SSTP服務器同樣需要申請服務器身份驗證證書,並且事先要在證書中擴展出證書吊銷列表(CRL),這是由於SSTP***客戶端在撥入前需要訪問CA服務器上的證書吊銷列表(CRL),下載證書吊銷列表(CRL)採用http協議方式,CA服務器通常處於企業內部,這時還需要通過TMG進行發佈
1.將CRL信息擴展至證書中
打開CA證書頒機構屬性
切換到【擴展】卡片,從下拉框中選擇【CRL分發點】,按圖勾選相關選項,將CRL地址擴展至證書中
再次從下拉框中選擇【頒發機構信息訪問】,按圖勾選相關選項
在【吊銷的證書】上選擇【發佈】
選擇【新的CRL】
最後確認窗口中3個http地址存在
2.爲***服務器申請證書
證書申請方法基本同L2PT ***時一樣,可參考第二章,這裏就說說關鍵步驟
在高級證書申請頁面,模板要選擇【服務器身份驗證】
【姓名】就相當於證書的公用名,這裏一定要和客戶端撥入時用的地址保持一致,比如客戶端撥入時用的地址是222.16.2.2,那麼證書上的公用名也一定是222.16.2.2
3.將證書安裝到本地計算機存儲
同樣可參考第二章
安裝證書後證書是存儲在【當前用戶】存儲中,先將它導出,注意要導出私鑰
指定導出路徑
在【本地計算機】存儲中導入
指定導入路徑
這裏可以看到已經導入到【本地計算機】存儲中的證書
4.新建Web偵聽器
SSTP ***服務器需要用到帶證書的Web偵聽器
打開TMG控制檯,選擇右側【工具箱】-【網絡對象】;選擇新建【Web偵聽器】
指定Web偵聽器名稱
選擇【需要與客戶端建立SSL安全連接】
選擇偵聽網絡爲【外部】,IP地址選擇【222.16.2.2】
綁定證書【222.16.2.2】
選擇【沒有身份驗證】
5.啓用SSTP協議的***
打開***客戶端屬性,切換至【協議】選項卡,勾選【啓用SSTP】
選擇名稱爲【SSTP】的Web偵聽器
6.客戶端配置
打開***撥連接的屬性,切換到【安全】選項卡,將***類型修改爲【安全套接字隧道協議(SSTP)】
確定後連接,確彈出了錯誤提示,無法訪問CRL,這是由於沒有在TMG上發佈吊銷服務器
7.發佈證書吊銷列表(CRL)
發佈前還得創建一個不需要SSL的Web偵聽器
選擇【不需要與客戶端建立SSL安全連接】
同樣是選擇偵聽【外部】,偵聽IP地址爲【222.16.2.2】
選擇【沒有身份驗證】
新建網站發佈規則,指定規則名稱
這裏選擇【使用不安全的連接連接發佈的Web服務器或服務器場】
輸入CA服務器的FQDN【bjdc.zf.com】
客戶端上的證書是通過http://bjdc.zf.com/CertEnroll/ZF-CA.crl這個URL地址訪問到吊銷列表
這裏公用名稱要填【bjdc.zf.com】,公網DNS也要有【bjdc.zf.com】的A紀錄指向TMG服務器的外網IP222.16.2.2,以保證客戶端能成功解析
選擇Web偵聽器【lis80】
選擇【無委派,客戶端無法直接進行身份驗證】
CRL發佈完成後,再次通過客戶端撥入,撥入成功後可以通過***服務器上的【路由和遠程訪問】查看***的連接狀態
這裏可以看到***類型是SSTP