搜索
在上面的笔记里我们实现了”利用PPTP实现单点拨入VPN”在这里我们来实现(二)、利用L2TP/IPSec的证书来实现VPN的单点拨入(注:在PPTP的基础上来实现)注意:VPN服务器与VPN客户机都需要申请证书,双方才能建立安全的L2TP/IPSec连接环境:步骤一:在内网的一台计算机上安装CA登录内网的计算机→开始→设置→控制面板→添加或删除程序→添加/删除windows组件→证书服务步骤二:为ISA申请证书登录ISA→打开浏览器→浏览CA()→申请一个证书→高级证书申请→创建并向CA提交一个申请→填写相关信息→证书类型:服务器身份验证证书→选中”将证书保存在本地计算机存储中”(其他项为默认)0登录装有CA的内网计算机→打开证书颁发机构→打开挂起的申请→右击→所有任务→颁发再次在ISA上访问CA()→查看挂起的证书申请的状态→服务器身份验证证书→安装此证书步骤三:让ISA信任CA在ISA上访问CA()→下载一个CA证书,证书链或CRL→下载CA证书在ISA上运行MMC进入微软控制台→文件→添加/删除管理单元→添加→证书→添加→选择计算机账号→选择本地计算机返回控制台→证书→受信任的根证书颁发机构→证书→右击→所有任务→导入(把刚才下载的证书导入)步骤四:客户端申请证书(非域的环境去后缀)登录客户机→使用IE直接向内部CA申请证书(利用上篇笔记建立的VPN连接)(也可以把内部CA发布出来在用IE申请)→申请一个证书→高级证书申请→创建并向CA提交一个申请→填写相关信息(姓名为计算机名;查看命令:运行cmd→hostname)→证书类型:客户端身份验证证书→勾选”将证书保存在本地计算机存储中”(其他项为默认)操作CA将这个申请挂起步骤五:客户端信任CA在客户端使用IE查看CA()→查看挂起的证书申请的状态→客户端身份验证证书→安装→回到主页→下载一个CA证书,证书链或CRL→下载CA证书→保存→运行MMC→文件→添加/删除管理单元→添加→证书→计算机账号→本地计算机→回到MMC控制台→打开受信任的根证书颁发机构→证书→右击→所有任务→导入步骤六:更改协议,将PPTP改为L2TP登录ISA服务器→打开ISA服务器管理台→虚拟专用网络(VPN)→任务→配置VPN客户端访问→协议→选中L2TP/IPSec操作客户端→网上邻居→属性→虚拟专用网→属性→网络→VPN类型:L2TP/IPSec测试: