Windows 2003 Server, RAS e la VPN certificata

Utilizzeremo quindi il servizio RAS di Windows 2003 Server per consentire l'accesso ai client dalla rete, con particolare attenzione alla gestione dei certificati (facoltativa, poiché funziona anche con Nome utente e Password, ma per una maggiore protezione sarebbe meglio con i certificati).

Prerequisiti

Prima di cominciare dobbiamo avere un dominio di Windows 2003 Active Directory e un server applicazioni (Internet Information Services) con le pagine ASP abilitate.

Nota: Alcune volte può succedere (come è successo a me) di trovare già IIS installato ma senza il sito predefinito (con ID 1). In questo caso il passo dell'autorità di certificazione fallirà nell'installazione delle directory virtuali per il rilascio dei certificati: seguite le istruzioni nell'appendice A: "Problemi con L'autorità di certificazione" per risolvere l'impiccio.

Installazione di RAS (Routing e Accesso Remoto/VPN)

Dopo esseci accertati della presenza dei requisiti, possiamo procedere con l'installazione del server RAS: nella finestra Amministrazione server, clicchiamo su Aggiungi ruolo

quindi andiamo avanti e selezioniamo Server di Accesso Remoto/VPN.

Andiamo avanti e confermiamo andando ancora avanti. Ora partirà la configurazione guidata a RAS. Andiamo avanti e selezioniamo l'ultima voce "Configurazione personalizzata".

Procediamo e selezioniamo Accesso VPN.

Andiamo avanti e confermiamo con fine la chiusura della configurazione di RAS. Confermate anche l'avvio del servizio.

Installazione dell'Autorità di Certificazione (CA)

Ora è il momento di installare la tanto famosa Autorità di certificazione (Certification Authority, CA), che rilascerà i certificati per i nostri clients. Se non siete interessati a fare un'autenticazione VPN con i certificati, passate direttamente al passo successivo.

Apriamo Start -> Pannello di controllo -> Installazione Applicazioni e premiamo sul bottone di fianco con la scritta: "Installazione dei componenti di Windows".

Nella lista scegliamo Servizi Certificati. Una finestrella ci avviserà che dopo l'installazione dei certificati non è consentito cambiare nome del server e/o dominio perché si invaliderebbero i certificati generati.

Confermiamo con SI e andiamo avanti. Lasciamo la scelta di default e andiamo avanti. Ora scegliamo un nome per il certificato del server e la validità. Dopo questo arco di tempo è necessario aggiornare l'autocertificazione del server.

Andiamo avanti e lasciamo tutto com'è. Ad un certo punto un'altra finestrella antipatica ci avviserà che IIS verrà fermato per qualche istante, il tempo di aggiungere directory virtuali e configurazioni di applicazioni per le stesse.

Confermiamo dando SI e andiamo avanti. Sempre la solita finestrella rompiscatole ci avvertirà che l'abilitazione delle pagine ASP è un potenziale rischio per la sicurezza ecc.

Confermate con SI. Finalmente è finita l'apocalisse dell'installazione.

Ora passiamo al primo rilascio per il server: Andiamo quindi su Start -> Esegui -> Digitiamo "mmc" e diamo OK. Dalla console scegliamo File -> Aggiungi/Rimuovi Snap-In, aggiungiamo Certificati (NON Autorità di certificazione),

selezioniamo computer locale, di nuovo computer locale, e ora facciamo clic su ok. Chiudiamo anche la finestra aggiungi rimuovi snap-in con OK e andiamo su Certificati -> Personale -> Certificati. Facciamo clic con il tasto destro nello spazio vuoto e premiamo Tutte le attività -> Richiedi nuovo certificato. Andiamo avanti e selezioniamo il primo.

Andiamo avanti a tutta birra lasciando le impostazioni predefinite. Dobbiamo fare le stesse cose per le altre due voci del pannello.

Configurazione di RAS

Ora dobbiamo configurare RAS per accettare le connessioni VPN: Sempre da Amministrazione Server, selezioniamo Gestisci questo server di Accesso Remoto.

Ora dovremmo trovarci nel pannello di configurazione di RAS:

Per l'autenticazione tramite nome utente e password

Clicchiamo con il tasto destro sul nome del nostro server e scegliamo Proprietà. Nel pannello IP scegliamo Pool indirizzi statici e diamo un range di IP che non c'è nella nostra rete. Facciamo OK ed è finito.

Per l'autenticazione tramite certificati digitali

Clicchiamo con il tasto destro sul nome del nostro server e scegliamo Proprietà. Nel pannello IP scegliamo Pool indirizzi statici e diamo un range di IP che non c'è nella nostra rete.

Ora andiamo su Protezione -> Metodi di autenticazione e deselezioniamo MS-CHAP e MS-CHAP v2 per disabilitare il login tramite nome utente e password. Ora clicchiamo su Metodi EAP e selezioniamo Smart Card o altro certificato. Diamo OK a tutto e torniamo nella pagina principale. Andiamo quindi su Criteri di Accesso remoto e nel menu del tasto destro selezioniamo la voce "Nuovi criteri di accesso remoto". Andiamo avanti e digitiamo un nome indicativo. Selezioniamo Imposta un criterio personalizzato e andiamo avanti.

Aggiungiamo quindi un criterio di tipo Authentication-Type e selezioniamo il tipo EAP. Diamo ok e andando avanti consentiamo l'accesso con questo criterio. A questo punto clicchiamo su modifica profilo e, nella scheda autenticazione, deselezioniamo di nuovo MS-CHAP e MS-CHAP v2.

Clicchiamo su Metodi EAP e selezioniamo aggiungi -> Smart card o altro certificato -> ok. Ora confermiamo tutto e finiamo con avanti. Ignoriamo la richiesta di visualizzare la guida di Windows.

Configurazione clients

Prima di tutto bisogna creare e scaricare il certificato: colleghiamoci via web (è importante usare Internet Explorer, altrimenti non funziona) al nostro sito web predefinito (con ID 1 in IIS) alla sottocartella certsrv (ad esempio, ipotizzando che l'indirizzo IP del nostro server sia 192.168.1.2 l'url sarà: http://192.168.1.2/certsrv/ ). Ora digitiamo nome utente e password dell'utente che richiede il certificato, poi selezioniamo Richiedi certificato -> Certificato utente -> Invia -> Confermare con SI e installare il certificato.

Ora andando su Pannello di controllo -> Connessioni di rete -> Crea nuova connessione -> Avanti -> Connessione rete aziendale -> Connessione VPN -> Immettere il nome della connessione poi avanti -> Immettere l'indirizzo IP o nome host del server e finire andando avanti. Ora selezioniamo proprietà e sulla scheda Protezione selezioniamo Avanzate. Poi premiamo su impostazioni e selezioniamo Usa EAP.

Lasciamo Smart Card o altro certificato e Cliccare su proprietà. Ora selezionare Utilizza certificato su questo computer e poi selezionare (dalla scelta sotto) il nome della società. Confermare tutto facendo click su ok e lanciare la connessione! Se avete più di un certificato potrebbe chiedere di sceglere il certificato da usare. Selezionate quello della connessione VPN (nomeutente@nomedominio) e via!

Se è la prima volta che vi connettete inoltre, potrebbe apparirvi una finestra che vi avverte che vi siete connessi al server. Cliccate su OK e il gioco è fatto.

Gestire la revoca dei certificati

La revoca dei certificati ha due passi: la revoca vera e propria e l'applicazione al server VPN (anche se entrambi i servizi sono nello stesso server).

Prima di tutto entrare nel pannello di gestione dell'Autorità di certificazione cliccando su Pannello di controllo -> Strumenti di Amministrazione -> Autorità di certificazione. Ora scorriamo fino a trovare Certificati Emessi.

Cliccando con il tasto destro e scorrendo per Tutte le attività, c'è l'opzione Revoca. E' importante far notare che solo la sospensione del certificato permette allo stesso di essere riabilitato. Qualsiasi altra motivazione scelta per la revoca non permette al certificato di essere "riesumato". Una volta revocato, il certificato va a finire nella cartella dei certificati revocati.

Per applicare la revoca, collegarsi al servizio online di certificazione del nostro PC: http://127.0.0.1/certsrv/ , loggarsi con Administrator o con un account privilegiato, scaricare quindi la lista delle revoche con la terza opzione e poi scaricando la base e il delta. Una volta scaricato cliccare con il tasto destro e selezionare installa. Fatto!

Appendice A: Problemi con l'Autorità di Certificazione