|
启用ISA Server 2004的VPN服务器(14)
10. VPN客户端将和ISA Server 2004VPN服务器建立一个连接,在连接完成的对话框中点击OK,注意连接已经建立好了。
11. 双击在系统托盘区的连接图标,然后点击 Details 标签,你可以看见是使用的 MPPE 128 加密以保护数据的传输,还有VPN客户获取的IP地址。
12. 点击 Start 并且点击 Run ,在 Run 对话框,在Open 文本框中输入\\EXCHANGE2003BE ,然后点击 OK,将会显示出域控上的共享。注意现在我们可以使用一般的计算机名字(注:指Netbios名字,不是FQDN)来访问域控,因为ISA Server 2004防火墙VPN服务器给VPN客户端分配了一个WINS服务器地址。
13. 右击系统托盘区的连接图标,然后点击断开。
为ISA Server 2004防火墙和VPN客户颁发证书
你可以使用L2TP/IPSec协议来为你的VPN连接改进安全级别。IPSec加密协议在Microsoft Point to Point Encryption (MPPE)上为加密PPTP连接提供了一些安全优点。当ISA Server 2004防火墙VPN服务器使用预定义的密钥来支持IPSec加密是不安全的,在可能的情况下应该避免,安全的IPSec通信是为VPN服务器和VPN客户机使用计算机证书。
第一步先为ISA Server 2004防火墙VPN服务器发行一个计算机证书,在ISA Server 2004防火墙上执行以下步骤以从内部网络的企业CA上请求一个证书。
1. 打开 Internet EXPlorer,在地址栏输入 http://10.0.0.2/certsrv 并回车。
2. 在 Enter Network PassWord<, , /, B ,> 对话框,在用户名和密码文本框中分别输入 Administrator 和密码,点击 OK。
3. 在Welcome页上点击 Request a Certificate 链接。
4. 在 Request a Certificate 页,点击 advanced certificate request 链接。
5. 在 Advanced Certificate Request 页,点击 Create and submit a request to this CA 链接;
6. 在 Advanced Certificate Request 页,从Certificate Template 列表中选择 Administrator 证书,勾选 Store certificate in the local computer certificate store ,点击 Submit。
7. 在Potential Scripting Violation 对话框中点击 Yes 。
8. 在 Certificate Issued 页,点击 Install this certificate 链接。
9. 在Potential Scripting Violation 页中点击 Yes 。
10. 看完Certificate Installed 页后,关闭浏览器。
11. 点击 Start 然后点击 Run ,输入 mmc ,然后回车。
12. 在 Console1 控制台中,点击 File 菜单再点击 Add/Remove Snap-in 。
13. 在 添加/删除管理单元 对话框上点击 Add 。
14. 在Add Standalone Snap-in 对话框的Available Standalone Snap-ins 列表中选择 Certificates ,点击 ADD。
15. 在Certificates snap-in页选择 Computer account 选项。
16. 在Select Computer页选择 Local computer 。
17. 在 Add Standalone Snap-in 点击 Close。
18. 在添加/删除管理单元对话框上点击 OK。
19. 在控制台的左面板,展开 Certificates (Local Computer) 再展开 Personal ,点击 \Personal\Certificates ,双击右面板的 Administrator 证书。
20. 在Certificate 对话框,点击 Certification Path 标签,在 Certification path 看见的证书层次的顶端是根CA证书。点击列表顶部的 EXCHANGE2003BE ,点击 View Certificate 按钮。
21. 在 Certificate 对话框,点击 Details 标签,点击 Copy to File 按钮。
22. 在Welcome to the Certificate Export Wizard 页上点击 Next 。
23. 在 Export File Format 页,选择Cyptographic Message Syntax Standard PKCS #7 Certificates (.P7B) 选项,然后点击 Next。
24. 在 File to Export 页,在文件名文本框输入 c:\cacert ,点击 Next。
25. 在Completing the Certificate Export Wizard 页点击 Finish。
26. 在Certificate Export Wizard 对话框点击OK。
27. 在Certificate 对话框上点击 OK ,再次点击 OK 。
28. 在控制台的左面板,展开 Trusted Root Certification Authorities ,然后点击 Certificates ,右击 \Trusted Root Certification Authorities\Certificates ,指向 All Tasks 然后点击 Import。
29. 在Welcome to the Certificate Import Wizard 页,点击 Next。
30. 在 File to Import 页,使用 Browse 按钮找到你刚才存放在本地硬盘的CA证书,然后点击 Next。
31. 在 Certificate Store 页,接受默认的设置,然后点击Next。
32. 在Completing the Certificate Import Wizard 页点击 Finish。
33. 在Certificate Import Wizard对话框上点击 OK ,它提示你导入成功了。
注意你不需要手动复制企业CA证书到ISA Server 2004防火墙的Trusted Root Certification Authorities 证书存储区,因为CA证书会自动安装在域成员上。如果防火墙不是域的成员,你需要手动存放CA证书到 Trusted Root Certification Authorities 证书存储区。
下一步是为VPN客户计算机发行一个计算机证书。在此例中,VPN客户计算机不是域的成员,你需要使用企业CA的web注册站点请求一个计算机证书并且手动存放企业CA证书到客户端的Trusted Root Certification Authorities 证书存储区,完成这一任务的最简单方法是让VPN客户机从PPTP链路上请求证书。
· 注意:
| 
