2003 部署基于L2TP和IPSEC的站点到站点VPN连接.docVIP

虚拟专用网络和Windows Server 2003:部署站点到站点VPN: 部署基于L2TP/IPSec的站点到站点VPN连接 Posted on 2005-05-25 21:49 cunshen 阅读(758) 评论(0) ?编辑 收藏 所属分类: Win-Server 部署基于L2TP/IPSec的站点到站点VPN连接 使用Windows Server 2003部署基于L2TP/IPSec的站点到站点VPN连接的过程由下列几个步骤组成： ? 部署证书基础构架 ? 部署Internet基础构架 ? 部署应答路由器 ? 部署呼叫路由器 ? 部署AAA基础构架 ? 部署站点网络基础构架 ? 部署站点间网络基础构架 部署证书基础构架 对于基于L2TP的VPN连接，需要一个证书基础构架来签署执行IPSec身份验证所需的证书。另外，在使用EAP-TLS身份验证时，也需要一个证书基础构架。 用于L2TP连接的证书 要安装计算机证书，必须拥有一个签署证书的证书颁发机构（CA）。如果这个CA是一个Windows Server 2003 CA，那么您通过下面几种不同的方法，在身份验证服务器的计算机证书存储库中安装证书： 1. 配置自动地将计算机证书分配给Active Directory域中的计算机。 这种方法允许整个域的单点配置。域中所有成员自动地通过组策略获得计算机证书。 2. 使用证书管理器嵌入式管理单元来请求证书，并存储在证书（本地计算机）\个人文件夹中。 在这种方法中，每个计算机必须单独地从CA请求计算机证书。您必须拥有管理员权限来使用证书管理器嵌入式管理单元安装证书。 3. 使用Internet Explorer和web注册来请求证书，并存储在本地机器存储库中。 在这种方法中，每个计算机必须单独地从CA请求计算机证书。您必须具有管理员权限来使用web注册来安装证书。 根据您公司中的证书策略，您只需要采用其中的一种方式。 更多有关使用Windows Server 2003 CA获取计算机证书的信息，请参考Windows Server 2003帮助和支持中的用于L2TP/IPSec VPN连接的计算机证书和通过Web提交高级证书请求。 对于第三方CA，请参阅CA软件的文档资料，了解如何创建用户证书并导出，以及如何使呼叫路由器和应答路由器的管理员能够通过证书管理器嵌入式管理单元将证书导入到计算机证书存储库中。另外，您还必须在呼叫路由器和应答路由器上导出和导入根CA证书、签署CA的证书以及所有中间CA的证书。详细信息，请参考Microsoft白皮书“虚拟专用网络和Windows Server 2003：部署远程访问VPN”的附录E。 用于EAP-TLS身份验证的证书 要对站点到站点VPN连接使用EAP-TLS身份验证，您必须： ? 在每个呼叫路由器计算机上安装一个用户证书。 ? 在呼叫路由器上配置EAP-TLS。 ? 在身份验证服务器（应答路由器或RADIUS服务器）上安装一个计算机证书。 ? 在应答路由器和远程访问策略中配置EAP-TLS。 在呼叫路由器上安装用户证书 如果您使用Windows Server 2003 CA，那么将创建一个路由器（离线请求）证书（一种用于请求拨号连接的特殊用户证书），并映射到一个Active Directory用户帐户。要为呼叫路由器部署路由器（离线请求）证书，网络管理员必须： 1. 配置Windows Server 2003 CA来签署路由器（离线请求）证书。 2. 请求一个路由器（离线请求）证书。 3. 导出这个路由器（离线请求）证书。 4. 将这个证书映射到合适的用户帐户。 5. 将这个路由器（离线请求）证书发送给呼叫路由器的网络管理员。 6. 将路由器（离线请求）证书导入到呼叫路由器中。 更多有关为请求拨号路由部署路由器（离线请求）证书的信息，请参阅Windows Server 2003帮助和支持中的“分公司办公室请求拨号连接”。 对于第三方CA，请参阅CA软件的文档资料，了解如何创建具有客户端身份验证增强的密钥使用(OID 1.3.6.1.5.5.7.3.2)的用户证书以及导出证书，并使其能够映射到Active Directory用户帐户，以及发送给呼叫路由器的网络管理员。您还必须导出根CA证书、签署CA的证书以及所有中间CA的证书，并使用证书管理器嵌入式管理单元将它们保存在应答路由器的计算机证书存储库中正确的文件夹下。详细信息，请参考Microsoft白皮书“虚拟专用网络和Windows Server 2003：部署远程访问VPN”的附录E。 在呼叫路由器上配置EAP-TLS 要在呼叫路由器上为用户证书配置EAP-TLS： ? 请求拨号接口必须被配置