Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows 2003系統教程 >> Windows 2003常見問題解答 >> Win2008:遠程訪問SSL-VPN服務器攻略

Win2008:遠程訪問SSL-VPN服務器攻略

日期:2017/1/25 11:53:49      編輯:Windows 2003常見問題解答

在此部分中將進行如下操作:

一、在WIN2K8 DC上安裝AD證書服務,並設置為企業根。
二、在SSTP VPN服務器上安裝IIS7.0
三、在SSTP VPN服務器上使用IIS7.0中的證書請求向導,為SSTP VPN服務器請求一個機器證書。
四、在SSTP VPN服務器安裝RRAS角色,並配置其為VPN和NAT服務器。
五、配置NAT服務器以發布CRL(證書吊銷列表)

一、在WIN2K8 DC上安裝AD證書服務,並設置為企業根。
1、在WIN2K8 DC上,打開服務器管理器,在“角色”中點選“添加角色”,並在彈出添加角色向導中點選“ACTIVE DIRECTORY 證書服務”,下一步:

 

2、在“選擇角色服務”窗口中,選擇“證書頒發機構”以及“證書頒發機構WEB注冊”兩項,同時,在選擇“證書頒發機構WEB注冊”後彈出的窗口中,點“添加必要的角色服務”。下一步:

 

3、在“指定安裝類型”窗口中,選擇“企業“項。(當然也可以選擇獨立項,但顯然,這不是這次實驗的目的,如果今後有時間,我會以此次實驗拓樸為原型,改變CA角色到SSTP VPN服務器上,並設置成獨立CA。也許還簡單些。)下一(幾)步:

4、中間一些過程略去,實在沒有什麼可要說明的。在“為CA配置加密“以及”配置CA名稱“兩個界面,均按默認設置,並下一步:

  5、在“確認安裝選擇“界面,通過下拉右側按鈕可以清楚的看到之前的設定,如果你認為沒有問題,就選擇安裝,如果你認為還需要更改,就選上一步。此處,選擇”安裝“

6、“AD CS“,AD證書服務安裝完成後的界面如下。至此,完成了AD CS的角色及角色服務安裝。

二、在SSTP VPN服務器上安裝IIS7.0
       在上一個板塊,已介紹了如何在WIN2K8上安裝CA角色,並同時安裝了WEB注冊程序。接下來的操作將會在SSTP VPN服務器進行。
     進行安裝之前,請確認SSTP VPN服務器加入了域:contoso.com。且在此機器登陸時是以域用戶登陸。在此場景中,偶是以域管理員身份在SSTP VPN服務器上登陸域的(contoso\administrator)。
     通常情況下,並不建議把WEB服務器安裝在一個負責網絡安全的設備中,在此場景中,在SSTP VPN服務器中安裝IIS7.0的目的,就是借此來在線遞交企業CA一個其機器證書申請。
     如果采用的是獨立CA,且把證書服務安裝在SSTP VPN服務器上,你就可以省去一些麻煩,至少不用在接下來圖中安裝一些IIS7.0的安全組件了。但很顯然,這不是設計此次實驗的目的。

接下來,請根據我的圖示一步一步進行操作:
1、在SSTP VPN服務器中,打開“服務器管理器”,並在角色面板中選擇“添加角色”。

 

 


2、在“選擇服務器角色”界面,選擇”WEB服務器(IIS)”,並在彈出的“添加角色向導”界面中,點“添加必需的功能”按鈕。(此時,所安裝的只是默認配置,還需要進行定制)才能滿足實驗需求並下一步:

 

 

3、在“選擇角色服務”界面,拖動按鈕至中間,並在“安全性”選項前全部打上對勾,請務必如此,這些動作是為下面的服務器證書做好組件安裝准備的,否則你就不能使用證書申請向導了。選擇後,下一步:

 

 

4、在出現的“確認安裝選擇”界面,點下方的“安裝”按鈕,進行角色及角色服務的安裝進程。一些時間後出現“安裝結果”窗口,安裝完成。“關閉”窗口。

 

 

三、在SSTP VPN服務器上使用IIS7.0中的證書請求向導,為SSTP VPN服務器請求一個機器證書。

     在二中,我們定制安裝了IIS7.0服務器,接下來的操作就是為SSTP VPN服務器申請一個機器證書。
SSTP VPN服務器需要一個機器證書來創建與SSL VPN客戶端的SSL VPN確連接。這個機器證書中的“通用名稱”必需是SSL VPN客戶端連接SSTP VPN服務器所使用的名子(DNS域名)。故為了解析SSTP VPN服務器的公網IP地址,需要為此名字創建DNS 記錄。

  以下操作是在SSTP VPN服務器中進行。
1、打開服務器管理器,展開“角色”至“INTERNET信息服務器”(也可以通過管理工具打開它)項。並點選中間控制面板中的VPN(VPN\administrator)(嚴重注意,此處應是contoso\administrator,這個截圖是我沒有以域用戶登陸的結果,但此時,並不會影響接下來的實驗的)。在右側控制面板中可以看到“服務器證書”選項。接下的操作都與此有關。雙擊或是點右上角的“打開功能”以打開它。

 

 


2、在打開的“服務器證書”控制面板中,選擇右側的“創建域證書”,並在彈出的“可分辨名稱屬性”對話框中,填入圖中所示內容(你可以有所不同,根據環境需要)。值得注意的是,這裡的sstp.contoso.com,是對應當到SSTP VPN服務器的外部IP的,由於這裡只是測試環境,你需要在SSTP VPN客戶端的主機文件裡新建DNS A記錄。下一步:

 


3、此時的登陸帳號是contoso\administrator,實際上第一步開始就應當是如此顯示,但做到這一步時才發現,故之前兩張截圖並沒有更改過來,請有心人注意。也只有顯示contoso\users這樣的情況時,才會出現圖中標示的“選擇”按鈕可用。否則,你只有手動填寫,並有可能出現驗證問題。
點選“選擇”按鈕,在彈出的對話框中選擇證書頒發機構。確定。並在“好記名稱”對話框中填上你認為的好記的稱便可。然後,點“完成“按鈕。

 

 

 


4、下圖所示是創建完成後的證書申請屬性的“詳細信息“界面。

 

 

四、在SSTP VPN服務器安裝RRAS角色,並配置其為VPN和NAT服務器。
     在WINDOWS 2008裡,路由和遠程訪問服務器安裝方法和之前的WINDOWS系統有所不同,它作為一項角色服務包含在“網絡策略和訪問服務”角色中。而“網絡策略和訪問服務”提供網絡策略服務器(NPS)、路由與遠程訪問、健康注冊頒發機構(HRA)和主機憑據授權協議(HCAP),這些都有助於網絡的健康和安全。
     在此次實驗中,本不需要NAT 服務器角色的,為何,不但要把此SSTP VPN服務器做為VPN服務器,還要實現其NAT的功能呢?前面已講到,SSL VPN客戶端需要下載CRL,這時的NAT功能就是起到轉發此通訊流量至內部網絡的AD CA服務器上。否則,SSTP VPN服務器連接將失效。
     同時,為了能訪問內部網絡的CRL,不但要配置SSTP VPN服務器做為NAT服務器,還要在通過NAT來發布CRL(也許,在生產環境中,你需要通過一個防火牆來發布此CRL)。

1、打開服務器管理器,並展開“角色”項。點右側面板的“添加角色”按鈕。在彈出的“選擇服務器角色”窗口中,選擇“網絡策略與訪問服務”。下一步:

 

 

2、在彈出的“選擇角色服務”窗口中,選擇“路由和遠程訪問服務”,並確保“遠程訪問服務”、“路由”兩項被選定。並點下一步,直至完成此角色的安裝。

 


3、完成安裝後,展開“角色”、“網絡策略和訪問服務”,右鍵選擇“配置並啟用路由和遠程訪問”。

 


4、在“路由和遠程訪問服務歡迎向導”界面,點下一步。
5、在彈出的“配置”界面,在“虛擬專用網絡(VPN)和NAT”打上對勾。下一步:

 


6、在“VPN連接”界面,選擇名稱為“WAI”的網卡,下一步:

 


7、在接下來的界面中選擇“來自一個指定的地址范圍”,並下一步,在“地址范圍分配”界面,輸入新的地址范圍,並確定後,下一步:

 


8、在“管理多個遠程訪問服務器”界面,由於沒有內部的RADIUS服務器,此處選擇第一項“否,使用路由和遠程訪問來對連接進行身份驗證”。下一步:

 


   9、在“正在完成路由和遠程訪問服務服務器安裝向導”界面,點完成,並在彈出的消息對話框中點”OK”。

10、完成配置後,展開至“端口”處,並下拉右側按鈕至中間,此時,可以看到SSTP已創建。

 

 

五、配置NAT服務器以發布CRL(證書吊銷列表)
     為了能使SSL VPN客戶端下載到CRL,就需要配置NAT服務器,以發布位於內部的AD CA服務器上的CRL。
     但訪問CRL的URL地址是什麼呢,也許你可以通過下圖的操作來發現(標示為黃色部分)URL為win2k8dc.contoso.com:
      

1、展開“路由各遠程訪問”至“NAT”項,在右側的面板中,右鍵單擊“WAI”,選屬性:

 


2、在“WAI屬性”界面中,移動鼠標至“服務和端口”項,並找到“WEB服務器(HTTP)”,點選後,會彈出“編輯服務”界面,在“專用地址”對話框中,填入內部的AD CA服務器的IP地址:10.0.0.2,並兩次確定後,完成此次操作。
    此處注意的是考慮到是實驗環境,需要在SSL VPN客戶端的主機文件中添加上針對此次發布的DNS A記錄項。

 

 

 

 


 

Copyright © Windows教程網 All Rights Reserved