SSTP服务器同样需要申请服务器身份验证证书,并且事先要在证书中扩展出证书吊销列表(CRL),这是由于SSTP×××客户端在拨入前需要访问CA服务器上的证书吊销列表(CRL),下载证书吊销列表(CRL)采用http协议方式,CA服务器通常处于企业内部,这时还需要通过TMG进行发布
1.将CRL信息扩展至证书中
打开CA证书颁机构属性
切换到【扩展】卡片,从下拉框中选择【CRL分发点】,按图勾选相关选项,将CRL地址扩展至证书中
再次从下拉框中选择【颁发机构信息访问】,按图勾选相关选项
在【吊销的证书】上选择【发布】
选择【新的CRL】
最后确认窗口中3个http地址存在
2.为×××服务器申请证书
证书申请方法基本同L2PT ×××时一样,可参考第二章,这里就说说关键步骤
在高级证书申请页面,模板要选择【服务器身份验证】
【姓名】就相当于证书的公用名,这里一定要和客户端拨入时用的地址保持一致,比如客户端拨入时用的地址是222.16.2.2,那么证书上的公用名也一定是222.16.2.2
3.将证书安装到本地计算机存储
同样可参考第二章
安装证书后证书是存储在【当前用户】存储中,先将它导出,注意要导出私钥
指定导出路径
在【本地计算机】存储中导入
指定导入路径
这里可以看到已经导入到【本地计算机】存储中的证书
4.新建Web侦听器
SSTP ×××服务器需要用到带证书的Web侦听器
打开TMG控制台,选择右侧【工具箱】-【网络对象】;选择新建【Web侦听器】
指定Web侦听器名称
选择【需要与客户端建立SSL安全连接】
选择侦听网络为【外部】,IP地址选择【222.16.2.2】
绑定证书【222.16.2.2】
选择【没有身份验证】
5.启用SSTP协议的×××
打开×××客户端属性,切换至【协议】选项卡,勾选【启用SSTP】
选择名称为【SSTP】的Web侦听器
6.客户端配置
打开×××拨连接的属性,切换到【安全】选项卡,将×××类型修改为【安全套接字隧道协议(SSTP)】
确定后连接,确弹出了错误提示,无法访问CRL,这是由于没有在TMG上发布吊销服务器
7.发布证书吊销列表(CRL)
发布前还得创建一个不需要SSL的Web侦听器
选择【不需要与客户端建立SSL安全连接】
同样是选择侦听【外部】,侦听IP地址为【222.16.2.2】
选择【没有身份验证】
新建网站发布规则,指定规则名称
这里选择【使用不安全的连接连接发布的Web服务器或服务器场】
输入CA服务器的FQDN【bjdc.zf.com】
客户端上的证书是通过http://bjdc.zf.com/CertEnroll/ZF-CA.crl这个URL地址访问到吊销列表
这里公用名称要填【bjdc.zf.com】,公网DNS也要有【bjdc.zf.com】的A纪录指向TMG服务器的外网IP222.16.2.2,以保证客户端能成功解析
选择Web侦听器【lis80】
选择【无委派,客户端无法直接进行身份验证】
CRL发布完成后,再次通过客户端拨入,拨入成功后可以通过×××服务器上的【路由和远程访问】查看×××的连接状态
这里可以看到×××类型是SSTP