我们都知道,Windows Server2008的×××有三种类型:PPTP、L2TP/IPSec、SSTP。而对于SSTP×××直接走443端口,增加了通用性。而对于ISA2004/2006均不可以实现这种类型的×××,而最近微软发布的新产品TMG增加了对SSTP×××的支持,今天我们就来看一下,这三种类型的×××在TMG下的实现方式:

对于本内容我们分三次进行,这是我们的第二次课,L2TP/IPSec ×××的实现过程:

我们的重点解决SSTP×××,但在解决之前,我们可能要进行一系列的测试工作,避免不了使用PPTPL2TP/IPSec,所有干脆一并在这里一一道来,成为一个×××解决系列。

前言:

对于×××的工作过程,不外乎两个阶段:身份验证和授权,对于身份验证说白了其实就是对用户进行合法性验证,即是否是对应数据库里的用户,并且密码验证也通过。授权,即该用户必须有拔入权限。

实验拓朴:

clip_p_w_picpath001

三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看L2TP/IPSec×××的实现过程:

分析:对于L2TP/IPSec×××我们有两种方式进行计算机的身份验证和加密,一种是使用预共享密钥,一种是使用证书。在这里我们采用证书完成×××的操作。所以我们必须为TMG服务器和远程客户端分别申请计算机证书,并下载CA的根证书(安装到计算机存储中)。

步骤:

一、在企业内部的W08a上搭建独立根CA

二、在TMG上申请计算机证书并下载CA的根证书

三、在Win7上申请计算机证书并下载CA的根证书

四、在TMG上完成L2TP/IPSec×××的配置并创建相应的访问规则及用户拔入权限。

五、在Win7上创建×××拔号连接,并测试。

六、总结

实现过程:

一、在企业内部的W08a上搭建独立根CA

在W08a上运行“服务器管理器”,在控制台的“角色”上右击--“添加角色”,如下所示:选择" AD CS"单击“下一步”:

clip_p_w_picpath002

下图,选择“证书颁发机构Web注册”,会弹出关联组件并选择安装,单击下一步:

clip_p_w_picpath003

下图,我们选择"独立CA”,单击下一步:

clip_p_w_picpath004

下图,选择根CA,继续:

clip_p_w_picpath005

接下来,基本可以采用默认的设置,一路单击即可:

clip_p_w_picpath006


clip_p_w_picpath007


clip_p_w_picpath008


clip_p_w_picpath009


clip_p_w_picpath010


clip_p_w_picpath011


clip_p_w_picpath012


clip_p_w_picpath013

安装结束后如下图:

clip_p_w_picpath014

开始---搜索,输入certsrv.msc,右击RootCA选--属性,设置CA自动颁发证书。(PS:当然这里是为了图简单,在生产环境里当然必须要手动颁发喽~~),改后,注意要重启证书服务,此处略~~

clip_p_w_picpath015

二、在TMG上申请计算机证书并下载CA的根证书

1.打开IE,工具---Internet选项,配置“安全级别”,并把CA站点添加到信任区域。

clip_p_w_picpath016


clip_p_w_picpath017

2.在TMG上创建一条“阵列访问规则”,允许TMG服务器可以访问CA服务器的HTTP协议。在这里为了简单我们创建一条从本地主机(即TMG)到内部的一条可以访问全部协议的规则。大致操作如下:

在防火墙策略上新建一条“访问规则”:如下一系列图示。

clip_p_w_picpath018


clip_p_w_picpath019


clip_p_w_picpath020


clip_p_w_picpath021

如上图,仅为测试,故选择所有出站通讯,若在生产环境里,根据情况定义,此处略。

clip_p_w_picpath022


clip_p_w_picpath023


clip_p_w_picpath024


clip_p_w_picpath025


clip_p_w_picpath026

创建结束后,单击“应用”保存配置,稍等片刻。我们进行下面的操作。

3.为TMG服务器下载CA的根证书,并安装到计算机存储中

打开IE,在地址栏里输入http://10.1.1.5/certsrv,单击"下载CA证书、证书链或CRL"

clip_p_w_picpath027


clip_p_w_picpath028


clip_p_w_picpath029

注意“保存”到本地计算机,如桌面上。

接下来,单击“开始---搜索”,输入mmc,如下所示:

clip_p_w_picpath030


clip_p_w_picpath031

如上图,添加“用户和计算机”的证书控制台,然后在下图所示中,展开“证书(本地计算机)”,导入刚才下载并保存的CA的根证书,导入后,如下下图所示。

clip_p_w_picpath032


clip_p_w_picpath033

4. 在TMG上申请计算机证书,并安装“证书(本地计算机)”的个人存储中。

如上一样,打开IE,输入http://10.1.1.5/certsrv,如下:

clip_p_w_picpath034


clip_p_w_picpath035


clip_p_w_picpath036


clip_p_w_picpath037

如上图,一定要注意这三项,然后单击“提交”,如下图:

clip_p_w_picpath038

单击“安装此证书”,注意此时该证书被安装到了用户个人存储中,我们必须再次打刚才的MMC,把用户里的这个证书,带私钥导出,然后再导入计算机个人存储中。

如下所示:(步骤太多,截了几副,其它未贴出采用默认配置自行处理)

clip_p_w_picpath039


clip_p_w_picpath040


clip_p_w_picpath041


clip_p_w_picpath042

导出证书后,我们还需要如下操作,把该证书导入到计算机个人存储中,如下:

clip_p_w_picpath043

导完后,如下图所示:

clip_p_w_picpath044

三、在Win7上申请计算机证书并下载CA的根证书

有关远程客户端证书的申请过程和TMG一般无二,但我们要考虑的就是如何实现和CA的连接问题:

两种方式:

a.如果是单位的笔记本电脑,可以事先申请并安装,再出差。

b.如果在分支机构的电脑等,我们也可以事先用PPTP的方式连接,然后再申请。

由于步骤一样,在此不在赘述。

具体见上篇《TMG实现PPTP ×××---TMG 2010×××系列之一

四、在TMG上完成L2TP/IPSec×××的配置并创建相应的访问规则及用户拔入权限。

此处的操作和配置,与上篇的操作和配置基本相同,唯一的区别,如下图处,我们要选择×××协议为L2TP/IPSec:

clip_p_w_picpath045

五、在Win7上创建×××拔号连接,并测试。

此处的配置基本上和上篇配置类似,唯一的区别,需要更改×××的连接选择L2TP/IPSec,并选择使用证书,如下图所示:

clip_p_w_picpath046

连接上来后,如下所示:

clip_p_w_picpath047

六、总结

其实实现L2TP/IPSec×××关键还是证书方面,你必须在TMG和远程客户端都要下载CA的根证书,并且一定要安装到计算机存储列表中,此外两个计算机证书,名字必须是对应计算机的名字,并且申请时选择“导出私钥”,然后利用MMC控制导出并导入计算机存储中。这是这个实验成功的关键点!在整个实验过程中,对于TMG还有配置相应的访问规则。理好思路并不难,就是步骤多了些。