Win2008:遠程訪問SSL-VPN服務器攻略之二

　　一、在WIN2K8 DC上安裝AD證書服務，并設置為企業根。

　　二、在SSTP VPN服務器上安裝IIS7.0

　　三、在SSTP VPN服務器上使用IIS7.0中的證書請求向導，為SSTP VPN服務器請求一個機器證書。

　　四、在SSTP VPN服務器安裝RRAS角色，并配置其為VPN和NAT服務器。

　　五、配置NAT服務器以發布CRL(證書吊銷列表)

　　一、在WIN2K8 DC上安裝AD證書服務，并設置為企業根。

　　1、在WIN2K8 DC上，打開服務器管理器，在“角色”中點選“添加角色”，并在彈出添加角色向導中點選“ACTIVE DIRECTORY 證書服務”。

　　2、在“選擇角色服務”窗口中，選擇“證書頒發機構”以及“證書頒發機構WEB注冊”兩項，同時，在選擇“證書頒發機構WEB注冊”后彈出的窗口中，點“添加必要的角色服務”。

　　3、在“指定安裝類型”窗口中，選擇“企業“項。(當然也可以選擇獨立項，但顯然，這不是這次實驗的目的，如果今后有時間，我會以此次實驗拓樸為原型，改變CA角色到SSTP VPN服務器上，并設置成獨立CA。也許還簡單些。)

　　4、中間一些過程略去，實在沒有什么可要說明的。在“為CA配置加密“以及”配置CA名稱“兩個界面，均按默認設置，并下一步：

　　5、在“確認安裝選擇“界面，通過下拉右側按鈕可以清楚的看到之前的設定，如果你認為沒有問題，就選擇安裝，如果你認為還需要更改，就選上一步。此處，選擇”安裝“。

　　6、“AD CS“,AD證書服務安裝完成后的界面如下。至此，完成了AD CS的角色及角色服務安裝。

　　二、在SSTP VPN服務器上安裝IIS7.0

　　在上一個板塊，已介紹了如何在WIN2K8上安裝CA角色，并同時安裝了WEB注冊程序。接下來的操作將會在SSTP VPN服務器進行。

　　進行安裝之前，請確認SSTP VPN服務器加入了域：contoso.com。且在此機器登陸時是以域用戶登陸。在此場景中，偶是以域管理員身份在SSTP VPN服務器上登陸域的(contoso\administrator)。

　　通常情況下，并不建議把WEB服務器安裝在一個負責網絡安全的設備中，在此場景中，在SSTP VPN服務器中安裝IIS7.0的目的，就是借此來在線遞交企業CA一個其機器證書申請。

　　如果采用的是獨立CA，且把證書服務安裝在SSTP VPN服務器上，你就可以省去一些麻煩，至少不用在接下來圖中安裝一些IIS7.0的安全組件了。但很顯然，這不是設計此次實驗的目的。

　　接下來，請根據我的圖示一步一步進行操作：

　　1、在SSTP VPN服務器中，打開“服務器管理器”，并在角色面板中選擇“添加角色”。

　　2、在“選擇服務器角色”界面，選擇”WEB服務器(IIS)”,并在彈出的“添加角色向導”界面中，點“添加必需的功能”按鈕。(此時，所安裝的只是默認配置，還需要進行定制)才能滿足實驗需求并下一步：