В предыдущей части этой серии статей мы поработали с сервером сетевой политики (Network Policy Server). К сожалению, мы не совсем завершили процесс настройки. Наши клиенты Windows Vista со временем аутентифицируются на сервере VPN с помощью Protected EAP (PEAP) протокола. Прежде чем мы сможем использовать PEAP, нам нужно связать сертификат компьютера с сервером VPN. К счастью, мы уже создали производственный ЦС, который можно использовать для этой цели. В этой части я покажу, как запрашивать необходимый сертификат и как связывать этот сертификат с сервером VPN.
Мы используем Protected EAP (PEAP) в качестве механизма аутентификации на стороне сервера. Чтобы это произошло, нам нужно получить сертификат компьютера из центра сертификации, который мы создали ранее в этой серии. Для это вводим команду MMC в диалоговое окно Выполнить. Когда откроется консоль управления Microsoft Management Console, выбираем команду Добавить или удалить оснастку из меню Файл. Далее выбираем опцию Сертификаты из списка оснасток и нажимаем кнопку Добавить, после чего жмем Готово.
Теперь консоль отобразит оснастку шаблонов сертификатов. Разворачиваем строку Шаблоны сертификатов (Certificate Templates) (для этого может потребоваться несколько минут), а затем находим Шаблоны компьютера в панели Подробностей. Правой клавишей жмем на Шаблонах компьютера и выбираем опцию Дублировать шаблон из появившегося контекстного меню.
Теперь Windows спросит, хотите ли вы создать Windows Server 2003 или Windows Server 2008 сертификат. Выбираем опцию Windows Server 2008 и жмем OK. На данном этапе Windows отобразит окно свойств нового шаблона.
Первое, что придется сделать, это ввести имя нового шаблона. Можно назвать шаблон любым, имеющим для вас смысл, именем. В этом примере я назову шаблон сертификата VPN. Теперь задаем срок действия шаблона, а затем выбираем опции «Опубликовать сертификат в Active Directory» и «Разрешить экспортирование частного ключа».
Теперь переходим во вкладку «Управление запросами» и проверяем, чтобы опция «Цель» имела значение «Подпись и шифрование». Необходимо также выбрать опцию «Добавить разрешения чтения сетевой службе». Наконец, переходим в закладку Безопасность и нажимаем кнопку Добавить. Когда Windows отобразит диалоговое окно «Добавление пользователей, компьютеров или групп», убедитесь, что в поле «Из этого места» есть название вашего домена. Введите слово Administrators в поле «Ввод названий объектов для выбора» и нажмите кнопку Проверить имена. Если Windows способна разрешить группу администраторов домена (Domain Administrators), нажмите OK. Наконец, добавьте опцию «Разрешить полный доступ» для группы администраторов (Administrators) и нажмите OK.
Теперь закройте консоль шаблонов сертификатов и выберите команду Центр сертификации из меню Администрирование на сервере. После этого Windows откроет консоль центра сертификации. На данном этапе необходимо развернуть ветвь, соответствующую названию вашего сервера, и найти в ней вкладку Шаблоны сертификатов.
Нажимаем правой клавишей на вкладке Шаблоны сертификата и выбираем команду New | Certificate Template to Issue из появившегося контекстного меню. После этого Windows отобразит команду Включить шаблоны сертификата. Пролистайте список доступных шаблонов и найдите шаблон, который создали. Выберите этот шаблон и нажмите OK.
Теперь можно связать шаблон сертификата с сервером. Для этого вводим MMC в диалоговое окно Выполнить. Когда откроется консоль управления Microsoft Management Console, выбираем команду Добавить или удалить оснастку из меню Файл. Когда Windows отобразит список доступных оснасток, выбираем оснастку Сертификаты из списка, и нажимаем кнопку Добавить.
Теперь Windows спросит, хотите ли вы работать с сертификатом учетной записи пользователя, учетной записи службы или учетной записи компьютера. Очень важно выбрать именно опцию Учетная запись компьютера. Нажмите Далее, затем Готово и OK, и Windows отобразит консоль сертификатов.
Последняя часть процесса включает разворот вкладки Сертификаты (локальный компьютер), чтобы открыть содержащиеся в ней вкладки. Теперь правой клавишей нажимаем на строке Личные и выбираем Все задачи | Запросить новый сертификат из появившегося контекстного меню. Это заставит Windows запустить мастера регистрации сертификатов (Certificate Enrollment Wizard).
Нажимаем Далее, чтобы пропустить приветственное окно мастера и у нас откроется страница, отображающая различные шаблоны, доступные для регистрации. Отмечаем галочкой шаблон, который мы создали, и нажимаем кнопку Зарегистрировать (Enroll). Процесс регистрации может занять несколько минут. Когда регистрация завершена, нажимаем кнопку Готово. Теперь можно закрыть консоль сертификатов.
Теперь, когда мы привязали сертификат к нашему серверу, нам необходимо настроить политику запроса для его использования. Для этого открываем консоль сервера NPS, и переходим в древе консоли к NPS (Local) } Политики | Политики запроса подключения . После этого в панели подробностей будет отображен список политик запроса подключений, расположенных на сервере. У вас должна быть политика с названием NAP VPN или что-то вроде того, которую вы настроили ранее в этой серии статей.
Правой клавишей нажимаем на политике запроса подключений NAP VPN и выбираем команду Свойства из появившегося контекстного меню. После этого Windows отобразит страницу свойств политики NAP VPN. На странице свойств переходим по вкладке Параметры и нажимаем опцию Метод аутентификации. Теперь у вас должно появиться Microsoft: Protected EAP (PEAP) в списке EAP Types, как показано на рисунке A. Если в списке у вас нет Microsoft: Protected EAP (PEAP), то нажмите кнопку Добавить, чтобы добавить его.
Рисунок A: Microsoft Protected EAP должна быть в списке EAP Types
Теперь выбираем список Microsoft Protected EAP (PEAP) и нажимаем кнопку Редактировать. Проверяем, что требуемый нами ранее сертификат выбран. Также необходимо проверить, что опции «Включить быстрое повторное подключение» (Enable Fast Reconnects) и «Включить карантинные проверки» (Enable Quarantine Checks) выбраны. В поле EAP Types внизу страницы должно стоять значение Безопасный пароль (Secure Password (EAP MSCHAP V2)). Если нет, то нужно нажать кнопку Добавить и добавить его. Когда все готово, нажимаем OK. Нажимаем OK еще раз, чтобы завершить этот процесс.
В этой части я показал вам, как запрашивать сертификат компьютера, и как привязывать этот сертификат к вашему серверу VPN. В следующей части мы рассмотрим еще некоторые шаги настройки.
www.windowsnetworking.com
Tags: domain, vpn, Windows Vista