Home / Operating System / TẠO MÁY CHỦ CA – CHỨNG CHỈ SỐ

TẠO MÁY CHỦ CA – CHỨNG CHỈ SỐ

  1.       I.         TẠO SERVER CA
    Bài này tôi cùng các bạn dựng Server CA – quen thuộc gọi là Active Directory Certificate Services
    Theo ví dụ từ đầu của tôi thì DC của chúng ta đã có, được gọi là máy chủ DC, Tên miền là: d3plus.com, IP: 10.10.0.10/16
    Đề xây dựng được máy chủ AD CA, tôi gọi là DC. Tôi sẽ bỏ qua các bước cài đặt thế nào với Windows Server 2008 R2 này. Giả sử đã cài xong DC, đã nâng lên AD, và là một máy chủ mới tinh.
    Các lưu ý với bài này:
    + Máy chủ này đã nâng lên DC.
    + Đặt IP của DC này như sau: 10.10.0.100/16 – DNS: 10.10.0.10 (chính là địa chỉ máy chủ DC chính)
    + Một máy Windows Server 2008 R2 khác, tôi đặt tên là EX, đã được Joined miền vào máy chủ DC 10.10.0.10/16
    Chúng ta bắt đầu tiến hành các bước cài đặt:
    STEP 1: Cài đặt CA
    R-C vào Add Roles
    Ấn Next để tiếp tục:
    Sau đó chọn Active Directory Certificate Services.
    Ấn Next tiếp tới khi gặp màn hình dưới đây:
    Ta chọn tick vào Certification Authority Web Endrollment. Sau khi bạn ấn vào dấu tick sẽ xuất hiện cửa sổ nhắc cài dịch vụ liên quan đến việc xin Chứng thực qua giao diện WEBSITE.
    Ấn vào Add Required Role Services để tiếp tục . Tiếp theo bạn ấn NEXT

    Bạn chọn Enterprises rồi ấn Next, tiếp tục chọn Root rồi ấn NEXT
    Chọn tiếp Create a new private key như hình dưới:
    Chọn Next tiếp:
    Tại cửa sổ dưới đây, bạn chọn đặt tên cho tên CA root của bạn.  Ở đây tôi sẽ đặt là D3PLUS-CA.
    Chọn Next và thay đổi hạn dùng của CA, tôi sẽ để mặc định là 5 năm.
    Tiếp tục ấn NEXT cho đến khi gặp nút INSTALL, bạn ấn vào và đợi trong giây lát để hoàn thành việc cài đặt Dịch vụ CA. Sau khi dịch vụ được cài đặt thành công, bạn ấn nút CLOSE.
    Vậy là ta bước đầu đã hoàn thành việc cài máy chủ dịch vụ CA. Ta bắt đầu cài chạy thử trên máy thứ 2. Xem cách xin chứng thực dịch vụ như thế nào:
    STEP 2: Cài trên máy trạm đã JOINED và miền của máy DC
    Mặc định ta coi như đã JOINED thành công máy này (gọi là máy EX) vào miền d3plus.com rồi nhé.
    Ấn nút ADD
    Ấn Computer Account và chọn NEXT, ấn Finish và OK. Sau đó sẽ xuất hiện màn hình dưới đây.
    Bạn ấn vào dấu Cộng (+) chuyển xuống tìm đến Trusted Root Certification Authorities , bạn sẽ nhìn thấy d3plus-CA, chính là bạn đã cài xong phần chứng thực từ máy chủ CA.
    Bây giờ đến bước xin chứng thực cho từng dịch vụ:
    Bạn ấn R-C vào Personal như dưới đây , chọn All Task > Request New Certificate : để tiến hành xin chứng thực số.

    Sau khi ấn, bạn sẽ nhìn thấy những hình dưới đây:

    Chọn NEXT

    Bạn sẽ nhìn thấy trong máy bạn đã có sẵn Chứng thực cấp phép dành cho COMPUTER, như ở bước ban đầu bạn tạo CA cho Computer tại máy DC CA. Bạn ấn ENROLL và đợi cuối cùng ấn FINISH:

    Bây giờ bạn đã hoàn thành việc xin cấp chứng chỉ số phục vụ vào các mục đích của bạn.  Như trong hình, tại Personal > Certificates , bạn đã nhìn thấy file chứng chỉ số EX.d3plus.com
    Để kiểm tra bạn sẽ đi đến bước STEP 3
    STEP 3: Kiểm tra việc chứng thực
    Giả sử bạn đã cài IIS. Bây giờ bạn thử chức năng chứng chỉ số áp dụng với website nhé.
    Nếu bạn sử dụng website, bạn sẽ thấy https:// … đó chính là giao thức có sử dụng CA cho việc chứng thực số.
    Bây giờ ta tiến hành tạo ra 1 https như sau:

    Bạn mở IIS, chọn website bạn cần triển khai dưới dạng https. R-C > Edit Bindings như hình trên

    Bạn ấn vào nút Add

    Bạn chọn HTTPS như hình trên và sẽ thấy xuất hiện cửa sổ dưới đây

    Bạn chọn SSL certificate và chọn chứng chỉ của bạn mà Server đã cấp (EX.d3plus.com)
    Chọn OK và Close
    Bây giờ kiểm chứng hoạt động nhé:
    Bạn mở cửa sổ Explorer

    Tại đây bạn tạo 1 file tên là index.html , với nội dung là TEST
    Bạn mở Internet Explorer và gõ : http://localhost/ bạn sẽ nhận được hiển thị với chứ TEST. Như vậy bạn đã thành công trong việc tạo trang website với nội dung TEST rồi.
    Bây giờ bạn quay lại với con DC CA và vào như hình vẽ dứơi để tạo ra môi trường thử nghiệm trang website mà bạn vừa làm ở trên đây

    Bạn chọn New Host (A or AAAA) và gõ như hiển thị dưới đây.

    ở đây ip: 10.10.0.20 là địa chỉ của máy EX nhé.
    Mục tiêu làm việc trên là để khi trên IE, sau khi bạn gõ www.d3plus.com sẽ xuất hiện trang website bên máy EX bạn đã tạo với giao thức HTTPS nhé.
    Ở thanh Address Bar : bạn sửa lại là https://www.d3plus.com sẽ thấy cửa sổ dưới đây đòi bạn xem lại website này có nên mở hay không vì bạn hiện tại chưa có chứng thực địa chỉ số mà bạn đã đưa vào website:
    Bạn ấn vào Continue to this website (not recommended) > bạn sẽ nhìn thấy cửa số dưới
    Bạn thấy Certificate Error màu ĐỎ cạnh hộp Address Bar không ? Bạn ấn vào đó.
    Bạn ấn tiếp vào VIEW Certificates
    Cửa sổ này thông báo, bạn đang mở trang website mà có yêu cầu chứng chỉ số của d3plus-CA , được phát từ nguồn máy EX.d3plus.com
    Bạn ấn Instal Certificates
    Như vậy là bạn đã hoàn thành việc xin cấp và cấp chứng chỉ số cho một ứng dụng , cụ thể ở đây là WEBSITE
    TRÊN ĐÂY LÀ PHẦN CƠ BẢN CÁCH LÀM. TÔI SẼ GIỚI THIỆU NHỮNG VẤN ĐỀ CHUYÊN SÂU HƠN VỀ CA SAU.
    Đăng  bởi 
    0

    Thêm nhận xét

  2.       I.         TẠO SERVER BACKUP CHO DC
    Bài này tôi cùng các bạn dựng Server dự phòng cho DC chính. Nhiệm vụ của DC Backup sẽ có những tác dụng sau:
    + Không sợ mất dữ liệu quan trọng nhất là các dữ liệu liên quan đến AD như Log, Database, Cấu trúc, DNS v.v.
    + Đảm bảo tính ổn định và nâng cao tính cân tải cho hệ thống
    + Đảm bảo được tính sẵn sàng của hệ thống
    Theo ví dụ từ đầu của tôi thì DC của chúng ta đã có, được gọi là máy chủ DC, Tên miền là: d3plus.com, IP: 10.10.0.10/16
    Đề xây dựng được máy chủ DC dự phòng, tôi gọi là DC2. Tôi sẽ bỏ qua các bước cài đặt thế nào với Windows Server 2008 R2 này. Giả sử đã cài xong DC2, chưa nâng lên AD, chưa Joined vào bất kể miền nào, và là một máy chủ mới tinh.
    Các lưu ý với DC2 này:
    + Đảm bảo DC2 này liên lạc được với DC chính
    + Máy chủ DC2 này chúng ta nên cài luôn DNS, điều này đã được MS khuyến cáo.
    + Đặt IP của DC2 này như sau: 10.10.0.100/16 – DNS: 10.10.0.10 (chính là địa chỉ máy chủ DC chính)
    Chúng ta bắt đầu tiến hành các bước cài đặt
    STEP 1:
    Bật máy chủ DC lên
    STEP 2:
                + Bật máy chủ DC 2
                + Cài đặt địa chỉ IP phù hợp như sau:
                IP: 10.10.0.100
                Subnet : 255.255.0.0
                DNS: 10.10.0.10
                + Run > CMD > Ping 10.10.0.10  để kiểm tra xem tình trạng thông tuyến với DC chưa. Nếu kiểm tra mọi thứ OK chúng ta bắt đầu
    STEP 3: gõ lệnh DCPROMO tại hộp RUN hoặc gõ luôn tại của sổ CMD
    STEP 4:
    Chúng ta ngồi đợi trong vài phút
    Xuất hiện cửa sổ trên, ấn NEXT để tiếp tục
    Ta tiếp tục ấn Next, sau khi ấn Next sẽ xuất hiện cửa sổ thể hiện yêu cầu xác định đây là máy chủ loại gì. Như từ mục đích của bài này, chúng ta đã xác định máy chủ DC2 này là máy chủ thứ cấp trong Miền, nhiệm vụ là dự phòng cho DC chính.
    + Ta sẽ chọn nút Radio : Exiting Forest ( để xác định là làm máy chủ trong Rừng có sẵn)
    + Ta chọn tiếp : Add a domain controller to an existing domain ( để xác định chúng ta sẽ tạo ra một DOMAIN CONTROLLER trong 1 vùng Rừng đã tồn tại miền rồi.
    + Ta ấn Next để tiếp tục
    Sau khi ấn Next sẽ xuất hiện cửa sổ dưới đây.
    + Bạn gõ tên miền mà DC chính đã tạo, ở đây ta gõ D3plus.com
    + Bạn tiếp tục ấn nút SET , ở đây bạn đang chọn cho việc chứng thực JOINED miền. Sau khi ấn SET, sẽ xuất hiện hộp chọn User đăng nhập và mật khẩu để JOINED miền vào D3plus.com
    Sau khi ấn nút SET sẽ xuất hiện như hình dưới đây:
    Bạn tiếp tục ấn Next để tiếp tục, và lưu ý, tên người dùng và mật khẩu tại cửa sổ trên là tên quyền được Join miền vào DC chính.
    Cửa sổ dưới đây là sau khi bạn đã gõ thành công User/Password để Joined miền và ấn Next
    Bạn ấn Next để tiếp tục
    Tiếp tục ấn Next
    Ở trên bạn gặp cửa sổ tuỳ chọn cho máy chủ DC2 này có DNS và là GC không. Tôi sẽ chọn theo khuyến nghị của MS về việc này là chọn GC và DNS luôn.
    Chúng ta ấn Next để tới tiếp cửa sổ dưới :
    Ấn Yes để tiếp tục sau khi gặp cửa sổ dưới đây:
    Ta gặp tiếp cửa sổ dưới
    Ấn Next và bắt đầu nhập vào cửa sổ hỏi về mật khẩu khôi phục
    Ta ấn Next để tiếp tục đợi trong giây lát.
    Sau cùng cũng đã hoàn tất công việc. Nhớ RESTART nhé.
    STEP 5: Kiểm tra công việc hoàn tất và sự đồng bộ giữa hai DC này.
    + Trên cả 2 DC ta gõ lệnh từ hộp RUN như sau: ServerManager.msc
    + Trên DC2 : ta thử tạo 1 OU tên là TEST
    + Trên DC : ta thử tạo 1 OU tên là D3PLUS
    Sau khoảng 30 giây, bạn vào DC và Refresh, bạn sẽ nhìn thấy OU TEST đã xuất hiện trong phần quản trị AD của DC và ngược lại đối với DC2 cũng thấy D3PLUS ở DC2. Như vậy quá trình tạo máy chủ Backup đã hoàn toàn thành công.
         II.         MỘT SỐ LƯU Ý
    Sự khác biệt về vai trò của hai DC này:
    + Con DC2 (tức là Server Backup) luôn đóng vai trò phụ
    + Con DC luôn vai trò chính
    + Có 5 vai trò chính trong DC:
    1.    Schema: Cấu trúc của hệ thống – Vai trò này chỉ nằm trên DC Rừng đầu tiên của hệ thống
    2.    Domain Naming: Cấu hình hệ thống – Vai trò liên quan đến Rừng
    3.    PDC : Là vai trò quản trị giờ, đồng bộ, chính sách của hệ thống
    4.    RID: Là vai trò quản lý mã của hệ thống, như các trường hợp User được tạo ra, tuy nhiên mỗi  User này đếu có duy nhất bộ SID (mã xác định)
    5.    Infrastructure: Vai trò quản trì đến quyền của hệ thống.
    + Về vai trò thứ 5 – Infrastructure là một vài trò được khuyến cáo không nên đặt chung cùng với Máy có vai trò GC, với hệ thống có nhiều miền trong 1 rừng thì vai trò máy nắm GC bao giờ cũng là con đầu tiên của Rừng.
    + 5 vai trò nói trên có thể được chuyển qua chuyển lại giữa các Server và có thể tách riêng ra nằm rải rảc ở các Server khác nhau nhằm vào các mục đích riêng biệt.
    + Vai trò 1 và 2 : hoạt động ở cấp độ RỪNG
    + Vai trò 3,4 và 5 hoạt động ở cấp độ MIỀN
    + Để xem được vai trò cụ thể ta có 1 số cách như sau:
    1.    Đối với SCHEMA : gõ tại hộp RUN : regsvr32 schmmgmt.dll , sau khi gõ lệnh này, bạn sẽ nhìn thấy một cửa sổ dưới đây:
    Lệnh trên là lệnh đăng ký dịch vụ quản lý SCHEMA
    Sau lệnh này bạn gõ lệnh MMC bạn sẽ nhìn thấy cửa sổ sau:
    Ấn Ctrl + M để mở cửa sổ Add/Remove Snap-in
    Bạn chọn Active Directory Schema và chọn Add > , bạn sẽ nhìn thấy cửa sổ thể hiện dưới
    SCHEMA bao gồm chứa các LỚP đối tượng và THUỘC TÍNH, đối với các quản trị và lập trình hệ thống cao cấp sẽ nghiên cứu vấn đề này để can thiệp trực tiếp vào các lớp thư viện hệ thống này.
    Bạn ấn vào Active Directory Schema , chọn Operations Master  và sẽ nhìn thấy hình dưới
    Điều này chứng tỏ vai trò SCHEMA đang được con DC nắm giữ quyền này.
    2.    Đối với DOMAIN NAMING: Để nắm bắt xem vai trò này được nắm giữ chính bởi ai bạn ấn vào Start > Administrator Tools > Active Directory Domains & Trust , hoặc dùng lệnh “Domain.msc” tại hộp RUN
    Bạn ấn chọn Operations Master để xem về vai trò này được ai nắm giữ
    3.    Đối với vai trò PDC/RIP/Infrastructure : Để nắm bắt được 3 vai trò này ta làm như sau:
    START > Administrator Tools > Active Directory Users & Computer ta sẽ có hình sau :
    Chọn Operations master ta có hình dưới:
    Lần lượt với 3 TAB RIP/ PDC/ Infrastructure bạn sẽ xác định được các vai trò này máy chủ nào đang nắm giữ.
                + Để xem được 5 vai trò này đơn giản hơn ta dùng lệnh sau:
    RUN > CMD > netdom query FSMO
     
    Câu lệnh này khá hiệu quả và đơn giản hơn các cách loằng ngoằng trên phải không các bạn.
       III.         TỔNG KẾT:
    Chúng ta kết thúc bài này với các kiến thức chia sẻ ở trên thì bạn sẽ giải quyết được tương đối các vấn đề về:
    + Dựng được máy chủ Backup
    + Hiểu về vai trò chức năng cấu trúc
    + Các xem các vai trò được máy nào nắm giữ, nhằm phục cho mục đích sau này mở rộng các máy chủ để giải quyết các công việc chuyên dụng một cách hiệu quả hơn.

    c@py Right

Print Friendly

About dongpolice

Check Also

cài đặt ffmeg

Cài đặt FFmpeg + FFmpeg-PHP +Lame + Ruby + Mplayer + Mencoder + flv2tool

Cài đặt FFmpeg + FFmpeg-PHP +Lame + Ruby + Mplayer + Mencoder + flv2tool Để …