在这部分中,将进行如下操作: 

六、在DC上配置拨入连接账号。 
七、在AD CA服务器上配置IIS,以使能通过HTTP连接至CRL目录。 
八、在SSTP ***客户端设置HOSTS文件。 
九、在SSTP ***客户端使用PPTP协议连接SSTP ***服务器。 
       在SSTP ***客户端从企业CA下载CA证书,并在客户端机器上安装。 
       配置SSTP ***客户端使用SSTP技术连接SSTP ***服务器。 
在前面两篇博文中,介绍了如何设置WINDOWS SERVER 2008 R2作为***、NAT服务器角色,以及如何设置DC成为AD CA服务器。接下来,将重点放在SSTP ***客户端,通过配置来实现SSTP技术的应用。 
同时,强烈建议对企业根CA不了解的朋友,在网络上找相关资料加深了解。学会使用GOOGLE是一个不错的建议。 

、在DC上配置拨入连接账号 
无论WINDOWS的任何版本,在使用***技术时,都应当在***服务器创建用户账户,并充许其拨入的权限。 
     WINDOWS SERVER 2008 R2有所不同的时,用户账号属性中“拨入”的“网络访问权限”增加了一项“通过NPS网络策略控制访问”。这是一个不错的主意:通过网络策略来充许达到策略要求的拨入账户访问或有限访问特殊的网络(如企业内部网络)。安全性上有很大的提升,管理上也更加方便。但NPS不是这次实验的主要目的,而且并没有安装此角色服务。 
在此场景中,用户账号拨入的网络权限仍与之前WINDOWS版本的做法相同:充许访问。 
1、在DC机器中,依次打开--开始—管理工具—Active Directory 用户和计算机。

clip_image002 
2、展开至“用户”节点,在右侧面板中选择administrator,右键属性,在拨入—网络访问权限---充许访问前面打上对勾。 
这里需要说明的是,由于是域环境,且SSTP ***服务器是域成员服务器,所以只需在DC上充许一个账户具有拨入访问权限便可。

clip_image004

clip_image006

六、在AD CA服务器上配置IIS,以使能通过HTTP连接至CRL目录 
基于一些原因,使用安装向导安装证书服务WEB站点时,会设置成需要SSL 连接至CRL目录。从安全角度来说,看起来是一个好主意,但问题是连接至证书在线注册申请站点的URL并不使用SSL。 
由此,在进行接下来的操作之前,先要确认CRL目录并不需要使用SSL 连接。 
1、在DC机器中,依次打开--开始—管理工具-Internet信息服务(IIS)管理器 
2、展开至“CertEnroll”节点,并选择中间控制面板下方的“内容视图”,这些就是CRL目录的内容了。

clip_image008

clip_image010

3、在同一窗口中,选择“功能视图”,并找到“SSL 设置”项,双击后可以看到“需求SSL”前面的按钮是灰色的。OK,这就说明不需要SSL连接。

clip_image012

clip_image014

 

七、在SSTP ***客户端设置HOSTS文件 
在生产环境中,这一步是可以省略的,只需要在域名ISP那注册相应域名便可以。但本场景为实验环境,最大的区别就是在于没有新建DNS来解析。 
      OK,在SSTP ***客户端,运行命令notepad c:\windows\system32\drivers\etc\hosts(注意,在保存之前应确保这个文件具有被修改的权限哟),然后输入: 
59.65.232.199  sstp.contoso.com 
59.65.232.199 win2k8dc.contoso.com(这个为域控的,可以省去)

clip_image016

 

八、在SSTP ***客户端使用PPTP协议连接SSTP ***服务器 
由于SSTP ***客户端不是域成员机器,故CA证书不会自动安装在“受信受的根证书颁发机构”中。 
那如何才能解决在客户端上安装CA证书的问题呢?呵呵,可以新建一个PPTP连接至SSTP ***服务器,然后呢,通过WEB的方式来下载一个CA证书。 
当然,也可以先下载后,直接传到这台机器上。 
在这个场景中,是以先建立PPTP连接来实现的。 
1、在SSTP ***客户端,打开“网络和共享中心”,在右侧的任务栏,选择“设置连接或网络”,在弹出的“选择一个连接选项”界面中,选择“连接到工作区”。并在接下来的“你想如何连接”中,选择“使用我的INTERNET连接至***”,并下一步,(如果出现,现在设置INTERNET连接,选择“稍后设置”,至于原因嘛,很明了哟,咱们现在不是实验环境)在“键入要连接的INTERNET地址”,输入图中所示内容:sstp.contoso.com,至于目标名称,随意填写。下一步:

clip_image018

2、在“键入您的用户名和密码”窗口,输入用户名:administrator及密码。(此时的用户名就是前面章节域管理员的名字,实际生产环境中请尽量不要用)

clip_image020

clip_image022

clip_image024

3、OK,进行到这一步,就可以进行拨号连接了,一切顺利。下图就是连接后的截图,请注意图中的标为绿色的部分:PPTP。

clip_image026

4、命令行下也可以看到分配的IP地址,以及可以和内部网络的DC通讯了。

clip_image027

5、打开IE浏览器,输入AD CA服务器的WEB注册网址:http://sstp.contoso/certsrv,并在弹出的用户认证界面输入用户名和密码。在出现的“欢迎使用”页,点“下载CA证书、证书链或CRL”。

clip_image029

clip_image031

6、此步,会出现图中所示的现象,当然是充许并运行了. 
clip_image033

  7、运行了“证书注册控制”后,就可以从“下载CA证书、证书链或CRL”页面,点“下载CA证书”了,保存CA证书至桌面上。并关掉IE浏览器。

clip_image035

8、证书下载后,接下来的工作是相当重要的,就是把下载的证书安装在“受信任的证书颁发机构”的证书存储中。 
9、在SSTP ***客户端机器上,运行“MMC”,并在UAC对话框,点“继续”按钮。 
10、在控制台界面,打开“文件”下接栏中的“添加或删除管理单元”。 
11、在“添加或删除管理单元”对话框中,下拉按钮至中间,找到“证书”,点右侧中间的“添加”。在弹出的对话框中,选择“计算机账号”。下一步:

clip_image037

12、在“选择计算机”对话框中,选择“本地计算机”,并点完成。

clip_image039

13、在“证书”控制台窗口中,移动鼠标至证书(本地计算机)--受信任的根证书颁发机构—证书—右健所有任务—导入。

clip_image041

14、在“要导入的文件”界面中,浏览至桌面之前保存的证书文件。下一步:

clip_image043

15、在“证书存储”中,选择“将所有的证书放入下列存储”,并确保证书存储下面的对话框为“受信任的根证书颁发机构”,下一步并完成操作:

clip_image045

16、完成以前操作后,可以在右侧看到相关详细信息。

clip_image047

17、接下来,就要进行***拨号连接设置了。断开之前的PPTP ***连接,并右键至属性,在弹出的“SSTP ***”属性对话框中,选定“网络”。并在“***类型”下拉框中选定“安全套接字隧道协议(SSTP)”。并确定。

clip_image049

  18、再次进行拨号连接,OK,下图展示的就是连接后的状态,看到了吧,SSTP已经被使用。

clip_image050clip_image052 
19、OK,基本上完成所有操作了,为了更进一步说明使用的是SSTP技术来进行的***连接,可以在SSTP ***服务器看到如下图示。足以说明啦。 
clip_image054

附录:错误总结:

1. 证书的CN名和传递的值不匹配

clip_image055

解决:将证书名称与拔号主机名称设置成统一。 
客户端未安装CA证书、或安装错误导致未信任结果: 
clip_image056