Windows 2008 R2 L2TP/IPsec VPN (CA驗證)

L2TP/IPsec VPN 在伺服器與用戶端設定採用電腦CA驗證較佳

l2tp-CA

沿用 L2TP/IPsec  LAB環境

企業內部網段 192.168.1.0/24

模擬網際網路環境 : 172.16.1.0/24

網域: test.com

DC/dns/dhcp  Server: 192.168.1.1

VPN Server : 

內網卡:  192.168.1.4

外網卡: 172.16.1.2/24

VPN 用戶 Win7 : 172.16.1.1/24

dhcp 發送IP區段 : 192.168.1.100 – 192.168.1.200

架設環境請參考 http://blog.pmail.idv.tw/?p=890

L2TP/IPsec  CA驗證設定方式

1.企業根CA安裝

  • 新增 AD CS 角色

    ca1

    ca2

    勾選[憑證授權單位網頁註冊]  會跳出安裝所需角色視窗
    ca3

    ca4

    選擇 企業

    ca5

    選擇 根CA

    ca6

    選擇 建立新的私密金鑰

    ca7

    使用預設方式建立即可

    ca8

    設定CA 名稱  TEST Enterprise Root (自行設定即可)

    ca9

    設定有效期限 5年

    ca10

    設定CA資料庫 使用預設路徑及可

    ca11

    IIS設定 直接下一步

    ca12

    選取角色服務,系統會自動帶出所需安裝角色服務 下一步即可

    ca13

    點安裝

    ca14

    安裝中

    ca15

    安裝完畢

    ca16

  • VPN Server 信任 CA

    由於VPN Server 是在網域下的成員.架設的CA是企業根CA, 所以網域成員會自動信任企業CA

    可以在 IE – 網際網路選項  — 內容標籤 — 點選 憑證 — 點選授信任的跟憑證授權單位
    檢查(如下圖)
     
    ca17

    若是沒有出現 ,可直接 下指令 gpupdate /force

    ca18

    就可以看到  TESTE Enterprise Root (如下圖)

    ca19

  • VPN Server  申請及安裝電腦憑證

    利用MMC工具(如下圖)

    c20

    在個人 — 滑鼠右鍵 — 所有工作  — 要求新憑證

    ca21

    ca22

    點詳細資料 — 內容

    ca23

    點選 私密金鑰標籤 — 金鑰選項 的詳細內容 , 勾選 可匯出私密金鑰

    ca24

    勾選 電腦 按 註冊

    ca25

    安裝完成
    ca26

    檢查該憑證具備伺服器驗證功能,發放給 pmail-nat.test.com

    ca27

  • 用戶端憑證安裝

    因用戶端在外部網路,所以可以將VPN Server  憑證匯出後
    拿到用戶端匯入即可
    需匯出 CA的根憑證 ,及VPN伺服器的電腦憑證

    1.CA 根憑證匯出 (ca.cer)

      ca28
    2. VPN Server 電腦憑證匯出(需匯出私密金鑰) (vpn.pfx)

        ca29

    3.將匯出的憑證COPY到用戶端

    4. 用戶端安裝 CA  跟憑證 ca.cer
     

  •     利用MMC工具(如下圖)  選擇 電腦憑證
        ca30

       在受信任跟憑證授權單位 –憑證  滑鼠右鍵 匯入 選到 ca.cer檔案路徑(如下圖)

       ca31

      ca32

    匯入成功

    ca33

    5. 用戶端安裝VPN 電腦憑證 vpn.pfx
       
        利用MMC工具(如下圖)  選擇 電腦憑證
         ca30

        在 個人 — 滑鼠右鍵 匯入  選到 vpn.pfx檔案路徑(如下圖)

        ca34

        輸入 匯出時的密碼
        ca35

      ca36

    匯入成功

    ca37

    修改 用戶端 驗證方式

    ca38

      測試連線OK

      ca39

      若把用戶端憑證刪除,驗證方式還是選CA驗證就會失敗

      錯誤訊息如下 (此錯誤訊息是只有將VPN伺服器電腦CA刪除信任根CA)
      ca40

      此錯誤訊息是 刪除信任根CA 保留VPN伺服器電腦CA

      ca41

      所以兩個憑證必須確定在用戶端電腦上面才可以連線成功



      本篇瀏覽人數: 1943
      本篇發表於 VPN 伺服器篇。將永久鏈結加入書籤。

      Windows 2008 R2 L2TP/IPsec VPN (CA驗證) 有 6 則回應

      1. Ray 說道:

        請問大大!!您建CA前有先建立AD嗎?
        我看您的步驟操作,我要求新憑證時AD註冊原則沒有"電腦"可以選
        請問您是如何設定出來的?

      2. 榮哥 說道:

        您好

        1.我有建置AD
        2.在該畫面右下方又一個箭頭點選應該就可以看到

      3. l2tp_VPN 說道:

        您好,最近我正在測試 MS 2003 上的 L2TP over IPSec (CA)
        剛好查到您的介劭,很仔細,
        想請問您,若我沒有建立 AD 的情況下,
        您是否有測試過呢?

        目前我的環境是使用 windows server 2003 架設
        然後 Client是以 win 7 裝 Server發行的 CA 進行測試,一直都連不上,
        所以,想請教您有關此設定是否有問題呢?

        謝謝您~~

        非常需要您的幫忙~~~

        感謝!!!!

        • 榮哥 說道:

          您好

          我沒有測試過在不適AD環境下的設定
          我想應該在您的vpn server 主機上也要安裝憑證 win7 也要安裝
          CA 有問題機率大一些吧

      4. JJ 說道:

        要建立憑證一定要在有 DC 的環境下

      發表迴響

      您的電子郵件位址並不會被公開。 必要欄位標記為 *

      *

      您可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>