TUNNELTEKNIK & CERTIFIKAT

Transkript

1 Examensarbete 10 poäng C-nivå TUNNELTEKNIK & CERTIFIKAT Reg.kod: Oru-Te-EXD083-D117/04 Klas Andersson Dataingenjörsprogrammet 120 p Örebro vårterminen 2004 Examinator: Håkan Lindegren TUNNELING TECHNIQUES & CERTIFICATES Örebro universitet Örebro University Institutionen för teknik Department of technology Örebro SE Örebro, Sweden

2 Sammanfattning Institutionen för Teknik vid Örebro universitet hade för avsikt att utveckla kursen Nätverksoperativsystem beträffande nätverkssäkerhet. Arbetet bestod av att fördjupa sig i olika tekniker för säker trafik på LAN och via WAN. Trafiken ska vara krypterad med t.ex. 3DES och gå via så kallade tunnlar. Certifikat ska användas för att kunna verifiera att klient och server litar på varandra vid skapande av en tunnel mellan dessa. Större delen av arbetet gjordes i Windows-miljö då sådan ska användas under laborationer i kursen. Tunneltrafiken och certifikathantering fungerade till slut tillfredställande och verifierades med hjälp av sniffern Ethereal (freeware). Efter slutfört arbete skapades en laborationshandledning för ca 4 timmar laboration i kursen. Den framtagna laborationen testades och visade på bra resultat. Abstract The Department of Technology at Örebro University had the intention to develop the course Network Operation Systems regarding network security. The work was to become engrossed in different techniques regarding secure traffic on LAN and WAN. The traffic was to be encrypted with for example 3DES and use tunneling. Certificates were to be used for clientserver trust and to create a tunnel between them. The main part of the work was made in Microsoft Windows as it will be used in laboratory work. When a tunnel and certificates worked satisfactory, the traffic was tested with a sniffer called Ethereal (freeware). A laboratory instruction for about 4 hours of work was created and tested with good results. 1

3 Förord Rapporten är ett resultat av 10 poängs examensarbete under våren/sommaren Arbetet utfördes åt Institutionen för Teknik vid Örebro universitet. Arbetet verkställdes i institutionens lokaler som är belägna i Teknikhuset. Jag vill tacka Jack Pencz som varit handledare och uppdragsgivare för examensarbetet och Håkan Lindegren som varit examinator. 2

4 Innehållsförteckning 1 INLEDNING Syfte Uppdrag Mål VERKTYG Microsoft Windows Server Microsoft Windows XP Professional Ethereal Mandrake Linux Putty TEORI Virtuella Privata Nätverk VPN-protokoll IP Security Protocol Certifikat INSTALLATION Microsoft Windows Server Microsoft Windows XP Professional Ethereal Mandrake Linux Allmänt Säkerhetsnivå UTVÄRDERING KÄLLFÖRTECKNING BILAGOR A. Laborationshandledning Virtuella Privata Nätverk B. SSH med PuTTY 3

5 1 Inledning 1.1 Syfte Institutionen för Teknik önskade utveckla nya övningar till laborationer i kursen Nätverksoperativsystem. Syftet var att ta fram en laborationshandledning för konfiguration av virtuellt privat nätverk (virtual private network - VPN). 1.2 Uppdrag Uppdraget bestod av flera delar varav de viktigaste är följande: Installation och testning av Microsoft Windows Server 2003 Konfiguration av Microsoft Windows Server 2003 i olika server roller (RAS, IIS etc.) Installation och testning av Microsoft Windows XP Professional Konfiguration av Microsoft Windows XP Professional som VPN-klient Skydda VPN-trafiken med hjälp av krypterad trafik Verifiering av krypterad trafik med hjälp av sniffer (Ethereal) Skapa laborationshandledning för installation av VPN-system Installation av Linux-server för användning i laborationer Skapa imagefiler av de operativsystem som används Skapa bootbara CD-ROM/DVD-skivor för användning på laborationer 1.3 Mål Målet med examensarbetet var att skapa ett testsystem bestående av flera datorer som via en VPN-server skulle kunna kopplas ihop och använda kryptering för trafiken. När ett väl ett fungerande testsystem hade skapats, skulle även en lättanvänd laborationshandledning skrivas samt CD-skivor brännas. Instruktionerna skulle vara till för en laboration på 4 timmar. Studenterna skulle antas ha varierande förkunskaper i ämnet. 4

6 2 Verktyg 2.1 Microsoft Windows Server 2003 Microsoft Windows Server 2003 var den typ av server som Institutionen för Teknik avsåg att använda för detta ändamål. Funktioner för att skapa en säker överföring av trafik finns med i operativsystemet. Installationer av de olika delarna går smidigt och de flesta användarna känner igen miljön från sina egna datorer. 2.2 Microsoft Windows XP Professional Detta operativsystem var det som Institutionen för Teknik avsåg att använda som arbetsstation. Det är lätt att använda och användaren känner igen många funktioner från datorsalarna vid Örebro universitet. 2.3 Ethereal Ethereal är en så kallad sniffer, dvs. ett program som övervakar nätverksanslutningar. Programmet kan sniffa upp paket som skickas och visa innehållet i dessa. Ethereal valdes för att det är freeware och rekommenderades av datateknikerna på Institutionen för Teknik. 2.4 Mandrake Linux Valet av Linuxdistribution blev förhållandevis lätt. Vid tidpunkten för installation fanns ej många alternativ där den senaste Linuxkärnan var med. Mandrake innehåller även en SSHserver (deamon) vilket var ett krav. Mandrake är också lätt att installera och finns på svenska vilket ger det stora fördelar under laboration. 2.5 Putty Putty är en SSH-klient som finns till flertalet operativsystem och är liksom Ethereal och Mandrake freeware. Putty valdes att användas som SSH-klient i Microsoft Windows XP Professional. 5

7 3 Teori 3.1 Virtuella Privata Nätverk Grundtanken med VPN är att koppla upp en säker anslutning mellan två noder, t.ex. två nätverk, över ett osäkert nät, t.ex. Internet. På så sätt simuleras ett LAN. Den säkra anslutningen kallas Tunnel och datatrafiken krypteras med t.ex. 3DES kryptering för att göra anslutningen oläsbar för utomstående. Figur 1. Anslutningar i ett virtuellt privat nätverk. Bildkälla: VPN-protokoll Point-to-Point Tunneling Protocol (PPTP) är ett äldre protokoll som användes i äldre versioner av Windows som t.ex. NT4 och Windows 95 för att skapa fjärranslutningar. Dessa anslutningar är ofta okrypterade eller använder sig av en låg grad av kryptering. För att förbättra säkerheten utvecklades Layer Two Tunneling Protocol (L2TP) som är ett nyare protokoll vilket har funnits med i Windows från och med versionen Windows 2000 och senare. Den stora skillnaden mot PTPP är inbyggd autenticering och med hjälp av IPsec erhålls stark kryptering. L2TP är det protokoll som använts för examensarbetet och som finns beskrivet i laborationshandledningen. 6

8 3.1.2 IP Security Protocol IP Security Protocol (IPsec) är ett protokoll utvecklat för att nå hög säkerhet vid överföringar på Internet. IPsec innehåller säkerhetsfunktioner, som t.ex. autenticering. Autenticering går ut på att identifiera och verifiera att klient och server verkligen är de som de utger sig för att vara innan kontouppgifter kontrolleras. IPsec innehåller också stöd för flera sorters kryptering av datatrafiken som t.ex. DES, 3DES, AES och Blowfish. De viktigaste delarna i IPsec är Authentication Header (AH) och Encapsulated Security Protocol (ESP). Både AH och ESP garanterar äkthet hos data, vilket innebär att data är skickade från rätt avsändare och att de inte har manipulerats på vägen till mottagaren. Den stora skillnaden mellan AH och ESP är att den senare har möjligheten att kryptera datapaketen. Därför är ESP att föredra över osäkra anslutningar. Ett användningsområde för AH kan vara inom t.ex. ett företags LAN som skyddas av en brandvägg utåt. Inom företaget kanske inte kryptering är av största vikt då en hel del datakraft går åt för kryptering och dekryptering ESP i olika lägen ESP kan användas i två lägen, transportläge och tunnelläge. Tunnelläget används när behov finns att koppla ihop två eller flera lokala nät över t.ex. Internet. Därför är det vanligast att routrar använder sig av detta läge. I detta läge krypteras hela paket och ges nya IP-huvuden. Transportläge används för att koppla upp klienter mot fjärrservrar (VPN-routrar). Här krypteras ej IP-huvudet utan enbart meddelandedelen av ett paket. Figur 2. Fält i ett ESP-paket. 7

9 Kryptering IPsec tillhandahåller flera olika krypteringsmetoder som t.ex. Data Encryption Standard (DES), Triple Data Encryption Standard (3DES) och Advanced Encryption Standard (AES). 3DES är den variant som har använts i det praktiska arbetet. På grund av att vanlig DES dekrypteras på några timmar valdes 3DES som krypteringsmetod. 3DES kombinerar tre DESnycklar som är på 56 bitar vardera. 3DES ger ett chiffer med 112 bitar. Värt att tänka på beträffande kryptering är internationella exportproblem som kan uppstå mellan länder och kontinenter. USA har restriktiv lagstiftning mot hur starka krypteringar som får användas vid t.ex. överföring av meddelanden mellan USA och Europa. Om ett företag vill koppla upp VPN-anslutningar mellan kontor som är lokaliserade i olika länder så är det viktigt att kontrollera exakt vilka bestämmelser som gäller just för detta. 3.2 Certifikat Certifikat används för att skapa förtroenden mellan enheter/nätverk som ska kopplas ihop. Sådana certifikat kontrolleras innan förbindelse skapas. Detta för att båda parter ska se att de verkligen kommunicerar med avsedd motpart och att förtroende finns. Certifikat installeras på både servrar och klienter för att kunna kontrollera att de identifierar varandra vid uppkoppling. Ett certifikat utfärdas av en så kallad Certification Authority (CA). CA kan vara t.ex. myndighet, intern tjänst hos företag (på egen server) och en köpt tjänst hos externt företag (Verisign, Certsign). När en användare begär ett certifikat av en CA, skickar denna med sin publika nyckel (public key). CA kontrollerar att användaren är den som han/hon utger sig för att vara. Därefter skapar CA certifikatet efter de parametrar som användaren har angett i sin begäran som t.ex. nyckelstorlek och krypteringsalgoritm. Därefter signerar CA med sin privata nyckel (private key) och skickar tillbaka certifikatet till användaren. 8

10 Figur 3. Utfärdande av certifikat. Bildkälla: För att en server ska kunna agera VPN-server så installeras ett Server Authentication Certificate. Motsvarande certifikat krävs även för en klient. Detta kallas Client Authentication Certificate. I både klient och server/router installeras ett så kallat CA certificate. Detta root-certifikat är till för att datorn ska kunna lita på certifikat utfärdade av samma CA. När ett vanligt certifikat används, kontrolleras detta med hjälp av root-certifikatet. För att göra detta så matchas CA och användarens nycklar mot varandra. I Windows finns flera root-certifikat förinstallerade. Mestadels är dessa till för kommunikation över Internet och för de som är stora aktörer på certifikatmarknaden. Det krävs certifikat för att kunna skapa krypterade anslutningar med hjälp av L2TP eftersom detta protokoll använder sådana vid autentisering. Tidsbegränsning används för att öka säkerheten och ett certifikat kan givetvis dras tillbaka när som helst av administratören. Detta gör att det är lätt att stänga av en klient som av någon anledning inte längre ska ha tillgång till en VPN-anslutning. Det går även att konfigurera så att en klient automatiskt begär förlängning av sitt certifikats giltighetstid när den börjar gå ut. 9

11 4 Installation 4.1 Microsoft Windows Server 2003 I den laborationshandledning som har skrivits används Microsoft Windows Server 2003 som operativsystem i VPN-servern. Se Bilaga A. De komponenter som behövdes för att skapa ett fungerande VPN är följande: Remote Access Server (RAS) Policies Användare & grupper Certificate Services (CA) Internet Information Service (IIS) Server Authentication Certificate Servern har konfigurerats för att användas både som CA och som RAS. IIS har använts för att på ett smidigt sätt kunna begära och ladda ner certifikat för installation via webben. På servern har användare och grupper skapats för att kunna använda regler (policies) för inloggning. 4.2 Microsoft Windows XP Professional Microsoft Windows XP Professional används som operativsystem i VPN-klienten. Komponenter som installerats är följande: VPN-anslutning Client Authentication Certificate Ethereal (freeware sniffer) Fjärranslutning finns inbyggd i Windows och användes därför med hjälp av certifikat som hade installerats från CA. För att kontrollera att anslutningen verkligen fungerade som den skulle och att kryptering gjordes användes Ethereal. 4.3 Ethereal Ethereal är en sniffer, dvs. ett program som sniffar upp paket som skickas över anslutning via nätverkskortet. För att kunna använda Ethereal i Windows krävs WinPcap (drivrutin) som gör att Ethereal kommer åt att sniffa från nätverkskortet. 10

12 4.4 Mandrake Linux Allmänt Valet av Mandrake Linux gjordes pga. att den hade den senaste kärnan (2.6) med i distributionen. Tanken var att testa Debian men den senaste officiella releasen hade bara den gamla kärnan (2.4). Installationen av Mandrake Linux ligger på tre CD-ROM som laddades ner från Mandrake's spegling (mirror) på Sunet. Skivorna är bootbara vilken gör att installationen startas väldigt smidigt. Under installationen får användaren göra inställningar såsom språk och skärmupplösning. Även nätverkanslutning konfigureras om nätverk finns. Program som ska installeras i Mandrake s Linux är valbara och man kan välja "standard eller utvalda (custom) program. På servern installerades det grafiska gränssnittet KDE 3.2. Servern valdes till att agera FTP- och SSH-server. Det var alltså dessa serverprogram (deamons) som installerades. En enkel brandvägg medföljer och denna konfigurerades att enbart släppa igenom trafik på just FTP- och SSH-portarna Säkerhetsnivå I Mandrake kan säkerhetsnivån väljas. För en server rekommenderas endera profilen "High" eller "Paranoid". Det som skiljer mot de lägre nivåerna är skydd mot angrepp. Detta säkerställs med hjälp av bl.a. stänga portar. På servern valdes läget "Paranoid" som är den högsta valbara säkerhetsnivån. Dock uppstod problem då detta läge inte tillåter trafik via SSH. För att aktivera SSHD som tjänst (service) användes kommandot "chkconfig --add sshd". För att välja vilka IP-adresser, IP-serier eller domäner som får komma in på servern (via FTP och SSH) editerades filen /etc/host.allow till följande: # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # ALL:LOCAL sshd:all ftpd:local Detta innebär att SSHD kan ta emot anslutningar från alla platser i nätverket. Däremot kan FTPD bara nås från det lokala nätet. Om vi hade haft flera serverprogram (deamons) som körs i bakgrunden så skulle dessa bara kunna kommas åt från det lokala nätet. Raden ALL:LOCAL kan vara bra om fler tjänster på servern aktiveras och administratören glömmer bort att ändra i hosts.allow. 11

13 5 Utvärdering Arbetet har flutit på relativt bra. Mycket tid har gått åt till att få alla inställningar rätt. Även att söka efter information för att få alla delar att fungera med varandra har tagit lång tid i anspråk. Även certifikaten orsakade problem innan rätt konfiguration hittades. Arbetet har resulterat i en laborationshandledning som har testats med gott resultat. Se Bilaga A. Laborationshandledningen behöver kompletteras med frågeställningar för studenterna. Detta överlämnas till respektive lärare att införa. 12

14 6 Källförteckning Microsoft TechNet Microsoft Developer Network Microsoft Windows XP Professional Hjälpfiler (svensk version) Microsoft Windows Server 2003 Hjälpfiler (engelsk version) ZDNet Australia: News Security: Certifying your VPN Mpirical Companion Mediearkivet.se Datateknik 3.0 White Paper Säkerhet Ethereal A Network Protocol Analyzer Ethereal Capture Filters Winpcap PuTTY a free telnet-ssh client Linux Online MandrakeSoft Dustin 13

15 Bilagor

16 Bilaga A Laborationshandledning Virtuella Privata Nätverk

17 Innehållsförteckning 1 ANVÄNDARKONTON OCH GRUPPER Skapa en användare och grupper Inställningar för användare REMOTE ACCESS SERVER (VPN-SERVER) Installation Konfiguration av RAS och Policy Installation av egna Policies CERTIFIKATSERVER OCH IIS Installation Microsoft Management Consol med Certifikat INSTALLATION AV NÖDVÄNDIGA CERTIFIKAT Serversidan Utfärda certifikat Installera ett utfärdat certifikat Klientsidan Kontrollera att certifikat installerats SKAPA EN VPN-ANSLUTNING Anslutningskonfiguration Felmeddelanden

18 1 Användarkonton och grupper 1.1 Skapa en användare och grupper För att kunna använda VPN måste den klient som ansluter ha ett konto (användare) på servern. Detta skapas i Start Administrative Tools Computer Management. Det kan även vara smart att använda en grupp att ha alla VPN-användare i för att kunna använda policy principer (begränsa användarnas möjligheter) på dessa. För att skapa en användare används Action New User. Fyll därefter i användarens egenskaper (namn, lösen etc.). I detta fall väljs att bestämma ett lösenord och låta det ha en obegränsad användningstid. Klicka Create och användaren skapas. Stäng sedan med Close och kontrollera att användaren existerar i mappen Users. 2

19 För att skapa en grupp används Action New Group. 3

20 Vi tar och lägger till den användare vi just skapat (VPN User) genom att klicka på Add. 4

21 Klicka därefter på Advanced och sedan på "Find Now". I listan på användare väljs användaren VPN. Klicka därefter OK och användaren blir adderad till gruppen "VPN Testing Group". Sedan skapas gruppen med knappen Create. Stäng därefter rutan och kontrollera så gruppen existerar. 5

22 1.2 Inställningar för användare Dubbelklicka på användaren (VPN). Då kommer inställningar för användaren att visas. För att kontrollera att VPN-inställningarna är rätt klicka på fliken Dial-in. Här går det att välja Allow/Deny Access vilket antingen ger access eller nekar användaren att ansluta via VPN. Default är dock att bestämma vilka som ska komma in via olika regler (policy) för användarna. Här ska vi ha defaultvärdet "Control access through Remote Access Policy" valt. 6

23 2 Remote Access Server (VPN-server) 2.1 Installation Vi startar Routing and Remote Access via Start Administative Tools Routing and Remote Access. Klicka på Action Add server. Välj This computer och klicka OK. 7

24 Starta "Manage Your Server". Här kan vi lägga till olika roller som servern ska ha i vårt nätverk. Klicka på "Add or remove a role". En guide startas och vi klickar Next för att starta denna. Nätverket kommer att undersökas en stund och vi får sedan upp en ruta med val. 8

25 Välj här "Custom configuration" och klicka Next. Markera sedan "Remote access / VPN server" för att installera serverrollen som behövs för vår VPN-server. Klicka Next (flera ggr) och en guide kommer att startas för installationen. 9

26 För att kunna köra VPN-servern på vårt LAN med hjälp av enbart ett nätverkskort måste vi välja "Custom configuration". Om valet "Remote access (dial-up or VPN)" görs så kommer guiden att förutsätta att servern har 2st nätverkskort, där det ena är anslutet till Internet och det andra till ett LAN. I vår custom installation ska vi välja att kryssa i VPN access och LAN routing för att få fart på båda delarna via samma nätkort. 10

27 Klicka Next och sedan slutför guiden för att installera komponenterna. När allt är klart kommer vi få frågan om vi vill starta vår Remote Access Server (härifrån RAS), välj Yes. RAS startas upp. 11

28 2.2 Konfiguration av RAS och Policy Konfigurationen av RAS görs i "Routing and Remote Access" som startas via "Manage Your Server" Manage this remote acces/vpn server" eller via Start Administative Tools Routing and Remote Access. Vi ska konfigurera servern, markera därför denna och använd Action Properties. För att ställa in vilka autenticeringsmetoder som ska godtas av servern väljs "Authentication Methods" 12

29 Här väljer vi "MS-CHAP v2" som är utvecklad för att användas med krypterad trafik och krävs för att kunna skapa en säker krypterad anslutning. Alla andra val kryssas ur då de inte har tillräckligt hög säkerhetsgrad. (PAP skickar t.ex. lösenord i rent text.) Välj OK. 13

30 Vi väljer sedan att bestämma vilka IP-adresser som fjärranvändare (klienter) ska få istället för att servern slumpar ut IP-nummer. Bocka för "Static address pool" och sedan Add. I detta fall väljer vi att låta 5 klienter kunna få IP tilldelad från servern. En av de 6 IP-adresserna används av servern själv. Vi väljer här att ha ett annat delnät för VPN. Detta gör att paketen inte routas fel och går via samma gateway. Väljer vi samma delnät här så går det bra att sniffa paketen i klartext då de inte skickas via vårat krypterade VPN. 14

31 Klicka sedan OK (2 gånger) för att stänga inställningarna för servern. 2.3 Installation av egna Policies Med Policies kan vi ge en specifik användare eller grupp restriktioner för hur och när de får ansluta mot vår VPN-server. Markera "Remote Access Policies" och använd Action New Remote Access Policy. En guide för installation av policy startas. För att kunna konfigurera vår regel precis som vi vill skapar vi en custom policy med hjälp av "Set up a custom policy". Namn på regeln anges här. Det är bra att döpa en regel till något som har med själva regeln att göra. Klicka sedan Next för att få upp en ny ruta där vi väljer Add. 15

32 Här finns det väldigt stora möjligheter att ställa in vilka användare som får ansluta och inte via flertalet regler. Vi testar här att välja att lägga in regeln att användare måste vara medlem i gruppen "VPN Testing Group". Välj "Windows-Groups". Klicka Add och sedan Add även på nästa ruta. 16

33 Klicka på Advanced och sedan Find Now. Välj gruppen VPN Testing Group och klicka OK (flera ggr) tills vi kommer tillbaka till rutan där det går att klicka next igen och klicka. Välj Grant remote permission för att släppa in användare i denna grupp. Klicka sedan Next (flera ggr) för att slutföra guiden. 17

34 Vi ska nu editera denna policy för att ställa in lite tider som användarna får ansluta och även vilken kryptering som krävs. Markera policyn och använd Action Properties. Använd sedan "Edit Profile". 18

35 På fliken Dial-in Constraints ska vi ändra tidpunkter för login och även vilken typ av anslutningsmedia som får användas. Bocka för rutan "Allow access only on these days and at these times" och välj Edit. Här ställer vi in t.ex. alla dagar mellan kl är det godkänt för användare att ansluta sig. Obs! Här infinner sig en bugg i Windows 2003 server. Om du väljer t.ex. tisdag alla tider så blir detta i vissa fall onsdag när du klickat OK. Här kan det vara lämpligt att testa sig fram för att se vad som är rätt... 19

36 För att välja vilka media som får användas bockar vi för "Allow access only through these media (NAS-Port-Type)". Här scrollar vi ner och väljer "Virtual (VPN)" och även Ethernet. 20

37 Efter detta ska vi ställa in krypteringsstyrka. Detta görs på fliken Encryption. Här avmarkerar vi alla alternativ utom den starkaste krypteringen. Nu återstår att ställa in autenticernigstyp på fliken Authentication. Vi avmarkerar MS-CHAP och även "User can change password after it has expired" (på MS-CHAP v2). Klicka OK för att spara vår regel. Vår regel kan konfigureras att vara mycket hårdare och kombineras med andra policies. Det kan vara bra att ställa in så mycket som möjligt på "Dial-in Constraints" för att få så bra säkerhet som möjligt. Bra kan t.ex. vara att begränsa användarna till ett visst nät hos en ISP m.h.a. IP-serier. 21

38 22

39 3 Certifikatserver och IIS 3.1 Installation Lägg till Windows komponenter via Start Control Panel Add or Remove programs. Välj sedan Add/Remove Windows Components. Bocka för rutan "Certificate Services" Vi kommer att mötas av ett meddelande om att Domän och datornamn inte kan ändras utan att redan utfärdade certifikat kommer bli ogiltiga. Klicka Yes för att fortsätta installationen. 23

40 Vi ska även installera Internet Information Service (härefter kallat IIS) för att få upp en webbserver för att kunna begära att certifikat utfärdas. Markera Application Server och klicka på Details. Bocka för IIS (här kommer även andra komponenter markeras automatiskt) och klicka på Details. Bocka för World Wide Web Service och sedan OK (2 gånger). Klicka sedan Next för att börja installera de valda komponenterna. Var redo att använda Windows 2003 Server -skivan för att installationen ska kunna slutföras. Vi ska nu välja vilken sorts certifikatserver vi vill ha. Vi väljer en fristående server som ska vara överst i hierarkin av certifikatservrar, m.a.o. en "Stand-alone root CA". 24

41 Skriv sedan in valfritt namn på certifikatservern. Här välj "Windows 2003 Server CA". Klicka Yes på frågan om att skriva över existerande private key. 25

42 Sedan ska de sökvägar som CA kommer att använda sig av anges. Här väljs katalogen direkt under rooten för enkel åtkomst. Obs! Här kommer vi troligen att bli tillfrågade efter Windows 2003 CD-skivan. Installationen kommer att fråga om du vill aktivera ASP. Detta måste vi göra för att kunna få certifikat utfärdade med IIS via webben. Klicka Yes och installationen slutförs. Observera att när denna installation slutförts kommer det att ha installerats nya serverprofiler som kan ses under "Manage Your Server". Dessa är Application Server och File Server (används av IIS och CA). 26

43 3.2 Microsoft Management Consol med Certifikat För att kunna ha kontroll över installerade certifikat och utfärdare behöver vi konfigurera certifikat i Microsoft Management Consol (härefter kallat MMC). Detta görs via snap-in modulen Certifikat som läggs till MMC. MMC startas vi via Start Run. Kommando: MMC För att ladda Certifikat modulen så körs "Add/Remove Snap-in..." på File-menyn. Här ska vi välja att lägga till (Add) en modul. 27

44 När vi väljer Add får vi en lista med valmöjligheter. Vi väljer här Certificates och på följande fråga väljs Computer Account eftersom det är där certifikat för L2TP ska ligga. L2TP är den kryptering vi kommer att använda och denna kräver certifikat för att kunna kopplas upp. 28

45 Därefter väljs "Local Computer" eftersom det är denna dator vi ska kontrollera. Det går även att välja en annan dator här via "Another Computer" och sedan söka i nätverket efter datorer som tillåter detta. 29

46 Stäng MMC, en fråga kommer upp om vi vill spara. Välj valfritt ställe att spara på, t.ex. skrivbordet med namnet Console Cert.mcs. 4 Installation av nödvändiga certifikat 4.1 Serversidan För att använda certifikatservern som upprättats används webbinterface m.h.a. IIS. I Internet Explorer skrivs serverns adress in och sedan underkatalog till själva servern. I detta fall Vi möts då av certifikatserverns webbinterface. Klicka där på Request a certificate. 30

47 Vi behöver ett advanced certificate. Klicka därför på advanced certificate request och sedan på Create and submit a request to this CA. 31

48 Servern behöver ha ett så kallat "Server Authentication Certificate" för att kunna knyta kontakt med klienter som ansluter med L2TP. För att L2TP ska fungera krävs att certifikaten lagras för datorn och ej enbart för användaren som begär certifikatet. Därav sparas certifikatet i "local computer certificate store". 32

49 33

50 Denna varningsruta kan komma upp när vi ska ansöka om certifikatet. I detta fall så litar vi självklart på datorn eftersom det är din egen server som delar ut certifikatet till sig själv via webben. I detta läge har vi ansök om att få ett certifikat från servern. Det krävs att administratören går in och godkänner att du ska få certifikatet. Därför uppmanas vi att vänta några dagar och återkomma för att hämta vårat certifikat. Nu är vi administratör själva så nästa steg är att godkänna att certifikatet utfärdas. 34

51 4.1.1 Utfärda certifikat På startmenyn har vi Administrative Tools till vår hjälp. I den menyn startas Certification Authority. Vi får då upp modulen för vår Certifikatserver. I denna kan administratörer hantera alla certifikat som servern utfärdat och godkänna/avslå att nya certifikat utdelas. Just nu ska det ligga ett certifikat på Pending, nämligen vår "Server Authentication Certificate" som hade request id 11. Detta certifikat vill vi som administratör godkänna. Därför markerar vi det och klickar på Action-menyn. Därifrån All-tasks och därefter Issue för att utfärda certifikatet Installera ett utfärdat certifikat När administratören har utfärdat vårt certifikat finns detta att hämta på certifikatserverns webbinterface som användes tidigare för att ansöka om certifikatet. Vi går därför till "View the status of a pending certificate request" för att kontrollera om vår ansökan blev godkänd. Välj efter det certifikat som passar (det kan vara flera som du fått utfärdade). Det ska heta liknande detta "Server Authentication Certificate (den 15 mar :30:11)" Klicka därefter på Installera. 35

52 Även här får vi ett varningsmeddelande som går ut på att det kan vara farligt att installera certifikat från serverar som vi inte känner till. När vi klickat Yes installeras certifikatet och vi blir informerade att det gått bra. 36

53 4.2 Klientsidan Begäran av klientcertifikatet ska göras från den dator det är tänkt att ansluta via VPN, t.ex. din arbetsstation hemma. På klienten installeras serverns CA-certificate för att godkänna att vi litar på certifikat som servern utfärdat. Gå till serverns webbinterface och klicka på "Download a CA certificate". Välj sedan i den önskade servern i listan och klicka på "Download CA certificate". 37