Network Access Protection Part 4: IPSec, Deel 3 - IT-professional Community Blog
Zoeken binnen blogs.microsoft.nl

IT-professional Community Blog

Recente posts
Archieven
Links

Blogs.microsoft.nl homepage 
Microsoft Nederland
Persberichten
Trainingen en evenementen
Profielencentrum
Download Center
Ondersteuningsportal
Windows Live Writer

Network Access Protection Part 4: IPSec, Deel 3

Jun 27 2012, 09:10 PM

 

Installatie NPS server

In mijn vorige blog hebben we het health certificaat gemaakt. Nu kunnen we de NPS server gaan installeren. Dit is een Windows server 2008 R2 enterprise edition. Na de installatie van Windows 2008 R2 moet je deze computer lid maken van de NAP_Uitzonderingsgroep. Als de NPS server niet lid is van deze groep moet hij, tijdens het opstarten, een certificaat krijgen van de NPS services. De server krijgt deze pas als de NPS services gestart is en een connectie heeft met het netwerk. De NPS serer gaat pas met het netwerk communiceren als hij een certificaat heeft en deze moet hij van de NPS services krijgen die pas opstart als de NPS server met het netwerk communiceert. De NPS server gaat pas met het netwerk communiceren……….

Kun je het nog volgen? Samengevat, als de NPS server geen certificaat heeft kan hij geen IPSec communicatie opzetten. Aangezien de overige servers (zoals de Domain Controller) dit wel doen moet hij dus minimaal een certificaat hebben. Voeg hem dus toe aan de groep die het certificaat krijgen om problemen te voorkomen

Aanvragen certificaat

Als eerste moeten we dus het IPSec NAP Healthcert certificaat aanvragen.

  • Start een MMC op
  • Voeg de Certificates Snap-in toe voor de local computer.
  • Selecteer Personal, rechter muisknop, All tasks¸ Request New Certificaat
  • Druk op Next
  • Selecteer Active Directory Enrollment Policy
  • Selecteer IPSec NAP Healthcert
  • Druk op Enroll

Onder Personal\Certificates moet je nu de healt certificaat tegen komen. Als dit niet het geval is zul je eerst moeten achterhalen waarom dit het geval is. Kom je hem wel tegen kan je verder gaan.

De rollen installeren

De Installatie van de NPS server voor IPSec enforcement bestaat uit drie rollen. Elke rol is nodig voor IPSec Nap enforcemend.

  1. HRA rol, de Health Registration Authority wordt gebruikt door de NAP client. De HRA ontvangt de SSoH van NAP client en stuurt hem door naar NAP server.
  2. NPS rol, de NPS service op de NAP server ontvangt van de HRA de Health Radius attributen en authentiseert deze. Als deze in orde zijn wordt het bericht terug gestuurd naar de HRA
  3. CA rol, De HRA vraagt dan een health Certificaat aan bij de CA en geeft deze aan de client
  • Start de server manager op.
  • Selecteer roles.
  • Druk links op Add Roles
  • Druk op Next
  • Selecteer de volgende roles en druk dan op Next :
    • Active Directory Certificate Services
    • Network Policy and Acces Services

clip_image001[4]

  • Druk Next
  • Selecteer Healt Registration Authority
  • Druk op Add Required Role Services

clip_image003[4]

  • Druk Next
  • Selecteer Install a local CA to issue health certificates for his HRA server

clip_image004[4]

We hebben de CA rol ook geselecteerd. Deze gaan we inzetten voor het aanmaken van de certificaten. We kunnen er ook voor kiezen een andere CA te gebruiken. Kies in dat geval voor Use an Existing Remote CA. De CA die we eerder hebben geïnstalleerd kun je hiervoor eventueel gebruiken. Toch is het verstandiger om een locale CA te gebruiken. Dan kun je die andere CA, die ook nog root CA is, in de Restricted Zone laten staan. Client vragen hun CA aan bij de NPS server. Deze moet toch al beschikbaar zijn voor de client om de health check uit te kunnen voeren. Door hierop een CA te installeren verhoog je de beveiliging van je infrastructuur

  • Druk op Next
  • Selecteer Yes

Je geeft nu aan dat clients lid moeten zijn van het domain. Kies je hier niet voor, dan moet je de mogelijkheid van anonymous certificate request gaan toestaan op je CA. Dit maakt het mogelijk dat onbekenden een connectie kunnen maken met je netwerk.

  • Druk op Next
  • Selecteer Choose an Existing certificate for SSL encryption

De client stuurt over SSL zijn health status. Je heb nu 3 optie:

clip_image005[4]

  1. Maak gebruik van een bestaande certificaat. Dit kan een certificaat zijn die je laat maken door een interne CA of er ééntje zijn die je aanschaft. Dit is de geadviseerde oplossing
  2. Je kunt de server een self-signed certificaat laten maken. Dan zal het installatie programma zelf een certificaat aanmaken en deze gaan gebruiken. Aangezien dit certificaat standaard niet geaccepteerd wordt door clients zul je de root certificaat dus met de hand moeten distribueren. Dit is een niet geadviseerde oplossing.
  3. Als laatste kun je er voor kiezen geen certificaat te gebruiken en over http te communiceren. Deze oplossing wordt sterk afgeraden

We kiezen voor de beste optie en dat is 1, maar we laten wel een certificaat maken door onze eigen CA.

  • Selecteer het certificaat en druk op Next
  • Druk op Next
  • Alleen de Certification Authority mag geselecteerd zijn. De rest is niet noodzakelijk.
  • Druk op Next
  • Selecteerd Standalone

Deze CA zal geen gebruik maken van ADDS om certificaten te distribueren, hiervoor wordt de HRA ingezet. Je wilt dus niet dat hij via de ADDS “perongeluk” toch certificaten gaat uitdelen.

  • Druk Next
  • Selecteer Subordinate CA

Deze CA is een onderdeel zijn van de PKI structuur.

  • Druk Next
  • Selecteer Create a new Private Key
  • Druk Next

Je kunt nu aangeven op welke manier je wilt dat je certificaten gesigneerd worden. Hierbij heb je keuze uit MD en SHA. SHA is de nieuwst en meeste gebruikte methode. Je kunt ook aangeven welke crypto provider je gaat gebruiken. Maak je gebruik van een HSM dan kun je dat hier aangegeven. Als laatste kun je de grote van je sleutel kiezen.

clip_image006[4]

  • Druk op Next

Je kunt nu een naam geven aan je CA en het certificaat.

clip_image007[4]

  • Druk op Next
  • Druk op Browse en selecteer de CA die we eerder hebben geïnstalleerd en druk next

clip_image008[4]

We kunnen nu aangeven waar de CA database moet komen te staan. In deze blog kies ik voor de standaard locatie.

clip_image009[4]

  • Druk op Next
  • We gaan niks aanpassen voor IIS, druk op Next 2x en druk dan op Install

Als laatste voegen we de Group Policy Management toe. Deze hebben we in een later stadium nodig om de GPO’s voor NAP aan te maken.

  • Selecteer Features
  • Add Features
  • Selecteer Group Policy Management
  • Druk op Next en Finish

De NPS server is nu geinstalleerd en klaar voor gebruik. In mijn volgende blog gaan we IPSec enforcemend configureren.
Wat denkt u?

(Verplicht) 

(Verplicht) 

(Optioneel)

(Verplicht) 
CaptchaCube Vraag:


Antwoord: