本文共 2960 字,大约阅读时间需要 9 分钟。
配置***使用SSTP协议,这样到内网的通信使用TCP的443端口。在绝大多数情况下防火墙是开放此端口的。
目标:
? 在RASServer上申请RAS证书
? 在RASServer上配置NAT端口映射允许Internet计算机能够访问企业CA检查证书吊销情况
? 在RemotePC上配置计算机信任企业证书颁发机构
? 在RemotePC上使用SSTP拨入内网
实验环境同上。
步骤:
1. 在RASServer上,点击“开始”à“运行”,输入mmc,点击“确定”,打开控制台。
2. 点击“文件”à“添加删除管理单元”。
3. 在出现的添加或删除管理单元对话框,点中“证书”,点击“添加”。
4. 在出现的证书管理单元对话框,选择“计算机帐户”,点击“下一步”。
5. 在出现的选择计算机对话框,选择“本地计算机”,点击“完成”。
6. 在添加删除管理单元对话框,点击“确定”。
7. 在控制台对话框,右击“个人”,点击“所有任务”à“申请证书”。
8. 在出现的在您开始之前对话框,点击“下一步”。
9. 在出现的申请证书对话框,选中“计算机”,点击“注册”。
10. 在证书安装结果对话框,点击“完成”。
11. 双击申请的证书,打开证书对话框,在详细信息标签下,可以看到证书吊销列表的URL=http://dcserver.ess.com/CertEnroll/ess-DCSERVER-CA.crl。这就意味着RASServer服务器向客户机出示证书时,客户机必须能够访问该URL检查证书是否被吊销。必须配置端口映射才能使Internet上的计算机能够访问内网的CA服务器。
12. 在命令提示符下,输入netstat –a,可以看到没有打开TCP的443端口,也就意味着,如果远程访问服务器没有服务器证书,***没有打开SSTP协议使用的443端口。
13. 右击RASServer,点击“所有任务”à“重新启动”。
14. 重启完路由和远程访问服务后,可以看到已经打开了TCP的443端口。
为了让Internet上的用户能够访问证书颁发机构检查证书吊销情况,需要使用端口映射发布证书颁发机构的Web站点。
步骤:
15. 在RASServer上,右击IPv4下的“常规”,点击“新增路由协议”。
16. 在出现的新增路由协议对话框,选中“NAT”,点击“确定”。
17. 右击“NAT”,点击“新增接口”。
18. 在出现的IPNAT的新接口对话框,选择“Internet”,点击“确定”。
19. 在出现的网络地址转换-Internet属性对话框,选择“公用接口链接到Internet”,选中“在此接口上启用NAT”,点击“确定”。
20. 右击“NAT”,点击“新增接口”。
21. 在出现的IPNAT的新接口对话框,选中“in”,点击“确定”。
22. 在出现的网络地址转换-in属性对话框,选择“专用接口链接到专用网络”,点击“确定”。
23. 右击NAT下的Internet接口,点击“属性”。
24. 在出现的Internet属性对话框,在服务和端口标签下,选中“Web服务器(HTTP)”,点击“编辑”。
25. 在出现的编辑服务对话框。输入专用地址172.16.0.100,点击“确定”。
26. 在Internet属性对话框,选中“Web服务器(HTTP)”,点击“确定”。
任务:
? 配置RemotePC的hosts文件,添加RASServer.ess.com和DCServer.ess.com域名到RASServer公网IP地址的对应。
? 下载证书颁发机构的数字证书,并添加到受信任的根证书颁发机构。
? 配置***客户端使用域名RASServer.ess.com拨入到内网。
? 配置***类型为SSTP。
? 查看SSTP ***建立的会话。
步骤:
27. 在RemotePC上,打开c:\Windows\System32\drivers\etc目录下,右击hosts文件,点击“打开”。
28. 在出现的打开方式对话框,选择“记事本”,点击“确定”。
29. 在打开的记事本中,添加23.23.2.2 dcserver.ess.com和23.23.2.2 RASServer.ess.com两条记录,保存并关闭记事本,
30. 在命令提示符下,ping dcserver.ess.com和ping rasserver.ess.com,均能解析到RASServer外网卡的IP地址。
31. 打开IE浏览器,访问http://dcserver.ess.com/certsrv,在出现的登录对话框,输入用户名和密码,点击“确定”。
32. 登录成功后,点击“下载CA证书、证书链或CRL”。
33. 在出现的信息栏对话框,点击“关闭”。
34. 点击“下载CA证书链”,在出现的文件下载对话框,点击“保存”。
35. 在出现的另存为对话框,注意保存类型和文件名,点击“保存”。
36. 下载完毕后点击“关闭”。
37. 点击“开始”à“运行”,输入MMC,点击“确定”,打开控制台。
38. 点击“文件”à“添加/删除管理单元”。
39. 在出现的添加或删除管理单元对话框,点中“证书”,点击“添加”。
40. 在出现的证书管理单元对话框,选择“计算机帐户”,点击“下一步”。
41. 在出现的选择计算机对话框,选择“本地计算机”,点击“完成”。
42. 在添加或删除管理单元对话框,点击“确定”。
43. 在受信任的根证书颁发机构下,右击“证书”,点击“所有任务”à“导入”。
44. 在出现的欢迎使用证书导入向导对话框,点击“下一步”。
45. 在出现的要导入的文件对话框,点击“浏览”,在出现的打开对话框,文件类型选择“所有文件”,选中下载证书颁发机构的证书,点击“打开”。
46. 在要导入的文件对话框,点击“下一步”。
47. 在正在完成证书导入向导对话框,点击“完成”。
48. 在出现的导入成功对话框,点击“确定”。
49. 打开网络连接,右击“公司网络”,点击“属性”,打开公司网络属性对话框,在常规标签下输入目标主机的域名RASServer.ess.com。在这里必须使用目标主机的域名而不是IP地址。因为服务器要出示给客户机数字证书,该数字证书包含服务器的名称RASServer.ess.com,这样有助于验证服务器身份。
50. 在网络标签下,选择***类型“安全套接字隧道协议(SSTP)”,点击“确定”。
51. 可以看到***连接已经更改为SSTP类型,右击“公司网络”,点击“连接”。
52. 在出现的连接公司网络对话框,点击“连接”。
53. 可以看到连接成功。
54. 在命令提示符下输入netstat –n,可以看到SSTP ***建立的会话。
微软最有价值专家(MVP)从业12年录制500小时16G企业培训视频 视频介绍网址
转载地址:http://tktna.baihongyu.com/