NAP IPSec health Certificaat maken IPSec NAP geeft een client een certificaat als deze gezond is; een health certificaat. Dit certificaat wordt dan gebruikt voor IPSec communicatie. Standaard is dit type certificaat niet aanwezig in de Microsoft Active Directory Certification Service CA. In deze blog ga ik stap voor stap het certificaat aanmaken. In deze blog ga ik er van uit dat je al beschikt over een PKI omgeving en ADDS. In mijn vorig blog legde ik uit dat je wilt dat sommige (of alle) server niet worden onderworpen aan de health check. We gaan nu een nieuw certificaat definiëren en die moet automatisch uitgerold worden aan de servers. Hiervoor maken we een speciale groep aan. Alle servers worden lid van deze groep. In de certificaat definitie gaan we dan aangeven dat het certificaat automatisch moet worden uitgerold aan deze groep. Elk server (en computer)die lid is van deze groep krijgt dan een health certificaat en kan communiceren over IPSec. Als eerste heb ik een groep aangemaakt met de naam: NAP_Uitzonderingsgroep. Aan deze groep ga ik dus bij default het health certificaat uitdelen. Als tweede heb ik mijn servers lid van gemaakt van de NAP_Uitzonderingsgroep. Hij krijget later een health certificaat. Als derde maak ik het certificaat zelf aan. Dit doe je op de volgende manier: - Open de Certification Authority console
- Selecteer Certificate Templates
- Rechtermuisknop, manage
- Klik in het detailvenster met de rechtermuisknop op Workstation Authentication, Duplicate Template.
Dit template (sjabloon) is bijna gelijk aan de template, zoals we die nodig hebben. Het mist alleen de System Health Authentication Application setting. Die moeten we toevoegen - Selecteer: Windows Server 2008 Enterprise en druk op OK
- Geef de template een naam, bijvoorbeeld IPSec NAP healthcert.
- Schakel het selectievakje Publish certificate in Active Directory uit. Het certificaat zal via de NPS server uitgedeelt worden aan een client.
 - Ga naar Extensions
- Selecteer Application Policies en druk op Edit
- Druk op Add
- Voeg System Health Authentication toe en druk op OK
Als je deze application policy opent dan zie je dat hij een OID heeft van 1.3.6.1.4.1.311.47.1.1. Een application policy wordt gebruikt om vast te leggen waar het certificaat voor dient. In dit geval is het een health certificate. Het nummer 1.3.6.1.4.1.311 is de Microsoft OID. Alle application policy’s die hiermee beginnen zijn ontworpen/bedacht voor een Microsoft product. Als je kijkt naar de Client of server authentication zie je dat deze beginnen met 1.3.5.1.5.5.7.3. Deze zijn dus niet door Microsoft ontworpen. Dit zijn standaard certificate templates. Als laatste zorgen we er voor dat de NAT_uitzonderingsgroep dit certificaat via AD gaat krijgen. De andere computers zullen hem van de NPS server krijgen. - Ga naar Security
- Voeg de groep, NAT_uitzonderingsgroep toe
- Geef de NAT_uitzonderingsgroep de volgende rechten:
- Allow: Enroll, Autoenroll,Read
- Sluit nu alles af
We hebben nu het template gedefinieerd en gaan hem toevoegen aan onze PKI omgeving. - Open de Certification Authority console
- Selecteer Certificate Templates
- Rechter muisknop, New, Certificate Template to Issue
- Selecteer IPSec NAP healthcert.
- Druk op OK
De health certificaat is toegevoegd en kan nu gebruikt gaan worden. Het laatste wat we gaan doen is hem automatische uitdelen aan computers die niet door het NAP proces hoeven te gaan. Je kunt dit op twee manieren doen. We hebben het recht voor auto enroll toegewezen aan een groep. Je kunt nu al deze computers in één OU zetten (misschien zitten ze dat al) en een GPO maken die de certificaat uitdeelt aan deze groep. Is dit niet mogelijk dan kun je een GPO maken en deze fileren op basis van de groep NAP_Uitzonderings. In mijn volgende blog ga ik de NPS server klaar maken voor NAP met IPSec |