Windows Server 2008 配置SSTP ***--即SSL ***

1.1 实战：配置SSTP ***

配置***使用SSTP协议，这样到内网的通信使用TCP的443端口。在绝大多数情况下防火墙是开放此端口的。

目标：

? 在RASServer上申请RAS证书

? 在RASServer上配置NAT端口映射允许Internet计算机能够访问企业CA检查证书吊销情况

? 在RemotePC上配置计算机信任企业证书颁发机构

? 在RemotePC上使用SSTP拨入内网

实验环境同上。

1.1.1 在RASServer上申请RAS证书

步骤：

1. 在RASServer上，点击“开始”à“运行”，输入mmc，点击“确定”，打开控制台。

2. 点击“文件”à“添加删除管理单元”。

3. 在出现的添加或删除管理单元对话框，点中“证书”，点击“添加”。

4. 在出现的证书管理单元对话框，选择“计算机帐户”，点击“下一步”。

5. 在出现的选择计算机对话框，选择“本地计算机”，点击“完成”。

6. 在添加删除管理单元对话框，点击“确定”。

7. 在控制台对话框，右击“个人”，点击“所有任务”à“申请证书”。

8. 在出现的在您开始之前对话框，点击“下一步”。

9. 在出现的申请证书对话框，选中“计算机”，点击“注册”。

10. 在证书安装结果对话框，点击“完成”。

11. 双击申请的证书，打开证书对话框，在详细信息标签下，可以看到证书吊销列表的URL=http://dcserver.ess.com/CertEnroll/ess-DCSERVER-CA.crl。这就意味着RASServer服务器向客户机出示证书时，客户机必须能够访问该URL检查证书是否被吊销。必须配置端口映射才能使Internet上的计算机能够访问内网的CA服务器。

12. 在命令提示符下，输入netstat –a，可以看到没有打开TCP的443端口，也就意味着，如果远程访问服务器没有服务器证书，***没有打开SSTP协议使用的443端口。

13. 右击RASServer，点击“所有任务”à“重新启动”。

14. 重启完路由和远程访问服务后，可以看到已经打开了TCP的443端口。

1.1.2 在RASServer使用端口映射发布证书颁发机构

为了让Internet上的用户能够访问证书颁发机构检查证书吊销情况，需要使用端口映射发布证书颁发机构的Web站点。

步骤：

15. 在RASServer上，右击IPv4下的“常规”，点击“新增路由协议”。

16. 在出现的新增路由协议对话框，选中“NAT”，点击“确定”。

17. 右击“NAT”，点击“新增接口”。

18. 在出现的IPNAT的新接口对话框，选择“Internet”，点击“确定”。

19. 在出现的网络地址转换-Internet属性对话框，选择“公用接口链接到Internet”，选中“在此接口上启用NAT”，点击“确定”。

20. 右击“NAT”，点击“新增接口”。

21. 在出现的IPNAT的新接口对话框，选中“in”，点击“确定”。

22. 在出现的网络地址转换-in属性对话框，选择“专用接口链接到专用网络”，点击“确定”。

23. 右击NAT下的Internet接口，点击“属性”。

24. 在出现的Internet属性对话框，在服务和端口标签下，选中“Web服务器（HTTP）”，点击“编辑”。

25. 在出现的编辑服务对话框。输入专用地址172.16.0.100，点击“确定”。

26. 在Internet属性对话框，选中“Web服务器（HTTP）”，点击“确定”。

1.1.3 在RemotePC上配置SSTP ***客户端

任务：

? 配置RemotePC的hosts文件，添加RASServer.ess.com和DCServer.ess.com域名到RASServer公网IP地址的对应。

? 下载证书颁发机构的数字证书，并添加到受信任的根证书颁发机构。

? 配置***客户端使用域名RASServer.ess.com拨入到内网。

? 配置***类型为SSTP。

? 查看SSTP ***建立的会话。

步骤：

27. 在RemotePC上，打开c:\Windows\System32\drivers\etc目录下，右击hosts文件，点击“打开”。

28. 在出现的打开方式对话框，选择“记事本”，点击“确定”。

29. 在打开的记事本中，添加23.23.2.2 dcserver.ess.com和23.23.2.2 RASServer.ess.com两条记录，保存并关闭记事本，

30. 在命令提示符下，ping dcserver.ess.com和ping rasserver.ess.com，均能解析到RASServer外网卡的IP地址。

31. 打开IE浏览器，访问http://dcserver.ess.com/certsrv，在出现的登录对话框，输入用户名和密码，点击“确定”。

32. 登录成功后，点击“下载CA证书、证书链或CRL”。

33. 在出现的信息栏对话框，点击“关闭”。

34. 点击“下载CA证书链”，在出现的文件下载对话框，点击“保存”。

35. 在出现的另存为对话框，注意保存类型和文件名，点击“保存”。

36. 下载完毕后点击“关闭”。

37. 点击“开始”à“运行”，输入MMC，点击“确定”，打开控制台。

38. 点击“文件”à“添加/删除管理单元”。

39. 在出现的添加或删除管理单元对话框，点中“证书”，点击“添加”。

40. 在出现的证书管理单元对话框，选择“计算机帐户”，点击“下一步”。

41. 在出现的选择计算机对话框，选择“本地计算机”，点击“完成”。

42. 在添加或删除管理单元对话框，点击“确定”。

43. 在受信任的根证书颁发机构下，右击“证书”，点击“所有任务”à“导入”。

44. 在出现的欢迎使用证书导入向导对话框，点击“下一步”。

45. 在出现的要导入的文件对话框，点击“浏览”，在出现的打开对话框，文件类型选择“所有文件”，选中下载证书颁发机构的证书，点击“打开”。

46. 在要导入的文件对话框，点击“下一步”。

47. 在正在完成证书导入向导对话框，点击“完成”。

48. 在出现的导入成功对话框，点击“确定”。

49. 打开网络连接，右击“公司网络”，点击“属性”，打开公司网络属性对话框，在常规标签下输入目标主机的域名RASServer.ess.com。在这里必须使用目标主机的域名而不是IP地址。因为服务器要出示给客户机数字证书，该数字证书包含服务器的名称RASServer.ess.com，这样有助于验证服务器身份。

50. 在网络标签下，选择***类型“安全套接字隧道协议（SSTP）”，点击“确定”。

51. 可以看到***连接已经更改为SSTP类型，右击“公司网络”，点击“连接”。

52. 在出现的连接公司网络对话框，点击“连接”。

53. 可以看到连接成功。

54. 在命令提示符下输入netstat –n，可以看到SSTP ***建立的会话。

微软最有价值专家（MVP）从业12年录制500小时16G企业培训视频视频介绍网址 http://www.91xueit.com