Triển khai chứng chỉ số cho VPN – Phần 2


Xem thêm:
Triển khai chứng chỉ số cho VPN – Phần 1
Triển khai chứng chỉ số cho VPN – Phần 2
Triển khai chứng chỉ số cho VPN – Phần 3

————-

Phần 2 – Thiết kế các mẫu chứng chỉ dùng cho VPN

Số lượng các mẫu chứng chỉ cần thiết cho kết nối VPN phụ thuộc vào các giao thức đường hầm và xác thực sẽ được dùng. Dưới đây là các yêu cầu cụ thể đối với mỗi loại chứng chỉ.

1.     User Authentication

Chứng chỉ này phải bao gồm Client Authentication OID trong EKU. Để xác thực người dùng VPN, ta có thể lưu khóa bí mật và chứng chỉ tương ứng trong hồ sơ của họ hoặc lưu trên thẻ thông minh.

Nếu chọn triển khai chứng chỉ trên thẻ thông minh thì cần sao chép mẫu chứng chỉ version 1 là Smartcard Logon và thực hiện các thay đổi sau để tạo ra mẫu chứng chỉ version 2:

  • Chọn Cryptographic Service Provider (CSP) dành riêng cho thẻ thông minh của tổ chức.
  • Có thể thêm mới một application policy, ví dụ đặt tên là UIT VPN User. Điều này làm tăng độ an toàn cho kết nối VPN bằng cách yêu cầu chứng chỉ của người dùng phải bao gồm OID của application policy mới này ngoài Client Authentication OID. Nó sẽ giúp ngăn chặn việc người dùng sử dụng các chứng chỉ khác mà chỉ có Client Authentication OID để xác thực.
  • Gán các quyền Read, Enroll và Autoenroll cho universal hoặc global group mà chứa tất cả các tài khoản người dùng được phép kết nối vào mạng qua VPN. Điều này cũng cho phép tự động phân phối chứng chỉ tới người dùng.

Nếu chọn triển khai chứng chỉ sử dụng CSP dựa trên phần mềm thì cần sao chép mẫu chứng chỉ Authenticated Session và thực hiện các thay đổi sau:

  • Gán các quyền Read, Enroll và Autoenroll cho universal hoặc global group mà chứa tất cả các tài khoản người dùng được phép kết nối vào mạng qua VPN.
  • Thêm mới một application policy tùy chỉnh, ví dụ đặt tên là UIT VPN User nhưng điều này không bắt buộc phải có.

2.    Server Authentication

Sử dụng mẫu chứng chỉ mặc định là RAS and IAS Server có sẵn Server Authentication OID. Nhớ lại rằng việc quyết định nơi mà chứng chỉ này được cài đặt sẽ phụ thuộc vào phương thức xác thực được triển khai tại VPN Server. Cụ thể, nếu dùng Windows Authentication thì chứng chỉ này phải được cấp cho VPN Server còn nếu dùng RADIUS thì nó cần được cấp cho RADIUS server.

Chỉnh sửa duy nhất cần thực hiện trên mẫu chứng chỉ này là gán cho domain local group RAS and IAS  Servers các quyền Read, Enroll và Autoenrollment.

Ngoài ra cũng cần đảm bảo rằng tất cả các tài khoản máy tính RADIUS server phải được thêm vào group RAS and IAS Servers. Điều này sẽ cho phép RADIUS server xem được các thuộc tính Dial-in của người dùng.

3.    IPSec Endpoint Authentication

Đối với yêu cầu xác thực các máy đầu cuối trên kênh IPSec, mẫu chứng chỉ cần dùng phụ thuộc việc máy tính đó có phải là thành viên của forest hay không. Nếu phải thì có thể dùng mẫu chứng chỉ IPSec và có thể được triển khai tới tất cả các máy nằm trong domain thông qua thiết lập Automatic Certificate Request Settings trong Group Policy.

Vì thông tin về Subject trong mẫu chứng chỉ IPSec dựa trên thông tin về tài khoản máy tính được lưu trong AD DS nên nó không thể được triển khai cho các máy không phải là thành viên của forest. Nếu máy tính là thành viên của một forest khác hoặc của một workgroup thì có thể sử dụng mẫu chứng chỉ IPSec (offline request). Khác biệt duy nhất giữa mẫu chứng chỉ này là IPSec (offline request) cho phép người dùng VPN tự tay cung cấp các thông tin về Subject như tên DNS của máy tính tại nhà của họ trong tập tin yêu cầu cấp chứng chỉ.

Các quyền trong mẫu chứng chỉ IPSec (offline request) là Read và Enroll cũng phải được gán cho universal hoặc global group mà chứa tất cả các tài khoản người dùng VPN. Các duy nhất để triển khai chứng chỉ cho các máy không tham gia vào domain là thông qua trang web Certificate Services Web Enrollment, hoặc Microsft Identity Lifecycle Manager (ILM) 2007 hoặc các đoạn script tự soạn.

Chú ý quan trọng là nếu máy tính ở nhà không truy cập được vào mạng nội bộ của tổ chức do không có một chứng chỉ IPSec (offline request) được cài đặt thì họ có thể gửi yêu cầu cấp chứng chỉ từ một máy tính đặt tại tổ chức, sau đó xuất chứng chỉ kèm với khóa bí mật ra thiết bị lưu trữ ngoài như ổ USB và đem chúng về cài đặt tại máy ở nhà. Tập tin được xuất ra phải chứa toàn bộ chuỗi chứng chỉ (của Root CA, các Intermediate CA và của máy tính đầu cuối).

4.    SSTP Endpoint Authentication

Khi sử dụng SSTP làm giao thức đường hầm thì VPN server phải được cài đặt một chứng chỉ chứa Server Authentication OID trong extension EKU để xác thực nó với các VPN client trong giai đoạn thiết lập kết nối TLS. Mẫu chứng chỉ Web Server mặc định là đủ để xác thực các máy đầu cuối trên kênh SSTP và nó cho phép cung cấp các tên DNS được dùng để kết nối tới VPN server là chủ thể của chứng chỉ. Nó cũng chứa Server Authentication EKU OID.

–manthang

2 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s