L2TP/IPsec VPN 在伺服器與用戶端設定採用電腦CA驗證較佳
沿用 L2TP/IPsec LAB環境
企業內部網段 192.168.1.0/24
模擬網際網路環境 : 172.16.1.0/24
網域: test.com
DC/dns/dhcp Server: 192.168.1.1
VPN Server :
內網卡: 192.168.1.4
外網卡: 172.16.1.2/24
VPN 用戶 Win7 : 172.16.1.1/24
dhcp 發送IP區段 : 192.168.1.100 – 192.168.1.200
架設環境請參考 https://blog.pmail.idv.tw/?p=890
L2TP/IPsec CA驗證設定方式
1.企業根CA安裝
- 新增 AD CS 角色
勾選[憑證授權單位網頁註冊] 會跳出安裝所需角色視窗
選擇 企業
選擇 根CA
選擇 建立新的私密金鑰
使用預設方式建立即可
設定CA 名稱 TEST Enterprise Root (自行設定即可)
設定有效期限 5年
設定CA資料庫 使用預設路徑及可
IIS設定 直接下一步
選取角色服務,系統會自動帶出所需安裝角色服務 下一步即可
點安裝
安裝中
安裝完畢
- VPN Server 信任 CA
由於VPN Server 是在網域下的成員.架設的CA是企業根CA, 所以網域成員會自動信任企業CA
可以在 IE – 網際網路選項 — 內容標籤 — 點選 憑證 — 點選授信任的跟憑證授權單位
檢查(如下圖)
若是沒有出現 ,可直接 下指令 gpupdate /force
就可以看到 TESTE Enterprise Root (如下圖)
- VPN Server 申請及安裝電腦憑證
利用MMC工具(如下圖)
在個人 — 滑鼠右鍵 — 所有工作 — 要求新憑證
點詳細資料 — 內容
點選 私密金鑰標籤 — 金鑰選項 的詳細內容 , 勾選 可匯出私密金鑰
勾選 電腦 按 註冊
安裝完成
檢查該憑證具備伺服器驗證功能,發放給 pmail-nat.test.com
- 用戶端憑證安裝
因用戶端在外部網路,所以可以將VPN Server 憑證匯出後
拿到用戶端匯入即可
需匯出 CA的根憑證 ,及VPN伺服器的電腦憑證1.CA 根憑證匯出 (ca.cer)
2. VPN Server 電腦憑證匯出(需匯出私密金鑰) (vpn.pfx)
3.將匯出的憑證COPY到用戶端
4. 用戶端安裝 CA 跟憑證 ca.cer
利用MMC工具(如下圖) 選擇 電腦憑證
在受信任跟憑證授權單位 –憑證 滑鼠右鍵 匯入 選到 ca.cer檔案路徑(如下圖)
匯入成功
5. 用戶端安裝VPN 電腦憑證 vpn.pfx
利用MMC工具(如下圖) 選擇 電腦憑證
在 個人 — 滑鼠右鍵 匯入 選到 vpn.pfx檔案路徑(如下圖)
輸入 匯出時的密碼
- 匯入成功
- 修改 用戶端 驗證方式
- 測試連線OK
若把用戶端憑證刪除,驗證方式還是選CA驗證就會失敗
- 錯誤訊息如下 (此錯誤訊息是只有將VPN伺服器電腦CA刪除信任根CA)
此錯誤訊息是 刪除信任根CA 保留VPN伺服器電腦CA
所以兩個憑證必須確定在用戶端電腦上面才可以連線成功
本篇瀏覽人數: 7554
請問大大!!您建CA前有先建立AD嗎?
我看您的步驟操作,我要求新憑證時AD註冊原則沒有”電腦”可以選
請問您是如何設定出來的?
您好
1.我有建置AD
2.在該畫面右下方又一個箭頭點選應該就可以看到
您好,最近我正在測試 MS 2003 上的 L2TP over IPSec (CA)
剛好查到您的介劭,很仔細,
想請問您,若我沒有建立 AD 的情況下,
您是否有測試過呢?
目前我的環境是使用 windows server 2003 架設
然後 Client是以 win 7 裝 Server發行的 CA 進行測試,一直都連不上,
所以,想請教您有關此設定是否有問題呢?
謝謝您~~
非常需要您的幫忙~~~
感謝!!!!
您好
我沒有測試過在不適AD環境下的設定
我想應該在您的vpn server 主機上也要安裝憑證 win7 也要安裝
CA 有問題機率大一些吧
要建立憑證一定要在有 DC 的環境下
您好
微軟CA伺服器,沒有一定要架設在網域環境下
也可以架設獨立的CA 伺服器