配置windows 2008 作爲遠程訪問SSL-×××服務器系列之一

一、新的協議SSTP的支持及介紹
       隨着windows server 2008的發佈，相信新的功能和特性讓IT PRO們興奮不已，在新的功能中，SSTP協議支持讓通過WINDOWS 2008進行SSL-×××訪問成爲了可能。
     SSTP 是微軟提供的新一代的虛擬專用網（×××）技術，它的全稱是安全套接層隧道協議（Secure Socket Tunneling Protocol;sstp），和PPTP L2TP OVER IPsec一樣，也是微軟所提供的×××技術。在擁有最大彈性發揮的同時，又確保信息安全達到了一定程度。
     目前，支持SSTP技術的僅限於如下OS：Windows XP Sp3、Windows Vista Sp1以及Windows 2008。通使用此項新技術，可以使防火牆管理員能更容易的配置策略使SSTP流量通過其防火牆。它提供了一種機制，將PPP數據包封裝在HTTPS的 SSL通訊中，從而使PPP支持更加安全身份驗方法，如EAP-TLS等。

二、PPTP及L2TP OVER IPSEC在使用過程中的不足
       新的SSTP協議的支持，並沒有完全否決PPTP及L2TP OVER IPSEC在微軟產品所組成的解決方案中的作用，當企業使用基於WINDOWS 平臺的×××解決方案時，這種協議仍是被常用來解決或是提升企業網絡安全性。但兩者的數據包通過防火牆、NAT、WEB PROXY時卻都有可能發生一些連線方面的問題。

     PPTP數據包通過防火牆時，防火牆需被設定成同時充許TCP連接以及GRE封裝的數據通過，但大部分ISP都會阻止這種封包，從而造成連線的問題；而當你的機器位於NAT之後，NAT亦必需被設定成能轉發GRE協議封裝的數據包。否則就會造成只能建立PPTP的TCP連接，而無法接收GRE協議封裝的數據包；WEB PROXY是不支持PPTP 協議的。

     L2TP OVER IPSEC的情況和此類似，需要在防火牆上充許IKE 數據和ESP封裝的數據同時通過，否則也會出現連接問題。且WEB PROXY也是不支持L2TP OVER IPSEC協議的。

三、SSTP的執行過程
   上面簡要介紹了SSTP協議的優勢以及PPTP等之前兩種協議的不足，下面就來說下XP WITH SP3 或是VISTA WITH SP1等客戶端是如何連接到WINDOWS 2008 SSL（SSTP）×××服務器的：
1、SSTP ×××客戶端以隨機的TCP端口建立TCP連接至SSTP ×××服務器（常常是SSTP ××× 網關服務器）上的TCP 443端口。

2、SSTP ×××客戶端發送一個SSL “Client-Hello”消息給SSTP ×××服務器，表明想與此建立一個SSL會話。

3、SSTP ×××服務器發送“其機器證書”至SSTP ×××客戶端。

4、SSTP ×××客戶端驗證機器證書，決定SSL會話的加密方法，併產生一個以SSTP ×××服務器公鑰加密的SSL會話密鑰，然後發送給SSTP ×××服務器。

5、SSTP ×××服務器使用此機器證書私鑰來解密收到的加密的SSL會話，之後兩者之間所有的通訊都以協商的加密方法和SSL 會話密鑰進行加密。

6、SSTP ×××客戶端發送一個基於SSL的HTTP（HTTPS）請求至SSTP ×××服務器。

7、SSTP ×××客戶端與SSTP ×××服務器協商SSTP隧道。

8、SSTP ×××客戶端與SSTP ×××服務器協商包含“使用PPP驗證方法驗（或EAP驗證方法）證使用者證書以及進行IPV4或IPV6通訊”的PPP連接。

9、SSTP ×××客戶端開始發送基於PPP連接的IPV4或IPV6通訊流量（數據）。

四、SSTP ×××服務器環境搭建及說明
     測試環境較爲簡單，三臺機器完成全部操作，其中兩臺是WINDOWS SERVER 2008企業版，一臺是帶有SP1的VISTA。注意，這其中會涉及到公有DNS解析問題，在本試驗中，以HOSTS文件中寫入相關信息代替。網絡拓樸及詳細說明如下：

1、圖中WIN2K8 DC是一臺windows 2008 域制器，名爲win2k8dc.contoso.com。
   充當DC、CA（企業根）、FILE SERVER角色。
   IP Add：10.0.0.2/24
           Gw：10.0.0.1
         DNS：10.0.0.2
2、圖中RRAS是一臺windows 2008服務器，域成員，充當RRAS 、IIS服務器。兩塊網卡。
   NEI 網卡IP Add：10.0.0.1/24
                   DNS：10.0.0.2
   WAI網卡IP Add：166.111.8.2/24
                   DNS：10.0.0.2（真實環境中這塊網卡是有網關和公有DNS的）
   3、圖中VISTA是一臺帶有SP1的VISTA手腦電腦，位於INTERNET上的任一位置。
           IP Add：166.111.8.1/24

       整個網絡拓樸中的機器角色是通過HYPER-V上安裝虛擬機器完成。實際生產環境中請按角色歸位。

整個實驗執行流程如下：
A、在WIN2K8 DC升級域控，安裝CA角色（企業根）
B、在RRAS這臺機器上安裝RRAS（×××,NAT）、IIS角色，並能發佈位於DC上的CA URL。同時爲本機申請證書。
C、在VISTA機器上，建立SSL×××連線至×××服務器。（在此機器上寫HOSTS文件相關DNS域名解析結果）

配置windows 2008 作爲遠程訪問SSL-×××服務器系列之二

在此部分中將進行如下操作：

一、在WIN2K8 DC上安裝AD證書服務，並設置爲企業根。
二、在SSTP ×××服務器上安裝IIS7.0
三、在SSTP ×××服務器上使用IIS7.0中的證書請求嚮導，爲SSTP ×××服務器請求一個機器證書。
四、在SSTP ×××服務器安裝RRAS角色，並配置其爲×××和NAT服務器。
五、配置NAT服務器以發佈CRL（證書吊銷列表）

一、在WIN2K8 DC上安裝AD證書服務，並設置爲企業根。
1、在WIN2K8 DC上，打開服務器管理器，在“角色”中點選“添加角色”，並在彈出添加角色嚮導中點選“ACTIVE DIRECTORY 證書服務”，下一步：

2、在“選擇角色服務”窗口中，選擇“證書頒發機構”以及“證書頒發機構WEB註冊”兩項，同時，在選擇“證書頒發機構WEB註冊”後彈出的窗口中，點“添加必要的角色服務”。下一步：

3、在“指定安裝類型”窗口中，選擇“企業“項。（當然也可以選擇獨立項，但顯然，這不是這次實驗的目的，如果今後有時間，我會以此次實驗拓樸爲原型，改變CA角色到SSTP ×××服務器上，並設置成獨立CA。也許還簡單些。）下一（幾）步：

4、中間一些過程略去，實在沒有什麼可要說明的。在“爲CA配置加密“以及”配置CA名稱“兩個界面，均按默認設置，並下一步：

   5、在“確認安裝選擇“界面，通過下拉右側按鈕可以清楚的看到之前的設定，如果你認爲沒有問題，就選擇安裝，如果你認爲還需要更改，就選上一步。此處，選擇”安裝“。

6、“AD CS“,AD證書服務安裝完成後的界面如下。至此，完成了AD CS的角色及角色服務安裝。

二、在SSTP ×××服務器上安裝IIS7.0
       在上一個板塊，已介紹瞭如何在WIN2K8上安裝CA角色，並同時安裝了WEB註冊程序。接下來的操作將會在SSTP ×××服務器進行。
     進行安裝之前，請確認SSTP ×××服務器加入了域：contoso.com。且在此機器登陸時是以域用戶登陸。在此場景中，偶是以域管理員身份在SSTP ×××服務器上登陸域的(contoso\administrator)。
     通常情況下，並不建議把WEB服務器安裝在一個負責網絡安全的設備中，在此場景中，在SSTP ×××服務器中安裝IIS7.0的目的，就是藉此來在線遞交企業CA一個其機器證書申請。
     如果採用的是獨立CA，且把證書服務安裝在SSTP ×××服務器上，你就可以省去一些麻煩，至少不用在接下來圖中安裝一些IIS7.0的安全組件了。但很顯然，這不是設計此次實驗的目的。

接下來，請根據我的圖示一步一步進行操作：
1、在SSTP ×××服務器中，打開“服務器管理器”，並在角色面板中選擇“添加角色”。

2、在“選擇服務器角色”界面，選擇”WEB服務器（IIS）”,並在彈出的“添加角色嚮導”界面中，點“添加必需的功能”按鈕。（此時，所安裝的只是默認配置，還需要進行定製）才能滿足實驗需求並下一步：

3、在“選擇角色服務”界面，拖動按鈕至中間，並在“安全性”選項前全部打上對勾，請務必如此，這些動作是爲下面的服務器證書做好組件安裝準備的，否則你就不能使用證書申請向導了。選擇後，下一步：

4、在出現的“確認安裝選擇”界面，點下方的“安裝”按鈕，進行角色及角色服務的安裝進程。一些時間後出現“安裝結果”窗口，安裝完成。“關閉”窗口。

三、在SSTP ×××服務器上使用IIS7.0中的證書請求嚮導，爲SSTP ×××服務器請求一個機器證書。

     在二中，我們定製安裝了IIS7.0服務器，接下來的操作就是爲SSTP ×××服務器申請一個機器證書。
SSTP ×××服務器需要一個機器證書來創建與SSL ×××客戶端的SSL ×××確連接。這個機器證書中的“通用名稱”必需是SSL ×××客戶端連接SSTP ×××服務器所使用的名子（DNS域名）。故爲了解析SSTP ×××服務器的公網IP地址，需要爲此名字創建DNS 記錄。

  以下操作是在SSTP ×××服務器中進行。
1、打開服務器管理器，展開“角色”至“INTERNET信息服務器”（也可以通過管理工具打開它）項。並點選中間控制面板中的 ×××（×××\administrator）（嚴重注意，此處應是contoso\administrator,這個截圖是我沒有以域用戶登陸的結果，但此時，並不會影響接下來的實驗的）。在右側控制面板中可以看到“服務器證書”選項。接下的操作都與此有關。雙擊或是點右上角的“打開功能”以打開它。

2、在打開的“服務器證書”控制面板中，選擇右側的“創建域證書”，並在彈出的“可分辨名稱屬性”對話框中，填入圖中所示內容（你可以有所不同，根據環境需要）。值得注意的是，這裏的sstp.contoso.com，是對應當到SSTP ×××服務器的外部IP的，由於這裏只是測試環境，你需要在SSTP ×××客戶端的主機文件裏新建DNS A記錄。下一步：

3、此時的登陸帳號是contoso\administrator,實際上第一步開始就應當是如此顯示，但做到這一步時才發現，故之前兩張截圖並沒有更改過來，請有心人注意。也只有顯示contoso\users這樣的情況時，纔會出現圖中標示的“選擇”按鈕可用。否則，你只有手動填寫，並有可能出現驗證問題。
點選“選擇”按鈕，在彈出的對話框中選擇證書頒發機構。確定。並在“好記名稱”對話框中填上你認爲的好記的稱便可。然後，點“完成“按鈕。

3、下圖所示是創建完成後的證書申請屬性的“詳細信息“界面。

四、在SSTP ×××服務器安裝RRAS角色，並配置其爲×××和NAT服務器。
     在WINDOWS 2008裏，路由和遠程訪問服務器安裝方法和之前的WINDOWS系統有所不同，它作爲一項角色服務包含在“網絡策略和訪問服務”角色中。而“網絡策略和訪問服務”提供網絡策略服務器（NPS）、路由與遠程訪問、健康註冊頒發機構（HRA）和主機憑據授權協議（HCAP），這些都有助於網絡的健康和安全。
     在此次實驗中，本不需要NAT 服務器角色的，爲何，不但要把此SSTP ×××服務器做爲×××服務器，還要實現其NAT的功能呢？前面已講到，SSL ×××客戶端需要下載CRL，這時的NAT功能就是起到轉發此通訊流量至內部網絡的AD CA服務器上。否則,SSTP ×××服務器連接將失效。
     同時，爲了能訪問內部網絡的CRL，不但要配置SSTP ×××服務器做爲NAT服務器，還要在通過NAT來發布CRL（也許，在生產環境中，你需要通過一個防火牆來發布此CRL）。

1、打開服務器管理器，並展開“角色”項。點右側面板的“添加角色”按鈕。在彈出的“選擇服務器角色”窗口中，選擇“網絡策略與訪問服務”。下一步：

2、在彈出的“選擇角色服務”窗口中，選擇“路由和遠程訪問服務”，並確保“遠程訪問服務”、“路由”兩項被選定。並點下一步，直至完成此角色的安裝。

3、完成安裝後，展開“角色”、“網絡策略和訪問服務”，右鍵選擇“配置並啓用路由和遠程訪問”。

4、在“路由和遠程訪問服務歡迎向導”界面，點下一步。
5、在彈出的“配置”界面，在“虛擬專用網絡（×××）和NAT”打上對勾。下一步：

6、在“×××連接”界面，選擇名稱爲“WAI”的網卡，下一步：

7、在接下來的界面中選擇“來自一個指定的地址範圍”，並下一步，在“地址範圍分配”界面，輸入新的地址範圍，並確定後，下一步:

8、在“管理多個遠程訪問服務器”界面，由於沒有內部的RADIUS服務器，此處選擇第一項“否，使用路由和遠程訪問來對連接進行身份驗證”。下一步：

   9、在“正在完成路由和遠程訪問服務服務器安裝嚮導”界面，點完成，並在彈出的消息對話框中點”OK”。

10、完成配置後，展開至“端口”處，並下拉右側按鈕至中間，此時，可以看到SSTP已創建。

五、配置NAT服務器以發佈CRL（證書吊銷列表）
     爲了能使SSL ×××客戶端下載到CRL，就需要配置NAT服務器，以發佈位於內部的AD CA服務器上的CRL。
     但訪問CRL的URL地址是什麼呢，也許你可以通過下圖的操作來發現（標示爲×××部分）URL爲win2k8dc.contoso.com：


1、展開“路由各遠程訪問”至“NAT”項，在右側的面板中，右鍵單擊“WAI”，選屬性：

2、在“WAI屬性”界面中，移動鼠標至“服務和端口”項，並找到“WEB服務器（HTTP）”，點選後，會彈出“編輯服務”界面，在“專用地址”對話框中，填入內部的AD CA服務器的IP地址:10.0.0.2,並兩次確定後，完成此次操作。
     此處注意的是考慮到是實驗環境，需要在SSL ×××客戶端的主機文件中添加上針對此次發佈的DNS A記錄項。

配置windows 2008 作爲遠程訪問SSL-×××服務器系列之三

在這部分中，將進行如下操作：
六、在DC上配置撥入連接賬號。
七、在AD CA服務器上配置IIS，以使能通過HTTP連接至CRL目錄。
八、在SSTP ×××客戶端設置HOSTS文件。
九、在SSTP ×××客戶端使用PPTP協議連接SSTP ×××服務器。
十、在SSTP ×××客戶端從企業CA下載CA證書，並在客戶端機器上安裝。
十一、配置SSTP ×××客戶端使用SSTP技術連接SSTP ×××服務器。

     在前面兩篇博文中，介紹瞭如何設置WINDOWS 2008作爲×××、NAT服務器角色，以及如何設置DC成爲AD CA服務器。接下來，將重點放在SSTP ×××客戶端，通過配置來實現SSTP技術的應用。
     同時，強烈建議對企業根CA不瞭解的朋友，在網絡上找相關資料加深瞭解。學會使用GOOGLE是一個不錯的建議。

六、在DC上配置撥入連接賬號
     無論WINDOWS的任何版本，在使用×××技術時，都應當在×××服務器創建用戶賬戶，並充許其撥入的權限。
     WINDOWS 2008有所不同的時，用戶賬號屬性中“撥入”的“網絡訪問權限”增加了一項“通過NPS網絡策略控制訪問”。這是一個不錯的主意：通過網絡策略來充許達到策略要求的撥入賬戶訪問或有限訪問特殊的網絡（如企業內部網絡）。安全性上有很大的提升，管理上也更加方便。但NPS不是這次實驗的主要目的，而且並沒有安裝此角色服務。
     在此場景中，用戶賬號撥入的網絡權限仍與之前WINDOWS版本的做法相同：充許訪問。

1、在DC機器中，依次打開--開始—管理工具—Active Directory 用戶和計算機。
2、展開至“用戶”節點，在右側面板中選擇administrator,右鍵屬性，在撥入—網絡訪問權限---充許訪問前面打上對勾。
     這裏需要說明的是，由於是域環境，且SSTP ×××服務器是域成員服務器，所以只需在DC上充許一個賬戶具有撥入訪問權限便可。

七、在AD CA服務器上配置IIS，以使能通過HTTP連接至CRL目錄
       基於一些原因，使用安裝嚮導安裝證書服務WEB站點時，會設置成需要SSL 連接至CRL目錄。從安全角度來說，看起來是一個好主意，但問題是連接至證書在線註冊申請站點的URL並不使用SSL。
       由此，在進行接下來的操作之前，先要確認CRL目錄並不需要使用SSL 連接。
1、在DC機器中，依次打開--開始—管理工具-Internet信息服務（IIS）管理器
2、展開至“CertEnroll”節點，並選擇中間控制面板下方的“內容視圖”，這些就是CRL目錄的內容了。

3、在同一窗口中，選擇“功能視圖”，並找到“SSL 設置”項，雙擊後可以看到“需求SSL”前面的按鈕是灰色的。OK，這就說明不需要SSL連接。

八、在SSTP ×××客戶端設置HOSTS文件
       在生產環境中，這一步是可以省略的，只需要在域名ISP那註冊相應域名便可以。但本場景爲實驗環境，最大的區別就是在於沒有新建DNS來解析。
       OK，在SSTP ×××客戶端，運行命令notepad c:\windows\system32\drivers\etc\hosts(注意，在保存之前應確保這個文件具有被修改的權限喲)，然後輸入：
166.111.8.2   sstp.contoso.com
166.111.8.2 win2k8dc.contoso.com(這個爲域控的，可以省去)

九、在SSTP ×××客戶端使用PPTP協議連接SSTP ×××服務器
     由於SSTP ×××客戶端不是域成員機器，故CA證書不會自動安裝在“受信受的根證書頒發機構”中。
     那如何才能解決在客戶端上安裝CA證書的問題呢？呵呵，可以新建一個PPTP連接至SSTP ×××服務器，然後呢，通過WEB的方式來下載一個CA證書。
     當然，也可以先下載後，直接傳到這臺機器上。
     在這個場景中，是以先建立PPTP連接來實現的。

1、在SSTP ×××客戶端，打開“網絡和共享中心”，在右側的任務欄，選擇“設置連接或網絡”，在彈出的“選擇一個連接選項”界面中，選擇“連接到工作區”。並在接下來的“你想如何連接”中，選擇“使用我的INTERNET連接至×××”，並下一步，（如果出現，現在設置INTERNET連接，選擇“稍後設置”，至於原因嘛，很明瞭喲，咱們現在不是實驗環境）在“鍵入要連接的INTERNET地址”，輸入圖中所示內容：sstp.contoso.com，至於目標名稱，隨意填寫。下一步：

   2、在“鍵入您的用戶名和密碼”窗口，輸入用戶名：administrator及密碼。（此時的用戶名就是前面章節域管理員的名字，實際生產環境中請儘量不要用）

3、OK，進行到這一步，就可以進行撥號連接了，一切順利。下圖就是連接後的截圖，請注意圖中的標爲綠色的部分：PPTP。

4、命令行下也可以看到分配的IP地址，以及可以和內部網絡的DC通訊了。

5、打開IE瀏覽器，輸入AD CA服務器的WEB註冊網址：http://10.0.0.2/certsrv,並在彈出的用戶認證界面輸入用戶名和密碼。在出現的“歡迎使用”頁，點“下載CA證書、證書鏈或CRL”。

6、此步，會出現圖中所示的現象，當然是充許並運行了，不然，就沒戲了。嘿嘿。

   7、運行了“證書註冊控制”後，就可以從“下載CA證書、證書鏈或CRL”頁面，點“下載CA證書”了，保存CA證書至桌面上。並關掉IE瀏覽器。

8、證書下載後，接下來的工作是相當重要的，就是把下載的證書安裝在“受信任的證書頒發機構”的證書存儲中。

9、在SSTP ×××客戶端機器上，運行“MMC”，並在UAC對話框，點“繼續”按鈕。

10、在控制檯界面，打開“文件”下接欄中的“添加或刪除管理單元”。

11、在“添加或刪除管理單元”對話框中，下拉按鈕至中間，找到“證書”，點右側中間的“添加”。在彈出的對話框中，選擇“計算機賬號”。下一步：

12、在“選擇計算機”對話框中，選擇“本地計算機”，並點完成。

13、在“證書”控制檯窗口中，移動鼠標至證書（本地計算機）--受信任的根證書頒發機構—證書—右健所有任務—導入。

14、在“要導入的文件”界面中，瀏覽至桌面之前保存的證書文件。下一步：

15、在“證書存儲”中，選擇“將所有的證書放入下列存儲”，並確保證書存儲下面的對話框爲“受信任的根證書頒發機構”，下一步並完成操作：

16、完成以前操作後，可以在右側看到相關詳細信息。

17、接下來，就要進行×××撥號連接設置了。斷開之前的PPTP ×××連接，並右鍵至屬性，在彈出的“SSTP ×××”屬性對話框中，選定“網絡”。並在“×××類型”下拉框中選定“安全套接字隧道協議（SSTP）”。並確定。

   18、再次進行撥號連接，OK，下圖展示的就是連接後的狀態，看到了吧，SSTP已經被使用。

19、OK，基本上完成所有操作了，爲了更進一步說明使用的是SSTP技術來進行的×××連接，可以在SSTP ×××服務器看到如下圖示。足以說明啦。