<b>第一节 L2TP/IPSec 应用实例之计算机证书</b>
在上一节里我们演示了采用PPTP协议的部署×××的方法,而且我们也说了PPTP协议并不是最安全的,相比而言,安全性更高的就是LTTP/IPSec(Layer Two Tunneling Protocol/IPSec)协议了,它支持证书(certificate)和预共享密钥(Preshared key)两种身份验证方式,其中证书验证方法的安全性最高,而预共享密钥的方法则次之,建议仅用来做做实验,切不可用于生产环境,虽然L2TP/IPSec ×××的安全性更高,但×××服务器和客户端都需要申请证书,部署起来相对比较麻烦。
L2TP/IPSec ×××的实例环境和PPTP相同,不过我们需要安装企业根CA,同时安装IIS网站,以便我们可以利用浏览器向企业根CA申请证书。
图: 24
3.1安装企业根CA
首先需要安装Active Directory证书服务(AD CS),为了减少测试PC的数量,我们在域控制器上安装企业根(CA),在服务器管理器中打开添加角色向导,选择“Active Directory证书服务”
图: 25
3.2 跳过“Active Directory证书服务简介”页面后,勾选中“证书颁发机构Web注册”
图: 26
3.3 在接下来的步骤中安装类型选择“企业”,CA类型选择“根CA”,在设置私钥的步骤中我们选择默认即可(证书服务器我们将另篇介绍,这里就不详细讲解了),安装完毕后重启启动服务器。
图: 27
3.4 在域环境中,域成员会自动信任企业CA,所以×××服务器已经信任了企业根CA,接下来为×××服务器申请证书,在申请证书以前,要先把Internet Explorer的本地安全级别将为最低。
图: 28
3.5 将企业根CA网站添加到<b>本地</b><b>intranet</b>,点击上图的“站点”,在弹出的界面中继续点击“高级”弹出本地intranet界面,将我们的证书服务器的地址添加进去,在这个实例中,证书服务器的地址为:192.168.16.129
图: 29
3.6 在浏览器中输入http://192.168.16.129/certsrv/打开申请证书的网址,以此点击“申请证书”--->“高级证书申请”--->“创建并向CA提交一个申请”
图: 30
3.8 如果出现如下图的提示页面,选择“是”就可以了。
3.9 接下来在高级证书申请页面中的“证书模板”下拉列表中选择“系统管理员”,检查“标记密钥为可导出”选项是否被选中,默认情况下一般都被选中了,然后点击“提交”按钮。
图: 31
3.10 稍等片刻后,便会弹出一个“证书已颁发”的页面,在这个页面中我们便可以点击“安装此证书”了。
图: 32
3.11 刚才我们申请的证书被默认安装到×××服务器的用户证书缓冲区内,但是此证书必须安装到计算机证书缓冲区内才有效,因此我们接下来将证书从用户缓冲区转移到计算机缓冲区内。
首先在开始----运行中输入<b>MMC</b>命令打开“控制台”,在左上角的“文件”中打开“添加/删除管理单元”,在“可用的管理单元”中选中“证书”后单击“添加”按钮,在弹出的“证书管理”界面中选中“我的用户账号”后点击“完成”,然后在用同样的方法添加“计算机用户”。
图: 33
图: 34
3.12 添加完成以后在控制台界面中展开“证书-当前用户”下的“个人”、“证书”,在右侧窗格中的Administrator上点击右键,选择所有任务下的“导出”命令,将弹出一个证书导出向导。
图: 35
3.13 跳过“欢迎使用证书导出向导”,在“导出私钥”中选中“是,导出私钥”;
图: 36
3.14 在“导出文件格式”界面中点击下一步,然后会弹出设置密码的窗口,为了保证密钥的安全性我们输入一个密码,输完密码后,我们将证书保持的一个可以存储的位置,这里我把这个密钥导出到了桌面上,在弹出的“完成证书导出向导”界面中单击完成即可。
图: 37
3.15 导出完成后,接下来在将证书导入到计算机缓存区内,在下图所示的界面中展开“证书(本地计算机)”,在“个人”上点击右键,选中“所有任务”下的“导入”命令弹出“证书导入向导”,跳过欢迎界面后,在“要导入的文件”页面中浏览到刚才证书导出的位置。
图: 38
3.16 在接下来的会要求在导出密钥时输入的密码,然后勾选“标志此密钥为可导入的密钥,这将允许您在稍后备份或传输密钥”。
图: 39
3.17 在“证书存储”界面中直接点击下一步,然后完成证书导入,最后重新启动“路由和远程访问服务”。
与×××服务器一样,×××客户端也需要申请证书才可以与×××建立连接,但从网络拓扑(见图24)来看我们的×××客户端是在外网即另外一个网络(192.168.20.0/24),而且中间隔着一个NAT路由器,那么我们怎样从外网来申请证书呢?有以下几种方法我们可以考虑:
方法1:客户端先用PPTP ×××拨入×××服务器 ,然后向企业根CA网站申请证书。
方法2:在×××服务器上开启NAT,然后通过端口映射,将HTTP请求转到内部企业根CA,然后×××客户端就可以通过NAT向企业根CA申请证书,然后执行信任的操作了。
方法3:直接在×××客户端上导入CA证书,我们可以在×××服务器上将证书导出,然后用移动存储工具如U盘或者邮件将证书分发给需要访问×××的用户,银行的Key盾就是这种方式。
接下来我们以方法3为例,将证书导出后存盘,导出方法可以参考上文的说明。我们首先登陆到×××服务器,通过证书管理控制台从计算机证书缓冲区中,将CA证书(图40的前图)和×××服务器的证书(图40的后图)导出存档,他们的扩展名分别三.cer和.pfx,这个地方要注意的是在导出×××服务器证书时务必将私钥一起导出。
图: 40
两个证书导出完毕后,可以打包封装到U盘或者其他的存储位置,如外网有连接×××的需求时,可以将这个两个文件发给对方。
但我们外网的员工需要拨入×××服务器是,需要将上面导出的两个证书通过证书管理器导入,所以这个地方还得麻烦咱们的系统管理员做一个操作说明出来一并发给对方。上文已经说过导入证书的方法了,这里就不多啰嗦了。
L2TP/IPSec ×××客户端在连接×××时的设置与PPTP类似,不过只是在“×××类型”中选择“L2TP/IPSec”,然后在“高级设置”属性中勾选“将证书用于身份验证”即可。
图: 41
<b>第二节 L2TP/IPSec应用实例之预共享密钥</b>
前面我们分享了两种×××连接的方法,相对来讲都是用的最为普遍也是常用的,配置起来也稍显复杂,除了以上两种方法以为,还有一种较为简单的,就是<b>预共享密钥(</b><b>Preshared key</b><b>),</b>预共享密钥就是服务器和客户端之间约定同一个密钥即设置相同的密码,这种方法有点类似鬼子片里的对暗号,暗号一致就是自己人,暗号不同就是鬼子兵。
预共享密钥的方式比以上两种都简单,安全性也最差,我们可以在实验环境下测试一下,不建议应用到实际生产环境中,如果有人应用到生产环境中我也不介意,若出了问题千万不要说我没有提醒哦。
预共享密钥的实现方法比较简单,我们仍然使用L2TP/IPSec ×××的环境(如图24所示),首先我们在×××服务器端设置共享密钥。
我们在“开始”菜单的“管理工具”中打开“路由和远程访问”,右键单击“SERVER3(本地)”打开它的属性界面,然后找到“安全”页签,勾选上“允许L2TP连接使用自定义IPSec策略”,在下面的预共享的密钥栏内输入密钥字符串,我们暂时输入12345678作为演示,这里的字符串需要与×××客户端的相同,否则客户端将无法访问,设置完后重新启动“路由和远程访问服务”
图: 42
设置完服务器端后,我们再来修改一下×××客户端的网络信息,我们打开×××连接的属性页面,在“安全”标签下将×××类型更改为L2TP/IPSec,然后点击下面的“高级设置”按钮弹出高级属性页面,我们选择“使用预共享的密钥做身份验证”后,在密码框中输入先前在×××服务端设置的预共享密钥,设置完成后×××客户端就可以与×××服务器之间通信了。
图: 43
预共享密钥应该算是×××解决方案中最简单的了,当然也是最不安排的,我们只需了解一下即可,且不可应用到生产环节,如果出了安全事故,俺可不负责任哦。
上面两节分享完了L2TP/IPSec ×××的部署实例,在后面的一节里我们会继续分享安全性最高的SSTP ×××的部署方法,预知后事如何,我们下节分享。