|
启用ISA Server 2004的VPN服务器(15) 在一个生产环境,不信任的客户将不能颁发计算机证书,只有作为域成员的已管理的计算机,可以安装计算机证书。域成员斗室已管理的客户因此在组织的管理控制之下。计算机证书是一种安全原则,并不是意味者可以让通过VPN链接的客户自由访问。
执行以下步骤请求和安装CA证书:
1. 和ISA Server 2004防火墙VPN服务器建立一个PPTP VN连接。
2. 打开Internet Explorer,在地址栏输入 http://10.0.0.2/certsrv 并回车。
3. 在Enter Network Password 对话框,在用户名和密码文本框中输入Administrator 和对应的密码,点击 OK。
4. 在Welcome 页点击 Request a Certificate 连接。
5. 在 Request a Certificate 页,点击advanced certificate request链接。
6. 在 Advanced Certificate Request 页,点击 Create and submit a request to this CA 链接。
7. 在 Advanced Certificate Request 页,在Certificate Template列表中选择 Administrator 证书,勾选 Store certificate in the local computer certificate store ,点击 Submit。
8. 在 Potential Scripting Violation 对话框中点击 Yes 。
9. 在 Certificate Issued 页,点击 Install this certificate 。
10. 在Potential Scripting Violation 页点击Yes 。
11. 在看完Certificate Installed页后,关闭浏览器。
12. 点击开始,点击运行 ,输入 mmc 然后回车。
13. 在 Console1 控制台,点击 File 菜单再点击 Add/Remove Snap-in 。
14. 在 Add/Remove Snap-in 对话框上点击 Add 。
15. 在Add Standalone Snap-in 对话框的 Available Standalone Snap-ins 列表中选择 Certificates ,点击 Add。
16. 在Certificates snap-in页选择 Computer account 选项。
17. 在Select Computer 页选择 Local computer 选项。
18. 在Add Standalone Snap-in 对话框中点击 Close 。
19. 在 Add/Remove Snap-in 对话框点击 OK 。
20. 在控制台的左边,展开 Certificates (Local Computer) 然后展开 Personal ,点击 \Personal\Certificates ,双击右边面板的 Administrator 证书。
21. 在 Certificate 对话框,点击 Certification Path 标签,在 Certification path 看见的证书层次的顶端是根CA证书。 点击列表顶端的 EXCHANGE2003BE 证书,点击View Certificate 按钮。
22. 在企业证书的 Certificate 对话框,点击 Details 标签,点击 Copy to File 按钮。
23. 在Welcome to the Certificate Export Wizard 页点击Next 。
24. 在 Export File Format 页,选择 Cyptographic Message Syntax Standard PKCS #7 Certificates (.P7B) 选项,点击 Next。
25. 在 File to Export 页,在文件名文本框中输入 c:\cacert ,点击 Next。
26. 在Completing the Certificate Export Wizard 页点击 Finish 。
27. 在Certificate Export Wizard 对话框中点击 OK 。
28. 在Certificate 对话框中点击 OK ,再次点击 Certificate 对话框的 OK 。
29. 在控制台的左面板,展开 Trusted Root Certification Authorities 并点击 Certificates ,右击 \Trusted Root Certification Authorities\Certificates ,指向 All Tasks 并点击 Import。
30. 在Welcome to the Certificate Import Wizard页点击 Next 。
31. 在 File to Import 页,使用 Browse 按钮找到刚才你存放在本地硬盘的的CA证书, 点击 Next。
32. 在 Certificate Store 页,接受默认选项,然后点击 Next。
33. 在Completing the Certificate Import Wizard 页点击 Finish 。
34. 在Certificate Import Wizard对话框上点击 OK ,它提示你导入成功了。
右击在系统托盘区的连接图标,然后点击断开。
测试L2TP/IPSec VPN连接
现在ISA Server 2004防火墙和VPN客户计算机都已经安装了证书,你可以测试从远程访问客户到防火墙建立一个安全连接。第一步是重启路由和远程访问服务以让它能使用新的证书。
执行以下步骤以重启路由和远程访问服务:
1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,展开服务器,点击 Monitoring 。
2. 在细节面板,点击 Services 标签,右击 Remote Access Service 然后点击 Stop。
| 
