Mô tả bài lab:
Bài lab thực hiện dựng một server Active Directory 2012R2 gồm các dịch vụ Domain Controller, AD Certification Service và DNS.
Thực hiện cấu hình Cisco ISE join domain của AD và thiết lập tạo self certificate, sau đó request certificate này với CA server để CA server ký số.
Thực hiện:
Việc cấu hình domain controller trên windows server 2012R2 và cấu hình ISE join domain các bạn tham khảo tại đường dẫn:
Chúng ta thực hiện tiến hành cấu hình dịch vụ AD Certification trên Windows Server 2012R2.
Trong phần Add Roles and Features Wizard tick chọn “Active Directory Certificate Services”.
Xin lưu ý rằng: Windows này trước đó đã được lên domain controller và DNS. (người đọc có thể tham khảo tại link đã gửi ở trên).
Chúng ta tiếp tục bấm Next đến mục “Select Role Services”. Các dữ liệu sau có thể tick chọn:
Certification Authority
Certificate Enrollment Web Service
Certification Authority Web Enrollment
Network Device Enrollment Service
Ngoài ra chúng ta có thể lựa chọn các mục khác phù hợp với nhu cầu sử dụng của người quản trị. Tiếp tục bấm Next.
Thiết bị sẽ lần lượt cài đặt các dữ kiện chúng ta tick chọn, bằng cách bấm “Configure” sau khi qua hết các bước Next, sau khi cài đặt tuần tự xong (mỗi lần cài đặt xong thiết bị sẽ báo cờ vàng chấm thang ở góc trên bên phải giao diện Dashboard).
Một bước cần lưu ý là để cấu hình Role “Network Device Enrollment Service”, chúng ta tiến hành tạo một user, đặt tên là “NDES” và user này thuộc group “IIS_IUSRS” và “Domain Admin”.
Chuyển sang cấu hình “Network Device Enrollment Service”, sau khi Next tới mục “Service Account For NDES”, tick chọn “Specify Service Account” à Select để nhập username password NDES vừa tạo.
Sau đó, chúng ta vào IIS cấu hình thêm https và add chứng chỉ SSL của CA server này vào.
Sau khi cài đặt xong các Role, tiến hành vào Click chọn menu “AD CS” ở thanh bên trái giao diện Server Manager. Chuột phải vào vùng Server Name của máy chủ và chọn Certificate Authority hoặc nhanh hơn có thể bấm Windows+Run à certmgr.msc để kiểm tra chứng chỉ của máy chủ Domain Controller.
Chúng ta có thể double click vào Cert trên để xem thông tin và Copy ra một vùng lưu trữ ngoài bằng cách trỏ sang tab Details à Copy to File…
Dùng trình duyệt của một máy tính bất kỳ trong mạng, chúng ta có thể truy cập vào giao diện MSCEP của Windows Server 2012R2 qua đường dẫn http://<ipserver>/certsrv/mscep.
.png)
Tiếp theo chúng ta chuyển sang giao diện cấu hình ISE. Yêu cầu đầu tiên là ISE đã được cấu hình tích hợp vào Active Directory với domain test.vnpro.org
.png)
Tiếp đến chúng ta cần add external CA (chính là CA server 2012) vào ISE thông qua SCEP. Chuyển đến mục Administrators > System à Certificates > Certification Authority > External CA settings
Trong hình trên, chúng ta cần quan tâm đến URL, thông tin cần điền vào chính là địa chỉ truy cập web request của CA SCEP vừa tạo ở trên.
Cũng trong Menu Certificates trên chúng ta chuyển sang mục Certificate Management > Certificate Signing Request để tạo một chứng chỉ và request cho CA server ký.
Các thông số cần điền khi tạo một chứng chỉ bao gồm:
Certificate will be used for: chọn Multi-use
Tick chọn Allow Wildcard Certificates
Common Name: admin.test.vnpro.org
Key type: RSA
Key length: 2048
Digest to Sign With: SHA-256
SAN: nhập ip của CA server là 192.168.204.5
Sau đó bấm Generate, ISE sẽ tạo ra một chứng chỉ dưới dạng đuôi .pem, chúng ta bấm Export để xuất file đó ra máy tính.
Sử dụng Open With Notepad để mở file đã xuất và copy nội dung, dùng truy duyệt truy cập vào đường dẫn http://192.168.204.5/certsrv để thực hiện request chứng chỉ với CA server.
Dán nội dung của file cert .pem vào phần Saved Request, mục Certificate Template chọn SubCA, sau đó bấm Submit. Server CA sẽ trả lại cho bạn một file cert mà nó đã ký, chỉ cần download file đó về và add ngược lại vào Trusted Certificates trên ISE.
