分类
知识中心

安装win2008r2、域控、IIS、证书服务器(四)

九、架设证书服务器

exchange2010需要证书支持,exchange2010安装之后会默认开启ssl,在IE中只能使用https://而不是http://来访问owa。如果没有SSL证书,也能安装exchange2010,也能使用owa,但是会不断有告警出现。所以,要先架设证书服务器,自己给自己发证书。

1、服务器管理器—单击角色—右边添加角色—下一步—勾选active directory证书服务

2、点击下一步后,告诉你如果要架设证书服务器,就不能够再修改服务器的名字和域了,免得骗子证书满天飞。再次点击下一步。

3、默认只有安装证书颁发机构,除此之外,联机响应程序、web注册功也可以安装,web注册功能需要前面已经安装的IIS的asp支持。其他的服务要么不能与证书颁发机构同一批安装,要么需要其他环境支持,都暂时不用安装了。点击下一步。

安装win2008r2、域控、IIS、证书服务器(四)-1

4、安装类型里面选择企业。

有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个。(这句话完全是抄袭别人的,抄袭起来果然比自己打字轻松)简单说,企业更牛。

必须是 Domain Admins 组的成员或者是具有 AD DS 写入权限的管理员才能安装企业根 CA。我们一直在使用administrator进行操作,它当然具有这个权限。

ca类型是根ca

5、设置私钥

新建私钥,默认设置,勾选允许交互操作,点击下一步。

6、配置ca名称,默认,点击下一步。证书有效期,默认5年,点击下一步。数据库位置和日志位置默认,点击下一步。

7、确认,安装。告警信息再次提醒部署了ca服务器后就不能修改计算机名称和域了。

8、完成安装。

安装win2008r2、域控、IIS、证书服务器(四)-1

9、开始—管理工具—证书颁发机构(certsrv.msc),就可以打开证书服务器管理了。如果在安装IIS的时候没有启用asp,当安装完毕证书服务和web注册后也,也会开启asp.net和asp服务。

10、如果要安装余下的证书服务。控制面板—打开或关闭windows功能—展开角色—actice directory 证书服务 右键点击—添加角色服务

11、勾选想要安装的其他角色服务,该选项如果有附带角色服务要求,点击 添加所需的角色服务即可。

安装win2008r2、域控、IIS、证书服务器(四)-1

证书服务器的其他角色服务可能更好用,不过我这里没有继续添加了。

12、安装了web注册后,就可以在开始—管理工具—internet信息服务(IIS)管理器—网站—default web site—点击右侧 “查看应用程序”看到/certsrv程序已经被添加了。

 安装win2008r2、域控、IIS、证书服务器(四)-2

13、ie中输入192.168.1.61/certsrv,出现登陆框,(使用administrator和xitongguanliyuanmima0)就可以登录证书服务了。这里暂时不登陆,等到准备好证书申请文件后,再登陆。

 安装win2008r2、域控、IIS、证书服务器(四)-4

14、升级后重启服务器。

15、查看证书服务器和证书

在开始—管理工具—点证书颁发机构—右键点击omohome-omoserver-ca—选属性,可以看到0号证书,这是证书服务器颁发给自己的根证书。

点击查看证书,可以看到详细信息。

安装win2008r2、域控、IIS、证书服务器(四)-6

展开颁发的证书,可以看到颁发给域控服务器的2号证书,这份证书在安装了证书服务器,并重启了以后,才会颁发,重启之前是看不到的。

安装win2008r2、域控、IIS、证书服务器(四)-3

展开服务器管理器—web服务器(IIS)—点击internet信息服务(IIS)管理器—右侧展开omoserver—点开服务器证书(可以在筛选里找证书),可以看到刚才的两个证书,他们默认的到期时间是不一样的。第一个是颁发给域控的证书,第二个是颁发给证书服务器自己的证书。

安装win2008r2、域控、IIS、证书服务器(四)-6

十、启用站点的ssl

现在完成了IIS、证书服务器的架设,服务器里已经有两个证书,可以试验开启站点的ssl了。

1、开始—管理工具—internet 信息服务(IIS)管理器—omoserver—网站—default web site—右侧点击绑定—添加—类型选择https—ssl证书从我们现有的两个证书中随便选一个,确认后就打开了ssl。

安装win2008r2、域控、IIS、证书服务器(四)

现在用192.168.1.61来访问主页,还是原状保持不变。如果使用https://192.168.1.61来访问就会发生变化。

安装win2008r2、域控、IIS、证书服务器(四)-10

这是因为我们刚才绑定的ssl证书是给域控服务器发放的,与输入的192.168.1.61不匹配,所以出现一个警告,点击继续浏览此网站,可以看到页面,但是地址框变成了红色,表示站点证书异常,需要小心。点击证书错误,可以查看解释和证书内容。

安装win2008r2、域控、IIS、证书服务器(四)-5

2、现在,通过http://192.168.1.61和https://192.168.1.61都可以访问,但在完成exchange的部署后,http访问就会失效,只能通过https来访问。打开开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—网站—default web site—ssl设置,当完成exchange的架设后,ssl设置将被默认勾选。双击ssl设置,如果我们勾选这里的要求ssl,那么我们的网站也不能通过http来访问了。在exchange部署完成后,如果不想麻烦,可以在这里取消ssl的勾选,然后点应用,或者在站点的绑定里面删除掉https的绑定。

 安装win2008r2、域控、IIS、证书服务器(四)-9

十一、为站点制作证书申请、申请证书、安装证书

在架设好证书服务器后,可以给站点制作、申请、安装一个证书来保证ssl的使用。

ssl本证书来是为了提高安全性,为了没有告警关闭这个选项不是最好的解决办法,应该通过安装证书来保证ssl证书的使用。有两个方法得到证书,一是向全球公认的证书提供商申请证书然后安装,一是自己架设证书服务器给自己发证书。我们前面已经建设好了证书服务器,可以向自己的服务器申请证书。

申请购买地址:https://www.ert7.com/symantecs.html

CA即Certificate Authority ,也就是证书授权中心,Internet 服务器证书由公共证书颁发机构 (CA) 颁发。若要获取 Internet 服务器证书,首先要向 CA 发送申请,然后安装从 CA 发送来的 Internet 服务器证书

1、打开 IIS 管理器,点击omoserver2,中间IIS栏目下找到服务器证书,双击(也可以在筛选中输入”证书”快速查找。)

2、在右边”操作”窗格中,单击”创建证书申请”。

3、在”申请证书”向导的”可分辨名称属性”页上,填写信息,然后单击”下一步”。这里写的证书名称必须和网站的名称一致。比如,想要认证的网站叫做omoserver2.omohome.com,那么名称就一定要填写这个。即使192.168.1.61与它指向的是同一个页面,也不能填写成192.168.1.61,否则在使用中会出现客户端输入的网站名字与证书名字不符合,认证告警的情况。其他内容都可以随便填写。

安装win2008r2、域控、IIS、证书服务器(四)-10

4、加密默认,位长默认,单击”下一步”。

5、在”文件名”页上的”为证书申请指定一个文件名”文本框中,键入一个文件名;可以单击该页上的浏览按钮 (…) 来指定保存位置和名字。我将证书放在我的文档下面,名字叫做omo的证书申请文件,默认是txt文件。

6、到我的文档里面一看,一个证书申请文件做出来了。打开证书,看到一大堆XXX文字,这是加密了的内容。然后,如果有钱有闲,去国际公认的证书发行公司申请证书吧。证书多少钱一个?不知道。申请文件发给谁?不知道。多少时间证书做好发回来?不知道。貌似一个网上缴税的ca证书是80元,貌似taobao的证书不要钱,貌似盗版服务器搞证书很纠结。

还是将这个文件发到我们自己的证书服务器里面去认证吧。

7、证书申请文件“omo的证书申请文件.txt”已经准备好,放在我的文档了;证书服务器已经架设好,可以web访问了。现在开始申请证书。

A、先在服务器IE中把http://192.168.1.61/添加为可信任的站点,信任站点安全降到最低。(这是为了下载插件的时候不被IE阻止)

安装win2008r2、域控、IIS、证书服务器(四)

B、在服务器的ie中输入http://192.168.1.61/certsrv,出现登陆框,使用administrator2和xitongguanliyuanXXXX0)登录。点击申请证书,点击高级证书申请,选第二项64编码的XXXXXX

C、找到我的文档中的“omo的证书申请文件.txt”,打开,将内容全部拷贝。

 安装win2008r2、域控、IIS、证书服务器(四)-7

安装win2008r2、域控、IIS、证书服务器(四)-16

D、点击“是”,确认操作,默认der编码证书,然后点击下载证书。将做好的证书保存到我的文档。

安装win2008r2、域控、IIS、证书服务器(四)-13

8、已经完成了架设证书服务器— 证书申请文件制作—向架设的证书服务器申请证书的工作,剩下就是将得到的证书导入了。

开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—证书服务器—点右边的完成证书申请,在我的文档中找到刚才下载的证书,好记名字随便写,一路确定完成证书导入。

现在在开始—管理工具—internet 信息服务(IIS)管理器—omoserver—证书服务器里面就有3个证书了,从上到下分别是发给域控的证书、证书服务器自己发给自己的证书、刚才导入的证书。

安装win2008r2、域控、IIS、证书服务器(四)-8

9、证书导入后,还没有和网站绑定。开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—网站—default web site—右侧点击绑定—弹出对话框中点击添加—类型https,ssl证书选择下拉框中找到刚才导入的证书,一路确认。(如果前面已经绑定的证书还是域控的证书,这里就可以把它更换成给网站的证书了)

10、在服务器的IE中输入

http://omoserver2.omohome.com/和https://omoserver2.omohome.com/都可以访问。当输入https://omoserver2.omohome.com/时打开的页面出现了变化,地址栏后面出现了一把锁,表示已经加密,点击锁可以看到说明。

安装win2008r2、域控、IIS、证书服务器(四)-15

11、这时,再到客户端的IE中输入https://omoserver2.omohome.com/,任然有证书错误的告警,这是因为客户端还没有信任我们自己建设的证书服务器。在客户端的IE中把http://192.168.1.61/添加为可信任的站点,登陆http://192.168.1.61/certsrv,输入密码后,点击 下载 CA 证书、证书链或 CRL—下载ca证书—保存到桌面。在桌面打开刚刚下载的证书,可以看到此根证书不受信任的告警,点击安装证书—下一步—选择将所有的证书放入下列存储—浏览—选择 受信任的根证书颁发机构—然后一路选择确认和是。导入完成后,再打开桌面的证书,可以看到证书告警已经消失了。

安装win2008r2、域控、IIS、证书服务器(四)-20

 

12、再次在客户端IE中打开https://omoserver2.omohome.com/,正常的锁出现了,证书安装完毕。这个认证只针对omoserver2.omohome.com这个名字,如果用192.168.1.61来登录,因为名字和证书不一样,就算他们指向同一个网站,也会告警。

13、给每一台客户端电脑都安装证书保证他们都不会告警。

如果打算不启用ssl,那么可以不设置九、十、十一

除去证书设置以外的所有的部署前准备工作可以在

http://technet.microsoft.com/zh-cn/library/bb691354(EXCHG.140).aspx

中查询。不布置证书的准备是非常快的。

依然要升级,存档

分类
网络新闻

Windows Server 2008中NAP FOR IPSEC企业的应用

集成TMG 2010,提升Windows Server 2008中的NAP FOR IPSEC在企业中的应用。NAP 技术介绍:NAP从字面上理解是网络访问保护。NAP提供网络准入技术,允许符合要求的客户端进入企业内部网,限制不符合要求的客户端进入企业网络的隔离区。并为隔离区的客户端计算机提供自动修正和补救,一旦符合健康要求即可进入正常网络。NAP是由客户端健康策略创建、强制及补救技术组成。NAP定义了客户端操作系统和关键软件要求的配置和更新条件。NAP技术内置于Windows 操作系统中,属于内置功能。支持NAP的客户端操作操作系统有Windows XP SP3、Windows Vista、Windows 7,服务器端操作系统有Windows Server 2008。通过激活和配置管理,可实现NAP 技术。

NAP For IPSEC:NAP的技术的实现基于以下几种情形:DHCP、VPN、802.1X和IPSEC。假如客户端计算机是静态的IP参数,也不需要建立VPN,也不使用802.1X,那么剩下的就只有 NAP For IPSEC.下面就着重介绍NAP FOR IPSEC的概念和技术机制。 NAP FOR IPSEC涉及的概念和名词术语有:

SHA:System Health Agents,系统健康代理,产生入网客户端健康陈述(SoH),代表一个客户机健康状态的快照;

NAP Agent: NAP代理,收集和管理健康信息;

NAP EC: NAP Enforcement Client,NAP执行客户端,传递健康状态给NAP服务器,NAP服务器提供网络访问策略。对于不同的网络访问和通讯类型,都有NAP EC模块相匹配.例如,对于IPSEC通讯,就有对应的NAP EC FOR IPSEC;

NAP Enforcement Client:有NAP内置功能的客户端操作系统计算机 ,由SHA、NAP Agent 、NAP EC三个模块组成。只要计算机安装Windows XP SP3、Windows Vista、Windows 7就能满足这一要求;

SoH:英文全称为Statement of Health ,健康陈述(补丁状态和系统配置等);

SoHR: SoH Response ,对SoH的应答.应答有两种(YES /NO).YES-代表健康状态满足要求,同意颁发证书;No-代表不满足健康要求,提供修正指导,提供受限访问;

HRA 服务器:英文全称是Health Registration Authority Server ,健康注册授权机构。是服务器端NAP ES模块,与客户端NAP EC模块相匹配。向客户端提供一些所需的网络访问能力,传递客户端健康状态给网络策略服务器,执行网络限制访问;

SHV:英文全称是System health Validator,即系统健康验证器,是NAP平台架构的服务器端组件,与客户端的SHA相对应。SHV接受客户端SHA传来的SoH,返回SoH应答。通知客户端如果SHA不满足要求的健康状态,应如何执行的行为。

NPS: 英文全称是Network Policy Server,即网络策略服务器。由SHV、策略及NAP管理模块组成。策略定义了客户端的健康。NPS验证定义的健康策略。

企业安全网络:客户端符合健康策略,允许进入企业内部网络,授权完全的网络访问;

受限网络:客户端不符合健康策略,不允许进入企业网络,网络访问受到限制。客户端可以进行有限的访问,如可以访问救援服务器,安装所需的补丁,进行恰当的配置。通过补救,客户端可以恢复健康状态;

Remediation Servers: 可以翻译为救援、补救和修正服务器。客户端的SHA和救援服务器相对应。能从救援服务器下载最新的补丁和病毒更新;

Network Access Limitation Enforcement Methods:即网络访问限制执行方法。NAP for IPsec使用的方法是:在受限网络的客户计算机,不能获得证书机构颁发的健康证书。在同关键服务器通讯时,没有证书就无法建立IPSEC通讯;

NAP FOR IPSEC 技术机制:

1、 NAP 客户端请求网路访问,提供系统健康状态。发送SoH请求;

2、 HRA接受SoH请求,中继请求至策略服务器;

3、 依据健康策略,策略服务器SHV对SoH请求作出应答,返回给HRA;

4、 如果客户健康状态不符合健康策略要求,将被受限访问。HRA返回SoH请求应答给客户端, NAP客户端不能获得健康证书,客户端不能同后台服务器建立IPsec通讯。但可以同救援服务器通讯,恢复健康状态。在恢复健康状态后,可以重新申请健康证书;

5、 如果客户健康状态符合健康策略要求,HRA返回SoH请求应答给客户。HRA得到策略服务器的批准,替NAP客户端申请健康证书,颁发证书给符合要求的NAP客户端。有了健康证书的客户端就可以同后台的服务器建立IPSEC的通讯了。标志进入企业安全网络。

NAP FOR IPSEC在企业实施方案分析:

1、在微软提供的NAP解决方案中,有DHCP、802.1X、VPN及IPSEC。

2、在DHCP、802.1X、VPN情形中,有一个关键点和前提,就是客户端入网的第一步必须和DHCP、802.1X、VPN通讯,进而才能对客户端的健康状态加以评估,NAP机制才会起作用。如果没有这个前提,NAP机制就会被绕过,不会起作用。具体来讲,在NAP FOR DHCP技术方案中,关键点是DHCP服务器。在NAP FOR 802.1X 技术方案中,关键点是支持NAP的802.1X访问设备。在NAP FOR VPN技术方案中,关键点是VPN服务器。

3、在NAP FOR IPSEC情形下,问题比较复杂。缺乏一个关键点,客户端在企业网络里与那一台服务器通讯是随机的。我们必须保证基础架构服务器(DC)、网络架构服务器(DNS等)及救援服务器和客户端通讯是正常的,不能设置严格的IPSEC策略。因此不能将这一类服务器作为关键控制点。而每台客户端机器必须与之通讯的业务系统,可能是跨平台系统,不支持NAP技术,也作不成中心控制点;

4、引入微软网关产品TMG 2010,利用TMG 2010将网络分成微软企业内部网和业务系统网络。TMG是关键点,有两块网卡。一块连接企业内部网,另一块连接业务网络。所有客户端(B/S模式)要访问业务系统,必须先同TMG通讯(web 代理功能)。这样就形成以TMG为中心控制点;

5、有了TMG关键点后,就可以规划NAP FOR IPSEC方案了;

NAP FOR IPSEC解决方案实施步骤:

1、 在服务器上安装Windows Server 2008,部署AD 架构,配置DNS\AD DS\AD CS角色;

2、 在AD域上建立三个安全组:1、NAP IPSEC Client Computers ,包含所有满足健康策略接受健康证书的客户端计算机(Windows XP SP3、Windows Vista、Windows 7); 2、NAP IPSEC Boundary Computers ,能自动获得IPSEC健康证书,涵盖基础架构服务器(DC)、网络架构服务器(DNS等)及救援服务器,对这个组不采用严格的IPSEC策略; 3、NAP IPSEC Protected Computers,能自动获得健康证书,要求进站连接提供健康证书。这个组包含关键服务器,TMG服务器属于这个组。这个组采用严格的IPSEC策略;

3、 对网络中的计算机进行归属划分,加入相应的组里;

4、 在证书服务器创建新的健康证书模板,在证书模板的安全属性设置安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers对该模板有Read 、Allow Enroll 、Allow Autoenroll的权限;

5、 配置证书服务器颁发健康证书模板;

6、 在AD 上配置域缺省组策略,使得在域里的计算机能自动获得证书;

7、 从以上配置可以保证安全组NAP IPSEC Boundary Computers和NAP IPSEC Boundary Computers里的计算机能获得健康证书,即企业内部网的所有的服务器都能获得健康证书。安全组NAP IPSEC Client Computers不能通过此方法获得证书,因为此组对新创建的健康证书模板没有Allow Enroll 、Allow Autoenroll的权限。安全组NAP IPSEC Client Computers是通过HRA获得证书的;

8、 配置HRA,HRA是一个WEB 应用程序,如果策略服务器判定客户端计算机是符合健康要求的,HRA将从证书服务器CA上为客户端计算机获得一个健康证书,并发送给客户端。建立HRA与CA服务器之间的关联,HRA就像一个证书代理机构,为符合要求的健康客户端提供健康证书。因此,在证书服务器上配置HRA所代表的帐户应有请求、颁发和管理证书的权限。在HRA上指向正确的证书服务器信息;

9、 配置策略服务器NPS,配置SHV、健康策略和网络连接策略。有两个策略,一个是符合健康要求的,另一个是不符合要求的;

10、 激活客户端计算机NAP For IPSEC模块。可通过组策略来实施。需要完成两项设置,  一是启用NAP For IPSEC,配置信任HRA服务器组,指向正确HRA URL地址.因为HRA提供的是一个WEB 应用程序服务。客户端NAP Agent根据SoH响应通过这个服务获得健康证书或取消健康证书;

11、 验证服务器证书机制起作用,查看在域中的服务器都能获得健康证书;

12、 验证客户端证书机制起作用,查看符合健康要求和不符合健康要求的情况;

13、 确认准备安装TMG 2010的机器已获得健康证书;

14、 利用组策略管理工具GPMC对三个安全组实施IPSEC 组策略。安全组NAP IPSEC Client Computers NAP和 IPSEC Protected Computers实施严格的IPSEC组策略:入站要求健康证书出站请求;安全组NAP IPSEC Boundary Computers实施包容性的IPSEC组策略:入站和出站请求健康证书;

15、 安装关键控制点TMG 2010,配置TMG 2010,TMG 服务器属于安全组IPSEC Protected Computers。所有计算机必须首先访问TMG,才能访问后台的业务系统。实现跨平台的NAP For IPSEC解决方案;

16、 测试集成TMG 2010的NAP For IPSEC效果。

实施方案问题探讨:

1、 TMG 2010安装完成后,会接管对应网络接口的管理策略,会不会同对应TMG服务器的NAP For IPSE组策略冲突?

答:通过做实验和部署,确认不会冲突,TMG 2010遵从NAP For IPSEC组策略。两者配合的很好。在做实验前,对这个问题一直没有把握。完成实验后,心里就踏实了。

2、 TMG 2010只能安装在64位Windows Server 2008 R2的机器上.64位Windows Server 2008 R2的机器能不能从在32位Windows Server 2008的CA服务器上获得证书?

答:结果出人意料。不能获得,但从道理上是可以的。需要进一步确认;

3、 对于Windows Server 2008 R2才有基于Windows 7的健康验证器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。

4、 Windows XP sp3 是否能接受来自Windows Server 2008 R2 基于高级防火墙配置的NAP For IPSEC组策略的设置?

答:实验结果是不能。需要在Windows XP sp3上手工配置IPSEC,健康证书移走后,IPSEC通讯不中断。需要重新启动IPSEC服务,才能看到效果。