使用计算机证书的 L2TPIPSec VPN 连接 下载本文

2. 在VPN服务器打开IE,键入http://10.1.1.1/certsrv/。申请证书—>高级证书申请—>创建并向此CA提交一个申请。

注意事项:在高级证书申请里的姓名一定要与VPN Server相同(VPN Server的主机名可在CMD里键入hostname命令获取),证书类型选择IPSec证书,勾选上可导出私钥。其余保持默认。

3.在CA服务器上颁发证书

4.在VPN服务器打开IE,键入http://10.1.1.1/certsrv/-->选择“查看挂起的证书申请的状态”的任务--> “IPSec 证书 ([时间]) ” --> “安装此证书”--> “该 CA 不受信任。若要信任从该证书颁发机构颁发的证书,请安装该 CA 证书”将证书安装至“受信任的根证书颁发机构”。然后,在当前IE浏览器的窗口点刷新,点“安装此证书”-->至出现“ 您的新证书已成功安装。”即可。

5.在VPN服务器“开始”—“运行”键入“mmc”—在控制台窗口“文件”—“添加/删除管理单元”—将“证书”添加进行(重复两次该操作,第一次将“我的用户帐户”添加进去,第二次将“计算机账户”添加进去)。

导出证书:

1在[当前用户\\个人\\证书]中将个人证书(.pfx文件)导出,注意导出证书时要点选导出私钥。 2在[当前用户\\受信任的根证书颁发机构]中将个人证书(.cer文件)导出,导出向导的按默认走就行了。

3导出导入证书完毕后,重启“路由和远程访问”。 三、外网客户端证书申请与配置

由于外网客户端与处在内网的CA服务器无法直接连接,所以外网客户端无法直接申请证书。有以下方法可以解决这个问题:

1. 直接将VPN服务器的证书导出,然后将这些证书文件复制至外网客户端虚拟机上,并将这些证书分别导入到外网客户端的“个人”与“受信任的根证书颁发机构”文件夹。

2.先用PPTP方式的VPN连接到CA服务器进行申请证书。 3. 在VPN服务器上启用NAT。

4. 暂时更改外网客户端IP为与CA同一网段。

这里将使用第2种方法进行申请证书操作。详细步骤如下:

控制面板\\网络和 Internet\\网络和共享中心里创建一个VPN连接,步骤如下:

1.“设置新的连接或网络”-- “连接到工作区”--“使用我的Internet连接(VPN)”--“我将稍后设置Internet连接”—在Internet地址处键入VPN服务器外网的IP(这里为220.1.1.254)--下一步,完成。

2.在VPN服务器上创建一个用户,然后给该用户分配“允许拨入”权限。步骤如图: 开始—键入“lusrmgr”,进入到以下界面:

至此,我们可以用该账号及密码以PPTP方式进行VPN拨号了。