在“双网卡配置×××”一文中我们已经介绍了如何配置×××。我们在那篇文章建立好的环境下把默认建立的PPTP ×××建立成L2TP ×××。
一、在内网中安装独立根CA
为什么要安装证书服务(CA)呢?这是因为L2TP/IPSEC通信的双方需要先验证对方的计算机身份,通常有三种验证方法,一是用kerberos协议 进行计算机身份验证,但kerberos不适合这种网络访问环境,另一种验证方法是通过预共享密钥,但这种方法容易导致预共享密钥的泄露,这就降低了安全性,还有一种方法就是通过证书来验证计算机身份,当通信开始时,双方都要向对方出示证书以证明自己的合法身份。比较三种方法,我们这里就选择用证书来验证 计算机身份,所以这就需要在内网中安装可以发布计算机证书的CA服务。那为什么要安装独立根CA 而不是企业根CA呢?这是因为独立根CA不需要域的支持,这正适合那些可能不是域成员的外部×××客户端,另外你会发现通过WEB方式申请计算机用的客户 端证书或服务器端证书时使用独立CA更方便。当然如果你的网络环境是域,也建议你同时安装企业CA,这对于域中证书的发布和管理更方便更有效。证书服务可以安装在内网中的某一台Windows 2000 Server或Windows Server 2003上,安装时请选择“独立根CA”项就行了。
二、为×××服务器申请并安装服务器证书
当L2TP客户端访问×××服务器时,客户端要提供它的客户端证书,而×××服务器则提供它的服务器证书,所以需要为×××服务器和客户机都申请一张证书,申请通过WEB方式进行,那么在×××服务器上就可打入如下申请地址 http://CA/certsrv ,申请步骤如下:
1, 在欢迎页面中选择“申请证书”项;
2, 在“选择申请类型”页面选择“高级申请”项;
3, 在“高级证书申请”页面选择“使用表格向这个CA提交一个证书申请”;
4, 在这个表格页面中(如图6)填写上服务器的相关信息,在“意图”栏选择“服务器身份验证证书”,勾选上“使用本地机器保存”,其他项可以保持默认设置。
上面只是完成了证书申请过程,还需要管理员审核此证书请求并手动颁发证书,通过这种离线审批的方式,也防止了非法人员获得证书。由
为什么要安装证书服务(CA)呢?这是因为L2TP/IPSEC通信的双方需要先验证对方的计算机身份,通常有三种验证方法,一是用kerberos协议 进行计算机身份验证,但kerberos不适合这种网络访问环境,另一种验证方法是通过预共享密钥,但这种方法容易导致预共享密钥的泄露,这就降低了安全性,还有一种方法就是通过证书来验证计算机身份,当通信开始时,双方都要向对方出示证书以证明自己的合法身份。比较三种方法,我们这里就选择用证书来验证 计算机身份,所以这就需要在内网中安装可以发布计算机证书的CA服务。那为什么要安装独立根CA 而不是企业根CA呢?这是因为独立根CA不需要域的支持,这正适合那些可能不是域成员的外部×××客户端,另外你会发现通过WEB方式申请计算机用的客户 端证书或服务器端证书时使用独立CA更方便。当然如果你的网络环境是域,也建议你同时安装企业CA,这对于域中证书的发布和管理更方便更有效。证书服务可以安装在内网中的某一台Windows 2000 Server或Windows Server 2003上,安装时请选择“独立根CA”项就行了。
二、为×××服务器申请并安装服务器证书
当L2TP客户端访问×××服务器时,客户端要提供它的客户端证书,而×××服务器则提供它的服务器证书,所以需要为×××服务器和客户机都申请一张证书,申请通过WEB方式进行,那么在×××服务器上就可打入如下申请地址 http://CA/certsrv ,申请步骤如下:
1, 在欢迎页面中选择“申请证书”项;
2, 在“选择申请类型”页面选择“高级申请”项;
3, 在“高级证书申请”页面选择“使用表格向这个CA提交一个证书申请”;
4, 在这个表格页面中(如图6)填写上服务器的相关信息,在“意图”栏选择“服务器身份验证证书”,勾选上“使用本地机器保存”,其他项可以保持默认设置。
上面只是完成了证书申请过程,还需要管理员审核此证书请求并手动颁发证书,通过这种离线审批的方式,也防止了非法人员获得证书。由
于你自己就是管理员,用下面的过程为×××服务器安装它刚申请的服务器证书。
1, 在CA服务器的管理工具中运行“证书颁发机构”,然后在“待定的证书”下右击刚申请的证书,选择“所有任务”*“颁发”项即可(如图7)。
2, 到×××服务器安装证书。仍然通过http://CA/certsrvdefault.asp进行,此时在欢迎页面中选择“检查挂起的证书”项,然后根据向导安装即可。
证书安装完成了,但过程并没有完,因为我们还需要安装 CA根证书以及证书链中的所有CA证书,这样才能验证CA所颁发证书的合法性,比如将来验证客户端证书的合法性时就要同时验证上层CA及根CA的证书,因为只有上层合法才能保证最底层的计算机证书合法。此时仍然通过http://CA/certsrv页面进行,在欢迎页面中选择第一项“检索 CA 证书或证书吊销列表”项,然后在下一个页面中(如图8)点击“下载CA证书”和“下载CA证书路径”两个链接,并把下载的证书保存到桌面上。
上面两项下载完成后,现在需要把它们导入相应的证书存储区,方法如下:
1, 在运行中输入mmc,添加“证书”管理插件,并选择“计算机帐户”和“本地计算机”项。
2, 双击展开“个人”*“证书”项,现在你应该可以在右窗格中看到刚才安装的服务器证书。
3, 展开“受信任的根证书颁发机构”,右击“证书”项,选择“所有任务”*“导入”,导入你保存到桌面上的CA根证书(默认情况下这是一个*.cer的文件),导入完成后你应该检查CA根证书是否已在此证书区域存在。
4, 然后再右击“中级证书颁发机构”下的“证书”项,导入保存在桌面上的CA证书路径,导入完成后同样要检查证书是否已在此区域存在。
三、L2TP客户端证书的安装
同×××服务器一样,L2TP客户端也需要安装同一个CA颁发的计算机证书,申请方法一样,只是此时在图6中选择“客户端身份验证证书”项,注意也要选中“使用本地机器保存”。如果客户机在外网,申请证书时可以先用PPTP方式登录,然后再通过http://CA/certsrv申 请证书,与×××服务器一样,也需要手动颁发此证书并安装,同样也需要安装CA根证书和证书路径中的证书,这样才能验证服务器证书的合法性,具体方法与前 面一样。可能这里让你头痛的是在什么时机为客户机配置证书,也许你会担心用户不会安装证书,所以你应该准备一份安装说明,不要低估用户的动手能力,如果他真的按照安装说明也不会操作,那么你也别指望他能真正保证数据的安全了,即使你配置了最安全的方法。
四、到L2TP客户端中,进行×××连接的类型设置,选“L2TP“
1, 在CA服务器的管理工具中运行“证书颁发机构”,然后在“待定的证书”下右击刚申请的证书,选择“所有任务”*“颁发”项即可(如图7)。
2, 到×××服务器安装证书。仍然通过http://CA/certsrvdefault.asp进行,此时在欢迎页面中选择“检查挂起的证书”项,然后根据向导安装即可。
证书安装完成了,但过程并没有完,因为我们还需要安装 CA根证书以及证书链中的所有CA证书,这样才能验证CA所颁发证书的合法性,比如将来验证客户端证书的合法性时就要同时验证上层CA及根CA的证书,因为只有上层合法才能保证最底层的计算机证书合法。此时仍然通过http://CA/certsrv页面进行,在欢迎页面中选择第一项“检索 CA 证书或证书吊销列表”项,然后在下一个页面中(如图8)点击“下载CA证书”和“下载CA证书路径”两个链接,并把下载的证书保存到桌面上。
上面两项下载完成后,现在需要把它们导入相应的证书存储区,方法如下:
1, 在运行中输入mmc,添加“证书”管理插件,并选择“计算机帐户”和“本地计算机”项。
2, 双击展开“个人”*“证书”项,现在你应该可以在右窗格中看到刚才安装的服务器证书。
3, 展开“受信任的根证书颁发机构”,右击“证书”项,选择“所有任务”*“导入”,导入你保存到桌面上的CA根证书(默认情况下这是一个*.cer的文件),导入完成后你应该检查CA根证书是否已在此证书区域存在。
4, 然后再右击“中级证书颁发机构”下的“证书”项,导入保存在桌面上的CA证书路径,导入完成后同样要检查证书是否已在此区域存在。
三、L2TP客户端证书的安装
同×××服务器一样,L2TP客户端也需要安装同一个CA颁发的计算机证书,申请方法一样,只是此时在图6中选择“客户端身份验证证书”项,注意也要选中“使用本地机器保存”。如果客户机在外网,申请证书时可以先用PPTP方式登录,然后再通过http://CA/certsrv申 请证书,与×××服务器一样,也需要手动颁发此证书并安装,同样也需要安装CA根证书和证书路径中的证书,这样才能验证服务器证书的合法性,具体方法与前 面一样。可能这里让你头痛的是在什么时机为客户机配置证书,也许你会担心用户不会安装证书,所以你应该准备一份安装说明,不要低估用户的动手能力,如果他真的按照安装说明也不会操作,那么你也别指望他能真正保证数据的安全了,即使你配置了最安全的方法。
四、到L2TP客户端中,进行×××连接的类型设置,选“L2TP“
转载于:https://blog.51cto.com/kalng/598699
220
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
