第十二章大型VPN系统配置示例与故障排除.ppt

11.5.5 Windows XP远程访问VPN连接的配置与实施 Windows XP系统的远程访问VPN连接在配置好后基本无需配置，就可以直接使用。如果需要了解VPN连接的配置选项，可在相应连接上单击鼠标右键，然后在弹出的快捷菜单中选择“属性”选项，即可打开如下左图所示的对话框。其中就包括几个选项卡，其中最主要的是如下右图所示的“网络”选项卡中的VPN类型设置一定要与所支持的VPN连接类型一致。其他设置参见书中介绍即可。 11.6 安装计算机证书的条件及基本步骤 要用IPSec证书身份验证创建L2TP/IPSec远程访问VPN连接，必须在VPN客户端和VPN服务器上安装计算机证书（也称为机器证书）。Windows Server 2003家族支持基于L2TP/IPSec（通过Internet协议安全性的第二层隧道协议）的VPN连接的两种身份验证方法：计算机证书（也称“机器证书”）和预先共享的密钥。 为了使用计算机证书身份验证方法创建L2TP/IPSec连接，必须在VPN客户端和VPN服务器计算机上的本地计算机证书存储区中安装证书。要安装计算机证书，必须有证书颁发机构颁发证书。配置好证书颁发机构后，就可以按三种不同的方式安装证书了。 通过配置Windows Server 2003域中计算机的计算机证书自动或手动注册。 使用证书管理单元获取计算机证书。 使用浏览器连接到CA Web注册页以便在本地计算机上安装证书，或者利用软盘在另一台计算机上执行安装，例如用户的家庭计算机。 11.6.1 域控制器上计算机证书的安装 要配置CA并安装计算机证书，首先得在服务器上安装“证书服务”组件。如果你没有企业根CA，则要把作为CA的计算机升级为域控制器（DC）（本章示例中各子公司的企业根CA都安装在域控制器上，无需升级）。然后将“证书服务”组件作为企业根CA安装在运行Windows Server 2003家族的计算机上。安装了证书服务组件后，还需要为域控制器和用户计算机注册计算机证书。注册证书的方式可以是自动的，也可以是手动的。 在域控制器上安装证书的方法很简单，只需在如下页左图所示“Windows组件向导”对话框中，选中“证书服务”复选框，然后在如下页右图所示对话框中选择“企业根CA”，再按照向导提示一步步配置即可。具体安装步骤参见书中介绍。 11.6.2 自动注册计算机证书 安装了“证书服务”组件后，还需要在域控制器和VPN客户机上注册计算机证书，只有这样，L2TP VPN用户才可以使用计算机证书进行L2TP/IPSec VPN通信。  基本配置方法是在域组策略中的“自动证书申请”选项（如下面左图所示）中单击右键，在弹出菜单中选择“新建”下的““自动证书申请” 选项，在打开的向导中选择自动申请证书时所用的“计算机”证书模板（如下面右图所示）。 11.6.3 手动注册计算机证书 除了自动注册方法外，更多的是采用手动注册方法，因为它可以在远程进行，更加方便。  基本方法是在MMC控制台中添加“证书”管理单元。在添加的过程中要在如下左图所示对话框中选择“计算机证书”选项，然后在下面右图所示对话框中选择“另一台计算机”单选项，然后输入要注册证书的用户计算机完整域名即可。具体步骤参见书中介绍。 11.6.4 证书申请 证书的获得不仅可以通过证书注册的方式为计算机注册证书，还可以由用户提出用户证书的申请。在Windows Server 2003系统中有两种明确申请证书的主要方法： 使用证书申请向导申请证书。 使用Windows Server 2003证书服务网页申请证书。1．使用证书申请向导申请证书基本方法是在为本地计算机添加了“证书”管理单元的MMC控制台中选择“个人”选项后单击鼠标右键，在弹出的快捷菜单中执行“所有任务”→“申请新证书”菜单操作，打开一个用户证书申请向导。在如下页左图所示对话框列表中选择所要申请的证书类型为“用户”类型，即选择“用户”选项。同时为了配置更全面的证书，选择了“高级”复选项。然后在如下页右图所示对话框中选择密钥长度。随后的步骤参见书中介绍。2．使用Windows Server 2003证书服务网页申请证书 利用Web网页申请证书首先要确保IIS中的默认Web网站是正常运行的，否则打不开申请证书的网页。基本配置方法是先在浏览器地址中输入http://servername/certsrv，其中servername是主持证书颁发机构的服务器名称。进入后打开如下页左图所示页面。单击“申请一个证书”链接项来申请证书。在首先打