9.4 实战:实现主机安全(NAP with IPSEC)
在这个练习中,您需要将公司的网络分成3个逻辑的网络,即安全网络、边界网络和受限网络。位于安全网络的计算机配置成强制使用IPSec通信,IPSec通信身份验证方式为计算机证书,也就有计算机证书的计算机之间才能通信,接入网络的计算机配置向网络策略服务器(NPS)申请计算机证书,如果计算机满足健康策略则颁发计算机证书,就能和安全网络的计算机通信,否则不颁发计算机证书,只能和边界网络中的计算机通信和受限网络的计算机通信。
图 9-166 实战场景
实战要求:
IPSEC 强制,将物理网络分割为3个逻辑网络。
一台计算机在一个时刻只能在三个逻辑网络之一之中。
安全网络: 有健康证书的计算机集合,并且要求incoming连接为IPSEC验证尝试采用健康证书。在一个被管理网络,大多数服务器和客户机属于AD域,在secure network中。
边界网络:有健康证书,但不需要incoming连接尝试采用健康证书来进行IPSEC验证尝试。在边界网络中的计算机必须能访问整个网络的计算机。
受限网络: 没有健康证书,包含不符合NAP规范的客户计算机的集合。在本次实战,启用了Windows 防火墙的计算机认为是健康的,将会有NPS计算机颁发健康证书。
在安全网络中的计算机可以初始连接三个逻辑网络中的任何计算机,初始连接在安全网络或边界网络中的计算机采用IPSEC和健康证书。初始化连接在限制网络中计算机不采用IPSEC。
在安全网络中的计算机将接受在安全和边界网络中的计算机(用IPSec进行验证),但不接受在限制网络中的计算机的连接
在边界网络中的计算机可以初始化连接在安全或边界网络中的计算机(使用IPSec和健康证书)和限制网络中的计算机通讯不采用IPSec验证。
边界网络通常只由HCS和NAP以及修正服务器。
实战环境:
u DCServer计算机安装Windows Server 2008 企业版,是ess.com域中的域控制器,安装有DNS服务器和企业根CA。
u Vista-01计算机安装Vista企业版,是ess.com域中的成员。
u NPS计算机安装Windows Server 2008 企业版,是ess.com域中的成员,安装网络策略服务器(NPS)以及健康注册机构(HRA)。
u Vista-02安装Vista企业版操作系统,启用了NAP客户端,是工作组中的计算机。
9.4.1 在DCServer上的配置
在DCServer上安装企业根证书颁发机构,创建一个组“健康注册服务器组”,将NPS计算机添加到该组。创建新的证书模板,授予“健康注册服务器组”能够对该模板有“读取”和“自动注册”权限,向证书颁发机构添加该模板。
创建组织单元“边界网络”,用来存储边界网络的计算机和服务器。在该组织单元创建IPSec安全策略。
配置默认的域组策略,启用“自动注册计算机和用户证书”。
任务:
u 安装企业根证书颁发机构(CA)
u 创建组织单元“边界网络”
u 创建证书模板并设置安全
u 发布证书模板
u 修改组策略允许自动注册用户和计算机证书
步骤:
1. 如图9-167所示,打开服务器管理器,点击“添加角色”。
2. 如图9-168所示,在出现的开始之前对话框,点击“下一步”。
图 9-167 添加角色 图 9-168 添加角色向导
3. 如图9-169所示,在出现的选择服务器角色对话框,选择“Active Directory证书服务”,点击“下一步”。
4. 如图9-170所示,在出现的选择角色服务对话框,选择“证书颁发机构”,“证书颁发机构Web注册”,在出现的对话框,点击“天机必需的角色服务”.
图 9-169 选择角色 图 9-170 选择角色服务
5. 如图9-171所示,选中“联机相应程序”,点击“下一步”。
6. 如图9-172所示,在出现的指定安装类型对话框,选择“企业”,点击“下一步”。
图 9-171 选择角色服务 图 9-172 指定安装类型
7. 如图9-173所示,在出现的指定CA类型对话框,选择“根CA”,点击“下一步”。
8. 如图9-174所示,在出现的设置私钥对话框,选择“新建私钥”,点击“下一步”。
图 9-173 指定CA类型 图 9-174 设置私钥
9. 如图9-175所示,在出现的为CA配置加密对话框,保持默认设置,点击“下一步”。
10. 如图9-176所示,在出现的配置CA名称对话框,输入CA的公用名称,点击“下一步”。
图 9-175 为CA配置加密 图 9-176 配置CA名称
11. 如图9-177所示,在出现的设置有效期对话框,选择5年,点击“下一步”。
12. 如图9-178所示,在出现的配置证书数据库对话框,保持默认路径,点击“下一步”。
图 9-177 设置有效期 图 9-178 配置证书数据库
13. 如图9-179所示,在出现的Web服务器(IIS)对话框,点击“下一步”。
14. 如图9-180所示,在出现的选择角色服务对话框,保持默认,点击“下一步”。
图 9-179 Web服务器简介 图 9-180 选择角色服务
15. 如图9-181所示,在出现的确认安装选择对话框,点击“安装”。
16. 如图9-182所示,在出现的安装结果对话框,点击“关闭”。
图 9-181 确认安装选择 图 9-182 安装结果
17. 点击“开始”à运行,输入dsa.msc,打开Active Directory用户和计算机。
18. 如图9-183所示,右击ess.com域,点击“打开创建组织单位”。
19. 如图9-184所示,在出现的新建对象对话框,输入名称“边界网络”,点击“确定”。该组织单位将会存放位于边界网络的计算机和服务器。
图 9-183创建组织单位 图 9-184 指定名称
20. 如图9-185所示,点中“边界网络”,如图,右击“新建”à“组”。
21. 如图9-186所示,在出现的新建对象对话框,输入组名“健康注册服务器组”,点击“确定”。
图 9-185 创建组 图 9-186 输入组名称和组的类型
22. 如图9-187所示,双击“健康注册服务器组”,在出现的健康注册服务器组属性对话框,在成员标签下,点击“添加”。
23. 如图9-187所示,在出现的选择用户联系人和计算机或组对话框,点击“对象类型”。
24. 如图9-188所示,在出现的对象类型对话框,选中“计算机”,点击“确定”。
图 9-187 添加成员 图 9-188 选择对象类型
25. 如图9-189所示,在选择用户联系人和计算机或组对话框,输入NPS,点击“确定”。
26. 如图9-190所示,在成员对话框,点击“确定”。
图 9-189 输入计算机名称 图 9-190 完成成员添加
27. 点击“开始”à“运行”,输入certtmpl.msc,点击“确定”。打开证书模板控制台对话框。
28. 如图9-191所示,在详细信息面板,右击“工作站身份验证”证书模板,选择“复制模板”。
29. 如图9-192所示,在出现的复制模板对话框,选择“Windows Server 2008,Enterprise Edition”,点击“确定”。
图 9-191 复制证书模板 图 9-192 指定兼容性
30. 如图9-193所示,在出现的新模板的属性对话框,在出现的常规标签下,输入模板名称和显示名称,点击“扩展”标签,
31. 如图9-194所示,选择“应用程序策略”,点击“编辑”。
图 9-193 输入模板名称 图 9-194 添加扩展
32. 如图9-195所示,在出现的编辑应用程序策略扩展对话框,点击“添加”。
33. 如图9-196所示,在出现的添加应用程序策略对话框,点击“新建”。
图 9-195 添加扩展 图 9-196 添加扩展
34. 如图9-197所示,在出现的新应用程序策略对话框,输入名称“System Health Authentication”,对象标识符输入“1.3.6.1.4.1.311.47.1.1”。点击“确定”。
35. 如图9-198所示,在新模板的属性对话框的安全标签下,点击“添加”,输入“健康注册服务器组”,点击“确定”。
图 9-197 输入名称和标识符 图 9-198 配置模板安全性
36. 如图9-199所示,授予健康注册服务器组有“读取”和“自动注册”权限。
37. 点击“开始”à“程序”à“管理工具”à“Certification Authority”,打开证书颁发机构管理工具。
38. 如图9-200所示,展开ess-DCServer-CA,右击“证书模板”,然后选择“新建”,点击“要颁发的证书的模板”。
图 9-199 授权健康注册服务器组 图 9-200 新建要颁发的证书模板
39. 如图9-201所示,在出现的启用证书模板对话框,选中“System Health Authentication”,点击“确定”。
40. 点击“开始”à“运行”,输入“gpmc.msc”,打开组策略管理工具。
41. 如图9-202所示,右击“Default Domain Policy”,点击“编辑”。
图 9-201 选择模板 图 9-202 编辑组策略
42. 如图9-203所示,在出现的组策略管理编辑器对话框,点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“公钥策略”,双击“证书服务客户端-自动注册”。
43. 如图9-204所示,在出现的证书服务客户端-自动注册属性对话框,配置型号选择“已启用”,选中“续订过期证书、更新未决定证书并删除吊销的证书”,选中“更新使用证书模板的证书”。
图 9-203 打开证书服务客户端-自动注册 图 9-204 启用自动颁发
9.4.2在NPS服务器上的配置
在NPS服务器上安装网络策略服务器,和健康注册机构,同时也按照独立子CA,该CA作为企业CA的子CA,为满足安全策略的计算机颁发证书。为了安全考虑,一般不直接使用根CA为用户和计算机颁发证书。
任务:
u 安装网络策略服务器角色
u 安装健康注册机构
u 安装独立的子CA
u 配置HRA能够“颁发和管理证书”,“管理CA”和“请求证书”的权限
u 配置子CA自动颁发证书
u 在HRA上配置CA属性
步骤:
44. 如图9-205所示,打开服务器管理工具,点击“添加角色”。
45. 如图9-206所示,在出现的开始之前对话框,点击“下一步”。
图 9-205 添加角色 图 9-206 添加角色向导
46. 如图9-207所示,在出现的选择服务器角色对话框,选中“Active Directory证书服务”和“网络策略和访问服务”,点击“下一步”。
47. 如图9-208所示,在出现的网络策略和访问服务简介对话框,点击“下一步”。
图 9-207 选择角色 图 9-208 网络策略和访问服务简介
48. 如图9-209所示,在出现的选择角色服务对话框,选择“网络策略服务器”和“健康注册机构”,在出现的对话框,点击“添加必需的角色服务”。
49. 如图9-210所示,在出现的选择要与健康注册机构一同使用的证书颁发机构对话框,选择“以后使用HRA控制台选择”,点击“下一步”。
图 9-209 选择角色服务 图 9-210 选择证书颁发机构
50. 如图9-211所示,在出现的选择健康注册机构的身份验证请求对话框,选择“否,允许匿名请求健康证书”,点击“下一步”。
51. 如图9-212所示,在出现的选择SSL加密的服务器身份验证证书对话框,选择“不使用SSL或稍后选择SSL加密证书”,点击“下一步”。
图 9-211 配置身份验证 图 9-212 配置SSL加密证书
52. 如图9-213所示,在出现的Active Directory证书服务简介对话框,点击“下一步”。
53. 如图9-214所示,在出现的选择角色服务对话框,选择“证书颁发机构”,点击“下一步”。
图 9-213 证书服务简介 图 9-214 选择角色服务
54. 如图9-215所示,在出现的指定安装类型对话框,选择“独立”,点击“下一步”。
55. 如图9-216所示,在出现的指定CA类型对话框,选择“子级CA”,点击“下一步”。
图 9-215 指定安装类型 图 9-216 指定CA类型
56. 如图9-217所示,在出现的设置私钥对话框,选择“新建私钥”,点击“下一步”。
57. 如图9-218所示,在出现的为CA配置加密对话框,保持默认选择,点击“下一步”。
图 9-217 设置私钥 图 9-218 为CA配置加密
58. 如图9-219所示,在出现的配置CA名称对话框,输入CA的公用名称,点击“下一步”。
59. 如图9-220所示,在出现的向父CA申请证书对话框,选择“将证书请求发送给父级CA”,浏览方式选择“CA名称”,点击“浏览”。
图 9-219 配置CA名称 图 9-220 向父CA申请证书
60. 如图9-221所示,在出现的选择证书颁发机构对话框,选择“ess-DCSERVER-CA”,点击“确定”。
61. 如图9-222所示,在向父CA申请证书对话框,点击“下一步”。
图 9-221 选择父证书颁发机构 图 9-222 选择父证书颁发机构
62. 如图9-223所示,在出现的配置证书数据库对话框,保持默认路径,点击“下一步”。
63. 如图9-224所示,在出现的Web服务器(IIS)对话框,点击“下一步”。
图 9-223 配置证书数据库 图 9-224 Web服务器(IIS)简介
64. 如图9-225所示,在出现的选择角色服务对话框,点击“下一步”。
65. 如图9-226所示,在出现的确认安装选择对话框,点击“安装”。
图 9-225 选择角色服务 图 9-226 确认安装选择
66. 如图9-227所示,在出现的安装结果对话框,点击“关闭”。
67. 点击“开始”à“程序”à“管理工具”à“Certification Authority”,打开证书颁发机构管理工具。
68. 如图9-228所示,右击ess-NPS-SubCA,点击“属性”。
图 9-227 完成角色安装 图 9-228 打开子CA属性
69. 如图9-229所示,在出现的ess-NPS-SubCA属性对话框的安全标签下,点击“添加”。
70. 如图9-230所示,在出现的选择用户计算机或组对话框,输入“network Service”,点击“确定”。
图 9-229配置子CA安全 图 9-230 授权network Service
71. 如图9-231所示,授予network Service“颁发和管理证书”、“管理CA”和“请求证书”的权限。
72. 如图9-232所示,在策略模块对标签下,点击“属性”。
图 9-231授权network Service 图 9-232 设置策略模块
73. 如图9-233所示,在出现的属性对话框,选择“如果可以的话,按照证书模板中的设置,否则,将自动颁发证书”,在出现的对话框,点击“确定”。
74. 如图9-234所示,右击“ess-NPS-SubCA”,点击“所有任务”à“停止服务”。
图 9-233 设置请求处理 图 9-234 停止CA服务
75. 如图9-235所示,右击“ess-NPS-SubCA”,点击“所有任务”à“启动服务”。
76. 如图9-236所示,重新打开服务器管理器,可以看到在网络策略和访问服务下出现健康注册机构,点中“证书颁发机构”,点击“添加证书颁发机构”。
图 9-235 启动CA服务 图 9-236添加证书颁发机构
77. 如图9-237所示,在出现的添加证书颁发机构对话框,点击“浏览”。
78. 如图9-238所示,在出现的选择证书颁发机构对话框。选择“ess-NPS-SubCA”,点击“确定”。
图 9-237 浏览证书颁发机构 图 9-238 选择证书颁发机构
79. 如图9-239所示,右击“证书颁发机构”,点击“属性”。
80. 如图9-240所示,在出现的证书颁发机构属性对话框,选择“使用独立证书颁发机构”,点击“确定”。
图 9-239 配置证书颁发机构属性 图 9-240 使用独立的证书颁发机构
9.4.3配置NPS策略
任务:
u 配置更新服务器
u 配置系统健康验证器
u 用向导配置NAP
步骤:
81. 点击“开始”à“程序”à“管理工具”à“网络策略服务器”,打开网络策略服务器。
82. 如图9-241所示,点中“系统健康验证器”,双击“Windows 安全健康验证程序”,出现Windows安全健康验证程序属性对话框,点击“配置”。
83. 如图9-242所示,在出现的Windows安全健康验证程序对话框,选择“已为所有网络连接启用防火墙”,点击“确定”。
图 9-241 设置Windows健康验证程序 图 9-242设置Windows健康验证程序
84. 如图9-243所示,右击“更新服务器组”,点击“新建”。
85. 如图9-244所示,在出现的新建更新服务器组对话框,输入组名“网络策略服务器和修正服务器组”,点击“添加”。
86. 如图9-244所示,在出现的添加新服务器对话框,输入友好名称“NPS”,输入DNS名称,点击“确定”。
图 9-243 新建更新服务器组 图 9-244 添加更新服务器
87. 如图9-245所示,点中“NPS”,点击“配置NAP”。
88. 如图9-246所示,在出现的选择与NAP一起使用的网络连接方法对话框,选择连接方法“带有健康注册机构(HRA)的IPSec”,策略名称输入“NAP具有HRA的IPSec”,点击“下一步”。
图 9-245 运行NAP向导 图 9-246 选择网络连接方法
89. 如图9-247所示,在出现的指定NAP强制服务器运行HRA对话框,点击“下一步”。
90. 如图9-248所示,在出现的配置用户和计算机组对话框,点击“下一步”。
图 9-247指定NAP强制服务运行HRA 图 9-248 配置用户组和计算机组
91. 如图9-249所示,在出现的定义NAP健康策略对话框,选中“Windows 安全健康验证程序”,去掉选择“启用客户端计算机的自动更新”,去掉更新是为了看到NAP的效果,点击“下一步”。
92. 如图9-250所示,在出现的正在出现的完成NAP增强策略和RADIUS客户端配置对话框,点击“下一步”。
图 9-249 定义NAP健康策略 图 9-250 完成向导
9.4.4 在DCServer上创建强制网络隔离策略
在活动目录中创建两个组织单元,“边界网络”和“安全网络”,分别将域中的计算机按着角色放到两个组织单元。然后为两个组织单元分别创建一个组策略,定义IPSec以及IPSec身份验证方法。
任务:
u 创建组织单元
u 为安全网络创建组策略
u 为边界网络创建组策略
步骤:
93. 如图9-251所示,打开活动目录管理工具,创建两个组织单元,将Vista-01计算机帐号添加到“安全网络”组织单元。
94. 如图9-252所示,点击“开始”à“程序”à“管理工具”à“组策略管理”,打开组策略编辑器。
95. 如图9-252所示,右击“安全网络”组织单元,点击“在出现的这个域中创建GPO并在出现的此处连接”。
图 9-251创建组织单元 图 9-252 创建连接组策略
96. 如图9-253所示,在出现的新建GPO对话框,输入名称“安全网络隔离策略”,点击“确定”。
97. 如图9-254所示,右击“安全网络隔离策略”,点击“编辑”。
图 9-253 输入策略名称 图 9-254 编辑组策略
98. 如图9-255所示,在出现的组策略管理编辑器对话框,右击“连接安全规则”,点击“新规则”。
99. 如图9-256所示,在出现的规则类型对话框,选择“隔离”,点击“下一步”。
图 9-255 新建连接安全规则 图 9-256 指定规则类型
100. 如图9-257所示,在出现的要求对话框,选择“如站连接要求身份验证,出站连接请求身份验证”,点击“下一步”。
101. 如图9-258所示,在出现的身份验证方法对话框,选择“计算机证书”,点击“浏览”。
102. 如图9-258所示,在出现的选择证书对话框,选择“ess-DCServer-CA”,这里选择企业根CA即可,点击“确定”。
图 9-257 指定要求 图 9-258 选择身份验证方法
103. 如图9-259所示,在出现的身份验方法对话框,选择“只接受健康证书”,点击“下一步”。
104. 如图9-260所示,在出现的配置文件对话框,选择“域”、“专用”和“公用”,点击“下一步”。
图 9-259 只接受健康证书 图 9-260 指定配置文件
105. 如图9-261所示,在出现的名称对话框,输入名称“安全网络连接安全规则”,点击“完成”。
106. 关闭组策略编辑管理器。一定要关闭,相当于保存了。
107. 如图9-262所示,右击“边界网络”,点击“在这个域中创建GPO并在此处连接”。
图 9-261 指定名称 图 9-262 创建并连接组策略
108. 如图9-263所示,在出现的新建GPO对话框,名称输入“边界网络隔离策略”,点击“确定”。
109. 右击“边界网络隔离策略”,点击“编辑”。
110. 如图9-264所示,在出现的组策略管理编辑器对话框,右击“连接安全规则”,点击“新规则”。
图 9-263 指定策略名 图 9-264 创建连接安全规则
111. 如图9-265所示,在出现的规则类型对话框,选择“隔离”,点击“下一步”。
112. 如图9-266所示,在出现的要求对话框,选择“入站和出站连接请求身份验证”,点击“下一步”。
图 9-265 指定规则类型 图 9-266 指定要求
113. 如图9-267所示,在出现的身份验证方法对话框,选择“计算机证书”,点击“浏览”。
114. 如图9-267所示,在出现的选择证书对话框,选择“ess-DCSERVER-CA”,点击“确定”。
115. 如图9-268所示,在出现的配置文件对话框,选择“域”、“专用”和“公用”,点击“下一步”。
![clip_image095[1]](http://91xueit.blog.51cto.com/attachment/201302/5/400469_1360026258RApA.png "clip_image095[1]")
图 9-267 选择证书 图 9-268 指定该策略生效的配置
116. 如图9-269所示,在出现的名称对话框,输入名称“边界网络连接安全规则”点击“完成”。
117. 关闭组策略编辑管理器,一定要关闭,相当于保存
图 9-269 指定策略名称
9.4.5在NPS上刷新组策略
组策略变化后,域中的成员必须刷新组策略才能生效,默认组策略刷新60分钟左右。为了让设置的组策略在出现的成员计算机立即生效,使用gpupdate /force刷新组策略。
118. 点击“开始”à“运行”,输入gpupdate /force,点击“确定”。
119. 如图9-270所示,点击“开始”à“运行”,输入wf.msc,点击“确定”,打开高级安全Windows防火墙。
120. 如图9-271所示,点击“连接安全规则”,可以看到组策略设置的安全规则。
图 9-270 刷新组策略 图 9-271 查看组策略在客户端的设置
121. 如图9-272所示,在Vista-01上刷新组策略。
122. 如图9-273所示,打开高级安全Windows 防火墙,点中“连接安全规则”,可以看到组策略设置生效。
图 9-272 刷新组策略 图 9-273 查看组策略在客户端的设置
9.4.6 在Vista-01上的配置
在Vista-01上申请system Health authentication证书,这样才可以支持IPSec中的身份验证规则。
任务:
u 申请system Health authentication证书
步骤:
123. 点击“开始”à“运行”,输入MMC,点击“确定”。打开微软管理控制台。
124. 如图9-274所示,点击“文件”à“添加删除管理单元”。
125. 如图9-275所示,在出现的添加删除管理单元对话框,选中“证书”,点击“添加”。
图 9-274 添加删除管理单元 图 9-275 添加证书管理单元
126. 如图9-276所示,在出现的证书管理单元对话框,选择“计算机帐户”,点击“下一步”。
127. 如图9-277所示,在出现的选择计算机对话框,选择“本地计算机”,点击“完成”。
图 9-276 选择计算机帐户 图 9-277 选择计算机
128. 如图9-278所示,右击“个人”,点击“所有任务”à“申请证书”。
129. 如图9-279所示,在出现的证书申请对话框,点击“下一步”。
图 9-278 申请证书 图 9-279 申请证书向导
130. 如图9-280所示,在出现的申请证书对话框,选择“System Health Authentication”,点击“注册”。
131. 如图9-281所示,在出现的证书安装结果,点击“完成”。
图 9-280 选择证书类型 图 9-281 完成证书申请
9.4.7在Vista-02上的配置
任务:
u 启用NAP IPSec客户端
u 配置计算机信任企业根证书颁发机构
u 启动Network Access Protection Agent服务
u 验证IPSec NAP
步骤:
132. 点击“开始”à“运行”,输入“services.msc”,打开服务管理工具。
133. 如图9-282所示,双击“Network Access Protection Agent”,打开“属性”,将该服务设置成自动启动,启动该服务。
134. 点击“开始”à“运行”,输入napclcfg.msc,打开NAP客户端配置。
135. 如图9-283所示,点中“强制客户端”,右击“IPSec信赖方”,点击“属性”。
图 9-282 设置服务启动类型 图 9-283 设置NAP客户端
136. 如图9-284所示,在出现的IPSec信赖方属性对话框,选中“启用此强制客户端”和“使用本地IPSec策略”,点击“确定”。
137. 如图9-285所示,点中“受信任服务器组”,点击“新建”。
图 9-284 IPSec信赖方 图 9-285新建受信任的服务器组
138. 如图9-286所示,在出现的新建受信任的服务器组对话框,输入组名“信任的健康注册机构服务器”,点击“下一步”。
139. 如图9-287所示,在出现的添加服务器对话框,在“添加您希望客户端信任的健康注册机构的URL“下输入http://NPS.ess.com/domainhra/hcsrvext.dll “,点击”添加“。
140. 如图9-287所示,在出现的添加服务器对话框,不要选择“要求对组中的所有服务器进行服务器验证(https)“。
这个网站用于对健康证书的请求进行身份验证。
因为这是列表中的第一个服务器,客户端计算机将尝试从此信任的服务器请求一个健康证书。
141. 在“添加您希望客户端信任的健康注册机构的URL“下输入http://nps.ess.com/nondomainhra/hcsrvext.dll “,点击“添加“。点击“下一步”。
这个网站用于处理对健康证书的匿名请求,因为这是列表中的第二个服务器,客户端计算机将不会尝试从此信任的服务器请求健康证书,除非第一个服务器提供证书失败。
图 9-286 输入组名 图 9-287 添加服务器
142. 如图9-288所示,在出现的正在完成新建受信任的服务器组向导对话框,点击“完成”。
143. 如图9-289所示,打开微软管理控制台,点击“文件”à“添加删除管理单元”。
图 9-288 完成添加服务器 图 9-289 添加删除管理单元
144. 如图9-290所示,在出现的添加删除管理单元对话框,点中“证书”,点击“添加”。
145. 如图9-291所示,在出现的证书管理单元对话框,选择“计算机帐户”,点击“下一步”。
图 9-290 选择证书单元 图 9-291 选择计算机帐户
146. 如图9-292所示,在出现的选择计算机对话框,选择“本地计算机”,点击“完成”。
147. 如图9-293所示,点击“证书”à“个人”à“证书”,双击个人下面的证书,在出现的证书对话框,在出现的常规标签下,可以看到该计算机并不信任证书颁发机构。由于这个计算机满足NPS上设置的健康策略,可以看到健康注册机构已经颁发给该计算机证书,只是证书颁发机构不受该计算机信任。
图 9-292 选择本地计算机 图 9-293 自动颁发的证书
148. 如图9-294所示,在证书路径标签下,点中ess-DCSERVER-CA,点击“查看证书”。
149. 如图9-295所示,在出现的证书对话框,点击“安装证书”。
图 9-294 查看颁发者 图 9-295 导入根证书颁发机构证书
150. 如图9-296所示,在出现的证书导入向导对话框,点击“下一步”。
151. 如图9-297所示,在出现的证书存储对话框,选择“将所有的证书放入下列存储”,点击“浏览”。
152. 如图9-297所示,在出现浏览证书存储对话框,选择“显示物理存储区”,点中“本地计算机”,点击“确定”。
图 9-296 证书导入向导 图 9-297 选择导入位置
153. 如图9-298所示,在出现的证书存储对话框,点击“下一步”。
154. 如图9-299所示,在出现的正在出现的完成证书导入向导对话框,点击“完成”。
图 9-298 确定导入位置 图 9-299 完成根CA证书导入
155. 如图9-300所示,测试到安全网络的连通性。测试到如果不成功,重启Network Access Protection Agent服务
156. 点击“开始”à“运行”,运行wf.msc,打开高级安全Windows防火墙。
157. 如图9-301所示,点击“主模式”,可以看到建立的安全连接。
图 9-300 测试到安全网络和边界网络的联通性 图 9-301 查看建立的安全连接
158. 如图9-302所示,点中“本地计算机上的高级安全Windows防火墙”,可以看到公用配置文件是活动的,点击“Windows防火墙属性”。
159. 如图9-303所示,在出现的本地计算机上的高级安全Windows防火墙对话框,在公用配置文件标签下,防火墙状态设置为“关闭”,点击“确定”。
图 9-302 配置Windows防火墙 图 9-303 关闭Windows防火墙
160. 如图9-304所示,可以看到立即出现提示“此计算机不符合该网络的要求,网络访问权限受限制”。
161. 如图9-305所示,打开证书管理单元,可以看到不满足安全策略要求后,计算机证书被自动删除。IPSec没有办法使用证书进行身份验证。
图 9-304 不符合该网络要求 图 9-305 自动删除健康证书
162. 如图9-306所示,不能访问安全网络。
图 9-306 不能访问安全网络
9.4.8将Vista-02加入域并申请系统健康身份验证证书
边界网络和安全网络计算机的系统健康身份验证证书,都是管理员人工申请的。不需要配置NAP客户端,始终能够和安全网络中的计算机进行IPSec通信。
任务:
u 将计算机加入到边界网络
u 人工申请证书
u 测试与安全网通信
步骤:
163. 如图9-307所示,将计算机Vista-02加入到域,且在活动目录中将计算机Vista-02添加到“边界网络”组织单元。
164. 如图9-308所示,在Vista-02打开MMC,添加本地计算机证书管理单元,右击“个人”,点击“所有任务”à“申请证书”。
图 9-307 移动计算机帐号到边界网络 图 9-308 申请证书
165. 如图9-309所示,在出现的证书注册对话框,点击“下一步”。
166. 如图9-310所示,在出现的申请证书对话框,选中“system Health authentication”,点击“注册”。
图 9-309 申请证书向导 图 9-310 选择证书类型
167. 如图9-311所示,在出现的证书安装结果对话框,点击“完成”。
168. 如图9-312所示,可以看到边界网络的计算机的有了IPSec身份验证证书后,是可以和安全网络通信的。
图 9-311 证书申请成功 图 9-312 测试到安全网络连通性
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1131997,如需转载请自行联系原作者
