VPN服務(wù)器證書(shū)設(shè)置

接下來(lái)將進(jìn)行的是在整個(gè)IKEv2 VPN服務(wù)器安裝設(shè)置中最關(guān)鍵的步驟，那就是關(guān)于服務(wù)器證書(shū)的配置部分。請(qǐng)?jiān)诎惭b有證書(shū)服務(wù)器的主機(jī)上從“系統(tǒng)管理工具”下拉菜單中開(kāi)啟“證書(shū)授權(quán)單位”，然后在“證書(shū)范本”節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，單擊“管理”繼續(xù)。在開(kāi)啟“證書(shū)范本控制臺(tái)”界面之后，找到系統(tǒng)內(nèi)置的“IPSec”模板項(xiàng)目，點(diǎn)擊鼠標(biāo)右鍵，單擊“復(fù)制范本”繼續(xù)。在“重復(fù)的模板”信息窗口中，選取“Windows Server 2003 Enterprise”項(xiàng)目并且單擊“確定”繼續(xù)。

打開(kāi) “新模板的屬性”之后，在“一般”的頁(yè)面中先輸入自定義的模板顯示名稱(chēng)（例如 ：VPN Reconnect），然 后決定好默認(rèn)的有效期間（默認(rèn)=2年）繼續(xù)。切換到“處理要求”頁(yè)面中，將“允許導(dǎo)出私鑰”項(xiàng)目勾選繼續(xù)。在“主體名稱(chēng)”頁(yè)面中，將此頁(yè)面選項(xiàng)設(shè)置修改為“在要求中提供”，并且確認(rèn)“為自動(dòng)注冊(cè)更新要求使用來(lái)自現(xiàn)有證書(shū)的主體信息”選項(xiàng)已取消勾選狀態(tài)。在上述的操作設(shè)置中可能會(huì)出現(xiàn)警告信息，無(wú)需理會(huì)。單擊“確定”繼續(xù)。

接著，切換到“延伸”頁(yè)面中，在選取了“應(yīng)用程序策略”項(xiàng)目之后，單擊“編輯”按鈕。如在“編輯應(yīng)用程序策略延伸”頁(yè)面中，首先必須確認(rèn)目前已經(jīng)存在“IP安全性IKE中繼”項(xiàng)目。緊接著，單擊“新增”按鈕。在“新增應(yīng)用程序策略”的頁(yè)面中，選取“服務(wù)器驗(yàn)證”項(xiàng)目，并且單擊“確定”繼續(xù)。再次回到“延伸”頁(yè)面中，在選取“密鑰使用方法”項(xiàng)目之后單擊“編輯”按鈕繼續(xù)。

在“編輯密鑰使用方法延伸”頁(yè)面，確認(rèn)“數(shù)字簽名”選項(xiàng)目前已經(jīng)勾選。再次回到上一層頁(yè)面中之后，單擊“確定”完成自定義證書(shū)模板的建立。

接下來(lái)，在“證書(shū)授權(quán)單位”界面的“證書(shū)范本”節(jié)點(diǎn)上，按下鼠標(biāo)右鍵，單擊“新增→要發(fā)出的證書(shū)范本”。開(kāi)啟“啟用證書(shū)模板”頁(yè)面之后，選取在前面步驟中我們所建立的證書(shū)模板項(xiàng)目（例如 ：VPN Reconnect）。單擊“確定”。

VPN服務(wù)器證書(shū)安裝

接下來(lái)，我們必須到準(zhǔn)備作為IKEv2 VPN的主機(jī)中來(lái)申請(qǐng)服務(wù)器證書(shū)。請(qǐng)?jiān)陂_(kāi)啟IE瀏覽器之后，單擊位于“工具”下拉菜單中的“網(wǎng)際網(wǎng)絡(luò)選項(xiàng)”。在“安全性”頁(yè)面中先選擇“近端內(nèi)部網(wǎng)絡(luò)”，然后在“此區(qū)域的安全性等級(jí)”設(shè)置中將它變更為最低狀態(tài)即可。

關(guān)于這項(xiàng)安全性設(shè)置的修改，主要目的在于方便我們后續(xù)通過(guò)瀏覽器來(lái)申請(qǐng)IKEv2 VPN服務(wù)器證書(shū)，然而如果是在實(shí)際的環(huán)境當(dāng)中，通常會(huì)因安全性的考慮不會(huì)直接修改上述設(shè)置，而是改單擊“自定義等級(jí)”按鈕。在近端內(nèi)部網(wǎng)絡(luò)區(qū)域的安全性設(shè)置頁(yè)面中，事實(shí)上我們只要將位于“ActiveX控件與插件”類(lèi)別中的“二進(jìn)制和腳本行為”選項(xiàng)設(shè)置成“啟用”即可。接下來(lái)，在網(wǎng)址列中輸入要連接的證書(shū)服務(wù)器網(wǎng)址（例如：http：//dc01/certsrv），此時(shí)將會(huì)開(kāi)啟“證書(shū)服務(wù)”頁(yè)面。單擊“要求證書(shū)”連接繼續(xù)。在“要求證書(shū)”頁(yè)面中，單擊“進(jìn)階證書(shū)要求”連接繼續(xù)。此時(shí)，將會(huì)出現(xiàn)ActiveX不安全的相關(guān)警告訊息，單擊“是”繼續(xù)。

注意：如果沒(méi)有出現(xiàn)此警告信息，即表示您未完成前面步驟中的IE安全性設(shè)置。

接著，將會(huì)出現(xiàn)“Web訪問(wèn)確認(rèn)”的警告信息息，單擊“是”繼續(xù)。來(lái)到“進(jìn)階證書(shū)要求”頁(yè)面中，請(qǐng)先從證書(shū)模板下拉菜單中選取我們?cè)谇懊娌襟E中所建立的證書(shū)模板項(xiàng)目（例 如：VPN Reconnect），接著在“名稱(chēng)”字段中輸入將提供給遠(yuǎn)程用戶連接的VPN地 址（例 如：vpn01.msft.com），這個(gè)地址必須同樣在外部DNS區(qū)域中有著相同的A記錄以供Internet解析才可以。最后，陸續(xù)完成其他字段信息的輸入，并且單擊“提交”按鈕即可。

此時(shí)，將會(huì)出現(xiàn)“證書(shū)已發(fā)出”的頁(yè)面，單擊“安裝這個(gè)證書(shū)”連接繼續(xù)。等待成功完成了服務(wù)器證書(shū)的安裝之后，將會(huì)出現(xiàn)安裝的頁(yè)面，即表示目前的證書(shū)已經(jīng)儲(chǔ)存在本機(jī)計(jì)算器之中，請(qǐng)關(guān)閉瀏覽器窗口。

調(diào)整證書(shū)安裝位置

在前面步驟中，雖然已經(jīng)完成了IKEv2 VPN服務(wù)器證書(shū)的申請(qǐng)與安裝，但是，目前證書(shū)的默認(rèn)自動(dòng)儲(chǔ)存位置并不正確，因此，必須進(jìn)行證書(shū)儲(chǔ)存位置的修該。在開(kāi)啟MMC界面之后，在執(zhí)行“新增或移除嵌入式管理單元”頁(yè)面中，選取“證書(shū)”項(xiàng)目與單擊“新增”時(shí)，分別將“目前用戶”與“本機(jī)計(jì)算器”的證書(shū)類(lèi)型都一一加入。單擊“確定”繼續(xù)。

開(kāi)啟“目前用戶”的證書(shū)節(jié)點(diǎn)之后，在“個(gè)人→證書(shū)”節(jié)點(diǎn)頁(yè)面中找到前面步驟中所申請(qǐng)安裝的證書(shū)項(xiàng)目，然后點(diǎn)擊鼠標(biāo)右鍵，單擊“所有工作→導(dǎo)出”繼續(xù)。在執(zhí)行“證書(shū)導(dǎo)出向?qū)А边^(guò)程中，首先在“導(dǎo)出私鑰”的頁(yè)面中選取“是，導(dǎo)出私鑰”項(xiàng)目，單擊“下一步”。

在“導(dǎo)出文件格式”頁(yè)面中，不需要修改任何設(shè)置，直接單擊“下一步”。在“密碼”頁(yè)面中設(shè)置一組用以保護(hù)后續(xù)證書(shū)檔案的密碼，單擊“下一步”繼續(xù)。在“要導(dǎo)出的檔案”頁(yè)面中，單擊“瀏覽”按鈕來(lái)設(shè)置儲(chǔ)存導(dǎo)出證書(shū)檔案的路徑。連續(xù)單擊“下一步”完成導(dǎo)出操作。接下來(lái)，單擊“證書(shū)（本機(jī)計(jì)算器）→個(gè)人”，點(diǎn)擊鼠標(biāo)右鍵，單擊“所有工作→導(dǎo)入”繼續(xù)。

在“導(dǎo)入檔案”的頁(yè)面中，單擊“瀏覽”按鈕，此時(shí)將會(huì)開(kāi)啟“開(kāi)啟舊文件”窗口，請(qǐng)先在文件類(lèi)型下拉菜單中選取“個(gè)人信息交換（*.pfx，*.p12）”，然后再瀏覽至證書(shū)檔案的路徑，便可以看到前面步驟中所導(dǎo)出的證書(shū)檔案。選取之后，單擊“開(kāi)啟舊文件”按鈕繼續(xù)。在“導(dǎo)入檔案”頁(yè)面中完成證書(shū)檔案路徑設(shè)置，單擊“下一步”。

在“密碼”頁(yè)面中，輸入用以開(kāi)啟導(dǎo)入證書(shū)檔案的保護(hù)密碼，確認(rèn)無(wú)誤之后，單擊“下一步”。在“證書(shū)存放區(qū)”頁(yè)面中，選取“將所有證書(shū)放入以下的存放區(qū)”，然后單擊“瀏覽”，并且選取“個(gè)人”。單擊“下一步”。最后，在“完成證書(shū)導(dǎo)入向?qū)А钡捻?yè)面中，可以看到設(shè)置摘要，確認(rèn)無(wú)誤之后，單擊“完成”即可。當(dāng)服務(wù)器證書(shū)成功導(dǎo)入之后，將會(huì)出現(xiàn)導(dǎo)入成功的信息。

成功完成服務(wù)器證書(shū)的導(dǎo)入之后，我們將可以在“證書(shū)（本機(jī)計(jì)算器）→個(gè)人→證書(shū)”節(jié)點(diǎn)頁(yè)面中看到該證書(shū)檔案。除了上述必要的服務(wù)器證書(shū)之外，無(wú)論是對(duì)于遠(yuǎn)程客戶端計(jì)算器或是IKEv2 VPN服務(wù)器本身，在它們的“證書(shū)（本機(jī)計(jì)算器）→受信任的根證書(shū)授權(quán)單位→證書(shū)”節(jié)點(diǎn)中，都必須確認(rèn)已存放了來(lái)自相同證書(shū)服務(wù)器的證書(shū)檔案。關(guān)于此證書(shū)檔案的下載與安裝，您可以手動(dòng)從證書(shū)服務(wù)器網(wǎng)站上來(lái)下載，或是讓計(jì)算器在加入域中不久之后也會(huì)自動(dòng)下載。