Giới thiệu bổ sung về Network Access Protection – Phần 7
Trong phần trước của loạt bài này, chúng ta đã thực hiện một số công việc về Network
Policy Server. Tuy nhiên, chúng ta vẫn chưa được thực hiện quá trình cấu hình. Các máy
khách Windows Vista của chúng ta sẽ thẩm định trong máy chủ VPN bằng giao thức
Protected EAP (PEAP). Trước khi có thể sử dụng PEAP, chúng ta cần phải liên kết
chứng chỉ máy tính với máy chủ VPN. Trong các phần trước chúng ta đã tạo một CA
doanh nghiệp để có thể sử dụng cho mục đích đó. Trong phần này, chúng tôi sẽ giới thiệu
cho các bạn cách yêu cầu chứng chỉ cần thiết và cách liên kết chứng chỉ đó với máy chủ
VPN.
Yêu cầu chứng chỉ
Chúng ta sẽ sử dụng Protected EAP (PEAP) với tư cách là cơ chế thẩm định phía trình
chủ. Để thực hiện điều đó, chúng ta cần phải có được chứng chỉ máy tính từ CA đã được
tạo trong các phần trước. Hãy nhập vào lệnh MMC tại nhắc lệnh Run. Khi Microsoft
Management Console xuất hiện, chọn Add / Remove Snap-in command từ File menu.
Tiếp đến, chọn tùy chọn Certificates từ danh sách các snap-in và kích nút Add, sau đó là
Finish.
Giao diện điều khiển lúc này sẽ hiển thị Certificate Templates snap-in. Mở phần
Certificate Templates (có thể mất vài phút để hệ thống mở thành phần này) và sau đó tìm
đến Computer template trong phần panel chi tiết. Kích chuột phải vào đó và chọn
Duplicate Template.
Windows sẽ hỏi bạn có muốn tạo chứng chỉ Windows Server 2003 hay Windows Server
2008 không. Hãy chọn tùy chọn Windows Server 2008 và kích OK. Đến đây, Windows
sẽ hiển thị hộp thoại Properties of New Template.
Thứ đầu tiên mà bạn cần thực hiện là nhập vào tên của mẫu mới. Bạn có thể đặt bất cứ
tên nào muốn miễn là nó có nghĩa với bạn. Với mục đích của bài này, chúng tôi đã gọi
mẫu chứng chỉ này là VPN. Tiếp đến là thiết lập tính hiệu lực trước cho mẫu và sau đó
chọn hộp kiểm “Publish Certificate in Active Directory” và “Allow Private key to be
Exported”.
Truy cập tab Request Handling và bảo đảm rằng tùy chọn Purpose được thiết lập là
“Signature and Encryption”. Bạn cũng nên chọn hộp kiểm “Add Read Permissions to
Network Service”. Cuối cùng, vào tab Security và kích nút Add. Khi Windows hiển thị

ta phải cấu hình chính sách yêu cầu kết nối để sử dụng nó. Để thực hiện điều đó, mở giao
diện điều khiển Network Policy Server và điều hướng trong cây giao diện đến NPS
(Local) } Policies | Connection Request Policies
. Khi bạn thực hiện như vậy, panel chi
tiết sẽ hiển thị một danh sách các chính sách yêu cầu kết nối cư trú trên máy chủ. Bạn sẽ
có một chính sách mang tên NAP VPN hoặc gì đó mà bạn đã cấu hình từ trước.
Kích phải vào chính sách yêu cầu kết nối NAP VPN và chọn Properties. Khi đó Windows
sẽ hiển thị trang thuộc tính của NAP VPN. Vào tab Settings của trang thuộc tính và kích
tùy chọn Authentication Methods. Lúc này bạn sẽ thấy “Microsoft: Protected EAP
(PEAP)” được liệt kê trong danh sách EAP Types như thể hiện trong hình A. Nếu bạn
không thấy danh sách này, hãy kích nút Add để bổ sung thêm nó.

Hình A: Microsoft Protected EAP sẽ được liệt kê trong danh sách EAP Types
Chọn Microsoft Protected EAP (PEAP), và kích nút Edit. Thẩm định rằng chứng chỉ mà
bạn đã yêu cầu từ trước được lựa chọn. Bạn cũng cần thẩm định rằng hộp kiểm “Enable
Fast Reconnects” và các hộp kiểm “Enable Quarantine Checks” cũng được chọn. Trường
EAP Types ở phần dưới của màn hnhf cần phải được thiết lập là Secure Password (EAP
MSCHAP V2). Nếu không, hãy kích nút Add để bổ sung nó. Khi bạn kết thúc, kích OK.
Kích OK lần nữa để hoàn tất quá trình.
Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn cách yêu cầu một chứng chỉ máy tính
và cách liên kết nói với máy chủ VPN. Trong phần tiếp theo của loạt bài này chúng tôi sẽ
giới thiệu cho các bạn thêm một số bước trong quá trình cấu hình.