建立服務(wù)器證書模板

在為終端服務(wù)網(wǎng)關(guān)（TS GW）服務(wù)器安裝專用的計(jì)算器證書之前，我們必須先建立一個(gè)它專用的證書模板。首先登錄證書服務(wù)器，開啟“系統(tǒng)管理工具”下拉選單中的“證書授權(quán)單位”管理接口，展開至“證書模板”項(xiàng)目節(jié)點(diǎn)，點(diǎn)擊鼠標(biāo)右鍵，選擇“管理”繼續(xù)。

注意：想要產(chǎn)生終端服務(wù)網(wǎng)關(guān)專用的主機(jī)證書，所使用的Windows Server 2003或Windows Server 2008的CA證書服務(wù)器操作系統(tǒng)必須是企業(yè)版才可以。

接著，將會(huì)開啟“證書模板控制臺(tái)”管理界面，在眾多的證書模板項(xiàng)目中找到“IPSec（脫機(jī)要求）”項(xiàng)目，并且按下鼠標(biāo)右鍵，選擇“復(fù)制范本”繼續(xù)。接下來您必須設(shè)置一個(gè)惟一的模板顯示名稱，接著可以自行定義證書的有效期（最多999年），以及更新的間隔時(shí)間。然后切換到“處理要求”頁面，勾選“允許導(dǎo)出私鑰“選項(xiàng)，點(diǎn)擊右下角的“CSP”按鈕繼續(xù)。

在“CSP選取”頁面中，在選取“要求必須是以下其中一個(gè)CSP”之后，勾選下方CSP清單中的“Microsoft Enhanced RSA and ASE Cryptographic”，點(diǎn)擊“確定”繼續(xù)。切換到“延伸”頁面中，在選取“應(yīng)用程序政策”項(xiàng)目之后，按下鼠標(biāo)右鍵，點(diǎn)擊“編輯”繼續(xù)。

接下來會(huì)開啟“編輯應(yīng)用程序政策延伸”頁面，先將默認(rèn)的“IP安全性IKE中繼”刪除之后，再分別將“客戶端驗(yàn)證”與“服務(wù)器驗(yàn)證”加入，點(diǎn)選“確定”繼續(xù)。隨后，切換到“安全性”頁面中，在“群組或用戶名稱”清單中選取“Authentication Users”項(xiàng)目，然后將下方權(quán)限清單中的允許“注冊(cè)”勾選，點(diǎn)選“確定”完成設(shè)置。

再次回到“證書授權(quán)單位”管理界面，點(diǎn)選“證書模板”項(xiàng)目后，按下鼠標(biāo)右鍵，點(diǎn)選“新增”下拉選單中的“要發(fā)出的證書范本”繼續(xù)。

在“啟用證書模板”頁面中，可以看見我們?cè)谇懊嫠⒌摹敖K端服務(wù)網(wǎng)關(guān)（TS GW）Server”證書范本，請(qǐng)?jiān)谶x取之后點(diǎn)擊“確定”。在“證書模板”的項(xiàng)目節(jié)點(diǎn)上，便可以看到前面新增進(jìn)來的“終端服務(wù)網(wǎng)關(guān)（TS GW）Server”證書范本。

申請(qǐng)與安裝終端服務(wù)網(wǎng)關(guān)（TS GW）服務(wù)器證書

完成了自定義的終端服務(wù)網(wǎng)關(guān) （TS GW）Server 證書模板的建立之后，接下來當(dāng)然要從證書授權(quán)單位的主機(jī)上，來申請(qǐng)與安裝此計(jì)算機(jī)證書在終端服務(wù)網(wǎng)關(guān)（TS GW）主機(jī)本地計(jì)算機(jī)中。首先在終端服務(wù)網(wǎng)關(guān)（TS GW）主機(jī)的IE瀏覽器中連接登錄證書授權(quán)單位的網(wǎng)站（例如 ：https：//caserver/certsrv），選擇“要求證書“連接繼續(xù)。接著在“要求證書”連接頁面中，選擇“進(jìn)階證書要求”連接繼續(xù)。

接著在“進(jìn)階證書要求”頁面中，選擇“向這個(gè)CA建立并提交一個(gè)要求”連接繼續(xù)。接著將會(huì)來到如圖2所示的“進(jìn)階證書要求”頁面，在此首先要在“證書范本”下拉選單中選取“終端服務(wù)網(wǎng)關(guān)（TS GW）Server”，然后在脫機(jī)模板識(shí)別信息區(qū)域的第一個(gè)字段中，輸入單位終端服務(wù)網(wǎng)關(guān)（TS GW）網(wǎng)絡(luò)給予外部使用者連接的網(wǎng)際網(wǎng)絡(luò)FQDN地址（絕對(duì)不可以輸入錯(cuò)誤），接著請(qǐng)?jiān)谙路降腃SP下拉選單中選取“Microsoft Enhanced RSA and AES Cryptographic Provider”，并且將“將密鑰標(biāo)示成可匯出”設(shè)置勾選，最后點(diǎn)擊“送出”按鈕繼續(xù)。

圖2 進(jìn)階證書要求設(shè)置

點(diǎn)擊“送出”按鈕時(shí)，將會(huì)彈跳“Web存取確認(rèn)”的警告信息，點(diǎn)擊“是（Y）”繼續(xù)。接著會(huì)出現(xiàn)“證書已發(fā)出”頁面，在此點(diǎn)擊“安裝這個(gè)證書”連接繼續(xù)。執(zhí)行之后將會(huì)再一次出現(xiàn)“Web存取確認(rèn)”警告頁面，主要是用來讓使用者可以確認(rèn)來源證書的合法性，點(diǎn)擊“是”按鈕繼續(xù)。完成證書安裝之后，將會(huì)出現(xiàn)“證書已安裝”頁面，點(diǎn)擊“關(guān)閉”按鈕繼續(xù)。

調(diào)整終端服務(wù)網(wǎng)證書設(shè)置

完成在證書授權(quán)單位主機(jī)上的終端服務(wù)網(wǎng)關(guān)（TS GW）Server證書安裝之后，還有一個(gè)地方需要做一下調(diào)整，那就是將默認(rèn)安裝在以目前用戶容器中的終端服務(wù)網(wǎng)關(guān)（TS GW）Server證書，加入到以本地為主的證書容器中才可以正常運(yùn)行。

首先在終端服務(wù)網(wǎng)關(guān)（TS GW）服務(wù)器上以MMC接口開啟MMC管理接口之后，然后在“新增或移除嵌入式管理單元”頁面中，分別加入兩個(gè)“證書”管理項(xiàng)目，請(qǐng)務(wù)必記得“目前的使用者”以及“本地計(jì)算機(jī)”都必須加入才可以。點(diǎn)擊“確定”繼續(xù)。在“證書-目前的使用者→個(gè)人→證書”中，可以看到目前所安裝的終端服務(wù)網(wǎng)關(guān)（TS GW）Server專屬的計(jì)算器證書，針對(duì)此證書項(xiàng)目點(diǎn)擊鼠標(biāo)右鍵，選擇“所有工作→匯出”繼續(xù)。

接著將會(huì)開啟“證書匯出向?qū)А表撁?，整個(gè)過程中有些設(shè)置要特別注意。首先在“匯出私鑰”頁面中，必須選取“是，導(dǎo)出私鑰”選項(xiàng)，點(diǎn)選“下一步”繼續(xù)。在“匯出文件格式”頁面中，請(qǐng)將“如果可能的話，包含證書路徑中的所有證書”以及“導(dǎo)出所有延伸屬性”項(xiàng)目勾選繼續(xù)。點(diǎn)選“下一步”繼續(xù)。在“密碼”頁面中可以設(shè)置用來保護(hù)這個(gè)證書檔案的密碼，而這個(gè)密碼也將在后續(xù)匯入到本地計(jì)算機(jī)的操作中需要再次輸入。

完成了證書從目前使用者的容器中匯出之后，緊接著需要將此證書檔案匯入本地計(jì)算機(jī)的證書容器中。在本地計(jì)算機(jī)的“個(gè)人→證書”節(jié)點(diǎn)上，點(diǎn)擊鼠標(biāo)右鍵，選擇“匯入”，執(zhí)行過程中會(huì)出現(xiàn)“匯入檔案”頁面，選擇“瀏覽”按鈕選取前面所導(dǎo)出的證書檔案（擴(kuò)展名=pfx），點(diǎn)擊“下一步”繼續(xù)。

接著，會(huì)出現(xiàn)“密碼”頁面，首先必須先輸入前面證書導(dǎo)出時(shí)所設(shè)置的密碼，然后把“將這個(gè)密鑰設(shè)成可匯出，這樣可以在以后備份或傳輸您的密鑰”項(xiàng)目，以及“包含所有延伸屬性”項(xiàng)目勾選，點(diǎn)擊“下一步”繼續(xù)完成證書的匯入作業(yè)即可。在完成了終端網(wǎng)關(guān)服務(wù)證書的安裝之后，最后必須在“TS網(wǎng)關(guān)管理員”接口中將所安裝的證書設(shè)置進(jìn)來即可。