<b>第一節 L2TP/IPSec 應用執行個體之計算機證書</b>
在上一節裡我們示範了采用PPTP協定的部署×××的方法,而且我們也說了PPTP協定并不是最安全的,相比而言,安全性更高的就是LTTP/IPSec(Layer Two Tunneling Protocol/IPSec)協定了,它支援證書(certificate)和預共享密鑰(Preshared key)兩種身份驗證方式,其中證書驗證方法的安全性最高,而預共享密鑰的方法則次之,建議僅用來做做實驗,切不可用于生産環境,雖然L2TP/IPSec ×××的安全性更高,但×××伺服器和用戶端都需要申請證書,部署起來相對比較麻煩。
L2TP/IPSec ×××的執行個體環境和PPTP相同,不過我們需要安裝企業根CA,同時安裝IIS網站,以便我們可以利用浏覽器向企業根CA申請證書。
圖: 24
3.1安裝企業根CA
首先需要安裝Active Directory證書服務(AD CS),為了減少測試PC的數量,我們在域控制器上安裝企業根(CA),在伺服器管理器中打開添加角色向導,選擇“Active Directory證書服務”
圖: 25
3.2 跳過“Active Directory證書服務簡介”頁面後,勾選中“證書頒發機構Web注冊”
圖: 26
3.3 在接下來的步驟中安裝類型選擇“企業”,CA類型選擇“根CA”,在設定私鑰的步驟中我們選擇預設即可(證書伺服器我們将另篇介紹,這裡就不詳細講解了),安裝完畢後重新開機啟動伺服器。
圖: 27
3.4 在域環境中,域成員會自動信任企業CA,是以×××伺服器已經信任了企業根CA,接下來為×××伺服器申請證書,在申請證書以前,要先把Internet Explorer的本地安全級别将為最低。
圖: 28
3.5 将企業根CA網站添加到<b>本地</b><b>intranet</b>,點選上圖的“站點”,在彈出的界面中繼續點選“進階”彈出本地intranet界面,将我們的證書伺服器的位址添加進去,在這個執行個體中,證書伺服器的位址為:192.168.16.129
圖: 29
3.6 在浏覽器中輸入http://192.168.16.129/certsrv/打開申請證書的網址,以此點選“申請證書”--->“進階證書申請”--->“建立并向CA送出一個申請”
圖: 30
3.8 如果出現如下圖的提示頁面,選擇“是”就可以了。
3.9 接下來在進階證書申請頁面中的“證書模闆”下拉清單中選擇“系統管理者”,檢查“标記密鑰為可導出”選項是否被選中,預設情況下一般都被選中了,然後點選“送出”按鈕。
圖: 31
3.10 稍等片刻後,便會彈出一個“證書已頒發”的頁面,在這個頁面中我們便可以點選“安裝此證書”了。
圖: 32
3.11 剛才我們申請的證書被預設安裝到×××伺服器的使用者證書緩沖區内,但是此證書必須安裝到計算機證書緩沖區内才有效,是以我們接下來将證書從使用者緩沖區轉移到計算機緩沖區内。
首先在開始----運作中輸入<b>MMC</b>指令打開“控制台”,在左上角的“檔案”中打開“添加/删除管理單元”,在“可用的管理單元”中選中“證書”後單擊“添加”按鈕,在彈出的“證書管理”界面中選中“我的使用者賬号”後點選“完成”,然後在用同樣的方法添加“計算機使用者”。
圖: 33
圖: 34
3.12 添加完成以後在控制台界面中展開“證書-目前使用者”下的“個人”、“證書”,在右側窗格中的Administrator上點選右鍵,選擇所有任務下的“導出”指令,将彈出一個證書導出向導。
圖: 35
3.13 跳過“歡迎使用證書導出向導”,在“導出私鑰”中選中“是,導出私鑰”;
圖: 36
3.14 在“導出檔案格式”界面中點選下一步,然後會彈出設定密碼的視窗,為了保證密鑰的安全性我們輸入一個密碼,輸完密碼後,我們将證書保持的一個可以存儲的位置,這裡我把這個密鑰導出到了桌面上,在彈出的“完成證書導出向導”界面中單擊完成即可。
圖: 37
3.15 導出完成後,接下來在将證書導入到計算機緩存區内,在下圖所示的界面中展開“證書(本地計算機)”,在“個人”上點選右鍵,選中“所有任務”下的“導入”指令彈出“證書導入向導”,跳過歡迎界面後,在“要導入的檔案”頁面中浏覽到剛才證書導出的位置。
圖: 38
3.16 在接下來的會要求在導出密鑰時輸入的密碼,然後勾選“标志此密鑰為可導入的密鑰,這将允許您在稍後備份或傳輸密鑰”。
圖: 39
3.17 在“證書存儲”界面中直接點選下一步,然後完成證書導入,最後重新啟動“路由和遠端通路服務”。
與×××伺服器一樣,×××用戶端也需要申請證書才可以與×××建立連接配接,但從網絡拓撲(見圖24)來看我們的×××用戶端是在外網即另外一個網絡(192.168.20.0/24),而且中間隔着一個NAT路由器,那麼我們怎樣從外網來申請證書呢?有以下幾種方法我們可以考慮:
方法1:用戶端先用PPTP ×××撥入×××伺服器 ,然後向企業根CA網站申請證書。
方法2:在×××伺服器上開啟NAT,然後通過端口映射,将HTTP請求轉到内部企業根CA,然後×××用戶端就可以通過NAT向企業根CA申請證書,然後執行信任的操作了。
方法3:直接在×××用戶端上導入CA憑證,我們可以在×××伺服器上将證書導出,然後用移動存儲工具如U盤或者郵件将證書分發給需要通路×××的使用者,銀行的Key盾就是這種方式。
接下來我們以方法3為例,将證書導出後存盤,導出方法可以參考上文的說明。我們首先登陸到×××伺服器,通過證書管理控制台從計算機證書緩沖區中,将CA憑證(圖40的前圖)和×××伺服器的證書(圖40的後圖)導出存檔,他們的擴充名分别三.cer和.pfx,這個地方要注意的是在導出×××伺服器證書時務必将私鑰一起導出。
圖: 40
兩個證書導出完畢後,可以打包封裝到U盤或者其他的存儲位置,如外網有連接配接×××的需求時,可以将這個兩個檔案發給對方。
但我們外網的員工需要撥入×××伺服器是,需要将上面導出的兩個證書通過證書管理器導入,是以這個地方還得麻煩咱們的系統管理者做一個操作說明出來一并發給對方。上文已經說過導入證書的方法了,這裡就不多啰嗦了。
L2TP/IPSec ×××用戶端在連接配接×××時的設定與PPTP類似,不過隻是在“×××類型”中選擇“L2TP/IPSec”,然後在“進階設定”屬性中勾選“将證書用于身份驗證”即可。
圖: 41
<b>第二節 L2TP/IPSec應用執行個體之預共享密鑰</b>
前面我們分享了兩種×××連接配接的方法,相對來講都是用的最為普遍也是常用的,配置起來也稍顯複雜,除了以上兩種方法以為,還有一種較為簡單的,就是<b>預共享密鑰(</b><b>Preshared key</b><b>),</b>預共享密鑰就是伺服器和用戶端之間約定同一個密鑰即設定相同的密碼,這種方法有點類似鬼子片裡的對暗号,暗号一緻就是自己人,暗号不同就是鬼子兵。
預共享密鑰的方式比以上兩種都簡單,安全性也最差,我們可以在實驗環境下測試一下,不建議應用到實際生産環境中,如果有人應用到生産環境中我也不介意,若出了問題千萬不要說我沒有提醒哦。
預共享密鑰的實作方法比較簡單,我們仍然使用L2TP/IPSec ×××的環境(如圖24所示),首先我們在×××伺服器端設定共享密鑰。
我們在“開始”菜單的“管理工具”中打開“路由和遠端通路”,右鍵單擊“SERVER3(本地)”打開它的屬性界面,然後找到“安全”頁簽,勾選上“允許L2TP連接配接使用自定義IPSec政策”,在下面的預共享的密鑰欄内輸入密鑰字元串,我們暫時輸入12345678作為示範,這裡的字元串需要與×××用戶端的相同,否則用戶端将無法通路,設定完後重新啟動“路由和遠端通路服務”
圖: 42
設定完伺服器端後,我們再來修改一下×××用戶端的網絡資訊,我們打開×××連接配接的屬性頁面,在“安全”标簽下将×××類型更改為L2TP/IPSec,然後點選下面的“進階設定”按鈕彈出進階屬性頁面,我們選擇“使用預共享的密鑰做身份驗證”後,在密碼框中輸入先前在×××服務端設定的預共享密鑰,設定完成後×××用戶端就可以與×××伺服器之間通信了。
圖: 43
預共享密鑰應該算是×××解決方案中最簡單的了,當然也是最不安排的,我們隻需了解一下即可,且不可應用到生産環節,如果出了安全事故,俺可不負責任哦。
上面兩節分享完了L2TP/IPSec ×××的部署執行個體,在後面的一節裡我們會繼續分享安全性最高的SSTP ×××的部署方法,預知後事如何,我們下節分享。