ISA Server中基于L2TP实现远程拨入VPN
2010-09-30 12:19:41 来源:WEB开发网L2TP/IPSEC是采用的IPSEC加密方法,它比PPTP的MPPE加密更安全。ISA SERVER的L2TP/IPSEC用来来验证用户身份的方法分为证书与预共享密钥两种,其中的预共享密钥安全性较差,因此建议只有在测试的环境中才使用。我们将分两个主题来讨论:
使用IPSEC证书来建立L2TP/IPSEC 的VPN
使用“预共享密钥”来建立 L2TP/IPSEC VPN
首先来看使用IPSEC证书来建立 L2TP/IPSEC VPN
VPN 服务器与VPN客户端都需要申请证书,双方之间才可以建立安全的。L2TP/IPSEC VPN。我们将利用网页浏览器来向CA(也就是咱们前面的DC)申请证书。
所以我们的步骤是这样的:
VPN服务器向CA申请证书与信任CA
VPN客户端向CA申请证书与信任CA
测试L2TP/IPSEC连接
VPN服务器向CA申请证书与信任CA
IE: HTTP://10.1.1.2/CERTSRV
申请一个证书------------高级证书申请----------创建并向此CA提交一个申请.
如果CA是域则是左边的显示 如果CA是工作组则是右边的显示
在右图中,由于此CA类型是独立根,因此需要输入的参数和企业根有所不同。证书姓名中我们输入了VPN服务器的域名 florence.itat.com,我们选择的证书类型是“服务器身份验证证书”,然后选择将证书保存在本地计算机存储中,其他参数随便输入即可。
由于此ISA SERVER已经加入到了域中,所以默认就信任CA了.所以不需要再执行信任CA操作了.可以通过 IE—证书----受信任的证书颁发机构查看
如果此ISA SERVER不是域中的机器,则需要再另行执行信任操作.大致方法如下:
下载一个CA证书链---保存成一个文件.记住路径
开始---运行---MMC
VPN客户端向CA申请证与信任CA
前提是已经在前面的章节中替VPN客户端建立VPN连接.请执行以下步骤:
1. 先连接上VPN 可以先利用PPTP VPN的方式连上VPN服务器或是发布内网的WEB站点,也可!
2. IE浏览器中: http://10.1.1.2/certsrv 来向CA申请证书与执行信任CA的任务.
以上与上述ISA SERVER的操作相同,特略.!
注意事项:因为此计算机是独立计算机,所以一定要执行信任CA的步骤
如果是工作组则如下图所示:
测试L2TP/IPSEC连接:
VPN客户端与VPN服务器都有了证书后,以我们的测试环境来说VPN客户端就可以跟VPN服务器建立L2TP/IPSEC VPN了.(但实际环境中要先连接到因特网.)
请先中断已经连接的PPTP VPN连接,然后修改VPN客户端的VPN连接设置,修改的方法
注意:要与ISA SERVER服务器端的协议要一致!
此时就可以和VPN服务器建立起连接了. OK后,注意查看连接属性---
到此实验成功!
如有不详之外,请留言讨论!
本文出自 “杜飞” 博客,请务必保留此出处http://dufei.blog.51cto.com/382644/113582
更多精彩
赞助商链接