IKEv2 VPN LAB
用戶端只需要安裝信任的CA即可
在企業根CA建立一個伺服器驗證與IP安全性IKE中繼憑證範本
執行憑證管理工具 —> 憑證範本 滑鼠右鍵 —> 管理
在IPSEC 範本上 —> 滑鼠右鍵 —> 複製範本
選windows server 2003 Enrprises 即可
修改好記的範本名稱
點選 處理要求 標籤 勾選[匯出私密金鑰]
點選 主體名稱 標籤 點選 [在要求中提供]
點選 延伸 標籤 —> 點 應用程式原則 —> 編輯
點選 新增
點選 伺服器驗證 後 點兩次確定
回到延伸標籤 —> 點選 [金鑰使用方法] —> 編輯
確認 數位簽章 已經勾選
新vpn 範本建立完畢
將新範本發佈
回憑證管理工具 —> 憑證範本 —> 滑鼠右鍵 —> 新增 —->要發出的憑證範本
點選之前建立的 VPN 範本 —> 確定
就會產生 再憑證範本中
IkEv2 VPN 伺服器設定
1.由於前面步驟有安裝企業根CA,所以在網域內的主機都會自動信任根CA (如下圖)
如果沒看到可以執行 gpupdate /force 即可
2. IKEV2 VPN伺服器安裝伺服器驗證和IP安全性IKE中繼電腦憑證
- 利用MMC工具 ,要求憑證 (如下圖)
- 點 [需要更多資訊才行註冊此憑證] (如下圖框起來部分)
主體名稱類型 選擇 [一般名稱]
值 : vpn.test.com (該名稱是VPN用戶連線時所輸入的名稱,不一樣就會連線失敗)設定完畢後 回到上一層 將VPN 憑證勾選 申請該憑證
申請完畢(如下圖)
IKEv2 用戶端設定
用戶端不需安裝電腦憑證,但是需要信任CA所發的憑證
所以需將VPN伺服器的憑證匯出 拿到用戶端匯入即可
在VPN伺服器上(如下圖)的憑證匯出,也就是企業的根憑證 - 匯出方式請參考之前文章即可
- Win7 匯入憑證 (如下圖)
由於是lab環境,鋼材設定連線的名稱為 vpn.test.com (ip: 172.16.1.2)
所以在c:windowssystem32driverstest hosts 檔案新增該筆資料
修改用戶端連線設定
2. 修改安全性選項 IKEv2
3.測試連線成功
如果用戶端連線名稱 或是 未安裝CA 會出現無法連線訊息(如下圖)
本篇瀏覽人數: 6400
如何設定l2tp/ipsec呢?
您好
請參考 小弟之前寫的文章
http://blog.pmail.idv.tw/?p=978
http://blog.pmail.idv.tw/?p=890