Microsoft Forefront TMG实现L2TP/IPSec ×××

时间  2020-01-17
标签 microsoft forefront tmg 实现 l2tp ipsec 栏目 Windows 繁體版
原文   原文链接

咱们都知道,Windows Server2008的×××有三种类型:PPTP、L2TP/IPSec、SSTP。而对于SSTP×××直接走443端口,增长了通用性。而对于ISA2004/2006均不能够实现这种类型的×××,而最近微软发布的新产品TMG增长了对SSTP×××的支持,今天咱们就来看一下,这三种类型的×××在TMG下的实现方式:html

对于本内容咱们分三次进行,这是咱们的第二次课,L2TP/IPSec ×××的实现过程:数据库

咱们的重点解决SSTP×××,但在解决以前,咱们可能要进行一系列的测试工做,避免不了使用PPTPL2TP/IPSec,全部干脆一并在这里一一道来,成为一个×××解决系列。安全

前言:服务器

对于×××的工做过程,不外乎两个阶段:身份验证和受权,对于身份验证说白了其实就是对用户进行合法性验证,便是否是对应数据库里的用户,而且密码验证也经过。受权,即该用户必须有拔入权限。ide

实验拓朴:工具

clip_p_w_picpath001

三台机器,全部配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并无安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来咱们来看L2TP/IPSec×××的实现过程:测试

分析:对于L2TP/IPSec×××咱们有两种方式进行计算机的身份验证和加密,一种是使用预共享密钥,一种是使用证书。在这里咱们采用证书完成×××的操做。因此咱们必须为TMG服务器和远程客户端分别申请计算机证书,并下载CA的根证书(安装到计算机存储中)。加密

步骤:url

1、在企业内部的W08a上搭建独立根CAspa

2、在TMG上申请计算机证书并下载CA的根证书

3、在Win7上申请计算机证书并下载CA的根证书

4、在TMG上完成L2TP/IPSec×××的配置并建立相应的访问规则及用户拔入权限。

5、在Win7上建立×××拔号链接,并测试。

6、总结

实现过程:

1、在企业内部的W08a上搭建独立根CA

在W08a上运行“服务器管理器”,在控制台的“角色”上右击--“添加角色”,以下所示:选择" AD CS"单击“下一步”:

clip_p_w_picpath002

下图,选择“证书颁发机构Web注册”,会弹出关联组件并选择安装,单击下一步:

clip_p_w_picpath003

下图,咱们选择"独立CA”,单击下一步:

clip_p_w_picpath004

下图,选择根CA,继续:

clip_p_w_picpath005

接下来,基本能够采用默认的设置,一路单击便可:

clip_p_w_picpath006


clip_p_w_picpath007


clip_p_w_picpath008


clip_p_w_picpath009


clip_p_w_picpath010


clip_p_w_picpath011


clip_p_w_picpath012


clip_p_w_picpath013

安装结束后以下图:

clip_p_w_picpath014

开始---搜索,输入certsrv.msc,右击RootCA选--属性,设置CA自动颁发证书。(PS:固然这里是为了图简单,在生产环境里固然必需要手动颁发喽~~),改后,注意要重启证书服务,此处略~~

clip_p_w_picpath015

2、在TMG上申请计算机证书并下载CA的根证书

1.打开IE,工具---Internet选项,配置“安全级别”,并把CA站点添加到信任区域。

clip_p_w_picpath016


clip_p_w_picpath017

2.在TMG上建立一条“阵列访问规则”,容许TMG服务器能够访问CA服务器的HTTP协议。在这里为了简单咱们建立一条从本地主机(即TMG)到内部的一条能够访问所有协议的规则。大体操做以下:

在防火墙策略上新建一条“访问规则”:以下一系列图示。

clip_p_w_picpath018


clip_p_w_picpath019


clip_p_w_picpath020


clip_p_w_picpath021

如上图,仅为测试,故选择全部出站通信,若在生产环境里,根据状况定义,此处略。

clip_p_w_picpath022


clip_p_w_picpath023


clip_p_w_picpath024


clip_p_w_picpath025


clip_p_w_picpath026

建立结束后,单击“应用”保存配置,稍等片刻。咱们进行下面的操做。

3.为TMG服务器下载CA的根证书,并安装到计算机存储中

打开IE,在地址栏里输入http://10.1.1.5/certsrv,单击"下载CA证书、证书链或CRL"

clip_p_w_picpath027


clip_p_w_picpath028


clip_p_w_picpath029

注意“保存”到本地计算机,如桌面上。

接下来,单击“开始---搜索”,输入mmc,以下所示:

clip_p_w_picpath030


clip_p_w_picpath031

如上图,添加“用户和计算机”的证书控制台,而后在下图所示中,展开“证书(本地计算机)”,导入刚才下载并保存的CA的根证书,导入后,以下下图所示。

clip_p_w_picpath032


clip_p_w_picpath033

4. 在TMG上申请计算机证书,并安装“证书(本地计算机)”的我的存储中。

如上同样,打开IE,输入http://10.1.1.5/certsrv,以下:

clip_p_w_picpath034


clip_p_w_picpath035


clip_p_w_picpath036


clip_p_w_picpath037

如上图,必定要注意这三项,而后单击“提交”,以下图:

clip_p_w_picpath038

单击“安装此证书”,注意此时该证书被安装到了用户我的存储中,咱们必须再次打刚才的MMC,把用户里的这个证书,带私钥导出,而后再导入计算机我的存储中。

以下所示:(步骤太多,截了几副,其它未贴出采用默认配置自行处理)

clip_p_w_picpath039


clip_p_w_picpath040


clip_p_w_picpath041


clip_p_w_picpath042

导出证书后,咱们还须要以下操做,把该证书导入到计算机我的存储中,以下:

clip_p_w_picpath043

导完后,以下图所示:

clip_p_w_picpath044

3、在Win7上申请计算机证书并下载CA的根证书

有关远程客户端证书的申请过程和TMG通常无二,但咱们要考虑的就是如何实现和CA的链接问题:

两种方式:

a.若是是单位的笔记本电脑,能够事先申请并安装,再出差。

b.若是在分支机构的电脑等,咱们也能够事先用PPTP的方式链接,而后再申请。

因为步骤同样,在此不在赘述。

具体见上篇《TMG实现PPTP ×××---TMG 2010×××系列之一

4、在TMG上完成L2TP/IPSec×××的配置并建立相应的访问规则及用户拔入权限。

此处的操做和配置,与上篇的操做和配置基本相同,惟一的区别,以下图处,咱们要选择×××协议为L2TP/IPSec:

clip_p_w_picpath045

5、在Win7上建立×××拔号链接,并测试。

此处的配置基本上和上篇配置相似,惟一的区别,须要更改×××的链接选择L2TP/IPSec,并选择使用证书,以下图所示:

clip_p_w_picpath046

链接上来后,以下所示:

clip_p_w_picpath047

6、总结

其实实现L2TP/IPSec×××关键仍是证书方面,你必须在TMG和远程客户端都要下载CA的根证书,而且必定要安装到计算机存储列表中,此外两个计算机证书,名字必须是对应计算机的名字,而且申请时选择“导出私钥”,而后利用MMC控制导出并导入计算机存储中。这是这个实验成功的关键点!在整个实验过程当中,对于TMG还有配置相应的访问规则。理好思路并不难,就是步骤多了些。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程