|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2003-09-30, 06:20 PM | #1 |
榮譽會員
|
在WIN2000遠端訪問VPN中元件服務數位簽章身份驗證
大家都知道,在WIN2000中,有三種類型的VPN技術,它們分別是:點對點隧道傳輸協定(PPTP)、第二層隧道傳輸協定(L2TP)和IPSec隧道模式。
如果使用的是 L2TP/IPSec,則必須佈署 PKI,PKI 可將電腦證書分配給 VPN 伺服器和 VPN 客戶端。關於如何在WIN2000SERVER佈署PKI我已經早前在 文章中講述了方法。 另外,利用 Active Directory,可將群組原則配置為自動將電腦證書分配給加入該域的所有電腦。 關於加密級別的說明: 安全的 VPN 連接要求對封裝資料進行加密。要確保加密,請為 VPN 連接新增遠端訪問原則(NAS 連接埠類型設定為虛擬 VPN),並清除該原則的配置文件設定的加密選擇項上的不加密複選框。此外,您可通過選項或清除基本(對於 PPTP 和 L2TP來說,分別是40 位MPPE 和 56 位資料加密標準 [DES])、強(對於 PPTP 和 L2TP 來說,分別是 56 位 MPPE 和 56 位 DES)或最強(對於 PPTP 和 L2TP 來說,分別是 128 位 MPPE 和 3DES),來指定所需的加密級別。最強只能和 Windows 2000 High Encryption Pack 結合使用。這個WINDOWS高加密包可以通過微軟網站直接下載,或者通過昇級IE瀏覽器的方式實現。 下面,我們就來配置一個具有128位加密強度的VPN遠端訪問伺服器。 1、開始-->設定-->控制台-->系統管理工具-->路由和遠端訪問; 2、右鍵按下伺服器名,然後按下配置並啟用路由和遠端訪問; 3、在公共配置中,按下虛擬專用網路 (VPN) 伺服器; 4、在遠端客戶傳輸協定中,驗證遠端訪問 VPN 客戶端所使用的所有資料傳輸協定都存在,直接進入下一步; 5、在 Internet 連接中,按下與連線到 Internet 或周邊網路上的接頭相對應的連接,然後按下下一步; 6、如果 VPN 伺服器要用 DHCP 來獲取遠端訪問 VPN 客戶端的 IP 位址,則在 IP 位址分配中按下自動。或者,按下來自一個指定的位址範圍來使用一個或多個靜態位址範圍。如果某個靜態位址範圍為子網以外的位址範圍,則必須在路由基本結構中增加路由,以便可到達 VPN 客戶端。完成 IP 位址分配後,按下下一步; 7、在管理多個遠端訪問伺服器中,不要選項 RADIUS 進行份驗證和授權,因為這需要配置RADIUS伺服器; 8、完成配置。 我想以上有關VPN伺服器的配置大家都很熟悉的,下面就是關鍵的如何把證書元件服務進來。 1、首先通過WIN2000SERVER的CA服務簽發兩張數位簽章,其中一張作為SERVER證書,一張作為CLIENT證書;申請好的證書預設的都存儲在IE的證書庫裡,通過IE-->工具-->Internet選項-->內容-->證書-->個人;分別選這兩張證書,匯出成為P12格式,以後又用; 2、在VPN伺服器端,開始-->執行-->MMC; 3、控制台-->增加/刪除單元-->增加-->選項證書(Certificate),注意不是Certificate Authority; 4、將證書增加到本機電腦賬戶computer account-->本機電腦執行-->完成; 5、用滑鼠右鍵按下受信任的根證書頒發機構-->所有工作-->匯入CA根證書,CA根證書可以通過訪問你的CA服務下載到; 6、用同樣的方法在個人節點匯入SERVER證書; 7、然後到一台客戶端機上,開啟MMC,重複3--4步操作; 8、用滑鼠右鍵按下個人-->所有工作-->匯入CLIENT證書; 9、在客戶端機上開啟網路和撥號連接嚮導-->新增連接嚮導-->通過Internet連線到VPN專用網路-->輸入VPN伺服器的ip位址-->完成; 10、用滑鼠右鍵點擊剛剛新增的VPN連接-->內容-->在網路標籤頁選項VPN類型:L2TP/IPSecVPN-->確定; 好了,VPN中元件服務數位簽章身份驗證設定結束。您可以在VPN伺服器端開啟路由和遠端訪問控制台檢視具體信息。 |
送花文章: 3,
|