SSL VPN Windows 2008 server R2

ขั้นตอนการติดตั้ง SSL VPN

Prerequisite
Step 1: Install CA server
Step 2: Configure CA server
Step 3: Request Server Authentication certificate
Step 4: Install Routing and Remote access service
Step 5: Install Web server for HTTPS authentication
Step 6: Install CA certificate บน VPN gateway
Step 7: Request and install Server Authentication certificate
Step 8: Configure RRAS server with Server Authentication certificate
Step 9: Binding web server with SSL certificate
Step 10: ทดสอบการใช้งาน SSL VPN ที่ client
Step 10.1: Connect VPN เพื่อ Download CA certificate

Prerequisite

ติดตั้ง Windows 2008 server เป็น Domain Controller
- ชื่อ Domain: 2PRO
- ชื่อเครื่อง: DC
- ติดตั้ง Active Directory Domain Service
- ติดตั้ง DNS server
- ติดตั้ง DHCP server
- IP address: 192.168.1.1
ติดตั้ง Windows 2008 server เพิ่ม เพื่อทำ CA server สำหรับทำ Trusted root certificate
- ชื่อเครื่อง: Root-CA
- Join เข้ากับ 2PRO domain
- ติดตั้ง Active Directory Certificate Service
- ติดตั้ง IIS server
- IP address: 192.168.1.2
ติดตั้ง Windows 2008 server เพิ่ม เพื่อทำ Routing and Remote access server สำหรับทำ SSL VPN gateway
- ขื่อเครื่อง: VPNGW
- Join เข้ากับ 2PRO domain
- ติดตั้ง Routing and Remote access service
- ติดตั้ง IIS server
- มี 2 Network interface card
  - Local IP address: 192.168.1.254
  - WAN IP address: 10.0.0.1

Step 1: Install CA server

Login เข้า CA-root ด้วยสิทธิ์ Administrator
จากนั้นเปิด Server Manager ขึ้นมา
คลิกขวาที่ Role และเลือก Add Roles
ที่หน้า Select Server Role ให้เลือก Active Directory Certificate Service
ในหน้า Select Role Service ให้เลือก Certificate Authority และ Certificate Authority Web Enrollment จะมี Pop-up ขึ้นมาให้เราเลือกลง IIS Web server ด้วย ให้คลิก Add required role services
ในหน้า Setup Type ให้เลือก Standalone คลิก Next
ในหน้า CA type ให้เลือก Root Certificate คลิก Next
ในหน้า Setup Private key ให้เลือก Create a new private key คลิก Next
ในหน้าถัดๆไปให้ใช้ค่า Default ทั้งหมด จนจบกระบวนการติดตั้ง

Step 2: Configure CA server

ในขั้นตอนนี้เป็นการเปิดใช้งาน HTTPS เพื่อให้สามารถ Download certificate ได้จากหน้าเวบได้
Login เข้า Root-CA ด้วยสิทธิ์ Administrator เปิด IIS manager ขึ้นมา จากนั้นเปิด Server Certificate ขึ้นมาเพื่อทำการสร้าง Certificate ชั่วคราว ให้สำหรับ HTTPS เพื่อใช้ในการ Request Server Authentication Certificate ในครั้งแรก ภายใต้ Action เมนู ให้เลือก Create Self-signed certificate… ตั้งชื่อ vpn.home.local คลิก OK เปิด IIS manager ขึ้นมา คลิกที่ Default Web Site จากนั้นคลิกที่ link Bindings… ที่อยู่ทางขวามือ จากนั้นคลิก Add เพื่อทำการเพิ่ม HTTPS เข้าไปในเวบไซต์ เลืออก Type เป็น https แล้วเลือก Certificate เป็น vpn.home.local ที่ได้สร้างไว้ก่อนหน้านี่ขึ้นมาใช้ก่อนชั่วคราว คลิก OK
Back to Top...

Step 3: Request Server Authentication certificate

ในขั้นตอนนี้เป็นการ Request certificate ที่ออกโดย Root-CA สำหรับใช้ในการ Authenticate กันระหว่าง web browser กับ web server

Login เข้า Root-CA ด้วยสิทธิ์ Administrator
เปิด web browser เข้า https://root-ca/certsrv จะพบว่ามี certificate error คลิก Continue
จากนั้นคลิก Request a certificate
คลิก Advance certificate request
คลิก Create and submit a request to this CA
ตั้งชื่อเป็น root-ca

ที่ใช้เป็น URL ในการเข้ามา Download certificate ผ่านเวบไซต์ และเลือก Type เป็น Server Authentication

เลือก Mark key as exportable จากนั้นกด submit

ตอนนี้ Request ถูกส่งไปยัง CA server

เปิด Certificate Authority snap-in*

ทำการ Issue certificate ที่ถูก request มา

กลับมาที่ web browser เข้า https://root-ca/certsrv

เลือก View the status of a pending certificate request

เลือก Certificate ที่เพิ่ง Issued มา แล้วเลือก Install this certificate

เปิด MMC เพื่อ add Certificate snap-in ทั้งที่เป็น My user account และ Computer Account(Local computer) จากนั้นคลิก OK

ดับเบิ้ลคลิก Certificates – Current user -> Personal -> Certificates จะเห็น certificate ที่เพิ่ง install มา ชื่อ root-ca ให้ทำการ copy ไว้

นำไปวางที่ Certificates (Local computer)-> Personal -> Certificates

กลับไปที่ IIS manger เพื่อเลือก Binding web site ใหม่

Edit ที่ https ให้ทำการเปลี่ยน Certificate ให้เป็น ชื่อ root-ca ที่ได้ install ไว้ก่อนหน้านี้ จากนั้นคลิก OK

ขั้นตอนนี้เป็นติดตั้ง VPN server เพื่อใช้เป็น gateway ในการติดต่อจากภายนอก

Login เข้า VPNGW ด้วยสิทธิ์ Administrator
เปิด Server Manager ที่ VPNGW แล้วคลิกขวาที่ Role เลือก Add Role
ในหน้าSelect Server Roles เลือก Network Policy and Access Services จากนั้นคลิก Next
ในหน้า Select Role Services เลือกทั้ง Remote Access Services และ Routing จากนั้นคลิก Next
ตรวจสอบผลการติดตั้งแล้วคลิก Close
เปิด Server Manager ขึ้นมา แล้วคลิกขวาที่ Routing and Remote Access แล้วเลือก Configure and Enable Routing and Remote Access
ในหน้า Configuration เลือก Remote access (dial-up or VPN) จากนั้นคลิก Next
เลือกเฉพาะ VPN
ในหน้า VPN Connection ให้เลือก interface ที่ต่อกับ Internet หรือ WAN ใน Lab นี้เลือก Network 10.0.0.1
เลือก Automatic DHCP และเลือก ไม่ใช้ RADIUS จากนั้นคลิก Finish

ขั้นตอนนี้เป็นการลง web server เนื่องจากต้องใช้ HTTPS ในการรับการร้องขอการ negotiate แบบ SSL

คลิกขวาที่ Role ใน Server Manager จากนั้นเลือก Add role
ในหน้า Select Server Role เลือก Web Server (IIS) จากนั้นคลิก Next
ในหน้าถัดๆไป ให้ใช้ค่า Default ทั้งหมดจนให้คลิก install
รอผลการ Install

ขั้นตอนนี้เป็นการ install CA certificate ลงไปใน Trusted root ของ เครื่อง VPN server เพื่อให้เครื่อง server ยอมรับ certificate ที่ใช้ในการ Authenticate ระหว่าง browser กับ web server

Login เข้า VPNGW ด้วยสิทธิ Administrator
เปิด Web browser พิมพ์ URL : https://root-ca/certsrv
คลิก Download a CA certificate, certificate chain, or CRL
คลิก Download CA certificate
เลือก Save As certificate ไว้บน server
จากนั้นเป็น Certificate snap-in เพื่อทำการ Import certificate ไปที่ Certificates(Local computer) -> Trusted Root Certification Authorities -> Certificates

Step 7: Request and install Server Authentication certificate

ขั้นตอนนี้ เป็นการสร้าง certificate ที่ออกโดย Root-CA เพื่อใช้เป็น certificate ในการแลกเปลี่ยน key ระหว่าง VPN server กับ Client

Login เข้า VPNGW ด้วยสิทธิ Administrator
เปิด Web browser พิมพ์ URL : https://root-ca/certsrv
จากนั้นคลิก Request Certificate
คลิก Advanced certificate request
คลิก Create and submit a request to this CA
ใน Certificate Template เลือก Server Authentication
Name เป็น sslvpn.from-se.com

(จะใช้เป็น address สำหรับ client ในการ connect VPN)

เลือก Mark keys as exportable

จากนั้นเลือก submit

ตอนนี้ Request ถูกส่งไปยัง CA server

เปิด Certificate Authority snap-in

ทำการ Issue certificate ที่ถูก request มา

กลับมาที่ web browser เข้า https://root-ca/certsrv

เลือก View the status of a pending certificate request

เลือก Certificate ที่เพิ่ง Issued มา แล้วเลือก Install this certificate

จากนั้นทำการเปิด Certificate snap-in* เพื่อทำการ copy certificate จาก Current user ไปยัง Local computer

ขั้นตอนนี้จะเป็นการผูก SSL certificate เข้ากับ SSTP เพื่อให้ HTTPS ใช้เป็นตัวรับการติดต่อด้วย SSL VPN

Login เข้า VPNGW ด้วยสิทธิ Administrator
เป็น RRAS snap-in แล้วคลิกขวาที่ Routing and Remote access เลือก Properties
จากนั้นเลือกไปที่ tab Security
ที่หัวข้อ SSL Certificate Binding ให้เลือก sslvpn.from-se.com

ที่เพิ่ง install ไป แล้ว OK จะมีการบังคับ Restart service ให้คลิก OK

ขั้นตอนนี้เป็นการผูก certificate ที่ request มาเข้ากับ HTTPS เพื่อใช้ในการรับการติดต่อ แบบ SSL VPN

Login เข้า VPNGW ด้วยสิทธิ Administrator
เปิด IIS Manager จากนั้นเข้าไปที่ Default Web Site คลิก Bindings..
คลิก Add เพิ่ม https เข้าไปแล้วเลือก certificate เป็น sslvpn.from-se.com

คลิก OK

ขั้นตอนนี้เป็นการทดสอบความถูกต้องว่าสามารถ VPN แบบ SSL ได้สำเร็จหรือไม่ เริ่มด้วยการสร้าง PPTP VPN connection เพื่อทำการ Download CA certificate จาก CA server ก่อน

Login เข้า VPN client ด้วยสิทธิ์ administrator
สร้าง PPTP VPN connection เพื่อทำการ Download CA certificate จาก CA server ก่อน
เข้า Control Panel -> Network and Sharing Center
เลือก Set up a new connection or network
เลือก Connect to a workplace คลิก Next
เลือก No, Create a new connection
เลือก Use my Internet connection (VPN)
เลือก I’ll setup an internet connection later
ใส่ Internet address เป็น sslvpn.from-se.com คลิก Next
ใส่ username, password และ domain ที่สร้างไว้
จากนั้น คลิก Create และ Close
ทำการเพิ่มเพิ่ม IP address และ URL ในไปใน Windows/system32/driver/etc/hosts ดังนี้

10.0.0.1 sslvpn.from-se.com

Step 10.1: Connect VPN เพื่อ Download CA certificate

คลิกขวาที่ VPN Connection#1 เลือก Properties
ที่ Security ให้เลือก VPN Type เป็น PPTP จากนั้นคลิก OK
คลิก Connect
เมื่อ Connect ได้แล้วให้เปิด Web browser ขึ้นมา แล้วไปที่ http://root-ca/certsrv
จากนั้น คลิก Download a CA certificate, certificate chain, or CRL
คลิก Download CA certificate แล้ว save ไว้ในคอมพิวเตอร์
เปิด Certificate snap-in* เพื่อ import CA certificate ไปยัง Certificates(Local computer) -> Trusted Root Certification Authorities -> Certificates
จากนั้น Disconnect VPN
เปลี่ยน VPN Type ให้เป็น SSTP
ทดสอบ Connect ใหม่อีกครั้ง คราวนี้จะเป็นการ Connect ด้วย SSL VPN แล้ว
กลับไปที่ VPNGW server เพื่อดู Port ที่ใช้ติดต่อ SSL VPN นี้อยู่