用TMG搭建×××服務器(三)---SSTP ×××

SSTP服務器一樣須要申請服務器身份驗證證書，而且事先要在證書中擴展出證書吊銷列表(CRL)，這是因爲SSTP×××客戶端在撥入前須要訪問CA服務器上的證書吊銷列表(CRL)，下載證書吊銷列表(CRL)採用http協議方式，CA服務器一般處於企業內部，這時還須要經過TMG進行發佈

1.將CRL信息擴展至證書中

打開CA證書頒機構屬性

切換到【擴展】卡片，從下拉框中選擇【CRL分發點】，按圖勾選相關選項，將CRL地址擴展至證書中

再次從下拉框中選擇【頒發機構信息訪問】，按圖勾選相關選項

在【吊銷的證書】上選擇【發佈】

選擇【新的CRL】

最後確認窗口中3個http地址存在

2.爲×××服務器申請證書

證書申請方法基本同L2PT ×××時同樣，可參考第二章，這裏就說說關鍵步驟

在高級證書申請頁面，模板要選擇【服務器身份驗證】

【姓名】就至關於證書的公用名，這裏必定要和客戶端撥入時用的地址保持一致，好比客戶端撥入時用的地址是222.16.2.2，那麼證書上的公用名也必定是222.16.2.2

3.將證書安裝到本地計算機存儲

一樣可參考第二章

安裝證書後證書是存儲在【當前用戶】存儲中，先將它導出，注意要導出私鑰

指定導出路徑

在【本地計算機】存儲中導入

指定導入路徑

這裏能夠看到已經導入到【本地計算機】存儲中的證書

4.新建Web偵聽器

SSTP ×××服務器須要用到帶證書的Web偵聽器

打開TMG控制檯，選擇右側【工具箱】-【網絡對象】；選擇新建【Web偵聽器】

指定Web偵聽器名稱

選擇【須要與客戶端創建SSL安全鏈接】

選擇偵聽網絡爲【外部】，IP地址選擇【222.16.2.2】

綁定證書【222.16.2.2】

選擇【沒有身份驗證】

5.啓用SSTP協議的×××

打開×××客戶端屬性，切換至【協議】選項卡，勾選【啓用SSTP】

選擇名稱爲【SSTP】的Web偵聽器

6.客戶端配置

打開×××撥鏈接的屬性，切換到【安全】選項卡，將×××類型修改成【安全套接字隧道協議(SSTP)】

肯定後鏈接，確彈出了錯誤提示，沒法訪問CRL，這是因爲沒有在TMG上發佈吊銷服務器

7.發佈證書吊銷列表(CRL)

發佈前還得建立一個不須要SSL的Web偵聽器

選擇【不須要與客戶端創建SSL安全鏈接】

一樣是選擇偵聽【外部】，偵聽IP地址爲【222.16.2.2】

選擇【沒有身份驗證】

新建網站發佈規則，指定規則名稱

這裏選擇【使用不安全的鏈接鏈接發佈的Web服務器或服務器場】

輸入CA服務器的FQDN【bjdc.zf.com】

客戶端上的證書是經過http://bjdc.zf.com/CertEnroll/ZF-CA.crl這個URL地址訪問到吊銷列表

這裏公用名稱要填【bjdc.zf.com】，公網DNS也要有【bjdc.zf.com】的A紀錄指向TMG服務器的外網IP222.16.2.2，以保證客戶端能成功解析

選擇Web偵聽器【lis80】

選擇【無委派，客戶端沒法直接進行身份驗證】

CRL發佈完成後，再次經過客戶端撥入，撥入成功後能夠經過×××服務器上的【路由和遠程訪問】查看×××的鏈接狀態

這裏能夠看到×××類型是SSTP