Direct Access maakt gebruik van IPSec op basis van certificaten om de Direct Access IPv6 verkeer te beveiligen. Hiervoor heb je, in deel I, de ADCS geïnstalleerd, maar deze moet wel worden aangepast aan de eisen van Direct Access
IP-HTTPS custom certificate template (Optioneel)
Als eerste maken we een custom template aan voor de IP-HTTPS. Dit is alleen noodzakelijk als je een eigen SSL certificaat wil gebruiken voor IP-HTTPS
Aanmaken Custom certificaat:
- Start de ADCS mmc
- Ga naar certificate templates
- Action => Manage
- Selecteer de Web Server template
- Action => Dubplicate Template
- Windows Server 2008 Enterprise
- Template display name: Web Server 2008
- Ga naar de Security Tab
- Voeg toe: Domain computer, Allow Enroll
- Ga naar de Request Handling tab
- Selecteer: Allow private key to be exported
- OK en sluit de MMC
Je bent nu weer terug in de ADCS MMC
- Ga naar certificate Templates
- Action => new => Certificate Template To Issue
- Selecteer de nieuw aangemaakte template Web Server 2008
Laat het console maar openstaan, we hebben hem direct weer nodig.
Aanpassen CRL locatie
Onze werkplekken zullen straks via Direct Access een connectie maken met het netwerk. Voordat ze dat kunnen zullen ze een 6over4 tunnel willen opzetten en het IPv6 verkeer beveiligen met IPSec op basis van een certificaat.
De Direct Access kent drie verschillende 6over4 tunnels:
- ISATAP
- 6to4
- Teredo
- IP-HTTPS
De laatste tunnel techniek maakt gebruik van een SSL tunnel om IPv6 verkeer te routeren over het IPv4 internet. Windows 7 zal hiervoor eerst de CRL willen controleren. We moeten er dus voor zorgen dat onze CRL distributie locatie van buitenaf bereikbaar is. Hiervoor zul je dus een website moeten hebben op het internet waarnaar je de CRL zult publiceren. Je kunt dit automatisch laten verlopen. In dat geval moet je CA schrijfrechten hebben op de webserver. Je kunt het met de hand doen, dan zul je dus zelf de CRL lijsten moeten kopiëren.
- Selecteer de server
- Action => Properties
- Ga naar de Extensions tab
- Add
- Location = http://externe.url/CRT/<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl
- OK
- Vink de volgende onderdelen aan:
- Include in CRLs. Clients use this ti find delta CRL locations
- Include in the CDP externsion issued Certificates
- Apply
Nu hebben we de plek aangegeven waar de CRL lijst is te downloaden. Nu moeten we de CA vertellen hoe hij bij deze plek kan komen. Daarnaast zul je de CA toegang moeten geven tot deze plek. Dit doe je door de groep Cert Publishers schrijf- en leesrechten te geven.
- Add
- Location = file:\\server\CRT$\<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl
- Ok
- Vink de volgende onderdelen aan:
- Publish CRLs to this location
- Publish Delta CRLS to this location
- OK
Restart de ADCS service om de nieuwe aanpassing door te voeren.
Direct Access PKI policy
Als laatste moet je een policy maken die een computer certificaat automatisch uitdeelt. Deze is nodig voor IPSec.
- Maak of edit een GPO
- Ga naar Computer\Configuration\Policies\Windows Settings\Public Key Policies\Automatic Certificate Request Settings
- Action => New
- Next
- Select Computer
- Next
- Finish
IIS configuren voor CRL distributie
We hebben aan de CA vertelt om zijn CRLs te distribueren via http://externe.url/CRT/<Caname><CRLNameSuffix><DeltaCRLAllowed>.crl. De Direct Access server is een internet facing server dus kan goed gebruikt worden om de CRL lijst te distribueren. Heb je dus niet voor een andere server gekozen dan kun je hem dus daarvoor gaan gebruiken.
Aanmaken CRL share
Als eerste gaan we een plek maken waar de CRL lijsten kunnen worden opgeslagen. Maak hiervoor de directory C:\Inetpub\wwwroot\crl Een ander locatie mag ook, maar dan zul je hem moeten toevoegen aan de website.
- Select de folder die je net hebt aangemaakt, (C:\Inetpub\wwwroot\crl)
- Rechtermuis knop => Properties
- Sharing
- Advanced Sharing
- Selecteer: Share this folder
- Share naam: CRL$
- Permissions
- Add
- Cert Publisher
- OK
- Geef Cert Publisher Full Control
- OK
- OK
- Ga naar de Security tab
- Edit
- Add
- Cert Publisher
- OK
- Geef Cert Publisher Full Control
- OK
- OK
Aanpassen CRL website
Het opvragen van de certificaten vanaf een website kan alleen maar als de website Double Escaping toestaat. Default staat IIS 7.0 dat niet toe.
Open IIS Manager
- Open de default website
- Open CRL
- In de contents pane zie je de Configuration Editor staan. Dubbel klik deze
- Bovenin zie je section staan. Vul het volgende in: system.webServer/security/requestFiltering.
- Zorg dat allowDoubleEscaping op True komt te staan
- Action => Apply
Voordat je de IIS manager sluit controleer je een aantal zaken:
- De website moet “anonymous access” toestaan
- Zit de website achter een reverse proxy moet deze ook anonymous access toestaan.
- Op NTFS niveau moet “everyone” toegang hebben tot de CRL lijsten.
Publiceer de CRL lijst
Nu de CRL locatie klaar is kun je de CRL lijst distribueren naar deze nieuwe locatie. Log hiervoor aan op de ADCS server.
- Open de ADCS mmc
- Selecteer Revoked Certificates
- Action => All tasks => Publish
- New CRL
- OK
Als alles goed gegaan is zie je nu twee CRLs staan in de CRL directory. Direct Access gaat niet werken als de client de CRL lijsten niet kan downloaden. Controleer dit met PKIView. Hierin mogen geen foutmeldingen of waarschuwing voor komen. Heb je wel meldingen of waarschuwing los deze dan eerst op.
Aanvragen SSL certificaat voor de IP-HTTPS server
Als laatste gaan we een SSL certificaat aanvragen voor IP-HTTPS. Dit kun je doen bij je eigen CA of bij een online CA. In deze blog doe ik het bij mijn eigen CA. De template hebben we eerder in deze blog aangemaakt.
- Start, type MMC
- Enter
- File => Add/Remove Snap-in
- Selecteer Certificaten
- Add
- Computer Account
- Next
- Local Computer
- Finish
- Ga naar de Certificates (Local Computer)\Personal
- Action => All Task => New Certificate
- Select Web Server 2008
- Druk op More Information is required to enroll for this certificate
- Op de subject tab van de Certificate Properties zie je het veld Subject Name staan. Hier kun je verschillende typen kiezen. Selecteer Common Name
- Vul zowel je interne als je externe URL in.
- Onder Alternative name selecteer DNS
- Vul opnieuw je interne en externe URL in.
- OK
- Enroll
- Finish
Je hebt nu een certificaat aangevraagd voor IP-HTTPS.
In mijn volgende blog gaan we direct access configureren.