IKEv2 VPN LAB

IKEv2 VPN LAB

用戶端只需要安裝信任的CA即可

在企業根CA建立一個伺服器驗證與IP安全性IKE中繼憑證範本

執行憑證管理工具 —> 憑證範本 滑鼠右鍵  —> 管理

在IPSEC 範本上 —> 滑鼠右鍵 —> 複製範本

選windows server 2003 Enrprises 即可

修改好記的範本名稱

點選 處理要求 標籤  勾選[匯出私密金鑰]

點選  主體名稱 標籤  點選 [在要求中提供]

點選  延伸 標籤  —> 點 應用程式原則  —> 編輯 

點選 新增

點選  伺服器驗證 後  點兩次確定

回到延伸標籤  —> 點選  [金鑰使用方法]    —> 編輯

確認 數位簽章 已經勾選

新vpn 範本建立完畢

將新範本發佈

回憑證管理工具 —> 憑證範本 —> 滑鼠右鍵  —> 新增  —->要發出的憑證範本

點選之前建立的 VPN 範本 —> 確定

就會產生 再憑證範本中

IkEv2 VPN 伺服器設定

1.由於前面步驟有安裝企業根CA,所以在網域內的主機都會自動信任根CA (如下圖)

如果沒看到可以執行 gpupdate /force  即可

2. IKEV2 VPN伺服器安裝伺服器驗證和IP安全性IKE中繼電腦憑證

• 利用MMC工具 ,要求憑證 (如下圖)

  

• 點 [需要更多資訊才行註冊此憑證] (如下圖框起來部分)

  

  主體名稱類型 選擇 [一般名稱]
  值 : vpn.test.com (該名稱是VPN用戶連線時所輸入的名稱,不一樣就會連線失敗)
  

  

  設定完畢後 回到上一層 將VPN 憑證勾選 申請該憑證

  

  申請完畢(如下圖)

  

  IKEv2 用戶端設定

  用戶端不需安裝電腦憑證,但是需要信任CA所發的憑證
  所以需將VPN伺服器的憑證匯出 拿到用戶端匯入即可
  在VPN伺服器上(如下圖)的憑證匯出,也就是企業的根憑證
  

• 匯出方式請參考之前文章即可
• Win7 匯入憑證 (如下圖)

  

由於是lab環境,鋼材設定連線的名稱為 vpn.test.com  (ip: 172.16.1.2)

所以在c:windowssystem32driverstest    hosts 檔案新增該筆資料

修改用戶端連線設定

1. 連線名稱改為:  vpn.test.com

2. 修改安全性選項 IKEv2

3.測試連線成功

如果用戶端連線名稱 或是 未安裝CA 會出現無法連線訊息(如下圖)

本篇瀏覽人數: 6423