L2TP站点到站点VPN连接中的证书的配置(上)

发表于:2007-06-23来源:作者:点击数: 标签:
基于PPTP的站点到站点VPN配置在How To:配置基于PPTP模式的站点到站点的VPN连接一文中已经说的很详细了,在此我们仅对基于L2TP的站点到站点VPN连接中的证书配置进行介绍。 在本次试验中,因为我的域内已经有一台CA 服务器 ,而且我的ISA服务器不在域内,并且

   
  基于PPTP的站点到站点VPN配置在How To:配置基于PPTP模式的站点到站点的VPN连接一文中已经说的很详细了,在此我们仅对基于L2TP的站点到站点VPN连接中的证书配置进行介绍。

  在本次试验中,因为我的域内已经有一台CA服务器,而且我的ISA服务器不在域内,并且想配置一台CA证书服务器颁发证书给VPN客户使用,所以在安装CA服务器时,没装成集成域的CA服务器而是装成独立的CA根服务器。
  
  域集成的CA服务器的证书申请跟独立CA服务器不一样的,如果你安装的是域集成的CA服务器,请看微软的帮助。
  
  下面是CA证书服务器建立、证书申请、安装的步骤:
  
  注意:
  
  看完文章后再进行操作,千万不要边看边做!
  
  服务器身份验证证书是装在被拨方,客户端身份验证证书是装在主拨方。
  
  1、建立IIS服务器要允许ASP;
  
  2、建立CA服务器;
  
  3、安装时CA类型选择时选择 独立根CA 如果想生成更强的证书可选择用自定义设置生成密钥对和CA证书
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图一)

  
 L2TP站点到站点VPN连接中的证书的配置(上)(图二)

  
 L2TP站点到站点VPN连接中的证书的配置(上)(图三)

  4、在CA识别信息中,测试时随便输入,呵呵
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图四)

  5、证书数据库设置 最好不要随便更改 因为要发布的和CRL下载
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图五)

  6、CA服务器安装完成 CA服务器的默认设置是证书申请必须手动颁发,要改为自动颁发的话在 CA服务器的策略模块里可更改(对于独立的CA服务器,最好不要自动颁发,否则有泄漏的危险)。在扩展中 修改用户可获取证书吊销列表的位置要改为http://这种方式(这样可以让在外部的证书用户获得证书吊销列表,否则你吊销的证书还继续有效)。
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图六)

  
 L2TP站点到站点VPN连接中的证书的配置(上)(图七)

  7:在ISA发布完CA服务器后还要在防火墙策略里打开允许CRL吊销列表的下载.
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图八)

  8、登陆 http://servername/certsrv申请证书,点击 申请一个证书
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图九)

  9、点击 高级证书申请
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图十)

  10、选择 创建并向此CA提交一个申请 (另外的一个选项是生成一个加密文件要手工到CA服务器上申请的,有泄漏密匙的危险);
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图十)

  11、在高级证书申请 输入你想输的信息 证书的类型选择 服务器身份验证证书(生成证书的密钥选项里可以选择证书生成的方式和强度 如果选择更强的密钥选项的话,在申请客户端身份验证证书时要选同样的密钥选项)将证书保存在本地计算机存储中要选上。
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图十二)

  
 L2TP站点到站点VPN连接中的证书的配置(上)(图十三)

  要同一台计算机的WEB浏览器打开,浏览器如有更新等变动将可能获取不到刚才申请的证书。
  
 L2TP站点到站点VPN连接中的证书的配置(上)(图十四)

  12、运行CA服务器到挂起的申请中选择申请的证书并颁发证书
  
L2TP站点到站点VPN连接中的证书的配置(上)(图十五)

原文转自:http://www.ltesting.net