我们都知道,Windows Server 2008的×××有三种类型:PPTP、L2TP/IPSec、SSTP。而对于SSTP ×××直接走443端口,增加了通用性。而对于ISA2004/2006均不可以实现这种类型的×××,而最近微软发布的新产品TMG增加了对SSTP ×××的支持,今天我们就来看一下,这三种类型的×××在TMG下的实现方式:
对于本内容我们分三次进行,这是我们的第三次课,SSTP ×××的实现过程:
前言:
对于×××的工作过程,不外乎两个阶段:身份验证和授权,对于身份验证说白了其实就是对用户进行合法性验证,即是否是对应数据库里的用户,并且密码验证也通过。授权,即该用户必须有拔入权限。
实验拓朴:
clip_p_w_picpath001
三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看SSTP ×××的实现过程:
分析:
1. 要实现SSTP ×××我们必须要有CA服务器,即必须为TMG这台服务器准备计算机证书,同时为远程客户端安装CA的根证书。当然如果在生产环境里,我们完全可以去商业CA那里为TMG服务器申请并购买计算机证书,在这里我们为了测试就直接在企业内部搭建自己的CA了。
2.远程客户端在使用SSTP的方式连接TMG时,必须要下载TMG的服务器证书,当然也必须有能力验证该证书的有效性,即远程客户端必须能联系CA的证书吊销服务器,由于我们在企业内部搭建的CA服务器,故我们必须在TMG上把内部的证书吊销服务器的WEB站点发布到公网。
3.远程客户端必须使用TMG服务器证书的名字来联系TMG服务器并下载该服务器的证书。故必须保证在远程客户端上通过公网DNS可以解析TMG服务器的名称为TMG服务器公网网卡的IP,在这里,由于是测试环境,我们采用Hosts文件实现名称的解析。
大致步骤:
一、解决证书问题:
1.在企业内部搭建根CA(独立CA),同时安装WEB申请组件。
2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。
3.在远程客户端下载CA的根证书并安装到计算机存储列表中。
二、TMG上的配置:
1.在TMG上完成SSTP ×××的配置并创建相应的访问规则及用户拔入权限。
2.在TMG上完成内部证书吊销服务器WEB站点的发布。
三、远程客户端的配置:
1.在Win7上创建×××拔号连接
2.修改Hosts文件
3.并测试。
四、总结
 
实现过程:
一、解决证书问题:
1.在企业内部搭建根CA(独立CA),同时安装WEB申请组件。
2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。
3.在远程客户端下载CA的根证书并安装到计算机存储列表中。
有关证书问题,各位可以参考 《TMG实现L2TP/IPSec ×××---TMG 2010 ×××系列之二》,注意在配置L2TP/IPSec ×××时我们在客户端也申请了计算机证书,但在SSTP ×××中,我们可以只为客户端下载CA的根证书就可以了。
详细的操作,此外略。
二、TMG上的配置:
1.在TMG上完成SSTP ×××的配置并创建相应的访问规则及用户拔入权限。
此处配置,基本上和 《TMG实现L2TP/IPSec ×××---TMG 2010 ×××系列之二》类似,唯一不同我们选择×××协议是SSTP,并且要创建一个“侦听器”,具体操作如下所示:
(PS:所谓侦听器,也就是我们需要确定让我们的TMG在哪个网络接口接收客户端的访问请求,在这里由于实现SSTP的×××,所以需要在TMG公网卡的443端口侦听来公网的请求,并且我们需要选择一个证书,当客户端连接此网络接口时,TMG会把该证书传送给客户端。从而实现将来的安全通信)
clip_p_w_picpath002
如下图,我们单击“新建”,如下:
clip_p_w_picpath003
clip_p_w_picpath004
clip_p_w_picpath005
clip_p_w_picpath006
clip_p_w_picpath007
clip_p_w_picpath008
clip_p_w_picpath009
clip_p_w_picpath010
2.在TMG上完成内部证书吊销服务器WEB站点的发布。
分析:当远程客户端从TMG下载到证书之后,需要联系“证书吊销服务器”来验证该证书是否有效,故在×××未建立之前远程客户端必须有联系证书吊销服务器,因为在我们实验环境里,CA和证书吊销服务器均是内网的w08a.contoso.com,所以我们必须通过“WEB服务器发布规则”把证书吊销服务器的WEB站点发布出来。
(1)创建Web侦听器:
如图所示,选择“新建WEB侦听器”。
clip_p_w_picpath011
clip_p_w_picpath012
clip_p_w_picpath013
clip_p_w_picpath014
clip_p_w_picpath015
clip_p_w_picpath016
(2)新建WEB发布规则:
具体操作过程如下:
clip_p_w_picpath017
clip_p_w_picpath018
clip_p_w_picpath019
clip_p_w_picpath020
clip_p_w_picpath021
clip_p_w_picpath022
clip_p_w_picpath023
clip_p_w_picpath024
clip_p_w_picpath025
clip_p_w_picpath026
clip_p_w_picpath027
到如上,也可以单击上图中的“测试规则”,如果有问题也有相应的提示。
三、远程客户端的配置:
1.在Win7上创建×××拔号连接
基本上和L2TP/IPSec ×××的拔号创建差不多,唯一不同的,选择×××类型为SSTP,并且连接从IP改为名字。如下所示:
clip_p_w_picpath028
clip_p_w_picpath029
2.修改Hosts文件
如上,要保证w08c能解析为172.16.1.1,此外还要能保证当从远程客户端访问http://w08a.contoso.com时能定位到CA服务器,所以我们通过Hosts文件的来完成名字解析,修改如下:
以管理员身份运行cmd(什么!不会!哈哈,右击CMD,选择“以管理员身份运行”就可以了),输入以下命令:
clip_p_w_picpath030
保存关闭文件即可。
3.并测试。
clip_p_w_picpath031
四、总结:
配置SSTP ×××关键点:
1.证书的申请并安装。
2.证书吊销服务器的发布。
而查看证书吊销服务器可以通过证书文件来查看,如下图所示:
clip_p_w_picpath032
因此在公网能访问此WEB站点。名字当然也必须一样的。
 
 
预告:敬请关注 《TMG企业版的安装及配置系列》