1、配置 windows 2008 作为远程访问 SSL-VPN 服务器系列之一一、新的协议 SSTP 的支持及介绍随着 windows server 2008 的发布,相信新的功能和特性让 IT PRO 们兴奋不已,在新的功能中,SSTP 协议支持让通过 WINDOWS 2008 进行 SSL-VPN访问成为了可能。SSTP 是微软提供的新一代的虚拟专用网(VPN)技术,它的全称是安全套接层隧道协议(Secure Socket Tunneling Protocol;sstp),和 PPTP L2TP OVER IPsec 一样,也是微软所提供的 VPN 技术。在拥有最大弹性发挥的同时,又确保信息
2、安全达到了一定程度。目前,支持 SSTP 技术的仅限 于如下 OS: Windows XP Sp3、Windows Vista Sp1 以及 Windows 2008。通使用此项新技术,可以使防火墙管理员能更容易的配置策略使 SSTP 流量通过其防火墙。它提供了一种机制,将 PPP 数据包封装在 HTTPS 的 SSL 通讯中,从而使 PPP 支持更加安全身份验方法,如 EAP-TLS 等。二、PPTP 及 L2TP OVER IPSEC 在使用过程中的不足新 的 SSTP 协议的支持,并没有完全否决 PPTP 及 L2TP OVER IPSEC 在微软产品所组成的解决方案中的作用,当企业使用
3、基于 WINDOWS 平台的 VPN 解决方案时,这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEB PROXY 时却都有可能发生一些连线方面的问题。PPTP 数据包通过防火墙时,防火墙需被设定成同时充许 TCP 连接以及 GRE封 装的数据通过,但大部分 ISP 都会阻止这种封包,从而造成连线的问题;而当你的机器位于 NAT 之后,NAT 亦必需被设定成能转发 GRE 协议封装的数据包。否则就会造成只能建立 PPTP 的 TCP 连接,而无法接收 GRE 协议封装的数据包;WEB PROXY 是不支持 PPTP 协议的。L2TP OVER IPSEC 的
4、情况和此类似,需要在防火墙上充许 IKE 数据和 ESP封装的数据同时通过,否则也会出现连接问题。且 WEB PROXY 也是不支持 L2TP OVER IPSEC 协议的。三、SSTP 的执行过程上面简要介绍了 SSTP 协议的优势以及 PPTP 等之前两种协议的不足,下面就来说下 XP WITH SP3 或是 VISTA WITH SP1 等客户端是如何连接到 WINDOWS 2008 SSL(SSTP)VPN 服务器的:1、SSTP VPN 客户端以随机的 TCP 端口建立 TCP 连接至 SSTP VPN 服务器(常常是 SSTP VPN 网关服务器)上的 TCP 443 端口。2、S
5、STP VPN 客户端发送一个 SSL “Client-Hello”消息给 SSTP VPN 服务器,表明想与此建立一个 SSL 会话。3、SSTP VPN 服务器发送“其机器证书”至 SSTP VPN 客户端。4、SSTP VPN 客户端验证机器证书,决定 SSL 会话的加密方法,并产生一个以SSTP VPN 服务器公钥加密的 SSL 会话密钥,然后发送给 SSTP VPN 服务器。5、SSTP VPN 服务器使用此机器证书私钥来解密收到的加密的 SSL 会话,之后两者之间所有的通讯都以协商的加密方法和 SSL 会话密钥进行加密。6、SSTP VPN 客户端发送一个基于 SSL 的 HTTP
6、(HTTPS)请求至 SSTP VPN 服务器。7、SSTP VPN 客户端与 SSTP VPN 服务器协商 SSTP 隧道。8、SSTP VPN 客户端与 SSTP VPN 服务器协商包含“使用 PPP 验证方法验(或EAP 验证方法)证使用者证书以及进行 IPV4 或 IPV6 通讯”的 PPP 连接。9、SSTP VPN 客户端开始发送基于 PPP 连接的 IPV4 或 IPV6 通讯流量(数据)。四、SSTP VPN 服务器环境搭建及说明测试环境较为简单,三台机器完成全部操作,其中两台是 WINDOWS SERVER 2008 企业版,一台是带有 SP1 的 VISTA。注意,这其中会
7、涉及到公有DNS 解析问题,在本试验中,以 HOSTS 文件中写入相关信息代替。网络拓朴及详细说明如下:1、图中 WIN2K8 DC 是一台 windows 2008 域制器,名为。充当 DC、CA(企业根)、FILE SERVER 角色。IP Add:10.0.0.2/24Gw:10.0.0.1 DNS:10.0.0.22、图中 RRAS 是一台 windows 2008 服务器,域成员,充当 RRAS 、IIS 服务器。两块网卡。NEI 网卡 IP Add:10.0.0.1/24DNS:10.0.0.2WAI 网卡 IP Add:166.111.8.2/24DNS:10.0.0.2(真实环
8、境中这块网卡是有网关和公有DNS 的)3、图中 VISTA 是一台带有 SP1 的 VISTA 手脑电脑,位于 INTERNET 上的任一位置。IP Add:166.111.8.1/24整个网络拓朴中的机器角色是通过 HYPER-V 上安装虚拟机器完成。实际生产环境中请按角色归位。整个实验执行流程如下:A、在 WIN2K8 DC 升级域控,安装 CA 角色(企业根)B、在 RRAS 这台机器上安装 RRAS(VPN,NAT)、IIS 角色,并能发布位于 DC 上的 CA URL。同时为本机申请证书。C、在 VISTA 机器上,建立 SSLVPN 连线至 VPN 服务器。(在此机器上写 HOST
9、S文件相关 DNS 域名解析结果)配置 windows 2008 作为远程访问 SSL-VPN 服务器系列之二在此部分中将进行如下操作:一、在 WIN2K8 DC 上安装 AD 证书服务,并设置为企业根。二、在 SSTP VPN 服务器上安装 IIS7.0三、在 SSTP VPN 服务器上使用 IIS7.0 中的证书请求向导,为 SSTP VPN 服务器请求一个机器证书。四、在 SSTP VPN 服务器安装 RRAS 角色,并配置其为 VPN 和 NAT 服务器。五、配置 NAT 服务器以发布 CRL(证书吊销列表)一、在 WIN2K8 DC 上安装 AD 证书服务,并设置为企业根。1、在 W
10、IN2K8 DC 上,打开服务器管理器,在“角色”中点选“添加角色”,并在弹出添加角色向导中点选“ACTIVE DIRECTORY 证书服务”,下一步:2、在“选择角色服务”窗口中,选择“证书颁发机构”以及“证书颁发机构WEB 注册”两项,同时,在选择“证书颁发机构 WEB 注册”后弹出的窗口中,点“添加必要的角色服务”。下一步:3、在“指定安装类型”窗口中,选择“企业“项。(当然也可以选择独立项,但显然,这不是这次实验的目的,如果今后有时间,我会以此次实验拓朴为原型,改变 CA 角色到 SSTP VPN 服务器上,并设置成独立 CA。也许还简单些。)下一(几)步:4、中间一些过程略去,实在没
11、有什么可要说明的。在“为 CA 配置加密“以及”配置 CA 名称“两个界面,均按默认设置,并下一步:5、在“确认安装选择“界面,通过下拉右侧按钮可以清楚的看到之前的设定,如果你认为没有问题,就选择安装,如果你认为还需要更改,就选上一步。此处,选择”安装“。6、“AD CS“,AD 证书服务安装完成后的界面如下。至此,完成了 AD CS 的角色及角色服务安装。二、在 SSTP VPN 服务器上安装 IIS7.0在上一个板块,已介绍了如何在 WIN2K8 上安装 CA 角色,并同时安装了WEB 注册程序。接下来的操作将会在 SSTP VPN 服务器进行。进行安装之前,请确认 SSTP VPN 服务
12、器加入了域:。且在此机器登陆时是以域用户登陆。在此场景中,偶是以域管理员身份在 SSTP VPN 服务器上登陆域的(contosoadministrator)。通常情况下,并不建议把 WEB 服务器安装在一个负责网络安全的设备中,在此场景中,在 SSTP VPN 服务器中安装 IIS7.0 的目的,就是借此来在线递交企业 CA 一个其机器证书申请。如果采用的是独立 CA,且把证书服务安装在 SSTP VPN 服务器上,你就可以省去一些麻烦,至少不用在接下来图中安装一些 IIS7.0 的安全组件了。但很显然,这不是设计此次实验的目的。接下来,请根据我的图示一步一步进行操作:1、在 SSTP VP
13、N 服务器中,打开“服务器管理器”,并在角色面板中选择“添加角色”。2、在“选择服务器角色”界面,选择”WEB 服务器(IIS)”,并在弹出的“添加角色向导”界面中,点“添加必需的功能”按钮。(此时,所安装的只是默认配置,还需要进行定制)才能满足实验需求并下一步:3、在“选择角色服务”界面,拖动按钮至中间,并在“安全性”选项前全部打上对勾,请务必如此,这些动作是为下面的服务器证书做好组件安装准备的,否则你就不能使用证书申请向导了。选择后,下一步:4、在出现的“确认安装选择”界面,点下方的“安装”按钮,进行角色及角色服务的安装进程。一些时间后出现“安装结果”窗口,安装完成。“关闭”窗口。三、在
14、SSTP VPN 服务器上使用 IIS7.0 中的证书请求向导,为 SSTP VPN 服务器请求一个机器证书。在二中,我们定制安装了 IIS7.0 服务器,接下来的操作就是为 SSTP VPN服务器申请一个机器证书。SSTP VPN 服务器需要一个机器证书来创建与 SSL VPN 客户端的 SSL VPN 确连接。这个机器证书中的“通用名称”必需是 SSL VPN 客户端连接 SSTP VPN 服务器所使用的名子(DNS 域名)。故为了解析 SSTP VPN 服务器的公网 IP 地址,需要为此名字创建 DNS 记录。以下操作是在 SSTP VPN 服务器中进行。1、 打开服务器管理器,展开“角
15、色”至“INTERNET 信息服务器”(也可以通过管理工具打开它)项。并点选中间控制面板中的 VPN(VPNadministrator)(严重注意,此处应是 contosoadministrator,这个截图是我没有以域用户登陆的结果, 但此时,并不会影响接下来的实验的)。在右侧控制面板中可以看到“服务器证书”选项。接下的操作都与此有关。双击或是点右上角的“打开功能”以打开它。2、 在打开的“服务器证书”控制面板中,选择右侧的“创建域证书”,并在弹出的“可分辨名称属性”对话框中,填入图中所示内容(你可以有所不同,根据环境需 要)。值得注意的是,这里的 ,是对应当到SSTP VPN 服务器的外部
16、 IP 的,由于这里只是测试环境,你需要在 SSTP VPN 客户端的主机文件里新建 DNS A 记录。下一步:3、此时的登陆帐号是 contosoadministrator,实际上第一步开始就应当是如此显示,但做到这一步时才发现,故之前两张截图并没有更改 过来,请有心人注意。也只有显示 contosousers 这样的情况时,才会出现图中标示的“选择”按钮可用。否则,你只有手动填写,并有可能出现验证 问题。点选“选择”按钮,在弹出的对话框中选择证书颁发机构。确定。并在“好记名称”对话框中填上你认为的好记的称便可。然后,点“完成“按钮。3、下图所示是创建完成后的证书申请属性的“详细信息“界面。
17、四、在 SSTP VPN 服务器安装 RRAS 角色,并配置其为 VPN 和 NAT 服务器。在 WINDOWS 2008 里,路由和远程访问服务器安装方法和之前的 WINDOWS系统有所不同,它作为一项角色服务包含在“网络策略和访问服务”角色中。而“网络策略和 访问服务”提供网络策略服务器(NPS)、路由与远程访问、健康注册颁发机构(HRA)和主机凭据授权协议(HCAP),这些都有助于网络的健康和安全。在此次实验中,本不需要 NAT 服务器角色的,为何,不但要把此 SSTP VPN 服务器做为 VPN 服务器,还要实现其 NAT 的功能呢?前面已讲到,SSL VPN客户端需要下载 CRL,这
18、时的 NAT 功能就是起到转发此通讯流量至内部网络的AD CA 服务器上。否则,SSTP VPN 服务器连接将失效。同时,为了能访问内部网络的 CRL,不但要配置 SSTP VPN 服务器做为 NAT服务器,还要在通过 NAT 来发布 CRL(也许,在生产环境中,你需要通过一个防火墙来发布此 CRL)。1、打开服务器管理器,并展开“角色”项。点右侧面板的“添加角色”按钮。在弹出的“选择服务器角色”窗口中,选择“网络策略与访问服务”。下一步:2、在弹出的“选择角色服务”窗口中,选择“路由和远程访问服务”,并确保“远程访问服务”、“路由”两项被选定。并点下一步,直至完成此角色的安装。3、完成安装后
19、,展开“角色”、“网络策略和访问服务”,右键选择“配置并启用路由和远程访问”。4、在“路由和远程访问服务欢迎向导”界面,点下一步。5、在弹出的“配置”界面,在“虚拟专用网络(VPN)和 NAT”打上对勾。下一步:6、在“VPN 连接”界面,选择名称为“WAI”的网卡,下一步:7、在接下来的界面中选择“来自一个指定的地址范围”,并下一步,在“地址范围分配”界面,输入新的地址范围,并确定后,下一步:8、在“管理多个远程访问服务器”界面,由于没有内部的 RADIUS 服务器,此处选择第一项“否,使用路由和远程访问来对连接进行身份验证”。下一步:9、在“正在完成路由和远程访问服务服务器安装向导”界面,
20、点完成,并在弹出的消息对话框中点”OK”。10、完成配置后,展开至“端口”处,并下拉右侧按钮至中间,此时,可以看到 SSTP 已创建。五、配置 NAT 服务器以发布 CRL(证书吊销列表)为了能使 SSL VPN 客户端下载到 CRL,就需要配置 NAT 服务器,以发布位于内部的 AD CA 服务器上的 CRL。但访问 CRL 的 URL 地址是什么呢,也许你可以通过下图的操作来发现(标示为黄色部分)URL 为 :1、展开“路由各远程访问”至“NAT”项,在右侧的面板中,右键单击“WAI”,选属性:2、在“WAI 属性”界面中,移动鼠标至“服务和端口”项,并找到“WEB 服务器(HTTP)”,点选后,会弹出“编辑服务”界面,在“专用地址”对话框中,填入内部的 AD CA 服务器的 IP 地址:10.0.0.2,并两次确定后,完成此次操作。此处注意的是考虑到是实验环境,需要在 SSL VPN 客户端的主机文件中添加上针对此次发布的 DNS A 记录项。
