1.1 实战:配置SSTP ×××

配置×××使用SSTP协议,这样到内网的通信使用TCP的443端口。在绝大多数情况下防火墙是开放此端口的。

目标:

? 在RASServer上申请RAS证书

? 在RASServer上配置NAT端口映射允许Internet计算机能够访问企业CA检查证书吊销情况

? 在RemotePC上配置计算机信任企业证书颁发机构

? 在RemotePC上使用SSTP拨入内网

实验环境同上。

1.1.1 在RASServer上申请RAS证书

步骤:

1. 在RASServer上,点击“开始”à“运行”,输入mmc,点击“确定”,打开控制台。

2. 点击“文件”à“添加删除管理单元”。

3. 在出现的添加或删除管理单元对话框,点中“证书”,点击“添加”。

clip_image001clip_image002

4. 在出现的证书管理单元对话框,选择“计算机帐户”,点击“下一步”。

5. 在出现的选择计算机对话框,选择“本地计算机”,点击“完成”。

clip_image003clip_image004

6. 在添加删除管理单元对话框,点击“确定”。

7. 在控制台对话框,右击“个人”,点击“所有任务”à“申请证书”。

clip_image005clip_image006

8. 在出现的在您开始之前对话框,点击“下一步”。

9. 在出现的申请证书对话框,选中“计算机”,点击“注册”。

clip_image007clip_image008

10. 在证书安装结果对话框,点击“完成”。

11. 双击申请的证书,打开证书对话框,在详细信息标签下,可以看到证书吊销列表的URL=http://dcserver.ess.com/CertEnroll/ess-DCSERVER-CA.crl。这就意味着RASServer服务器向客户机出示证书时,客户机必须能够访问该URL检查证书是否被吊销。必须配置端口映射才能使Internet上的计算机能够访问内网的CA服务器。

clip_image009clip_image010

12. 在命令提示符下,输入netstat –a,可以看到没有打开TCP的443端口,也就意味着,如果远程访问服务器没有服务器证书,×××没有打开SSTP协议使用的443端口。

13. 右击RASServer,点击“所有任务”à“重新启动”。

clip_image011clip_image012

14. 重启完路由和远程访问服务后,可以看到已经打开了TCP的443端口。

clip_image013

1.1.2 在RASServer使用端口映射发布证书颁发机构

为了让Internet上的用户能够访问证书颁发机构检查证书吊销情况,需要使用端口映射发布证书颁发机构的Web站点。

步骤:

15. 在RASServer上,右击IPv4下的“常规”,点击“新增路由协议”。

16. 在出现的新增路由协议对话框,选中“NAT”,点击“确定”。

clip_image014clip_image015

17. 右击“NAT”,点击“新增接口”。

18. 在出现的IPNAT的新接口对话框,选择“Internet”,点击“确定”。

clip_image016clip_image017

19. 在出现的网络地址转换-Internet属性对话框,选择“公用接口链接到Internet”,选中“在此接口上启用NAT”,点击“确定”。

20. 右击“NAT”,点击“新增接口”。

clip_image018clip_image019

21. 在出现的IPNAT的新接口对话框,选中“in”,点击“确定”。

22. 在出现的网络地址转换-in属性对话框,选择“专用接口链接到专用网络”,点击“确定”。

clip_image020clip_image021

23. 右击NAT下的Internet接口,点击“属性”。

24. 在出现的Internet属性对话框,在服务和端口标签下,选中“Web服务器(HTTP)”,点击“编辑”。

clip_image022clip_image023

25. 在出现的编辑服务对话框。输入专用地址172.16.0.100,点击“确定”。

26. 在Internet属性对话框,选中“Web服务器(HTTP)”,点击“确定”。

clip_image024clip_image025

1.1.3 在RemotePC上配置SSTP ×××客户端

任务:

? 配置RemotePC的hosts文件,添加RASServer.ess.com和DCServer.ess.com域名到RASServer公网IP地址的对应。

? 下载证书颁发机构的数字证书,并添加到受信任的根证书颁发机构。

? 配置×××客户端使用域名RASServer.ess.com拨入到内网。

? 配置×××类型为SSTP。

? 查看SSTP ×××建立的会话。

步骤:

27. 在RemotePC上,打开c:\Windows\System32\drivers\etc目录下,右击hosts文件,点击“打开”。

28. 在出现的打开方式对话框,选择“记事本”,点击“确定”。

clip_image026clip_image027

29. 在打开的记事本中,添加23.23.2.2 dcserver.ess.com和23.23.2.2 RASServer.ess.com两条记录,保存并关闭记事本,

30. 在命令提示符下,ping dcserver.ess.com和ping rasserver.ess.com,均能解析到RASServer外网卡的IP地址。

clip_image028clip_image029

31. 打开IE浏览器,访问http://dcserver.ess.com/certsrv,在出现的登录对话框,输入用户名和密码,点击“确定”。

32. 登录成功后,点击“下载CA证书、证书链或CRL”。

clip_image030clip_image031

33. 在出现的信息栏对话框,点击“关闭”。

34. 点击“下载CA证书链”,在出现的文件下载对话框,点击“保存”。

clip_image032clip_image033

35. 在出现的另存为对话框,注意保存类型和文件名,点击“保存”。

36. 下载完毕后点击“关闭”。

clip_image034clip_image035

37. 点击“开始”à“运行”,输入MMC,点击“确定”,打开控制台。

38. 点击“文件”à“添加/删除管理单元”。

39. 在出现的添加或删除管理单元对话框,点中“证书”,点击“添加”。

clip_image036clip_image037

40. 在出现的证书管理单元对话框,选择“计算机帐户”,点击“下一步”。

41. 在出现的选择计算机对话框,选择“本地计算机”,点击“完成”。

clip_image038clip_image039

42. 在添加或删除管理单元对话框,点击“确定”。

43. 在受信任的根证书颁发机构下,右击“证书”,点击“所有任务”à“导入”。

clip_image040clip_image041

44. 在出现的欢迎使用证书导入向导对话框,点击“下一步”。

45. 在出现的要导入的文件对话框,点击“浏览”,在出现的打开对话框,文件类型选择“所有文件”,选中下载证书颁发机构的证书,点击“打开”。

clip_image042clip_image043

46. 在要导入的文件对话框,点击“下一步”。

47. 在正在完成证书导入向导对话框,点击“完成”。

clip_image044clip_image045

48. 在出现的导入成功对话框,点击“确定”。

49. 打开网络连接,右击“公司网络”,点击“属性”,打开公司网络属性对话框,在常规标签下输入目标主机的域名RASServer.ess.com。在这里必须使用目标主机的域名而不是IP地址。因为服务器要出示给客户机数字证书,该数字证书包含服务器的名称RASServer.ess.com,这样有助于验证服务器身份。

50. 在网络标签下,选择×××类型“安全套接字隧道协议(SSTP)”,点击“确定”。

clip_image046clip_image047

51. 可以看到×××连接已经更改为SSTP类型,右击“公司网络”,点击“连接”。

52. 在出现的连接公司网络对话框,点击“连接”。

clip_image048clip_image049

53. 可以看到连接成功。

54. 在命令提示符下输入netstat –n,可以看到SSTP ×××建立的会话。

clip_image050clip_image051

微软最有价值专家(MVP)从业12年录制500小时16G企业培训视频 视频介绍网址 http://www.91xueit.com

 

titel2

123