.png "Windows Server 2008")
.png "Poradnik krok po kroku: Instalowanie i konfiguracja SSTP, cz. II"){kind=icon}
Poradnik krok po kroku: Instalowanie i konfiguracja SSTP, cz. I .png "Udostępnij na: Facebook")
Opublikowano: 8 lipca 2008
Zawartość strony
.gif){kind=icon} |
Secure Socket Tunneling Protocol |
|
Konfigurowanie środowiska testowego połączeń VPN dostępu zdalnego SSTP |
|
Konfigurowanie komputera DC1 |
|
Konfigurowanie komputera VPN1 |
W niniejszym dokumencie przedstawione zostały szczegółowe informacje, w jaki sposób można użyć trzech komputerów do utworzenia środowiska testowego, w którym konfigurowany i testowany jest dostęp zdalny prywatnej sieci wirtualnej (VPN) w systemach Windows Server® 2008 i Windows Vista® z pakietem SP1 (Service Pack 1). Instrukcje te krok po kroku opisują proces konfiguracji wymaganej do utworzenia połączenia SSTP (Secure Socket Tunneling Protocol).
** Uwaga**
Przytoczone w poradniku instrukcje służą skonfigurowaniu środowiska testowego przy użyciu minimalnej liczby komputerów i wykonywanych operacji. W celu zminimalizowania czasu i złożoności instalacji – usługi zostały połączone na serwerach sieci, a nie na poszczególnych komputerach aby rozdzielenie usług było w bardziej bezpieczne. Celem zaprezentowania tej konfiguracji nie jest odzwierciedlenie zalecanych rozwiązań praktycznych, czy zalecanych ustawień dotyczących sieci produkcyjnych. Konfiguracja ta, wliczając w to adresy IP i wszystkie inne parametry, została zaprojektowana, by funkcjonowała w oddzielnej sieci testowej.
Analiza korzystania z oprogramowania Virtual PC lub Virtual Server
Programy Microsoft Virtual PC lub Virtual Server umożliwiają tworzenie komputerów testowych używanych w tym poradniku przy zastosowaniu jedynie jednego lub dwóch komputerów fizycznych. Po skonfigurowaniu wirtualnego laboratorium, za pomocą jednego kliknięcia przycisku można przełączać się pomiędzy trzema komputerami wirtualnymi potrzebnymi do przeprowadzenia ćwiczeń. Dodatkowe informacje znaleźć można w następujących dokumentach:
• Virtual PC 2007 Product Information (https://go.microsoft.com/fwlink/?LinkId=69217)
• Virtual Server Product Information (https://go.microsoft.com/fwlink/?LinkId=69220)
• Do More With Less: Exploring Virtual Server 2005 (https://go.microsoft.com/fwlink/?LinkId=69221)
• TechNet webcast: Virtual Server 2005 - Setting Up a Virtual Test and Development Environment—Level 200 (https://go.microsoft.com/fwlink/?LinkId=69222)
Secure Socket Tunneling Protocol
Protokół SSTP (Secure Socket Tunneling Protocol) jest nową postacią tunelu VPN, która umożliwia przekazywanie ruchu poprzez zapory blokujące ruch PPTP i L2TP/IPsec. Protokół SSTP udostępnia mechanizm enkapsulacji ruchu PPP w kanale SSL protokołu HTTPS. Użycie protokołu umożliwia obsługę metod silnego uwierzytelniania, takich jak EAP-TLS. Korzystanie z HTTPS oznacza, że ruch przekazywany jest przez port 443 protokołu TCP, czyli powszechnie używany port dostępu w sieci Web. Protokół SSL (Secure Sockets Layer) zapewnia bezpieczeństwo na poziomie transportu wraz z rozszerzonymi metodami negocjacji klucza, szyfrowania i sprawdzania integralności.
Proces połączenia VPN opartego na SSTP
Poniżej opisany został przepływ danych połączenia VPN opartego na protokole SSTP.
Jeśli użytkownik systemu Windows Server 2008 lub Windows Vista z pakietem SP1 inicjuje połączenie VPN oparte na SSTP, zachodzą następujące sytuacje:
1. Klient SSTP nawiązuje połączenie TCP z serwerem SSTP pomiędzy dynamicznie przydzielanym portem TCP w systemie klienta SSTP a portem 443 TCP serwera SSTP.
2. Klient SSTP wysyła wiadomość SSL Client-Hello informującą, że klient SSTP chce nawiązać sesję SSL z serwerem SSTP.
3. Serwer SSTP wysyła swój certyfikat komputera do klienta SSTP.
4. Klient SSTP sprawdza certyfikat komputera, określa metodę szyfrowania dla sesji SSL, generuje klucz sesji SSL i szyfruje go za pomocą klucza publicznego certyfikatu serwera SSTP, a następnie wysyła w zaszyfrowanej postaci klucz sesji SSL do serwera SSTP.
5. Serwer SSTP deszyfruje klucz sesji SSL za pomocą klucza prywatnego swojego certyfikatu komputera. Wszystkie kolejne komunikacje pomiędzy klientem SSTP a serwerem SSTP zostają zaszyfrowane przy użyciu wynegocjowanej metody szyfrowania i klucza sesji SSL.
6. Klient SSTP wysyła komunikat żądania HTTP poprzez SSL do serwera SSTP.
7. Klient SSTP negocjuje tunel SSTP z serwerem SSTP.
8. Klient SSTP negocjuje połączenie PPP z serwerem SSTP. Negocjacje te obejmują uwierzytelnienie poświadczeń użytkownika za pomocą metody uwierzytelniania PPP i skonfigurowanie ustawień dla ruchu protokołu Internet Protocol wersja 4 (IPv4) lub Internet Protocol wersja 6 (IPv6).
9. Klient SSTP rozpoczyna przesyłanie ruchu IPv4 lub IPv6 poprzez łącze PPP.
.gif)
Rysunek 1: Architektura systemu SSTP na poziomie protokołów.
.gif){kind=icon}
Do początku strony
Konfigurowanie środowiska testowego połączeń VPN dostępu zdalnego SSTP
Infrastruktura sieci testowej VPN obejmuje trzy komputery, które wykonują następujące usługi:
• Komputer systemu Windows Server 2008 nazwany DC1, który jest kontrolerem domeny, serwerem systemu DNS (Domain Name System) i serwerem plików w sieci prywatnej (intranet).
• Komputer systemu Windows Server 2008 nazwany VPN1, na którym działa usługa Routing and Remote Access i który działa jako serwer VPN. Ponadto na komputerze VPN1 działają usługi Active Directory Certificate Services i Internet Information Services (IIS), które umożliwiają rejestrowanie w sieci Web certyfikatu komputera wymaganego dla połączenia VPN bazującego na SSTP. W komputerze VPN1 są zainstalowane dwie karty sieciowe.
• Komputer kliencki systemu Windows Vista z pakietem SP1 nazwany CLIENT1, który działa jako klient VPN w sieci publicznej (Internet).
Poniżej przedstawiona została konfiguracja testowej sieci VPN.
.gif)
Rysunek 2: Konfiguracja testowego połączenia SSTP.
Do początku strony
Konfigurowanie komputera DC1
DC1 jest komputerem działającym pod kontrolą systemu Windows Server 2008, który udostępnia następujące usługi:
• Kontrolera domeny Contoso.com w domenie usługi Active Directory®.
• Serwera DNS domeny Contoso.com DNS.
• Serwera plików.
Konfiguracja komputera DC1 wiąże się z wykonaniem następujących operacji:
• Zainstalowanie systemu operacyjnego.
• Skonfigurowanie TCP/IP.
• Zainstalowanie usługi Active Directory i systemu DNS.
• Utworzenie konta użytkownika o uprawnieniach dostępu zdalnego.
• Utworzenie udostępnionego foldera i pliku.
W kolejnych podrozdziałach zamieszczone są szczegółowe wyjaśnienia dotyczące tych operacji.
Zainstalowanie systemu operacyjnego
Zainstalowanie systemu Windows Server 2008
1. Uruchom komputer DC1 przy użyciu dysku CD systemu Windows Server 2008.
2. Postępuj zgodnie z wyświetlanymi instrukcjami. W monicie dotyczącym hasła wpisz P@ssword.
Konfigurowanie TCP/IP
Należy skonfigurować właściwości protokołu TCP/IP tak, aby do komputera DC1 przypisany był statyczny adres IP 192.168.0.1 z maską podsieci 255.255.255.0 i bramą domyślną 192.168.0.2.
Skonfigurowanie właściwości TCP/IP
1. Na komputerze DC1, w oknie Initial Configuration Tasks, w ramce Provide Computer Information, kliknij odnośnik Configure networking.
** Uwaga**
Jeśli okno Initial Configuration Tasks nie jest otwarte, można je wywołać klikając menu Start, program Run, wpisując w polu tekstowym oobe, a następnie klikając przycisk OK.
.jpg)
Rysunek 3: Okno Initial Configuration Tasks.
2. W oknie Network Connectionskliknij prawym przyciskiem myszy ikonę Local Area Connection, a następnie kliknij polecenie Properties.
3. Na zakładce Networking kliknij pozycję Internet Protocol Version 4 (TCP/IPv4), a następnie kliknij przycisk Properties.
4. Kliknij opcję Use the following IP address. Wpisz 192.168.0.1 jako adres IP, wpisz 255.255.255.0 jako maskę podsieci, wpisz 192.168.0.2 jako adres bramy domyślnej i wpisz 192.168.0.1 jako adres preferowanego serwera DNS.
5. Kliknij przycisk OK, a następnie kliknij przycisk Close.
Instalowanie usługi Active Directory i systemu DNS
Należy skonfigurować komputer jako kontroler domeny Contoso.com. To będzie pierwszy i jedyny kontroler domeny w tej sieci.
Aby skonfigurować komputer DC1 jako kontroler domeny:
1. Na komputerze DC1, w oknie Initial Configuration Tasks , w ramce Provide Computer Information , kliknij odnośnik Provide computer name and domain .
** Uwaga**
Jeśli okno Initial Configuration Tasks nie jest otwarte, można je wywołać klikając menu Start, program Run, wpisując w polu tekstowym oobe, a następnie klikając przycisk OK.
2. W oknie dialogowym System Properties, na zakładce Computer Name kliknij przycisk Change.
3. Zmień nazwę komputera wpisując DC1, a następnie kliknij przycisk OK.
4. W oknie dialogowym Computer Name/Domain Changes kliknij przycisk OK.
5. Kliknij przycisk Close, a następnie kliknij przycisk Restart Now.
6. Po ponownym uruchomieniu serwera, w oknie Initial Configuration Tasks , w ramce Customize This Server kliknij odnośnik Add roles.
7. W oknie dialogowym Add Roles Wizard, w ramce Before You Begin kliknij przycisk Next.
8. Zaznacz pole wyboru Active Directory Domain Services, a następnie kliknij przycisk Next.
9. W oknie dialogowym Active Directory Domain Services kliknij przycisk Next.
10. W oknie dialogowym Confirm Installation Selections kliknij przycisk Install.
11. W oknie dialogowym Installation Results kliknij przycisk Close.
12. Kliknij menu Start, a następnie Run. W polu Openwpiszdcpromo, a następnie kliknij przycisk OK.
13. Na stronie Welcome programu Active Directory Domain Services Installation Wizard, kliknij przycisk Next.
14. Kliknij opcję Create a new domain in a new forest , a następnie kliknij przycisk Next.
15. W polu FQDN of the forest root domain wpisz contoso.com, a następnie kliknij przycisk Next.
16. Na liście Forest functional level wybierz opcję Windows Server 2003, a następnie kliknij przycisk Next.
17. Kliknij przycisk Next, aby zaakceptować dla domeny poziom funkcjonalności systemu Windows Server 2003 .
18. Kliknij przycisk Next, aby zaakceptować opcję DNS server dla dodatkowych usług kontrolera domeny.
19. Kliknij opcję Yes, the computer will use a dynamically assigned IP address (not recommended) .
20. Kliknij przycisk Yes w oknie dialogowym potwierdzenia operacji.
21. Kliknij przycisk Next, aby zaakceptować domyślne lokalizacje folderów.
22. W polu Directory Services Restore Mode Administrator Password wpisz hasło, a następnie kliknij przycisk Next.
23. Kliknij przycisk Next.
24. Program Active Directory Domain Services Installation Wizard rozpocznie konfigurowanie usługi Active Directory. Po zakończeniu konfiguracji, kliknij przycisk Finish, a następnie kliknij przycisk Restart Now.
Tworzenie konta użytkownika o uprawnieniach dostępu zdalnego
Należy utworzyć konto użytkownika i skonfigurować dla niego uprawnienia dostępu zdalnego.
Utworzenie konta i przydzielenie uprawnień do konta użytkownika w usłudze Active Directory
1. Na komputerze DC1, kliknij kolejno menu Start, Administrative Tools, a następnie kliknij konsolę Active Directory Users and Computers .
2. W drzewie konsoli z lewej strony rozwiń węzeł domeny contoso.com, kliknij prawym przyciskiem myszy węzeł Users, wskaż menu New, a następnie kliknij opcję User.
3. W polu Full name wpisz user1, a w polu User logon name wpisz user1.
4. Kliknij przycisk Next.
5. W polach PasswordiConfirm password wpisz P@ssword.
6. Usuń zaznaczenie pola wyboru User must change password at next logon , a następnie zaznacz pola wyboru User cannot change password i Password never expires.
7. Kliknij przycisk Next, a następnie kliknij Finish.
W celu przydzielenia uprawnień dostępu zdalnego dla konta user1:
1. W drzewie z lewej strony kliknij węzeł Users. W oknie informacji szczegółowych kliknij prawym przyciskiem myszy konto user1, a następnie kliknij polecenie Properties.
2. Na zakładce Dial-in, w ramce Network Access Permission kliknij opcję Allow access, a następnie kliknij przycisk OK.
** Uwaga**
W rzeczywistych konfiguracjach, do skonfigurowania i włączenia zasad dostępu zdalnego używany może być serwer NPS (Network Policy Server).
3. Zamknij konsolę Active Directory Users and Computers .
Tworzenie udostępnionego folderu i pliku
Komputer DC1 jest serwerem plików, do którego dostęp powinni uzyskiwać użytkownicy zdalni po skonfigurowaniu metod dostępu i uwierzytelniania.
Utworzenie udostępnionego folderu i pliku
1. Na komputerze DC1 kliknij menu Start, a następnie Computer.
2. Dwukrotnie kliknij pozycję Local Disk (C:).
3. Kliknij prawym przyciskiem myszy w pustym miejscu okna programu Windows Explorer, wskaż polecenie New, a następnie kliknij opcję Folder.
4. Nazwij folder CorpData.
5. Kliknij prawym przyciskiem myszy folder CorpData, a następnie kliknij polecenie Share.
6. Wpisz domain users, a następnie kliknij przycisk Add.
7. Kliknij Domain Users, a następnie wybierz poziom uprawnień Contributor.
8. Kliknij przycisk Share, a następnie kliknij przycisk Done.
9. Dwukrotnie kliknij folder CorpData, prawym przyciskiem myszy kliknij puste miejsce w folderze, wskaż polecenie New, a następnie wybierz opcję Text Document.
10. Nazwij dokument VPNTest.
11. Otwórz dokument VPNTest i dodaj dowolny tekst.
12. Zapisz i zamknij dokument VPNTest.
Do początku strony
Konfigurowanie komputera VPN1
VPN1 jest komputerem działającym pod kontrolą systemu Windows Server 2008, który pełni następujące funkcje:
• Active Directory Certificate Services – usługi urzędu certyfikacji (CA), który wydaje certyfikat komputera wymagany dla połączeń VPN opartych na SSTP.
• Certification Authority Web Enrollment – usługa umożliwiająca wydawanie certyfikatów poprzez przeglądarkę sieci Web.
• Web Server (IIS) – usługi, które są instalowane jako usługa roli wymagana dla roli Certification Authority Web Enrollment.
** Uwaga**
Usługa Routing and Remote Access nie wymaga usług IIS, ponieważ nasłuch połączeń HTTPS przeprowadzany jest bezpośrednio przez sterownik HTTP.SYS. W tej konfiguracji usługi IIS są używane po to, aby komputer CLIENT1 mógł uzyskać certyfikat z komputera VPN1 poprzez Internet.
• Network Policy and Access Services – usługi, które umożliwiają obsługę połączeń VPN poprzez usługę RAS (Remote Access Service).
Konfigurowanie komputera VPN1 wiąże się z wykonaniem następujących operacji:
• Zainstalowanie systemu operacyjnego.
• Skonfigurowanie protokołu TCP/IP dla Internetu i intranetu.
• Dołączenie komputera do domeny Contoso.com.
• Zainstalowanie ról serwera Active Directory Certificate Services i Web Server (IIS).
• Utworzenie i zainstalowanie certyfikatu Server Authentication.
• Zainstalowanie roli serwera Network Policy and Access Services (Routing and Remote Access).
• Skonfigurowanie komputera VPN1, by pełnił rolę serwera VPN.
Wymienione operacje zostały szczegółowo wyjaśnione w kolejnych podrozdziałach.
Zainstalowanie systemu operacyjnego
W celu zainstalowania systemu Windows Server 2008 na komputerze VPN1:
Instalowanie systemu Windows Server 2008
1. Uruchom komputer VPN1 przy użyciu dysku CD systemu Windows Server 2008.
2. Postępuj zgodnie z wyświetlanymi instrukcjami. W monicie dotyczącym hasła wpisz P@ssword.
Konfigurowanie TCP/IP
Należy skonfigurować właściwości protokołu TCP/IP tak, aby do komputera VPN1 przypisany został statyczny adres IP 131.107.0.2 dla połączenia publicznego (Internet) i adres 192.168.0.2 dla połączenia prywatnego (intranet).
Konfigurowanie właściwości TCP/IP
1. Na komputerze VPN1, w oknie Initial Configuration Tasks , w ramce Provide Computer Information kliknij odnośnik Configure networking .
** Uwaga**
Jeśli okno Initial Configuration Tasks nie jest otwarte, można je wywołać klikając menu Start, program Run, wpisując w polu tekstowym oobe, a następnie klikając przycisk OK.
2. W oknie Network Connections kliknij prawym przyciskiem myszy połączenie sieci, następnie kliknij polecenie Properties.
3. Na zakładce Networking kliknij pozycję Internet Protocol Version 4 (TCP/IPv4), a następnie kliknij przycisk Properties.
4. Kliknij opcję Use the following IP address.
5. Skonfiguruj adres IP i maskę podsieci za pomocą następujących wartości:
a. Dla interfejsu podłączonego do sieci publicznej (Internet) wpisz 131.107.0.2 jako adres IP i 255.255.0.0 jako maskę podsieci.
b. Dla interfejsu podłączonego do sieci prywatnej (intranet) wpisz 192.168.0.2 jako adres IP, 255.255.255.0 jako maskę podsieci i 192.168.0.1 jako adres preferowanego serwera DNS.
6. Kliknij przycisk OK, a następnie kliknij przycisk Close.
7. W celu zmiany nazwy połączeń sieci, kliknij prawym przyciskiem myszy połączenie sieci, a następnie kliknij przycisk Rename.
8. Skonfiguruj połączenia sieci za pomocą następujących nazw:
a. Dla interfejsu podłączonego do sieci publicznej (Internet) wpisz Public.
b. Dla interfejsu podłączonego do sieci prywatnej (intranet) wpisz Private.
9. Zamknij okno Network Connections.
W celu potwierdzenia funkcjonowania komunikacji pomiędzy komputerami VPN1 i DC1 należy uruchomić polecenie ping z komputera VPN1.
Użycie polecenia ping do sprawdzenia połączeń sieci
1. Na komputerze VPN1, kliknij menu Start, kliknij program Run, w polu Open wpisz cmd, a następnie kliknij przycisk OK. W wierszu poleceń wpisz ping192.168.0.1.
2. Sprawdź, czy działa komunikacja do komputera DC1.
3. Zamknij okno wiersza poleceń.
Dołączenie do domeny Contoso
Należy skonfigurować komputer VPN1 tak, aby był serwerem członkowskim domeny Contoso.com.
Dołączenie komputera VPN1 do domeny Contoso.com
1. Na komputerze VPN1, w oknie Initial Configuration Tasks , w ramce Provide Computer Information , kliknij odnośnik Provide computer name and domain .
** Uwaga**
Jeśli okno Initial Configuration Tasks nie jest otwarte, można je wywołać klikając menu Start, program Run, wpisując w polu tekstowym oobe, a następnie klikając przycisk OK.
2. W oknie dialogowym System Properties, na zakładce Computer Name kliknij przycisk Change.
3. W polu Computer name usuń tekst i wpisz VPN1.
4. W ramce Member of kliknij opcję Domain, wpisz contoso, a następnie kliknij przycisk OK.
5. Jako nazwę użytkownika wpisz administrator, a jako hasło wpisz P@ssword.
6. Po wyświetleniu okna dialogowego powitania w domenie contoso.com kliknij przycisk OK.
7. Po wyświetleniu okna dialogowego informującego o konieczności ponownego uruchomienia komputera, kliknij przycisk OK. Kliknij przycisk Close, a następnie kliknij przycisk Restart Now.
Zainstalowanie usług Active Directory Certificate Services i Web Server
W celu obsługi połączeń VPN opartych na SSTP najpierw należy zainstalować usługi Active Directory Certificate Services i Web Server (IIS), by włączyć rejestrowanie w sieci certyfikatu komputera.
Zainstalowanie ról VPN i usług certyfikatu
1. Na komputerze VPN1 zaloguj się jako administrator@contoso.com za pomocą hasła P@ssword.
2. W oknie Initial Configuration Tasks, w ramce Customize This Server kliknij odnośnik Add roles.
** Uwaga**
Jeśli okno Initial Configuration Tasks nie jest otwarte, można je wywołać klikając menu Start, program Run, wpisując w polu tekstowym oobe, a następnie klikając przycisk OK.
3. W oknie dialogowym Add Roles Wizard, w obszarze Before You Begin kliknij przycisk Next.
4. Zaznacz pole wyboru Active Directory Certificate Services .
.jpg)
Rysunek 4: Okno wybierania ról serwera.
5. Kliknij dwa razy przycisk Next.
6. W oknie dialogowym Select Role Services, w węźle Role services, zaznacz pole wyboru Certification Authority Web Enrollment .
7. W oknie dialogowym Add Roles Wizard kliknij przycisk Add Required Role Services.
.jpg)
Rysunek 5: Okno dialogowe Add Roles Wizard.
8. Kliknij przycisk Next.
9. Kliknij opcję Standalone, a następnie kliknij przycisk Next.
10. Kliknij opcję Root CA (recommended), a następnie kliknij przycisk Next.
11. Kliknij opcję Create a new private key, a następnie kliknij przycisk Next.
12. Kliknij przycisk Next, aby zaakceptować domyślne ustawienia szyfrowania.
13. W oknie dialogowym Configure CA Name kliknij przycisk Next, aby zaakceptować domyślną nazwę CA.
.jpg)
Rysunek 6: Okno dialogowe Configure CA Name.
14. Kliknij przycisk Next, aby zaakceptować ustawienia domyślne.
15. W oknie dialogowym Confirm Installation Selections kliknij przycisk Install. Instalacja może trwać kilka minut.
16. W oknie dialogowym Installation Results kliknij przycisk Close.
Utworzenie i zainstalowanie certyfikatu Server Authentication
Certyfikat Server Authentication jest używany przez komputer CLIENT1 do uwierzytelnienia komputera VPN1. Zanim certyfikat zostanie zainstalowany, należy skonfigurować przeglądarkę Internet Explorer tak, by umożliwiała publikowanie certyfikatu.
Konfigurowanie programu Internet Explorer
1. Na komputerze VPN1, kliknij menu Start, prawym przyciskiem myszy kliknij program Internet Explorer, a następnie kliknij polecenie Run as administrator.
2. Jeśli wyświetlone zostanie ostrzeżenie filtra witryn wyłudzających informacje, kliknij opcję Turn off automatic Phishing Filter, a następnie kliknij przycisk OK.
3. Kliknij menu Tools, a następnie kliknij polecenie Internet Options.
4. W oknie dialogowym Internet Options kliknij zakładkę Security.
5. W obszarze Select a zone to view or change security settings kliknij ikonę Local intranet.
6. Zmień poziom zabezpieczeń dla strefy lokalnego intranetu z Medium-low na Low, a następnie kliknij przycisk OK.
** Uwaga**
W konfiguracjach rzeczywistych należy konfigurować poszczególne ustawienia kontrolek ActiveX® przy użyciu poziomu Custom, a nie obniżać poziom zabezpieczeń.
.gif)
Rysunek 7: Okno dialogowe Internet Options.
Użycie programu Internet Explorer do żądania certyfikatu Server Authentication.
Żądanie certyfikatu Server Authentication
1. Na komputerze VPN1, w pasku adresu przeglądarki Internet Explorer wpisz https://localhost/certsrv, a następnie naciśnij ENTER.
2. W ramce Select a task kliknij odnośnik Request a certificate.
3. W ramce Request a Certificate kliknij odnośnik advanced certificate request.
4. W ramce Advanced Certificate Request kliknij odnośnik Create and submit a request to this CA .
5. Kliknij przycisk Yes, aby dopuścić kontrolę ActiveX.
.jpg)
Rysunek 8: Strona Advanced Certificate Request.
6. W ramce Identifying Information, w polu Name wpisz vpn1.contoso.com, a w polu Country/Region wpisz US.
** Uwaga**
Nazwa jest nazwą podmiotu certyfikatu i musi być taka sama, jak adres internetowy używany w ustawieniach połączenia SSTP konfigurowanych w dalszej części dokumentu.
7. W ramce Type of Certificate Needed zaznacz opcję Server Authentication Certificate.
8. W ramce Key Options zaznacz pole wyboru Mark keys as exportable, a następnie kliknij przycisk Submit.
9. Kliknij przycisk Yes w oknie dialogowym potwierdzenia.
W tym momencie certyfikat Server Authentication jest w stanie oczekiwania. Certyfikat musi być wcześniej wydany, żeby mógł być zainstalowany.
Wydanie i instalowanie certyfikatu Server Authentication
1. Na komputerze VPN1 kliknij menu Start, a następnie kliknij polecenie Run.
2. W polu Open wpisz mmc, a następnie kliknij przycisk OK.
3. W przystawce Console1 kliknij menu File, a następnie kliknij polecenie Add/Remove Snap-in.
4. W ramce Available snap-ins kliknij pozycję Certification Authority, a następnie kliknij przycisk Add.
5. Kliknij przycisk Finish, aby zaakceptować domyślne ustawienie Local computer.
6. Kliknij przycisk OK, aby zamknąć okno dialogowe Add or Remove Snap-ins.
7. W nowo utworzonej konsoli MMC, w oknie z lewej strony dwukrotnie kliknij węzeł Certification Authority (Local).
8. Dwukrotnie kliknij pozycję contoso-VPN1-CA, a następnie kliknij menu Pending Requests.
.jpg)
Rysunek 9: Konsola Certification Authority.
9. W środkowym oknie kliknij prawym przyciskiem myszy oczekujące żądanie, wskaż menu All Tasks, a następnie kliknij opcję Issue.
10. W przeglądarce Internet Explorer, na stronie Certificate Pending kliknij odnośnik Home. Jeśli strona ta nie jest wyświetlana, wyszukaj stronę https://localhost/certsrv.
11. W ramce Select a task kliknij polecenie View the status of a pending certificate request .
12. W ramce View the Status of a Pending Certificate Request zaznacz właśnie wydany certyfikat.
13. Kliknij Yes, aby zezwolić na kontrolę ActiveX.
14. W ramce Certificate Issued kliknij polecenie Install this certificate.
15. Kliknij przycisk Yes w oknie dialogowym potwierdzenia.
Przeniesienie zainstalowanego certyfikatu z magazynu w domyślnej lokalizacji.
Przeniesienie certyfikatu
1. Na komputerze VPN1, w poprzednio utworzonej konsoli MMC kliknij menu File, a następnie kliknij polecenie Add/Remove Snap-in.
2. W ramce Available snap-ins kliknij pozycję Certificates, a następnie kliknij przycisk Add.
.gif)
Rysunek 10: Okno dialogowe przystawki Certificates.
3. Kliknij przycisk Finish, aby zaakceptować domyślne ustawienie My user account.
4. Kliknij przycisk Add, kliknij opcję Computer account , a następnie kliknij przycisk Next.
5. W oknie dialogowym Select Computer, kliknij przycisk Finish, aby zaakceptować domyślne ustawienie Local computer.
6. Kliknij przycisk OK,aby zamknąć okno dialogowe Add or Remove Snap-ins.
7. W oknie drzewa konsoli dwukrotnie kliknij węzeł Certificates - Current User , dwukrotnie kliknij folder Personal, a następnie Certificates.
8. W środkowym oknie kliknij prawym przyciskiem myszy certyfikat vpn1.contoso.com, wskaż menu All Tasks, a następnie kliknij polecenie Export.
9. Na stronie Welcome kliknij przycisk Next.
10. Kliknij opcję Yes, export the private key, a następnie kliknij przycisk Next.
11. Kliknij przycisk Next, aby zaakceptować domyślny format pliku.
12. W obu polach tekstowych wpisz P@ssword, a następnie kliknij przycisk Next.
13. Na stronie File to Export kliknij przycisk Browse.
14. W polu tekstowym File name wpisz vpn1cert, a następnie kliknij przycisk Browse Folders.
15. W ramce Favorite Links kliknij opcję Desktop, a następnie kliknij przycisk Save, aby zapisać certyfikat na pulpicie.
16. Na stronie File to Export kliknij przycisk Next.
17. Kliknij przycisk Finish, aby zamknąć program Certificate Export Wizard, a następnie w oknie dialogowym potwierdzenia kliknij przycisk OK.
18. W oknie drzewa konsoli dwukrotnie kliknij węzeł Certificates (Local Computer) , a następnie dwukrotnie kliknij folder Personal.
19. Kliknij folder Certificates, a następnie kliknij prawym przyciskiem Certificates, wskaż menu All Tasks , a następnie kliknij polecenie Import.
20. Na stronie Welcome kliknij przycisk Next.
21. Na stronie File to Import kliknij przycisk Browse.
22. W ramce Favorite Links, kliknij listę Desktop i z listy rozwijanej wybierz opcję Personal Information Exchange jako typ pliku.
.jpg)
Rysunek 11: Program Certificate Import Wizard.
23. W środkowym oknie dwukrotnie kliknij vpn1cert.
24. Na stronie File to Import kliknij przycisk Next.
25. W polu tekstowym Password wpisz P@ssword, a następnie kliknij przycisk Next.
26. Na stronie Certificate Store kliknij przycisk Next, aby zaakceptować lokalizację magazynu Personal.
27. Kliknij przycisk Finish, aby zamknąć program Import Export Wizard, a następnie kliknij przycisk OK w oknie dialogowym potwierdzenia.
.jpg)
Rysunek 12: Lokalizacja certyfikatu Server Authentication.
** Ważne**
Jeśli procedury tego dokumentu nie są wykonywane w przedstawionej kolejności, obecność certyfikatu ogólnego przeznaczenia (contoso-VPN1-CA) może powodować problemy. Należy usunąć certyfikat contoso-VPN1-CA z magazynu Local Computer, aby zapewnić, że odbiornik SSTP powiązany zostanie z certyfikatem uwierzytelnienia serwera (vpn1.contoso.com).
Usuwanie certyfikatu ogólnego przeznaczenia
1. W środkowym oknie kliknij prawym przyciskiem myszy certyfikat contoso-VPN1-CA, a następnie kliknij polecenie Delete.
2. Kliknij przycisk Yes w oknie dialogowym potwierdzenia.
Instalowanie usługi Routing and Remote Access
Należy skonfigurować komputer VPN1 tak, aby usługa Routing and Remote Access funkcjonowała jako serwer VPN.
Instalowanie ról usług VPN i certyfikatu
1. Na komputerze VPN1, w oknie Initial Configuration Tasks, w ramce Customize This Server kliknij odnośnik Add roles.
** Uwaga**
Jeśli okno Initial Configuration Tasks nie jest otwarte, można je wywołać klikając menu Start, program Run, wpisując w polu tekstowym oobe, a następnie klikając przycisk OK.
2. W programie Add Roles Wizard, w oknie dialogowym Before You Begin kliknij przycisk Next.
3. Zaznacz pole wyboru Network Policy and Access Services i kliknij dwa razy przycisk Next.
4. W oknie dialogowym Select Role Services, w ramce Role services zaznacz pole wyboru Routing and Remote Access Services.
5. Kliknij przycisk Next, a następnie kliknij przycisk Install.
6. W oknie dialogowym Installation Results kliknij przycisk Close.
Konfigurowanie usługi Routing and Remote Access
Należy skonfigurować komputer VPN1 tak, by był serwerem VPN umożliwiającym dostęp zdalny dla klientów VPN w sieci Internet.
Skonfigurowanie komputera VPN1, by był serwerem VPN
1. Na komputerze VPN1, kliknij kolejno menu Start, Administrative Tools, a następnie kliknij program Routing and Remote Access.
2. W drzewie konsoli Routing and Remote Access, kliknij prawym przyciskiem myszy komputer VPN1, a następnie kliknij polecenie Configure and Enable Routing and Remote Access.
3. Na stronie Welcome to the Routing and Remote Access Server Setup Wizard kliknij przycisk Next.
4. Na stronie Configuration kliknij przycisk Next, aby zaakceptować ustawienie domyślne Remote access (dial-up or VPN) .
5. Na stronie Remote Access kliknij opcję VPN, a następnie kliknij przycisk Next.
6. Na stronie VPN Connection, w ramce Network interfaces kliknij interfejs Public. Jest to interfejs łączący komputer VPN1 z Internetem.
7. Kliknij opcję Enable security on the selected interface by setting up static packet filters , aby usunąć zaznaczenie tego ustawienia, a następnie kliknij przycisk Next.
** Uwaga**
Zazwyczaj zabezpieczenie publicznego interfejsu pozostaje włączone. Dla celów przeprowadzania testów ustawienie to powinno być wyłączone.
8. Kliknij opcję From a specified range of addresses, a następnie kliknij przycisk Next.
9. Kliknij opcję New, wpisz 192.168.0.200 w polu Start IP address, wpisz 192.168.0.210 w polu End IP address, kliknij przycisk OK, a następnie kliknij przycisk Next.
10. Kliknij Next, aby zaakceptować ustawienia domyślne, które oznaczą, że komputer VPN1 nie będzie współpracował z serwerem RADIUS. W tej konfiguracji usługa Routing and Remote Access Server będzie korzystać z mechanizmów usługi Windows Authentication.
11. Na stronie Completing the Routing and Remote Access Server Setup Wizard kliknij przycisk Finish.
12. Jeśli wyświetlone zostaje okno dialogowe informujące, że należy dodać ten komputer do listy serwerów dostępu zdalnego, kliknij przycisk OK.
13. W oknie dialogowym informującym, że należy skonfigurować program DHCP Relay Agent kliknij przycisk OK.
14. Zamknij przystawkę Routing and Remote Access.
| Do początku strony |