TMG实现SSTP ×××---TMG 2010 ×××系列之三

时间 2020-01-09

标签 tmg 实现 sstp 系列之三繁體版

原文原文链接

咱们都知道，Windows Server 2008的×××有三种类型：PPTP、L2TP/IPSec、SSTP。而对于SSTP ×××直接走443端口，增长了通用性。而对于ISA2004/2006均不能够实现这种类型的×××，而最近微软发布的新产品TMG增长了对SSTP ×××的支持，今天咱们就来看一下，这三种类型的×××在TMG下的实现方式：

对于本内容咱们分三次进行，这是咱们的第三次课，SSTP ×××的实现过程：

前言：

对于×××的工做过程，不外乎两个阶段：身份验证和受权，对于身份验证说白了其实就是对用户进行合法性验证，便是否是对应数据库里的用户，而且密码验证也经过。受权，即该用户必须有拔入权限。

实验拓朴：

三台机器，全部配置如上所示，初始环境已经搭建结束，如W08a是DC和DNS，CA并无安装。W08c是TMG服务器，并已经安装了TMG，远程客户端win7的TCP相关配置如上。接下来咱们来看SSTP ×××的实现过程：

分析：

1. 要实现SSTP ×××咱们必需要有CA服务器，即必须为TMG这台服务器准备计算机证书，同时为远程客户端安装CA的根证书。固然若是在生产环境里，咱们彻底能够去商业CA那里为TMG服务器申请并购买计算机证书，在这里咱们为了测试就直接在企业内部搭建本身的CA了。

2.远程客户端在使用SSTP的方式链接TMG时，必需要下载TMG的服务器证书，固然也必须有能力验证该证书的有效性，即远程客户端必须能联系CA的证书吊销服务器，因为咱们在企业内部搭建的CA服务器，故咱们必须在TMG上把内部的证书吊销服务器的WEB站点发布到公网。

3.远程客户端必须使用TMG服务器证书的名字来联系TMG服务器并下载该服务器的证书。故必须保证在远程客户端上经过公网DNS能够解析TMG服务器的名称为TMG服务器公网网卡的IP，在这里，因为是测试环境，咱们采用Hosts文件实现名称的解析。

大体步骤：

1、解决证书问题：

1.在企业内部搭建根CA（独立CA），同时安装WEB申请组件。

2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。

3.在远程客户端下载CA的根证书并安装到计算机存储列表中。

2、TMG上的配置：

1.在TMG上完成SSTP ×××的配置并建立相应的访问规则及用户拔入权限。

2.在TMG上完成内部证书吊销服务器WEB站点的发布。

3、远程客户端的配置：

1.在Win7上建立×××拔号链接

2.修改Hosts文件

3.并测试。

4、总结

实现过程：

1、解决证书问题：

1.在企业内部搭建根CA（独立CA），同时安装WEB申请组件。

2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。

3.在远程客户端下载CA的根证书并安装到计算机存储列表中。

有关证书问题，各位能够参考《TMG实现L2TP/IPSec ×××---TMG 2010 ×××系列之二》，注意在配置L2TP/IPSec ×××时咱们在客户端也申请了计算机证书，但在SSTP ×××中，咱们能够只为客户端下载CA的根证书就能够了。

详细的操做，此外略。

2、TMG上的配置：

1.在TMG上完成SSTP ×××的配置并建立相应的访问规则及用户拔入权限。

此处配置，基本上和《TMG实现L2TP/IPSec ×××---TMG 2010 ×××系列之二》相似，惟一不一样咱们选择×××协议是SSTP，而且要建立一个“侦听器”，具体操做以下所示：

（PS：所谓侦听器，也就是咱们须要肯定让咱们的TMG在哪一个网络接口接收客户端的访问请求，在这里因为实现SSTP的×××，因此须要在TMG公网卡的443端口侦听来公网的请求，而且咱们须要选择一个证书，当客户端链接此网络接口时，TMG会把该证书传送给客户端。从而实现未来的安全通讯）

以下图，咱们单击“新建”，以下：

2.在TMG上完成内部证书吊销服务器WEB站点的发布。

分析：当远程客户端从TMG下载到证书以后，须要联系“证书吊销服务器”来验证该证书是否有效，故在×××未创建以前远程客户端必须有联系证书吊销服务器，由于在咱们实验环境里，CA和证书吊销服务器均是内网的w08a.contoso.com，因此咱们必须经过“WEB服务器发布规则”把证书吊销服务器的WEB站点发布出来。

（1）建立Web侦听器：

如图所示，选择“新建WEB侦听器”。