前面的文章中介绍了怎么用radius来集中管理***服务器,以及***服务器上访问控制策略的应用。
本文将简单介绍一下IPsec ***的实现方式。
通过把***和IPsec进行要效的结合,可以达到更好的身份验证和安全性。
基于IPsec的***方式将采用L2TP进行连接。
在实验之前,我们首先确保客户端可以通过PPTP进行连接,然后在此基础上做进一步的配置。
下面是本次实验的简易拓扑
(一)、实验前的准备工作
准备工作的详细过程可参照前面的文章:windows网络服务之配置远程访问***
1、 安装DC,域名为dc.com,在DC上安装证书服务(注意在安装证书服务的时候,要同时安装WEB服务,因为通过浏览器申请证书,需要WEB服务的支持)。本实验的CA类型为“独立根CA”,且将***服务器加入到域中。
2、 为***服务器添加两块网卡,一块用于连接内网,IP为10.1.1.2,使用vmnet1,另一块用来连接外网客户端,IP为:20.1.1.1,使用mnet2
3、 在***服务器上开启路由和远程访问服务,配置完成后,配置一下默认的远程访问策略为开启
4、 到DC上,新建用户BBB,作为拨入用户,右击该用户,选择属性,拨入属性选项卡,选择第三项:使用远程访问策略控制访问。注意:如果该选项为灰色,需要提升默认的域功能级别到2003模式。
5、 到客户端上新建拨号连接,连接类型为“连接到我工作场所的网络”“虚拟专用网络连接”。保证客户端可以用PPTP的方式访问
(二)、具体的IPsec ***的实现过程
1、***服务器和客户端均需申请IPsec证书,下载并且安装所申请的证书,作为独立CA,会稍微麻烦一点。
首先为***服务器申请“IPsec证书”
选择高级证书申请
选择创建并向此CA提交一个申请
在下图的证书类型中选择“IPsec证书”
将滚动条往下拖动,做如下的配置,注意勾选“将证书保存在本地计算机存储中”,点击“提交”
到DC上,打开证书颁发机构,颁发该IPsec证书。***服务器所申请的证书会在DC的证书颁发机构的挂起的申请中,我们需要到DC的证书颁发机构中对该挂起的申请进行颁发
查看证书挂起的状态。颁发之后,回到***服务器上打开IE,下载由证书颁发机构所颁发的证书,选择“查看挂起证书的申请状态”
点上图,安装证书,***的证书安装完成
提示:企业根CA只存在于域环境下,它的好处之一就是证书自动颁发,而独立CA需要到证书服务管理工具上手动将挂起的证书进行颁发
接下来要用相同的方法为客户端申请证书(步骤省略)
2、当***服务器和客户端的证书申请完毕后,这个时候还不能通过证书信任来进行IPsec的访问,需要在***和客户端上下载根CA证书及证书链,并导入到信任的证书颁发机构列表中
以***为例
将CA证书及证书链下载到桌面吧,然后进行下列的操作,安装到“受信任的证书颁发机构”
按照上面同样的方式导入证书链。
对于客户端来说下载CA和CA链的方式以及导入的方式与***服务器完全相同,在此配置省略。
3、当客户端和***服务器的证书申请完毕后,最好重启一下***服务和CA服务
4、将客户端的***连接属性改为L2TP证书验证。注意:为了验证证书生效,所以如果有L2TP的共享密钥,一定要将其删除,且把勾挑掉。
等做完客户端的配置之后,就可以使用IPsec ***进行安全的通信了。
注意:如果在验证的时候有出错提示,请从以下几个方面排查
1、 在客户端和***服务器上是不是正确地申请了IPsec的***,如果IPsec***申请的时候出现配置错误,或者申请的根本不是IPsec证书(比如申请成了web浏览器证书),那么客户机是无法找到有效的IPsec证书的。
2、 如果在客户端和***服务器上没有下载并导入根CA证书和证书链到受信任的证书颁发机构中,那么在客户机访问的时候也是无法找到正确的信任关系的。
3、 如果在以上正确配置的前提下,客户端无法访问,那么请尝试重启CA颁发机构、重启路由和远程访问。
1707
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
