Các bước nâng cấp AD-Certificate Service từ Windows Server 2003 lên Windows 2k12 R2


Như các bạn biết, hỗ trợ kỹ thuật cho sản phẩm Windows Server 2003 và 2003 R2 đã kết thúc vào ngày 14 tháng 7 năm 2015. Với điều này các chuyên gia CNTT đang ở giữa việc nâng cấp và quy hoạch lại hạ tầng CNTT bảo mật cho Doanh nghiệp.

Hướng dẫn này sẽ cung cấp các bước nâng cấp AD CS từ Windows Server 2003 sang Windows Server 2012 R2.

Server Name

Operating System

Server Roles

AD2003-ca.domain.local

Windows Server 2003 R2 Enterprise x86

AD CS ( Enterprise Certificate Authority )

SRV-CA2.domain.local

Windows Server 2012 R2 x64

Bước 1. Backup CSDL và cấu hình của Windows Server 2003 certificate authority

– Truy cập Windows 2003 bằng quyền Admin

image

– Mở Certification Authority

– Bấm phải chuột chọn  Server Node > All Tasks > Backup CA

image

– Chọn next để tiếp tục backup

image

– Tạo thư mục để lưu bản backup

image

– Nhớ đặt mật khẩu cho Key backup (tối thiểu 8 ký tự)

image

– Bấm Finish để kết thúc việc backup Key

Bước 2. Backup CA cấu hình trong Registry

– Mở Run gõ lệnh Regedit

image

– Mở theo cây đường dẫn:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

– Bấm phải chuột chọn “Configuration” key và chọn Export

image

– Cửa sổ mở ra, chọn thư mục lưu file backup cấu hình Registry

image

– Như vậy, chúng ta đã hoàn thành backup dữ liệu key và Registry CA của windows 2003.

– Tiếp theo, chúng ta copy toàn bộ các dữ liệu backup trên sang máy chủ Windows 2012 R2

image

Bước 3. Hạ dịch vụ CA Enterprise trên Windows Server 2003 xuống

– Mở  Start > Control Panel > Add or Remove Programs

image

–  Bấm nút  “Add/Remove Windows Components”

image

– Bỏ chọn  “Certificate Services

image

– Xác nhận việc gỡ Certificate Services và bấm nút Finish

image

Hoàn thành việc gỡ bỏ CA trên Windows 2003, chúng ta cần khởi động lại máy chủ này.

Bước 4. Cài CA trên máy chủ W2012 R2

Các bước cài tuần tự

– Add roles and features:

image

– Chọn Role-based or Feature-based installation:

 image

– Chọn Active Directory Certificate Services:

image

– Chọn thêm Net Framework 3.5

image

– Thêm chức năng trong AD-CS

image

– Chọn CA và CA Web Enrollment:

image

– Chọn Certification Authority Web Enrollment selected it will required IIS

image

– Thêm IIS role service.

image

– Cài AD CS

image

 

Bước 5. Cấu hình AD CS

– Mở Server Manager > AD CS

image

– Mở “Configure Active Directory Certificate Service ……”

image

– Chọn “Certification Authority”, “Certification Authority Web Enrollment”

image

– Chọn “Enterprise CA”

image

– Tạo mới Root CA

image

– Chọn dùng lại import DB CA đã backup của w2003

image

– Bấm import

image

– Chọn thư mục và file backup, nhập mật khẩu đã backup key CA

image

– Sau khi import thành công:

image

– Bấm Next để hoàn  thành việc cấu hình restore lại CA

Bước 6. Restore CA backup

– Mở Server Manager > Tools > Certification Authority

image

– Bấm phải chuột chọn All Tasks > Restore CA…

image

– Hệ thống CA sẽ tự động Restart

image

– Cửa sổ Restore sẽ hiển thị  “Certification Authority Restore Wizard”

image

– Cửa sổ tiếp theo gợi ý thư mục Restore

image

– Nhập mật khẩu Key CA

image

– Bấm Finish sau khi hoàn thành

image

Bước 7. Restore Registry cho CA mới

Mở thư mục đã copy các bản Backup của Windows 2003 sang thư mục lưu trên Windows 2012 R2

image

– Bấm file chuột vào file reg và chạy

– Khi hoàn thành bấm OK

image

Bước 8. Kiểm tra kết quả và tạo Template CA trên Windows 2012 R2

– Mở Certification Authority

– Bấm phải chuột tạo CA Template Issue

image

– Chọn Template List

image

– Test the CA

Mở lại mục Issued Certificate

image

Các thời hạn,  Valid from, Issued to, Issued by hợp lệ trên bảng thông tin CA là hoàn thành

Chúc các bạn thành công !

Advertisements

Phần 7: cấu hình giao thức LDAPS cho việc Change password của AD từ các hệ thống VPN / SharePoint / .Net / PHP / Apache dùng SSL/TLS


1. Tại sao lại cần SSL/TLS cho LDAP (port default: 389):

Theo mặc định, truyền thông LDAP giữa máy chủ AD và máy chủ ứng dụng không được mã hóa. Thiết bị hoặc phần mềm và xem các thông tin liên lạc đi lại giữa client và máy tính LDAP server.

Điều này đặc biệt có vấn đề khi một LDAP đơn giản được sử dụng bởi vì các thông tin (tên người dùng và mật khẩu) được truyền tải qua mạng được mã hóa, thậm trí có nhu cầu thay đổi mật khẩu.

Lưu ý: chỉ LDAP chuyển dữ liệu được tiếp xúc. Xác nhận hoặc ủy quyền dữ liệu khác sử dụng Kerberos, SASL, và thậm chí NTLM có hệ thống mã hóa.

Tham khảo: Windows 2000 SP4 sử dụng LDAP  hoặc

chứng thực đơn giản theo chuẩn Layer (SASL)

bản sao giữa các domain controller được mã hóa bằng cách sử dụng Kerberos .

Lý do cho phép Lightweight Directory Access Protocol (LDAP) trên Secure Sockets Layer (SSL) / Transport Layer Security (TLS) cũng được gọi là LDAPS bao gồm:

  • Một số ứng dụng xác thực với Active Directory Domain Services (AD DS) thông qua BIND đơn giản. Như BIND đơn giản cho thấy nhiều thông tin quan trọng của người sử dụng trong văn bản rõ ràng, sử dụng Kerberos được ưa thích. Nếu BIND đơn giản là cần thiết, sử dụng SSL / TLS để mã hóa các phiên xác thực được khuyến khích mạnh mẽ.
  • Sử dụng các ràng buộc proxy hoặc thay đổi mật khẩu trên LDAP, mà đòi hỏi LDAPS. (Ví dụ: Bind một AD LDS instance Thông qua một đối tượng Proxy )
  • Một số ứng dụng tích hợp với các máy chủ LDAP (như Active Directory hoặc Active Directory Domain Controller) yêu cầu thông tin liên lạc được mã hóa. Để mã hóa truyền thông LDAP trong một mạng Windows, bạn có thể bật LDAP trên SSL (LDAPS).

Cảnh báo Trước khi bạn cài đặt một hệ thống cấp chứng nhận (CA Server), bạn nên biết rằng bạn đang tạo hoặc mở rộng một cơ sở hạ tầng khóa công khai (PKI). Hãy chắc chắn để thiết kế một PKI đó là thích hợp cho tổ chức của bạn. Xem PKI Thiết kế Tổng quan Giới thiệu tóm tắt để biết thêm thông tin.

 

1.1. Việc kích hoạt LDAPS cho domain controller sử dụng một hệ thống phân cấp CA single-tier:
1.2. Việc kích hoạt LDAPS cho domain controller sử dụng một hệ thống phân cấp CA multi-tier:

Khi bạn có một-đa lớp (chẳng hạn như một hai tầng, ba tầng) CA ​​phân cấp, bạn sẽ không tự động có các chứng chỉ thích hợp để xác thực LDAPS trên Domain Controller. Để kích hoạt LDAPS trong một hệ thống phân cấp CA multi-tier, bạn phải yêu cầu một giấy chứng nhận đáp ứng các yêu cầu sau:

 

2. Cách cấu hình LDAPS (default port: 636)

  1. Trên máy chủ AD cần mở Certification Authority, mở Certificates console hoặc certsrv console. Để mở certsrv, bấm Start > certsrv.msc và sau đó nhấp OK .
  2. Đảm bảo rằng Certification Authority.
  3. Kích chuột phải vào Certificate Templates > Manage.

image

4.  Trong Certificate Templates control, nhấp chuột phải Domain Controller Authentication và sau đó chọn Duplicate Template . Bạn không cần phải sử dụng các mẫu Kerberos. Bạn có thể tạo riêng của bạn hoặc sử dụng một trong những mẫu hiện có Server Authentication như một Target, chẳng hạn như Domain Controller Authentication, Domain Controller , Web Server , và Computer .

Quan trọng: Bạn nên kế hoạch trên có giấy chứng nhận trên mỗi máy chủ LDAP (tức là Domain controller hoặc AD LDS server) với target: Server Authentication . image

5. Trên Duplicate Template , để mặc định chọn Windows Server 2003 Enterprise chọn và sau đó nhấn OK .

6. Các thuộc tính của New Template xuất hiện. Đảm bảo rằng các thiết lập như bạn muốn họ được cho mẫu chứng chỉ này. Hãy chú ý để đảm bảo rằng các tên Template hiển thị được thiết lập để một cái tên thích hợp cùng với các cài đặt sau:

  • Thời gian hiệu lực và gia hạn được quy định theo chính sách bảo mật của tổ chức.
  • Chiều dài khóa phù hợp.
  • Chọn nếu bạn muốn đặt chứng chỉ trong Active Directory.
  • Tên tab Subject: Tên DNS và Dịch vụ tên chính (SPN) được lựa chọn.
  • Nếu bạn có kế hoạch để nhập chứng chỉ vào lưu trữ chứng chỉ Active Directory Domain Services, sau đó cũng nên đánh dấu các khóa riêng như xuất khẩu.

image

 

image

 

7.  Nhấn OK .

8. Quay trở lại Giấy chứng nhận hoặc certsrv console và trong panel chi tiết của Certificate Templates , kích chuột phải vào một khu vực mở của giao diện, kích New , và sau đó nhấp vào Certificate Template để export

image

image

image

image

 

3. Yêu cầu một chứng chỉ cho Server Authentication

Để yêu cầu một chứng chỉ từ máy chủ LDAPS của bạn, hãy làm như sau trên mỗi Domain Controller đòi hỏi kết nối LDAPS:

  1. Mở Certificates console. Bấm vào Bắt đầu , loại MMC , và sau đó nhấn ENTER. Nếu được nhắc nhở bởi User Account Control, đảm bảo nó sẽ hiển thị các hành động mà bạn muốn và sau đó bấm Yes .
  2. Trong giao diện điều khiển MMC được mở ra (thường Console1), nhấp vào file và sau đó nhấp vào Add / Remove Snap-in.
  3. Trong Add or Remove Snap-ins dưới Snap-ins , nhấp Certificates, và sau đó nhấp vào Add.
  4. Trong Certificates snap-in , chọn Computer Account và sau đó nhấp vào Next.
  5. Trong Select Computer , nếu bạn đang quản lý các máy chủ LDAP yêu cầu chứng chỉ, chọn Local . Nếu không, hãy chọn Another Computer và nhấn Browse để xác định vị trí máy chủ LDAP yêu cầu giấy chứng nhận.
  6. Một khi bạn có máy tính đúng được chọn, nhấn OK và sau đó nhấp vào Finish.
  7. Trong Add or Remove Snap-in , click OK .
  8. Trong cây giao diện điều khiển, mở rộng Certificates (<Computer>).
  9. kích chuột phải vào Certificates , nhấn All Tasks , và sau đó nhấp vào Yêu cầu chứng chỉ mới .

image

image

image

 

image

image

image

 

image

10.  Trong Certificate Enrollment , bấm Next.

11.  Trong Select Certificate Types, thông thường bạn sẽ để mặc định của Active Directory Enrollment Policy . Nếu bạn có một chính sách khác nhau mà bạn nên làm theo, sau đó chọn một trong đó và nhấp vào Next.

12.  Chọn một chứng chỉ cho phép để xác thực server, Kerberos làm việc, nhưng bạn có thể sử dụng chứng chỉ tùy chỉnh như mô tả trong Công bố Giấy chứng nhận rằng Hỗ trợ Server Authentication. Nhấn vào Enroll .

image

image

 

image

image

image

 

image

(1.3.6.1.5.5.7.3.1) .

Đối với từng bước ví dụ khác yêu cầu một chứng chỉ để xác thực máy chủ và thực hiện LDAP trên SSL (LDAPS), xem các bài viết sau đây:

 
4. Các dịch vụ Active Directory Domain Certificate lưu trữ 

Khi một chứng chỉ được lựa chọn từ các máy tính local (như trong CertEnumCertificatesInStore ) Giấy chứng nhận hợp lệ đầu tiên mà có thể được sử dụng để xác thực máy chủ (OID: 1.3.6.1.5.5.7.3.1) được trả về để sử dụng. Trong trường hợp khách hàng có nhiều giấy chứng nhận hợp lệ cho Server Authentication trong (ví dụ như các máy chủ LDAP của AD DS bộ điều khiển miền , AD LDS , hoặc ADAM server) lưu trữ chứng chỉ máy tính local, có thể thấy rằng một chứng chỉ khác so với cái mà họ muốn được sử dụng cho LDAPS.

Độ mã hóa tốt nhất cho một vấn đề như vậy là để loại bỏ tất cả các chứng chỉ không cần thiết từ các máy tính local chứng nhận và chỉ có một giấy chứng nhận là hợp lệ để xác thực máy chủ. Tuy nhiên, nếu có một lý do chính đáng mà hai hay nhiều chứng chỉ của một máy khách sử dụng ít nhất Windows Server 2008 máy chủ,  máy chủ LDAP, Directory Domain Services (NTDS \ Personal) lưu trữ chứng chỉ mới có thể được sử dụng cho giao thức LDAPS .

Chú ý: Có một số chi tiết quan trọng cần biết trước khi bạn thực hiện việc sử dụng của các kho lưu trữ chứng thực Active Directory Domain Services (AD DS):

  1. Giấy chứng nhận đăng ký tự động (auto-enroll) không thể được sử dụng với các chứng chỉ trong kho chứng chỉ cá nhân NTDS \.
  2. Các công cụ dòng lệnh hiện hành không cho phép quản lý giấy chứng nhận lưu trữ chứng chỉ cá nhân NTDS \.
  3. Chứng chỉ nên được nhập khẩu vào các cửa hàng, và không di chuyển (bằng cách kéo và thả) thông qua giao diện điều khiển Certificates (MMC)
  4. Mỗi máy chủ LDAP sẽ yêu cầu giấy chứng nhận của riêng mình để sử dụng tùy chọn này, nhưng nó chỉ là cần thiết để sử dụng tùy chọn này trên một máy chủ có nhiều chứng chỉ với mục đích Server Authentication trong Giấy chứng nhận cửa hàng địa phương. Giải pháp tốt nhất là để chỉ có một giấy chứng nhận trong giấy chứng nhận cá nhân của máy tính.

 

Lưu ý: Các bước trên đây là kết thúc việc cấu hình SSL cho LDAP trên phiên bản máy chủ windows 2000 và Windows 2003 Enteprise.

4.1 Kiểm tra kết nối tới giao thức LDAPS connection:
  1. Mở chính máy chủ Windows 2000 /2003 AD vừa cài LDAPS:

netstat -n -p tcp  server returns that 636 is listening:

image

2. Mở máy chủ liên quan tới SharePoint Server / .NET / PHP Server / VPN SSL cần kết nối với máy chủ Windows 2003/ 2000 vừa cài LDAPS:

image

3. Xem cách sửa lỗi này ở mục 6:

 

4.2.  Xuất file pfx chứng nhận LDAPS và Nhập file pfx để sử dụng với AD DS (áp dụng cho AD Server 2008 / 2008 R2 Enterprise):

Các bước sau chứng minh làm thế nào để xuất ra một giấy chứng nhận LDAPS kích hoạt từ kho lưu trữ chứng thực Enterprise từ một Domain Controller để Directory Domain Services lưu trữ chứng chỉ dịch vụ Active Directory (NTDS \ Personal).

Bạn sẽ phải thực hiện bước này cho mỗi Domain Controller khi có nhiều giấy chứng nhận với việc sử dụng kích hoạt kiểu Server Authentication.

Giấy chứng nhận này sẽ phải được gia hạn sử dụng và chỉ thực hiện được bắt đầu với Windows Server 2008 domain controller, vì đó là Windows Server Active Directory Domain service  (AD DS) đầu tiên, trong đó NTDS được tách ra như là dịch vụ riêng của chính hệ thống.

  1. Bấm vào Start, gõ mmc và sau đó nhấn OK .
  2. Nhấn vào File Add / Remove Snap-in .
  3. Nhấn vào Certificate và sau đó nhấp vào Add.
  4. Trong Certificates snap-in, chọn Computer Account và sau đó nhấp vào Next.
  5. Trong Select Computer , nếu bạn đang làm việc tại các máy chủ LDAP yêu cầu chứng chỉ, chọn Local . Nếu không, hãy chọn Another Computer và nhấn Browse để xác định vị trí máy chủ LDAP yêu cầu giấy chứng nhận.
  6. Một khi bạn có máy tính đúng được chọn, nhấn OK và sau đó nhấp vào Finish . Trong Add or Remove Snap-in , click OK .
  7. Trong cây giao diện điều khiển, mở rộng Certificates (<Computer>)
  8. Trong giấy chứng nhận giao diện điều khiển của một máy tính có một chứng chỉ có thể được sử dụng để xác thực máy chủ, kích chuột phải vào chứng chỉ, nhấn All Tasks , và sau đó nhấp vào Export.

image

image

 

9. Trên Certificate Export Wizard màn hình chào mừng, nhấn Next.

10. Trên export the Key Private màn hình, chọn Yes, export the private key và sau đó nhấp vào Next. Nếu bạn không có tùy chọn để xuất khẩu các khóa riêng, sau đó các mẫu chứng chỉ không cho phép xuất khẩu của khóa riêng

Tham khảo:  Xuất bản chứng chỉ hỗ trợ Server Authentication.

image

Trên Export File Format màn hình, bạn nên chọn Export tất cả các thuộc tính mở rộng . Các lựa chọn khác là:

image

image

11. Trên màn hình Password, nhập mật khẩu mà bạn muốn được sử dụng khi các chứng chỉ được nhập khẩu. Bạn sẽ phải nhập mật khẩu hai lần: một lần trong Mật khẩu hộp và sau đó một lần nữa trong các Loại và mật khẩu xác nhận . Sau đó, nhấp vào Next.

12. Trên File to Export màn hình, nhập vào đường dẫn, tên file, và mở rộng tập tin .pfx và

image

image

 

sau đó nhấp vào Next.

13. Xác nhận các thiết lập trên màn hình hoàn thành và sau đó nhấp vào Finish. Bạn sẽ thấy một thông báo pop-up chỉ ra rằng việc xuất khẩu là thành công. Nhấn OK .

14. Nhấn vào File và sau đó nhấp vào Add / Remove Snap-in .

15. Nhấn vào Certificates và sau đó nhấp vào Add.

image

image

Chọn Service account và sau đó nhấp vào Next.

image

16. Chọn Local Computer, đảm bảo rằng bạn nhắm mục tiêu các máy tính thích hợp. Nếu bạn đang chạy Microsoft Management Console (MMC) và muốn nhắm tới các máy tính địa phương, bạn có thể để lại các lựa chọn mặc định của Local Computer. Nếu không, hãy chọn nother computer và sau đó sử dụng các Browse để chọn các máy tính thích hợp. Sau đó nhấp vào Next.

17. Chọn Active Directory Domain Services và sau đó nhấp vào Finish.

image

image

18. Trên Add or Remove Snap-ins hộp thoại bấm OK .

19. Mở rộng Certificates (Active Directory Domain Services) và sau đó nhấp vào NTDS \ Personal.

20. Kích chuột phải vào NTDS \ Personal, nhấn All Tasks , và sau đó nhấn Import .

image

21. Trên Certificate Import Wizard màn hình chào mừng, nhấn Tiếp theo .

22. Trên File to Import , nhấn chuột vào Browse , và sau đó xác định vị trí các tập tin chứng chỉ mà bạn đã xuất trước đó.

23. Trên mở màn hình, đảm bảo rằng Personal Information Exchange (* PFX, *. p12) được lựa chọn là các loại tập tin và sau đó di chuyển các tập tin hệ thống để xác định vị trí các chứng chỉ mà bạn đã xuất trước đó và sau đó nhấp vào giấy chứng nhận đó.

image

24. Nhấn Open và sau đó nhấp vào Next.

25. Trên Password màn hình nhập mật khẩu bạn đặt cho các tập tin và sau đó nhấp vào Next.

image

Trên trang Certificate, đảm bảo rằng tất cả các chứng chỉ hợp lệ được chọn và đọc vào vị trí Certificate store : NTDS \ Personal và sau đó nhấp vào Next.

image

26. Trên Certificate Import Wizard màn hình hoàn thành, bấm Finish. Sau đó bạn sẽ thấy một thông báo rằng nhập đã thành công. Nhấn OK .

27. Trong khung Navigation, dưới NTDS \ Personal, nhấp Certificates

28. Trong cửa sổ chi tiết, kích chuột phải vào chứng chỉ mà bạn nhập khẩu và sau đó nhấp vào Browser.

image

Click vào Detail và sau đó nhấp vào Enhanced Key Usage, bạn sẽ thấy rằng Authentication Server (1.3.6.1.5.5.7.3.1) là một trong những Target của các giấy chứng nhận và sau đó nhấp OK .

image

5. Kiểm tra kết nối LDAPS:

Sau khi một chứng chỉ được cài đặt, hãy làm theo các bước sau để xác minh rằng LDAPS được kích hoạt:

5.1 Bắt đầu công cụ mới Administration Directory (Ldp.exe)

image

  1. Trên kết nối đơn, nhấp vào Connect .

image

2. Nhập tên của máy chủ LDAP (ví dụ như Domain Controller  hoặc AD LDS / ADAM server) mà bạn muốn kết nối.

3. Đổi số cổng sang 636 .

4. Check ô SSL

5. Nhấn OK .

 

6. Tham khảo các lỗi vs Xử lý sự cố LDAP qua SSL:

Khi bạn có vấn đề với LDAPS, có những điều khác nhau mà có thể là sai.

Các bạn nên tham khảo: Khắc phục sự cố LDAP qua SSL .

Chỉ có một sự kiện ID đó là liên quan trực tiếp đến LDAP trên SSL, đó là các mã lỗi có ký hiệu số:

  • Error event ID 1220 – LDAP trên SSL
  • Error event ID 2886 – LDAP ký : đăng nhập mỗi lần một bộ điều khiển miền được bắt đầu, nếu bạn không có yêu cầu ký kích hoạt trên bộ điều khiển tên miền của bạn.
  • Error event ID 2887 – Nếu ký kết yêu cầu không được bật, sự kiện này còn giữ một số bao nhiêu với phím unsigned xảy ra trong 24 giờ. Các sự kiện được đăng nhập mỗi 24 giờ.
  • Error event ID 2888 – Nếu ký cần được kích hoạt, sau đó điều này thậm chí giữ một đếm bao nhiêu với phím LDAP unsigned xảy ra trong 24 giờ. Kể từ khi ký LDAP là cần thiết, với phím sẽ bị từ chối. Đây là thông báo cho người quản trị để điều tra các máy tính khách hàng đang cố gắng để ràng buộc mà không ký.
  • Error event ID 2889- quản trị có thể cho phép sự kiện này để giúp xác định các máy tính khách hàng đang cố gắng để ràng buộc mà không ký. Sự kiện này được đăng nhập với địa chỉ IP và danh tính ràng buộc của khách hàng mỗi khi một ràng buộc unsigned được thực hiện hoặc cố gắng.
 

Lỗi Error <0x51>: Fail to connect to

image

Đây là lỗi do bạn chưa ký chữ ký số của máy chủ windows 2000/2003 /2008 AD vừa dựng LDAPS sang máy chủ liên quan mà bạn cần truy cập kết nối sử dụng dịch vụ LDAPS:

ví dụ: bạn mở máy chủ SharePoint Server / máy chủ .NET framework hoặc / Apache Server / PHP server …

image

image

image

image

image

image

image

 

image

image

image

image

image

 

image

 

Như vậy, có 2 bước triển khai:

1. cấu hình CA trên AD DS và Export ra file pfx.

2. Cấu hình import file pfx vào máy VPN/ SharePoint /.Net / PHP/ Apache server cần kết nối LDAPS.

Chúc các bạn thành công !

 

P.S: Những nội dung triển khai giải pháp kỹ thuật trên càng ngày càng phức tạp,

các bạn nên đăng ký tham gia các khóa học của ROBUSTA để được luyện tập, trải nghiệm qua các môn học,

phương pháp học thực hành chuyên sâu, vững Trí vững Nghề !

Phần 4: Triển khai đăng nhập 1 lần SSO giữa AD và VMware vCenter Appliance 5.5


Hệ thống đăng nhập SSO đều phụ thuộc vào 5 bước chuẩn :

image

Lưu ý:

  1. Bước 1 và 2 luôn cần được vẽ sơ đồ và thông tin về cấu hình mạng trước như:  IPv4, IP gateway, IP DNS local, AD Server name, vcenter server name, A, CNAME, Reverse lookup zone và PTR.
  2. Công cụ chuẩn bị cho kiểm thử cần chuẩn bị trước (tham khảo: https://technet.microsoft.com/en-us/library/cc794810%28v=ws.10%29.aspx )
  3. Các bước chạy kiểm thử LDAP/ LDAPS các bạn cần biết qua (tham khảo: https://thangletoan.wordpress.com/2015/03/01/phan-2-trien-khai-cau-hnh-dang-nhap-1-lan-sso-giua-moodle-v-ad-server-robusta-distance-learning-2015/ )

 

Hệ thống đăng nhập 1 lần SSO thường có 4 phương pháp kết nối giữa AD với vCcenter:

image

1. Phương án Active Directory (integrated Windows Authentication):

Bước 1: chuẩn bị trên DNS Server các thông số A, CNAME:

image

và PTR

image

 

Bước 2: Join domain từ vCenter Appliance đến AD Server:

image

Bước 3: Giờ là lúc cấu hình SSO lấy account từ AD sang cho VMware vCenter:

image

Lưu ý: nếu không chuẩn kỹ, chính xác các bước 1,2 các bạn sẽ gặp khá nhiều lỗi bực mình sau:

Lỗi 1: Giá trị bí danh không nên để trống  ‘alias’ value should not be empty :

image

 

Lỗi 2: cannot load the users for the selected domain

image

– Không cập nhật bản ghi PTR hoặc khi thay máy chủ vCenter, AD, Domain Controler quên không cập nhật bản ghi PTR đều là hậu quả của các lỗi trên.

Tham khảo: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2033742 

 

Chúc các bạn tránh được sai lầm và thành công !

Phần chưa được công bố: Cấu hình CA cho SSL trên máy chủ RemoteFX


1. giới thiệu mô hình và quy trình cài đặt, cấu hình Certificate Authenticate (CA) với máy chủ RemoteFX:

image

image

2. Các bước thực hiện:

Bước 1. IIS 8

image

Bước 2.  Cấu hình Common name

image

Bước 3.  Cấu hình mã hóa RSA

image

Bước 4. Lưu fie txt hoặc req

image

Bước 5. Mở Server Manager trên máy chủ AD Server 2008 R2

image

Bước 6. Kiểm tra cấu hình CA server

image

Bước 7.  Dùng cmd chạy lệnh xác thực và tạo file chữ ký (đay là do lỗi phân quyền tự động duyệt chữ ký số)

image

certreq.exe -submit -attrib “CertificateTemplate:WebServer” newcert.txt newcert.cer

Bước 8. Mở lại Windows 2012, mở cmd và gõ lệnh mmc > chọn Certificate Authenticate:

image

Bước 9. Chọn mục Personal > chọn chữ ký số đã ký > bấm phải chuột chọn menu : Export…

image

Bước 10. Cài mật khẩu

image

Bước 11. Cấu hình chữ ký số cho các dịch vụ

image

Bước 12. Sau khi cài các chũ ký số

chúng ta có thể tiến hành publish các Application qua RD Broker Publish service bình thường

image

Bước cuối:

Chạy trình duyệt test, phần lớn trường hợp ở đây bị lỗi, cách tốt nhất là khởi động lại máy chủ Windows 2012 và kiểm tra màn Dashboard xem có dịch vụ nào không chạy (báo đỏ)

hãy vào các mục service lỗi đó và bấm chuột phải chọn Start để các dịch vụ đó chạy lên hết, rồi hẵng vào IE/Chrome/FF và test lại trang RemoteFX

image

 

Chúc các bạn thành công  !