Tässä artikkelissa jatketaan MBAM palvelimen käyttöönottamista joka aloitettiin osassa 1 ja jatkettiin osassa 2
Varmenteen luominen ja käyttöönottaminen IIS-, ja Microsoft SQL palvelimilla sekä raportointipalvelujen (Reporting Services) määrittäminen käyttämään SQL-palvelimelle myönnettyä varmennetta
Internet Information Server (IIS) määrittäminen käyttämään varmennetta
IIS palvelin voidaan määrittää käyttämään SSL-varmennetta niin että kaikki MBAM sivustoihin määritetyt yhteydet ovat varmenteella suojattuja.
Luodaan IIS palvelimen hallinta-konsolista käsin ensin varmennepyyntö ADCS palvelimen käsittelyä varten. Tuplanapsautetaan IIS-hallintakonsolissa kohtaa Server Certificates.
Aloitetaan uuden varmennepyynnön luominen napsauttamalla kohtaa Create Certificate Request
Täytetään varmennepyynnön kentät. Common name kenttään kirjoitetaan nimi jonka avulla Web-sivusto on käytettävissä (tässä tapauksessa IIS-palvelimen LDAP nimi)
Määritetään käytettävä salaustyyppi
Tallennetaan varmennepyyntö tiedostoksi.
Vahvistetaan varmennepyyntö DC01 koneen ADCS käsin. Käytetään vahvistamiseen Certification Authority Web Enrollment palvelua. Siirrytään selaimella (iis-palvelin tai työasema) osoitteeseen joka tässä esimerkissä on http://dc01/certsrv.
Napsautetaan linkkiä Request a certificate
Seuraavassa ikkunassa valitaan advanced certificate request
Valitaan linkki Submit a certificate request by using a Base64-encoded CMC or PKCS #10 file, or submit a renewal request using a base64-encoded PKCS #7 file
Avataan tekstitiedosto muotoinen varmennepyyntö MBAM-IIS-SERVER.txt ja kopioidaan sen sisältä Submit a Certificate Request or Renewal Request ikkunan Saved Request kenttään. Lopuksi pyyntö kuitataan Submit painikkeella.
Lopuksi varmenne ladataan (Base 64 encoded)
Viimeistellään varmennepyyntö IIS-hallintakonsolista käsin (Server Certificates), valitsemalla linkki Complete Certificate Request
Avataan edellä ladattu varmenne, joka tässä esimerkissä on tallennettu nimellä certnew64.cer. Annetaan varmenteelle kuvaava nimi Friendly name kenttään. Friendly name kentässä olevaa tietoa voidaan käyttää varmenteen tunnistamiseen myöhemmässä vaiheessa.
Varmenne on nyt käytettävissä
Varmenteen luominen ja käyttöönottaminen SQL palvelimella
Seuraavat toimenpiteet suoritetaan palvelimella, johon SQL-palvelin on asennettu. Tässä esimerkissä palvelin on MBAM-SRV.
Avataan MMC-konsoli mmc komennolla Suorita -ikkunasta. Lisätään Certificates laajennus File valikosta Add Remove Snapin valinnan avulla. Certificates snap-in ikkunassa valitaan Computer account.
Select Computer ikkunassa hyväksytään oletusvalinta (Local computer). Hyväksytään valinnat Finish – OK
Aloitetaan varmennepyynnön luominen. Avataan hiiren 2-painikkeen avulla pikavalikosta All Tasks - Request New Certificate.. Request
Siirrytään eteenpäin Before You Begin ikkunasta Next painikkeella ja edelleen Next:ä eteenpäin Select Certificate Enrollment Policy ikkunassa.
Valitaan varmenteen tyypiksi Computer ja avataan lisävalinnat Properties painikkeesta. Määritetään tarvittaessa (jos ei jo valmiina oikein) seuraavat lisävalinnat
Hyväksytään lisävalinnat OK painikkeella ja lähetetään pyyntö Enroll painikkeella.
Myönnetty varmenne näkyy nyt sekä SQL-palvelimessa (MBAM-SRV) että ADCS-palvelimella (DC01)
Raportointipalvelujen (Reporting Services) määrittäminen käyttämään SQL-palvelimelle myönnettyä varmennetta
SQL-palvelinta varten luotu varmenne on otettava käyttöön ennen MBAM-ohjelmiston asentamista
Avataan MBA-SRV palvelimelta Reporting Services Configuration Manager ohjelma ja määritetään Web Service URL kohdasta käyttöön SSL Certificate: pudotusvalikosta edellä luotu varmenne (tässä esimerkissä MBAM-SRV.yritysoy.test (SQL palvelin)).
Varmenne on otettava käyttöön raporteille kohdasta Report Manager URL. Advanced - Add (Multiple SSL identities for Report Manager). Certificate pudotusvalikosta haluttu varmenne (tässä esimerkissä MBAM-SRV.yritysoy.test (SQL palvelin))
Jatketaan määritystä avaamalla SQL Configuration Manager ohjelma. Valitaan ikkunan vasemmasta laidasta SQL Server Network Configuration - Protocols for MSSQLSERVER päältä hiiren 2-painikkeella Properties. Esille avautuvan ikkunan Flags välilehdeltä voidaan Force Encryption kohdan pudotusvalikosta asettaa salaus päälle valitsemalla Yes.
Certificate välilehdeltä valitaan salauksessa käytettäväksi haluttu varmenne (tässä esimerkissä MBAM-SRV.yritysoy.test (SQL palvelin))
Koska SQL Server (MSSQLSERVER) palvelua ajetaan tunnuksella jolla ei ole varmenteen käyttöoikeuksia tulee palvelua ajavaa tunnusta muuttaa. Avataan palvelujen hallintakonsoli (services.msc) ja muutetaan SQL Server (MSSQLSERVER) ominaisuuksista Log On välilehdeltä Log on as asetus tilaan Local System account.
Vaihtoehtoisesti voidaan antaa luku-oikeus NT SERVICE\MSSQLSERVER tunnukselle jonka avulla SQL Server palvelua oletusarvoisesti ajetaan. Tätä varten on avattava tyhjä mmc-konsoli (Run - MMC) ja lisättävä siihen File valikosta Add/Remove Snap-in komennolla Services laajennus. Laajennus valitaan ajettavaksi paikallisen koneen (Local Computer) kontekstissa.
Tämän jälkeen voidaan avata Personal - Certificates säilö ja avata halutun varmenteen (tässä esimerkissä MBAM-SRV.yritysoy.test (SQL palvelin)) käyttöoikeuksien määritysikkuna napsauttamalla varmenteen päällä hiiren 2-painiketta. Pikavalikosta valitaan All Tasks - Manage Private Keys ja annetaan Add painikkeen avulla luku oikeus NT SERVICE\MSSQLSERVER tunnukselle. HUOM tunnus on paikallinen, ei AD-tunnus.
Jotta muutokset tulisivat voimaan palvelu SQL Server (MSSQLSERVER) on käynnistettävä uudelleen SQL Server Configuration Manager ohjelmaa käyttäen.
Lopuksi voidaan varmistaa, että raportointipalvelut ovat käytettävissä suojattua yhteyttä käyttäen. Avataan selaimella raportointipalvelujen web-sivu joka tässä esimerkissä on https://mbam-srv.yritysoy.test/Reports/Pages/Folder.aspx ja kirjaudutaan palveluun esim. administrator tunnusta käyttäen.
Seuraavassa osassa käydään läpi varsinaisen MBAM palvelinohjelmiston asentaminen MBAM-SRV palvelimeen.
Ei kommentteja:
Lähetä kommentti