在WIN2000遠端訪問VPN中元件服務數位簽章身份驗證

[psac]

大家都知道，在WIN2000中，有三種類型的VPN技術，它們分別是：點對點隧道傳輸協定（PPTP）、第二層隧道傳輸協定（L2TP）和IPSec隧道模式。

如果使用的是 L2TP/IPSec，則必須佈署 PKI，PKI 可將電腦證書分配給 VPN 伺服器和 VPN 客戶端。關於如何在WIN2000SERVER佈署PKI我已經早前在
文章中講述了方法。

另外，利用 Active Directory，可將群組原則配置為自動將電腦證書分配給加入該域的所有電腦。

關於加密級別的說明：
安全的 VPN 連接要求對封裝資料進行加密。要確保加密，請為 VPN 連接新增遠端訪問原則（NAS 連接埠類型設定為虛擬 VPN），並清除該原則的配置文件設定的加密選擇項上的不加密複選框。此外，您可通過選項或清除基本（對於 PPTP 和 L2TP來說，分別是40 位MPPE 和 56 位資料加密標準 [DES]）、強（對於 PPTP 和 L2TP 來說，分別是 56 位 MPPE 和 56 位 DES）或最強（對於 PPTP 和 L2TP 來說，分別是 128 位 MPPE 和 3DES），來指定所需的加密級別。最強只能和 Windows 2000 High Encryption Pack 結合使用。這個WINDOWS高加密包可以通過微軟網站直接下載，或者通過昇級IE瀏覽器的方式實現。

下面，我們就來配置一個具有128位加密強度的VPN遠端訪問伺服器。
1、開始-->設定-->控制台-->系統管理工具-->路由和遠端訪問；
2、右鍵按下伺服器名，然後按下配置並啟用路由和遠端訪問；
3、在公共配置中，按下虛擬專用網路 (VPN) 伺服器；
4、在遠端客戶傳輸協定中，驗證遠端訪問 VPN 客戶端所使用的所有資料傳輸協定都存在，直接進入下一步；
5、在 Internet 連接中，按下與連線到 Internet 或周邊網路上的接頭相對應的連接，然後按下下一步；
6、如果 VPN 伺服器要用 DHCP 來獲取遠端訪問 VPN 客戶端的 IP 位址，則在 IP 位址分配中按下自動。或者，按下來自一個指定的位址範圍來使用一個或多個靜態位址範圍。如果某個靜態位址範圍為子網以外的位址範圍，則必須在路由基本結構中增加路由，以便可到達 VPN 客戶端。完成 IP 位址分配後，按下下一步；
7、在管理多個遠端訪問伺服器中，不要選項 RADIUS 進行份驗證和授權，因為這需要配置RADIUS伺服器；
8、完成配置。

我想以上有關VPN伺服器的配置大家都很熟悉的，下面就是關鍵的如何把證書元件服務進來。
1、首先通過WIN2000SERVER的CA服務簽發兩張數位簽章，其中一張作為SERVER證書，一張作為CLIENT證書；申請好的證書預設的都存儲在IE的證書庫裡，通過IE-->工具-->Internet選項-->內容-->證書-->個人；分別選這兩張證書，匯出成為P12格式，以後又用；
2、在VPN伺服器端，開始-->執行-->MMC；
3、控制台-->增加/刪除單元-->增加-->選項證書(Certificate)，注意不是Certificate Authority；
4、將證書增加到本機電腦賬戶computer account-->本機電腦執行-->完成；
5、用滑鼠右鍵按下受信任的根證書頒發機構-->所有工作-->匯入CA根證書，CA根證書可以通過訪問你的CA服務下載到；
6、用同樣的方法在個人節點匯入SERVER證書；
7、然後到一台客戶端機上，開啟MMC，重複3--4步操作；
8、用滑鼠右鍵按下個人-->所有工作-->匯入CLIENT證書；
9、在客戶端機上開啟網路和撥號連接嚮導-->新增連接嚮導-->通過Internet連線到VPN專用網路-->輸入VPN伺服器的ip位址-->完成；
10、用滑鼠右鍵點擊剛剛新增的VPN連接-->內容-->在網路標籤頁選項VPN類型：L2TP/IPSecVPN-->確定；

好了，VPN中元件服務數位簽章身份驗證設定結束。您可以在VPN伺服器端開啟路由和遠端訪問控制台檢視具體信息。