在L2TP ×××中,×××服务器与×××客户端都需要用到证书,因此我们已经在DC上部署了企业根CA
1.创建证书模板
由于是企业根CA,在证书Web注册页面中,默认是不能申请到【服务器身份验证】证书,而【服务器身份验证】证书正好是×××服务器与×××客户端都要用到的证书,此时我们要自行来创建【服务器身份验证】证书模板,使用户都够在证书Web注册页面中申请到
在证书颁发机构中打开证书模板管理页
找到【计算机】证书模板,右键选择【复制模板】
选择【Windows Server 2003 Enterprise】
切换到【常规】选项卡,指定证书模板名称
切换到【请求处理】选项卡,勾选【允许导出私钥】
切换到【使用者名称】选项卡,选择【在请求中提供】,这代表此证书可以从Web注册页面中申请
切换到【安全】选项卡,賦予Administrator用户注册权限
将创建好的【服务器身份验证】证书模板添加到要颁发的证书模板中
选择【服务器身份验证】
2.为×××服务器申请证书
首先修改IE安全级别,如不修改,注册证书时会要求我们使用SSL
在到bjtmg上,打开IE浏览器中的Internet选项,切换到【安全】选项卡,选择【本地Intranet】,将安全级别降到最低,然后打开【站点】
打开【高级】选项,将CA服务器的域名添加至此
通过Administrator用户进入CA注册页面,点击【申请证书】
点击【高级证书申请】
点击【创建并向此CA提交一个申请】
这里比较关键,证书模板要选择【服务器身份验证】,
注意:在姓名处一定要设置为本机的计算机名,这里就是bjmg
勾选【标记密钥为可导出】
提交后点击【安装此证书】
3.将证书安装到【本地计算机】存储中
由于安装证书后,证书保存在用户存储中,要将证书连同私钥一起导出到本地计算机存储中,这样×××服务器才可以正常使用证书
选择导出用户存储中的证书bjtmg
选择导出私钥
设置密码
指定导出路径
从本地计算机存储中导入证书
选择刚刚导出的证书
输入密码
导入到【个人】存储
下载CA根证书,使×××服务器信认证书颁发机构
4.为×××客户端申请证书
步骤大致和服务器配置一样
(1)可以通过PPTP方式拨入,然后访问内部CA
(2)申请证书时注意姓名处设置为客户机的计算机名
(3)同样要将证书从【当前用户】存储中导出,并导入到【本地计算机】存储中
(4)下载并导入CA根证书
5.启用L2TP ×××
在TMG控制台打开【配置×××客户端访问】
切换到【协议】选项卡,勾选【启用L2TP/IPsec】
6.客户端配置
修改×××拨号连接属性,切换到【安全】选项卡,将×××类型修改为【使用IPsec的第2层隧道协议(L2TP/IPSec)】
拨入后,在×××服务器上打开【路由和远程访问】中可看到拨入成功,×××类型为L2TP