配置Windows Server 2008 SSTP ×××

SSTP是微软所提供的一种加密的×××传输协议，其全称为“安全套接字隧道协议”，客户端使用SSL与服务器建立连接，在本文章中，我将介绍如何在一台Windows Server 2008 Standard服务器上配置基于SSTP的×××。由于自己的实验环境限制，我不得不使用微软TechNet提供的虚拟实验室完成此次实验，下面把实验的步骤分享给大家

 

实验环境（3台虚拟机）

公网客户端：Windows Vista SP1 IP:131.107.0.3

 

×××服务器：Windows Server 2008 Standard

外部IP：131.107.0.2

内部IP：192.168.0.2

 

DC：Windows Server 2008

IP：192.168.0.1

 

×××服务器已加入到域

 

客户端在外部连接至×××服务器，然后连接至位于内部的DC进行身份验证，成功后建立连接。

 

在DC上，打开“Active Directory 用户和计算机”，找到要使用×××的用户并在其属性上配置为“允许拨入”。

 

 

因为SSTP传输是加密的，因此需要用到证书，下面来安装和配置证书服务，此操作我是在×××服务器上执行的。

 

安装基于Web的证书申请服务，因此会提示要求安装IIS。

 

 

 

 

IIS角色安装接受默认

 

 

安装完成后，下面要申请证书。打开×××服务器的浏览器，输入“http://localhost/certsrv”,选择“请求一个证书”-“高级证书申请”-“创建并提交请求到这个CA”。

 

在这里，申请的Name一定要和客户端所连接的服务器FQDN名相同，否则会导致连接失败！

 

申请成功后，就要用控制台去手动颁发了。打开“管理工具”-“证书颁发机构”，在“挂起的请求”中，找到刚才所申请的那块证书。选择“颁发”。

 

 

现在打开“http://localhost/certsrv”，将颁发的证书安装到计算机中，

 

 

证书会自动被安装在“当前用户”下，需要将其转移到“本地计算机”下。

打开“mmc”，将“证书”添加至控制台，添加两次，分别为“当前用户”和“计算机用户（本地）”。

 

将安装的证书从“当前用户”-“个人”中导出。

 

 

在这里要导出私钥

浏览选择一个位置，如“桌面”，输入密码。

导出完成后，到“计算机帐户”中导入。

 

导入时会提示输入刚才导出时配置的密码。浏览文件时，要把文件类型选择为“所有文件”，选择刚才导出的证书。

导入成功后，将CA证书（SIQIWU-CA）删除。

 

至此，服务器证书配置就完成，下面来安装和配置RRAS。

添加角色。

”

安装完成后，打开“管理工具”-“路由和远程访问”控制台。

配置并启用路由和远程访问服务。

选择外部网络接口，并取消“启用安全性在所选接口”。

启用完成后，客户端就可以通过×××方式访问企业网了。但此时在客户端连接时使用的是传统的PPTP方式访问，而不是SSTP。下面我把×××服务器防火墙上的“GRE-in”给Block掉，则客户端将无法通过×××连接成功。

 

至此，服务器配置完成了，下面来看看公网的客户端配置。

首先应确保公网的这台客户端能和×××服务器的外网口通讯，为了使用域名访问，我通过修改hosts文件来实现这一目的。

之前最好ping这个FQDN名测试一下连通性。

配置×××。

输入×××服务器的FQDN名，这里要和刚才申请证书时的名称相同！

配置完成后，必须在客户端上安装CA证书，因此在客户端上输入“http://***1.contoso.com/certsrv”下载CA证书。

将其安装导入。

系统会将证书导入至“当前帐户”的“受信任的CA”中。应将此证书移至“本地计算机帐户”的“受信任的CA”中。

打开mmc，并添加证书管理单元，将“当前用户”和“本地计算机”都添加至控制台，找到这个证书，通过复制和粘贴来完成。

 

OK，最后一步就是把刚才建立好的×××连接的属性设置为使用“SSTP”。

完成后，可以通过SSTP成功连接至×××服务器。

 

OK，大致操作就是这样。这次实验也花了很长时间，之前由于自己粗心失败了几次。虚拟实验室只有一个半小时的实验时间，再加上我这里网速很慢，经常做不完，我重做了多次才最终完成。把实验的步骤拿出来分享，希望能给朋友们的工作和学习有所帮助，如有不当或不正确支持欢迎批评指正，谢谢！

转载于:https://blog.51cto.com/siqiwu/174264