用TMG搭建×××服務器(二)---L2TP/IPsec ×××

在L2TP ×××中，×××服務器與×××客戶端都須要用到證書，所以咱們已經在DC上部署了企業根CA

1.建立證書模板

因爲是企業根CA，在證書Web註冊頁面中，默認是不能申請到【服務器身份驗證】證書，而【服務器身份驗證】證書正好是×××服務器與×××客戶端都要用到的證書，此時咱們要自行來建立【服務器身份驗證】證書模板，使用戶都夠在證書Web註冊頁面中申請到

在證書頒發機構中打開證書模板管理頁

找到【計算機】證書模板，右鍵選擇【複製模板】

選擇【Windows Server 2003 Enterprise】

切換到【常規】選項卡，指定證書模板名稱

切換到【請求處理】選項卡，勾選【容許導出私鑰】

切換到【使用者名稱】選項卡，選擇【在請求中提供】，這表明此證書能夠從Web註冊頁面中申請

切換到【安全】選項卡，賦予Administrator用戶註冊權限

將建立好的【服務器身份驗證】證書模板添加到要頒發的證書模板中

選擇【服務器身份驗證】

2.爲×××服務器申請證書

首先修改IE安全級別，如不修改，註冊證書時會要求咱們使用SSL

在到bjtmg上，打開IE瀏覽器中的Internet選項，切換到【安全】選項卡，選擇【本地Intranet】，將安全級別降到最低，而後打開【站點】

打開【高級】選項，將CA服務器的域名添加至此

經過Administrator用戶進入CA註冊頁面，點擊【申請證書】

點擊【高級證書申請】

點擊【建立並向此CA提交一個申請】

這裏比較關鍵，證書模板要選擇【服務器身份驗證】，

注意：在姓名處必定要設置爲本機的計算機名，這裏就是bjmg

勾選【標記密鑰爲可導出】

提交後點擊【安裝此證書】

3.將證書安裝到【本地計算機】存儲中

因爲安裝證書後，證書保存在用戶存儲中，要將證書連同私鑰一塊兒導出到本地計算機存儲中，這樣×××服務器才能夠正常使用證書

選擇導出用戶存儲中的證書bjtmg

選擇導出私鑰

設置密碼

指定導出路徑

從本地計算機存儲中導入證書

選擇剛剛導出的證書

輸入密碼

導入到【我的】存儲

下載CA根證書，使×××服務器信認證書頒發機構

4.爲×××客戶端申請證書

步驟大體和服務器配置同樣

(1)能夠經過PPTP方式撥入，而後訪問內部CA

(2)申請證書時注意姓名處設置爲客戶機的計算機名

(3)一樣要將證書從【當前用戶】存儲中導出，並導入到【本地計算機】存儲中

(4)下載並導入CA根證書

5.啓用L2TP ×××

在TMG控制檯打開【配置×××客戶端訪問】

切換到【協議】選項卡，勾選【啓用L2TP/IPsec】

6.客戶端配置

修改×××撥號鏈接屬性，切換到【安全】選項卡，將×××類型修改成【使用IPsec的第2層隧道協議(L2TP/IPSec)】

撥入後，在×××服務器上打開【路由和遠程訪問】中可看到撥入成功，×××類型爲L2TP