TMG實現SSTP ×××---TMG 2010 ×××系列之三

時間 2020-01-09

標籤 tmg 實現 sstp 系列之三简体版

原文原文鏈接

咱們都知道，Windows Server 2008的×××有三種類型：PPTP、L2TP/IPSec、SSTP。而對於SSTP ×××直接走443端口，增長了通用性。而對於ISA2004/2006均不能夠實現這種類型的×××，而最近微軟發佈的新產品TMG增長了對SSTP ×××的支持，今天咱們就來看一下，這三種類型的×××在TMG下的實現方式：

對於本內容咱們分三次進行，這是咱們的第三次課，SSTP ×××的實現過程：

前言：

對於×××的工做過程，不外乎兩個階段：身份驗證和受權，對於身份驗證說白了其實就是對用戶進行合法性驗證，便是否是對應數據庫裏的用戶，而且密碼驗證也經過。受權，即該用戶必須有拔入權限。

實驗拓樸：

三臺機器，全部配置如上所示，初始環境已經搭建結束，如W08a是DC和DNS，CA並無安裝。W08c是TMG服務器，並已經安裝了TMG，遠程客戶端win7的TCP相關配置如上。接下來咱們來看SSTP ×××的實現過程：

分析：

1. 要實現SSTP ×××咱們必需要有CA服務器，即必須爲TMG這臺服務器準備計算機證書，同時爲遠程客戶端安裝CA的根證書。固然若是在生產環境裏，咱們徹底能夠去商業CA那裏爲TMG服務器申請併購買計算機證書，在這裏咱們爲了測試就直接在企業內部搭建本身的CA了。

2.遠程客戶端在使用SSTP的方式鏈接TMG時，必需要下載TMG的服務器證書，固然也必須有能力驗證該證書的有效性，即遠程客戶端必須能聯繫CA的證書吊銷服務器，因爲咱們在企業內部搭建的CA服務器，故咱們必須在TMG上把內部的證書吊銷服務器的WEB站點發布到公網。

3.遠程客戶端必須使用TMG服務器證書的名字來聯繫TMG服務器並下載該服務器的證書。故必須保證在遠程客戶端上經過公網DNS能夠解析TMG服務器的名稱爲TMG服務器公網網卡的IP，在這裏，因爲是測試環境，咱們採用Hosts文件實現名稱的解析。

大體步驟：

1、解決證書問題：

1.在企業內部搭建根CA（獨立CA），同時安裝WEB申請組件。

2.在TMG上申請計算機證書並下載CA的根證書並安裝到計算機存儲列表中。

3.在遠程客戶端下載CA的根證書並安裝到計算機存儲列表中。

2、TMG上的配置：

1.在TMG上完成SSTP ×××的配置並建立相應的訪問規則及用戶拔入權限。

2.在TMG上完成內部證書吊銷服務器WEB站點的發佈。

3、遠程客戶端的配置：

1.在Win7上建立×××拔號鏈接

2.修改Hosts文件

3.並測試。

4、總結

實現過程：

1、解決證書問題：

1.在企業內部搭建根CA（獨立CA），同時安裝WEB申請組件。

2.在TMG上申請計算機證書並下載CA的根證書並安裝到計算機存儲列表中。

3.在遠程客戶端下載CA的根證書並安裝到計算機存儲列表中。

有關證書問題，各位能夠參考《TMG實現L2TP/IPSec ×××---TMG 2010 ×××系列之二》，注意在配置L2TP/IPSec ×××時咱們在客戶端也申請了計算機證書，但在SSTP ×××中，咱們能夠只爲客戶端下載CA的根證書就能夠了。

詳細的操做，此外略。

2、TMG上的配置：

1.在TMG上完成SSTP ×××的配置並建立相應的訪問規則及用戶拔入權限。

此處配置，基本上和《TMG實現L2TP/IPSec ×××---TMG 2010 ×××系列之二》相似，惟一不一樣咱們選擇×××協議是SSTP，而且要建立一個「偵聽器」，具體操做以下所示：

（PS：所謂偵聽器，也就是咱們須要肯定讓咱們的TMG在哪一個網絡接口接收客戶端的訪問請求，在這裏因爲實現SSTP的×××，因此須要在TMG公網卡的443端口偵聽來公網的請求，而且咱們須要選擇一個證書，當客戶端鏈接此網絡接口時，TMG會把該證書傳送給客戶端。從而實現未來的安全通訊）

以下圖，咱們單擊「新建」，以下：

2.在TMG上完成內部證書吊銷服務器WEB站點的發佈。

分析：當遠程客戶端從TMG下載到證書以後，須要聯繫「證書吊銷服務器」來驗證該證書是否有效，故在×××未創建以前遠程客戶端必須有聯繫證書吊銷服務器，由於在咱們實驗環境裏，CA和證書吊銷服務器均是內網的w08a.contoso.com，因此咱們必須經過「WEB服務器發佈規則」把證書吊銷服務器的WEB站點發布出來。

（1）建立Web偵聽器：

如圖所示，選擇「新建WEB偵聽器」。