使用证书的 L2TP/IPSec 的 VPN 设置

easy

下面演示使用基于证书验证的 L2TP/IPSec 的 VPN 设置，该验证方式要比预共享密钥的方式要好得多，因此可用于生产环境。

初始环境按照《内网 PPTP 搭建测试》里所述的，先将 PPTP 的基本环境搭好。


由于是基于证书验证，我们还需要安装一个企业根 CA，而这台根 CA 同样在域控制器上做。安装方法很简单，这里就不赘述，可以参考本版里的相关帖子。


首先，我们必须先让 VPN 服务器信任企业 CA。然而，对于域环境，VPN 服务器会自动信任企业 CA 的；也就是说，当重启 VPN 服务器时，它会自动去信任企业根 CA，如果不想重启而且还没看到企业根 CA 被信任（通过 IE 浏览器的 “安全” --> “证书” 里查看），那么可以执行 gpupdate /force 命令来更新组策略。如果是独立 CA 的话，那么可以参考 《安装 AD CS 与架设根 CA》这个帖子里所说的来手动信任根 CA 。


信任了根 CA 之后，就要为 VPN 服务器申请一个证书，L2TP/IPSec VPN 服务器需要的是 “服务器验证证书” (Server Authentication) ，而企业根 CA 的计算机证书模板中就包含有 “服务器验证证书”，下面演示申请过程：

1. 开始 ---> 运行 ---> 输入 “MMC” 然后回车 ---> “文件”菜单 ---> 添加/删除管理单元 ---> 从列表中选择 “证书” ---> 添加

复制代码

在 “证书管理” 里选择 “计算机账户” ，然后单击 “下一步” 按钮：


这里需要说明一下，计算机证书必须安装到计算机证书存储才有效，因此必须选择 “计算机账户” 。


在“选择计算机”界面保持默认，然后单击 “完成” 即可。


接下来，在控制台中展开 “证书(本地计算机)”，右击 “个人”，在弹出菜单中选择 “所有任务” ---> “申请新证书” ：




在弹出的 “证书注册” 开始界面，单击下一步。


在 “选择证书注册策略” 界面单击 “下一步” ：




在 “请求证书” 界面，单击右侧的 “详细信息” 小图标，这样会展开详细信息，然后单击 “属性” 按钮：




在 “证书属性” 对话框中，切换到 “私钥” 选项卡，单击 “密钥选项” 右边的图标，然后勾选下方的 “使私钥可以导出”，然后单击 “确定” 返回：




回到 “请求证书” 界面，勾选 “计算机”，然后单击 “注册” 按钮：




很快，会显示证书安装成功，最后单击 “完成” 按钮。当返回到控制台界面时，已经可以看到证书安装成功了：




到此，服务器端的证书申请工作就完成了，接下来就重启一下 “路由和远程服务” ，方法是右击服务器名，在弹出菜单中选择 “所有任务” ---> “重新启动” 。


对于使用证书验证身份方式，客户端同样需要申请证书，但对于上面的实验环境，VPN 客户端位于外部网络，不能连接到内部的企业根 CA，解决这个问题有几个方法：

1. 先以 PPTP 的方式连接到服务器，这样就具有了内部网络的 IP ，然后通过 mmc 添加证书单元来申请证书。

2. 给 CA 服务器做一个HTTP 的 NAT。

3. 将客户端的 IP 手动改到 CA 的网络一端。

在客户端的“属性”设置中，我们在 “高级设置” 里选择了“将证书用于身份验证”，然后再测试一下是否连接得上，如果连接上了，可以再断开，将导入的证书删除，再试着连接一下，如果连接不上，那么说明证书的验证方式是起了作用了。