我们都知道,Windows Server 2008的×××有三种类型:PPTP、L2TP/IPSec、SSTP。而对于SSTP ×××直接走443端口,增加了通用性。而对于ISA2004/2006均不可以实现这种类型的×××,而最近微软发布的新产品TMG增加了对SSTP ×××的支持,今天我们就来看一下,这三种类型的×××在TMG下的实现方式:
    对于本内容我们分三次进行,这是我们的第二次课,L2TP/IPSec ×××的实现过程:
    我们的重点解决SSTP的×××,但在解决之前,我们可能要进行一系列的测试工作,避免不了使用PPTP或L2TP/IPSec,所有干脆一并在这里一一道来,成为一个×××解决系列。
前言:
对于×××的工作过程,不外乎两个阶段:身份验证和授权,对于身份验证说白了其实就是对用户进行合法性验证,即是否是对应数据库里的用户,并且密码验证也通过。授权,即该用户必须有拔入权限。
实验拓朴:
clip_p_w_picpath001
三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看L2TP/IPSec ×××的实现过程:
分析: 对于L2TP/IPSec ×××我们有两种方式进行计算机的身份验证和加密,一种是使用预共享密钥,一种是使用证书。在这里我们采用证书完成×××的操作。所以我们必须为TMG服务器和远程客户端分别申请计算机证书,并下载CA的根证书(安装到计算机存储中)。
步骤:
一、在企业内部的W08a上搭建独立根CA
二、在TMG上申请计算机证书并下载CA的根证书
三、在Win7上申请计算机证书并下载CA的根证书
四、在TMG上完成L2TP/IPSec ×××的配置并创建相应的访问规则及用户拔入权限。
五、在Win7上创建×××拔号连接,并测试。
六、总结
实现过程:
一、在企业内部的W08a上搭建独立根CA
在W08a上运行“服务器管理器”,在控制台的“角色”上右击--“添加角色”,如下所示:选择" AD CS "单击“下一步”:
clip_p_w_picpath002
下图,选择“证书颁发机构Web注册”,会弹出关联组件并选择安装,单击下一步:
clip_p_w_picpath003
下图,我们选择"独立CA”,单击下一步:
clip_p_w_picpath004
下图,选择根CA,继续:
clip_p_w_picpath005
接下来,基本可以采用默认的设置,一路单击即可:
clip_p_w_picpath006
clip_p_w_picpath007
clip_p_w_picpath008
clip_p_w_picpath009
clip_p_w_picpath010
clip_p_w_picpath011
clip_p_w_picpath012
clip_p_w_picpath013
安装结束后如下图:
clip_p_w_picpath014
开始---搜索,输入certsrv.msc,右击Root CA选--属性,设置CA自动颁发证书。(PS:当然这里是为了图简单,在生产环境里当然必须要手动颁发喽~~),改后,注意要重启证书服务,此处略~~
clip_p_w_picpath015
二、在TMG上申请计算机证书并下载CA的根证书
1.打开IE,工具---Internet选项, 配置“安全级别”,并把CA站点添加到信任区域。
clip_p_w_picpath016
clip_p_w_picpath017
2.在TMG上 创建一条“阵列访问规则”,允许TMG服务器可以访问CA服务器的HTTP协议。在这里为了简单我们创建一条从本地主机(即TMG)到内部的一条可以访问全部协议的规则。大致操作如下:
在防火墙策略上新建一条“访问规则”:如下一系列图示。
clip_p_w_picpath018
clip_p_w_picpath019
clip_p_w_picpath020
clip_p_w_picpath021
如上图,仅为测试,故选择所有出站通讯,若在生产环境里,根据情况定义,此处略。
clip_p_w_picpath022
clip_p_w_picpath023
clip_p_w_picpath024
clip_p_w_picpath025
clip_p_w_picpath026
创建结束后,单击“应用”保存配置,稍等片刻。我们进行下面的操作。
3.为TMG服务器 下载CA的根证书,并安装到计算机存储中
打开IE,在地址栏里输入http://10.1.1.5/certsrv,单击"下载CA证书、证书链或CRL"
clip_p_w_picpath027
clip_p_w_picpath028
clip_p_w_picpath029
注意“保存”到本地计算机,如桌面上。
接下来,单击“开始---搜索”,输入mmc,如下所示:
clip_p_w_picpath030
clip_p_w_picpath031
如上图,添加“用户和计算机”的证书控制台,然后在下图所示中,展开“证书(本地计算机)”,导入刚才下载并保存的CA的根证书,导入后,如下下图所示。
clip_p_w_picpath032
clip_p_w_picpath033
4. 在TMG上 申请计算机证书,并安装“证书(本地计算机)”的个人存储中。
如上一样,打开IE,输入http://10.1.1.5/certsrv,如下:
clip_p_w_picpath034
clip_p_w_picpath035
clip_p_w_picpath036
clip_p_w_picpath037
如上图,一定要注意这三项,然后单击“提交”,如下图:
clip_p_w_picpath038
单击“安装此证书”,注意此时该证书被安装到了用户个人存储中,我们必须再次打刚才的MMC,把用户里的这个证书,带私钥导出,然后再导入计算机个人存储中。
如下所示:(步骤太多,截了几副,其它未贴出采用默认配置自行处理)
clip_p_w_picpath039
clip_p_w_picpath040
clip_p_w_picpath041
clip_p_w_picpath042
导出证书后,我们还需要如下操作,把该证书导入到计算机个人存储中,如下:
clip_p_w_picpath043
导完后,如下图所示:
clip_p_w_picpath044
三、在Win7上申请计算机证书并下载CA的根证书
有关远程客户端证书的申请过程和TMG一般无二,但我们要考虑的就是如何实现和CA的连接问题:
两种方式:
a.如果是单位的笔记本电脑,可以事先申请并安装,再出差。
b.如果在分支机构的电脑等,我们也可以事先用PPTP的方式连接,然后再申请。
由于步骤一样,在此不在赘述。
四、在TMG上完成L2TP/IPSec ×××的配置并创建相应的访问规则及用户拔入权限。
此处的操作和配置,与上篇的操作和配置基本相同,唯一的区别,如下图处,我们要选择×××协议为L2TP/IPSec:
clip_p_w_picpath045
五、在Win7上创建×××拔号连接,并测试。
此处的配置基本上和上篇配置类似,唯一的区别,需要更改×××的连接选择L2TP/IPSec,并选择使用证书,如下图所示:
clip_p_w_picpath046
连接上来后,如下所示:
clip_p_w_picpath047
六、总结
其实实现L2TP/IPSec ×××关键还是证书方面,你必须在TMG和远程客户端都要下载CA的根证书,并且一定要安装到计算机存储列表中,此外两个计算机证书,名字必须是对应计算机的名字,并且申请时选择“导出私钥”,然后利用MMC控制导出并导入计算机存储中。这是这个实验成功的关键点!在整个实验过程中,对于TMG还有配置相应的访问规则。理好思路并不难,就是步骤多了些。
 
 
预告:敬请关注 《TMG实现SSTP ×××---TMG 2010 ×××系列之三》