VPN服務器證書設(shè)置

接下來將進行的是在整個IKEv2 VPN服務器安裝設(shè)置中最關(guān)鍵的步驟，那就是關(guān)于服務器證書的配置部分。請在安裝有證書服務器的主機上從“系統(tǒng)管理工具”下拉菜單中開啟“證書授權(quán)單位”，然后在“證書范本”節(jié)點上點擊鼠標右鍵，單擊“管理”繼續(xù)。在開啟“證書范本控制臺”界面之后，找到系統(tǒng)內(nèi)置的“IPSec”模板項目，點擊鼠標右鍵，單擊“復制范本”繼續(xù)。在“重復的模板”信息窗口中，選取“Windows Server 2003 Enterprise”項目并且單擊“確定”繼續(xù)。

打開 “新模板的屬性”之后，在“一般”的頁面中先輸入自定義的模板顯示名稱（例如 ：VPN Reconnect），然 后決定好默認的有效期間（默認=2年）繼續(xù)。切換到“處理要求”頁面中，將“允許導出私鑰”項目勾選繼續(xù)。在“主體名稱”頁面中，將此頁面選項設(shè)置修改為“在要求中提供”，并且確認“為自動注冊更新要求使用來自現(xiàn)有證書的主體信息”選項已取消勾選狀態(tài)。在上述的操作設(shè)置中可能會出現(xiàn)警告信息，無需理會。單擊“確定”繼續(xù)。

接著，切換到“延伸”頁面中，在選取了“應用程序策略”項目之后，單擊“編輯”按鈕。如在“編輯應用程序策略延伸”頁面中，首先必須確認目前已經(jīng)存在“IP安全性IKE中繼”項目。緊接著，單擊“新增”按鈕。在“新增應用程序策略”的頁面中，選取“服務器驗證”項目，并且單擊“確定”繼續(xù)。再次回到“延伸”頁面中，在選取“密鑰使用方法”項目之后單擊“編輯”按鈕繼續(xù)。

在“編輯密鑰使用方法延伸”頁面，確認“數(shù)字簽名”選項目前已經(jīng)勾選。再次回到上一層頁面中之后，單擊“確定”完成自定義證書模板的建立。

接下來，在“證書授權(quán)單位”界面的“證書范本”節(jié)點上，按下鼠標右鍵，單擊“新增→要發(fā)出的證書范本”。開啟“啟用證書模板”頁面之后，選取在前面步驟中我們所建立的證書模板項目（例如 ：VPN Reconnect）。單擊“確定”。

VPN服務器證書安裝

接下來，我們必須到準備作為IKEv2 VPN的主機中來申請服務器證書。請在開啟IE瀏覽器之后，單擊位于“工具”下拉菜單中的“網(wǎng)際網(wǎng)絡(luò)選項”。在“安全性”頁面中先選擇“近端內(nèi)部網(wǎng)絡(luò)”，然后在“此區(qū)域的安全性等級”設(shè)置中將它變更為最低狀態(tài)即可。

關(guān)于這項安全性設(shè)置的修改，主要目的在于方便我們后續(xù)通過瀏覽器來申請IKEv2 VPN服務器證書，然而如果是在實際的環(huán)境當中，通常會因安全性的考慮不會直接修改上述設(shè)置，而是改單擊“自定義等級”按鈕。在近端內(nèi)部網(wǎng)絡(luò)區(qū)域的安全性設(shè)置頁面中，事實上我們只要將位于“ActiveX控件與插件”類別中的“二進制和腳本行為”選項設(shè)置成“啟用”即可。接下來，在網(wǎng)址列中輸入要連接的證書服務器網(wǎng)址（例如：http：//dc01/certsrv），此時將會開啟“證書服務”頁面。單擊“要求證書”連接繼續(xù)。在“要求證書”頁面中，單擊“進階證書要求”連接繼續(xù)。此時，將會出現(xiàn)ActiveX不安全的相關(guān)警告訊息，單擊“是”繼續(xù)。

注意：如果沒有出現(xiàn)此警告信息，即表示您未完成前面步驟中的IE安全性設(shè)置。

接著，將會出現(xiàn)“Web訪問確認”的警告信息息，單擊“是”繼續(xù)。來到“進階證書要求”頁面中，請先從證書模板下拉菜單中選取我們在前面步驟中所建立的證書模板項目（例 如：VPN Reconnect），接著在“名稱”字段中輸入將提供給遠程用戶連接的VPN地 址（例 如：vpn01.msft.com），這個地址必須同樣在外部DNS區(qū)域中有著相同的A記錄以供Internet解析才可以。最后，陸續(xù)完成其他字段信息的輸入，并且單擊“提交”按鈕即可。

此時，將會出現(xiàn)“證書已發(fā)出”的頁面，單擊“安裝這個證書”連接繼續(xù)。等待成功完成了服務器證書的安裝之后，將會出現(xiàn)安裝的頁面，即表示目前的證書已經(jīng)儲存在本機計算器之中，請關(guān)閉瀏覽器窗口。

調(diào)整證書安裝位置

在前面步驟中，雖然已經(jīng)完成了IKEv2 VPN服務器證書的申請與安裝，但是，目前證書的默認自動儲存位置并不正確，因此，必須進行證書儲存位置的修該。在開啟MMC界面之后，在執(zhí)行“新增或移除嵌入式管理單元”頁面中，選取“證書”項目與單擊“新增”時，分別將“目前用戶”與“本機計算器”的證書類型都一一加入。單擊“確定”繼續(xù)。

開啟“目前用戶”的證書節(jié)點之后，在“個人→證書”節(jié)點頁面中找到前面步驟中所申請安裝的證書項目，然后點擊鼠標右鍵，單擊“所有工作→導出”繼續(xù)。在執(zhí)行“證書導出向?qū)А边^程中，首先在“導出私鑰”的頁面中選取“是，導出私鑰”項目，單擊“下一步”。

在“導出文件格式”頁面中，不需要修改任何設(shè)置，直接單擊“下一步”。在“密碼”頁面中設(shè)置一組用以保護后續(xù)證書檔案的密碼，單擊“下一步”繼續(xù)。在“要導出的檔案”頁面中，單擊“瀏覽”按鈕來設(shè)置儲存導出證書檔案的路徑。連續(xù)單擊“下一步”完成導出操作。接下來，單擊“證書（本機計算器）→個人”，點擊鼠標右鍵，單擊“所有工作→導入”繼續(xù)。

在“導入檔案”的頁面中，單擊“瀏覽”按鈕，此時將會開啟“開啟舊文件”窗口，請先在文件類型下拉菜單中選取“個人信息交換（*.pfx，*.p12）”，然后再瀏覽至證書檔案的路徑，便可以看到前面步驟中所導出的證書檔案。選取之后，單擊“開啟舊文件”按鈕繼續(xù)。在“導入檔案”頁面中完成證書檔案路徑設(shè)置，單擊“下一步”。

在“密碼”頁面中，輸入用以開啟導入證書檔案的保護密碼，確認無誤之后，單擊“下一步”。在“證書存放區(qū)”頁面中，選取“將所有證書放入以下的存放區(qū)”，然后單擊“瀏覽”，并且選取“個人”。單擊“下一步”。最后，在“完成證書導入向?qū)А钡捻撁嬷校梢钥吹皆O(shè)置摘要，確認無誤之后，單擊“完成”即可。當服務器證書成功導入之后，將會出現(xiàn)導入成功的信息。

成功完成服務器證書的導入之后，我們將可以在“證書（本機計算器）→個人→證書”節(jié)點頁面中看到該證書檔案。除了上述必要的服務器證書之外，無論是對于遠程客戶端計算器或是IKEv2 VPN服務器本身，在它們的“證書（本機計算器）→受信任的根證書授權(quán)單位→證書”節(jié)點中，都必須確認已存放了來自相同證書服務器的證書檔案。關(guān)于此證書檔案的下載與安裝，您可以手動從證書服務器網(wǎng)站上來下載，或是讓計算器在加入域中不久之后也會自動下載。