配置VPN服务器中的L2TP/IPSEC：ISA2006系列之二十一

核心提示： 如下图所示，输入证书申请的参数，配置VPN服务器中的L2TP/IPSEC：ISA2006系列之二十一(4)，由于此CA类型是独立根，因此需要输入的参数和企业根有所不同，虽然用户使用起来感觉差别不大，其实安全性方面还是改进了许多，证书姓名中我们输入了VPN服务器的域名 Beijing.contos

如下图所示，输入证书申请的参数，由于此CA类型是独立根，因此需要输入的参数和企业根有所不同。证书姓名中我们输入了VPN服务器的域名 Beijing.contoso.com，我们选择的证书类型是“服务器身份验证证书”，然后选择将证书保存在本地计算机存储中，其他参数随便输入即可。

提交申请后，证书服务器颁发了证书，如下图所示，我们选择“安装此证书”即可完成证书申请工作。注意，独立根CA默认是需要管理员审核才能进行证书核发，我们修改了独立根CA的策略模块，让CA服务器可以自动发放证书。

VPN服务器申请完服务器证书后，接下来我们在Istanbul上申请客户端证书，首先让Istanbul用PPTP协议拨入VPN服务器，然后就可以访问内网的CA服务器了，如下图所示，在Istanbul的浏览器中输入http://10.1.1.5/certsrv，选择“申请一个证书”。

选择提交一个“高级证书申请”。

选择“创建并向此CA提交一个申请”，通过表单提交证书申请。

如下图所示，我们选择申请的证书类型是“客户端身份验证证书”，姓名是“Istanbul”，将证书保存在计算机存储中。

提交申请后，CA自动颁发证书，如下图所示，我们在Istanbul上安装了颁发的证书。至此，我们在VPN的服务器端和客户端都完成了证书申请，接下来我们分别取消VPN服务器端和客户端的预共享密钥设置，重新在Istanbul上用L2TP连接VPN服务器，看是否能够使用证书进行计算机身份验证。

如下图所示，VPN拨入成功，这次就不是利用预共享密钥而是利用证书验证了，虽然用户使用起来感觉差别不大，其实安全性方面还是改进了许多。

本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处http://yuelei.blog.51cto.com/202879/92089