用TMG搭建×××服务器(三)---SSTP ×××

SSTP服务器一样须要申请服务器身份验证证书，而且事先要在证书中扩展出证书吊销列表(CRL)，这是因为SSTP×××客户端在拨入前须要访问CA服务器上的证书吊销列表(CRL)，下载证书吊销列表(CRL)采用http协议方式，CA服务器一般处于企业内部，这时还须要经过TMG进行发布

1.将CRL信息扩展至证书中

打开CA证书颁机构属性

切换到【扩展】卡片，从下拉框中选择【CRL分发点】，按图勾选相关选项，将CRL地址扩展至证书中

再次从下拉框中选择【颁发机构信息访问】，按图勾选相关选项

在【吊销的证书】上选择【发布】

选择【新的CRL】

最后确认窗口中3个http地址存在

2.为×××服务器申请证书

证书申请方法基本同L2PT ×××时同样，可参考第二章，这里就说说关键步骤

在高级证书申请页面，模板要选择【服务器身份验证】

【姓名】就至关于证书的公用名，这里必定要和客户端拨入时用的地址保持一致，好比客户端拨入时用的地址是222.16.2.2，那么证书上的公用名也必定是222.16.2.2

3.将证书安装到本地计算机存储

一样可参考第二章

安装证书后证书是存储在【当前用户】存储中，先将它导出，注意要导出私钥

指定导出路径

在【本地计算机】存储中导入

指定导入路径

这里能够看到已经导入到【本地计算机】存储中的证书

4.新建Web侦听器

SSTP ×××服务器须要用到带证书的Web侦听器

打开TMG控制台，选择右侧【工具箱】-【网络对象】；选择新建【Web侦听器】

指定Web侦听器名称

选择【须要与客户端创建SSL安全链接】

选择侦听网络为【外部】，IP地址选择【222.16.2.2】

绑定证书【222.16.2.2】

选择【没有身份验证】

5.启用SSTP协议的×××

打开×××客户端属性，切换至【协议】选项卡，勾选【启用SSTP】

选择名称为【SSTP】的Web侦听器

6.客户端配置

打开×××拨链接的属性，切换到【安全】选项卡，将×××类型修改成【安全套接字隧道协议(SSTP)】

肯定后链接，确弹出了错误提示，没法访问CRL，这是因为没有在TMG上发布吊销服务器

7.发布证书吊销列表(CRL)

发布前还得建立一个不须要SSL的Web侦听器

选择【不须要与客户端创建SSL安全链接】

一样是选择侦听【外部】，侦听IP地址为【222.16.2.2】

选择【没有身份验证】

新建网站发布规则，指定规则名称

这里选择【使用不安全的链接链接发布的Web服务器或服务器场】

输入CA服务器的FQDN【bjdc.zf.com】

客户端上的证书是经过http://bjdc.zf.com/CertEnroll/ZF-CA.crl这个URL地址访问到吊销列表

这里公用名称要填【bjdc.zf.com】，公网DNS也要有【bjdc.zf.com】的A纪录指向TMG服务器的外网IP222.16.2.2，以保证客户端能成功解析

选择Web侦听器【lis80】

选择【无委派，客户端没法直接进行身份验证】

CRL发布完成后，再次经过客户端拨入，拨入成功后能够经过×××服务器上的【路由和远程访问】查看×××的链接状态

这里能够看到×××类型是SSTP