![](https://i-blog.csdnimg.cn/blog_migrate/aff4b63ab7ab9082d80e33237cd38c23.jpeg)
一
预共享密钥
预共享密钥需要在×××服务器和×××客户机上设置一个共同约定的密钥作为身份识别标识,首先我们在×××服务器上进行设置。在ISA的管理工具中展开虚拟专用网络,如下图所示,点击右侧面板中的“选择身份验证方法”。
![](https://i-blog.csdnimg.cn/blog_migrate/714b4dffa1911761fb9ef564893e82bf.jpeg)
切换到“身份验证”标签,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,输入“password”作为预与共享密钥。
![](https://i-blog.csdnimg.cn/blog_migrate/5711d5f41a75a510710a8ffe5530100c.jpeg)
×××服务器为L2TP设置了预共享密钥后,接下来我们在×××客户机上进行预共享密钥的设置,如下图所示,在Istanbul的网上邻居属性中,右键点击上篇博文中创建的×××连接“ITET”,选择“属性”。
![](https://i-blog.csdnimg.cn/blog_migrate/8370919a15226c610fa0785c7c7a1c0e.jpeg)
在×××属性中切换到“网络”标签,选择×××类型是“L2TP IPSEC ×××”。
![](https://i-blog.csdnimg.cn/blog_migrate/7d684f946c8ea9789020b0ba4d40b76e.jpeg)
再在×××属性中切换到“安全”标签,点击“IPSEC设置”。
![](https://i-blog.csdnimg.cn/blog_migrate/2532148a864dec25bf5f1f2feb07e5e4.jpeg)
如下图所示,勾选“使用预共享的密钥作身份验证”,输入密钥的值“password”。
![](https://i-blog.csdnimg.cn/blog_migrate/5a375ed210c8e9f7b270c015f7e89c6b.jpeg)
在服务器端和客户端都进行预共享密钥设置后,如下图所示,在Istanbul上点击“连接”,准备连接到×××服务器。
![](https://i-blog.csdnimg.cn/blog_migrate/d705e085965488327f6e4b1e20937194.jpeg)
×××连接成功后,查看×××连接属性,如下图所示,我们看到当前使用的×××协议是L2TP。
![](https://i-blog.csdnimg.cn/blog_migrate/6819534f77624b977d4a4b43abc06072.jpeg)
二
证书
使用预共享密钥方法简单,但安全性不高,接下来我们使用证书验证计算机身份,安全性会有很大提高。使用证书验证计算机身份,×××服务器需要申请服务器证书,×××客户机需要申请客户端证书。在目前的实验环境中,内网的Denver是证书服务器,类型是独立根,已经被实验用到的所有计算机信任。首先我们在ISA服务器上申请一个服务器证书,如下图所示,在ISA服务器的浏览器中输入[url]http://denver/certsrv[/url],在证书申请页面中选择“申请一个证书”。
![](https://i-blog.csdnimg.cn/blog_migrate/050c59fc8248309d3081ad2a986bac5d.jpeg)
选择“高级证书申请”。
![](https://i-blog.csdnimg.cn/blog_migrate/cd1a1f5b02363a58905e7a8e53ed2fd8.jpeg)
选择“创建并向此CA提交一个申请”。
![](https://i-blog.csdnimg.cn/blog_migrate/d81ff0535802a2f9b4f2c4665ca0d147.jpeg)
如下图所示,输入证书申请的参数,由于此CA类型是独立根,因此需要输入的参数和企业根有所不同。证书姓名中我们输入了×××服务器的域名 Beijing.contoso.com,我们选择的证书类型是“服务器身份验证证书”,然后选择将证书保存在本地计算机存储中,其他参数随便输入即可。
![](https://i-blog.csdnimg.cn/blog_migrate/520f60dd9515b80b8ea23515d486d2b6.jpeg)
提交申请后,证书服务器颁发了证书,如下图所示,我们选择“安装此证书”即可完成证书申请工作。注意,独立根CA默认是需要管理员审核才能进行证书核发,我们修改了独立根CA的策略模块,让CA服务器可以自动发放证书。
![](https://i-blog.csdnimg.cn/blog_migrate/fcbb622ff09527442a9037d8951fbc53.jpeg)
×××服务器申请完服务器证书后,接下来我们在Istanbul上申请客户端证书,首先让Istanbul用PPTP协议拨入×××服务器,然后就可以访问内网的CA服务器了,如下图所示,在Istanbul的浏览器中输入[url]http://10.1.1.5/certsrv[/url],选择“申请一个证书”。
![](https://i-blog.csdnimg.cn/blog_migrate/a40d23609997d131a012aa9ab9992254.jpeg)
选择提交一个“高级证书申请”。
![](https://i-blog.csdnimg.cn/blog_migrate/f23f85a23f02b1274b479adf1fa2668a.jpeg)
选择“创建并向此CA提交一个申请”,通过表单提交证书申请。
![](https://i-blog.csdnimg.cn/blog_migrate/3d982dc08f1637b48a47928ce9b7f215.jpeg)
如下图所示,我们选择申请的证书类型是“客户端身份验证证书”,姓名是“Istanbul”,将证书保存在计算机存储中。
![](https://i-blog.csdnimg.cn/blog_migrate/a917f02504a597e8c704ace19f75f0cc.jpeg)
提交申请后,CA自动颁发证书,如下图所示,我们在Istanbul上安装了颁发的证书。至此,我们在×××的服务器端和客户端都完成了证书申请,接下来我们分别取消×××服务器端和客户端的预共享密钥设置,重新在Istanbul上用L2TP连接×××服务器,看是否能够使用证书进行计算机身份验证。
![](https://i-blog.csdnimg.cn/blog_migrate/c6305f6cb740d7a7ac96530a3a7ebb5a.jpeg)
如下图所示,×××拨入成功,这次就不是利用预共享密钥而是利用证书验证了,虽然用户使用起来感觉差别不大,其实安全性方面还是改进了许多。
![](https://i-blog.csdnimg.cn/blog_migrate/0d4d22b3a390a8349a224ece89e96564.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/0d4d22b3a390a8349a224ece89e96564.jpeg)
转载于:https://blog.51cto.com/yufeibwl/978414