kháctrên Networkcó thể khôngnên overwrite các khóa hiện tại. Vànếu đây là CA đầutiên, có thể chấp nhậnoverwrite the existing key. Trong ví dụ này chúng ta trước đó đã chưacài CA trênComputervì vậy không nhìnthấy dialog boxthôngbáo như trên 8. TrongCertificate Database Settings page, dùng vị trí lưu trữ mặc định cho Certificate Databasevà Certificate databaselog textboxes. Click Next. 9. Click Yes trong Microsoft Certificate Services dialog box, bạn nhận được thông báo phải restartInternet Information Services.Click Yes để stop service.Service sẽ được restart automatic. 10. Click OKtrongInsert Disk dialogbox. Trong Files Needed dialog box, đưa đường dẫn đến I386folder trong Copy file from text box và click OK. 11. Click Finishtrên Completing the Windows Components Wizard page. 12. Đóng Add or Remove Programs. Tại thời điểm này Enterprise CA cóthể cấp phát certificatescho các Computer kháctrong Domain thông quaautoenrollment, Certificates mmc snap-in, hoặc qua Web enrollment site. Tronghướng dẫn cấuhình ISA Server 2004 này, chúngta sẽ cấp phát một Web site certificate cho OWA Web site và cũng cấp phát các Computer certificates cho ISA Server 2004 Firewall computer và cho các external VPN client vàVPN gateway (VPN router) machine. Kết luận: Trongphần nàychúng ta đã thảo luận về việc dùng một CA-Certificate Authorityvà làm thế nào để cài đặtmột EnterpriseCA trên Domaincontroller trong internal Network.Và tiếp theochúngta sẽ dùng Enterprise CA để cấp Computer Certificatescho các VPNclients và servers,cũng cấp luônmột Website certificate cho ExchangeServer’s Outlook Web AccessWeb site. . Cài đặt và cấu hình ISA Server Firewall 20 04 - Chương 2 Cài đặt Certificate Services MicrosoftCertificate Servicescó thể được cài đặt trênDomain controller của internalNetwork và cung. thành: • Chophép ISA Server 20 0 4Firewall cungcấp kênh để hỗ trợ L2TP/IPSec VPN protocol,tạo liên kết site-to-site VPN. • Chophép ISA Server 20 0 4Firewall cungcấp kênh để hỗ trợ L2TP/IPSec VPN protocol,tạo. mmc snap-in, hoặc qua Web enrollment site. Tronghướng dẫn cấuhình ISA Server 20 04 này, chúngta sẽ cấp phát một Web site certificate cho OWA Web site và cũng cấp phát các Computer certificates cho ISA