Windows Server 2012中，如何配置SSL VPN？

一、ssl证书导入

1.1 获取ssl证书

成功在沃通CA申请SSL证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：for Apache、for IIS、for Ngnix、for Other Server，这个是证书的几种格式，解压for IIS压缩包，会得到一个.pfx格式的证书，IIS8.0上需要用到pfx格式的证书。

2

1.2 导入ssl证书

开始 -〉运行 -〉MMC，启动控制台程序 ->选择菜单“文件 -〉添加/删除管理单元”->列表中选择“证书”->点击“添加”->选择“计算机帐户” ->点击完成。在控制台的左侧显示证书树形列表，选择“个人”- “证书”，右键单击，选择“所有任务-〉导入”， 根据“证书导入向导”的提示，将.pfx格式文件导入，注意导入过程选择“根据证书内容自动选择存储区”。(注意导入过程中需要输入密码)导入成功后，刷新，可以看到如下图所示的证书信息图：

3

1.3 分配服务器证书

打开IIS8.0管理器面板，找到待部署证书的站点，点击“绑定”如图3

4

1.4 选择“绑定”->“添加”->“类型选择https” ->“端口443” ->“ssl证书【导入的证书名称】” ->“确定”，SSL缺省端口为443端口，(请不要随便修改。如果您使用其他端口如：8443，则访问时必须输入：https://www.你的域名.com:8443)。如下图：

5

二、测试是否安装成功

重启IIS8.0服务，在浏览器地址栏输入：https://www.你的域名.com (申请证书的域名)测试您的ssl证书是否安装成功，如果成功，则浏览器下方会显示一个安全锁标志。请注意：如果您的网页中有不安全的元素，则会提供“是否显示不安全的内容”，需要修改网页，删除不安全的内容(Flash、CSS、Java Script和图片等)。

6

三、ssl证书的备份

请保存好收到的证书压缩包文件及密码，以防丢失。

务器协商包含“使用 PPP 验证方法验(或 EAP 验证方法)证使用

者证书以及进行 IPV4 或 IPV6 通讯”的 PPP 连接。 9、SSTP VPN 客户端开始发送基于 PPP 连接的 IPV4 或 IPV6 通讯流量(数据)。 以上一段话，引自互联网 作者：下里巴人 我们再来看这个环境： 一、配置第一台机器，机器名为 DC： 1.配置 DC 的 ip 地址：

2.提升域控：

域功能级别，林功能级别设置为 2003,具体过程：

没设置 IPV6 地址，会d如下窗口，按 2 次“是”继续。

默认向导直到安装完成，重启。

3.创建允许 VPN 拔入用户帐号，创建验证时用的共享文件夹。共享文件夹内放一文本。

二、配置第二台机器，机器名为 VPNsrv 1.配置 IP 地址:

2.把机器加入域： 加域前 nslookup 看是否能解释域名，确保加域成功。 重启：

3.安装证书服务和 IIS。 以域管理员用户登录安装。

选择 ADCS 角色，

选择安装证书颁发机构 WEB 注册，点击添加必要的角色服务

我这里用独立根 CA，当然企业根 CA 也可以。

配置证书公用名称，配置 iis，按默认向导致完成.

4.创建服务器身份验证证书，这步骤前先设置 IE 允许证书发布。 打开服务器管理器，配置 IE SEC:

以管理员身份运行 IE， 关闭自动网站检查，

设置 intranet 安全级别，低

5.创建一个服务器身份验证证书。 IE 中输入：http://localhost/certsrv，点击申请证书

高级证书申请

创建并向此 CA 提交一个申请

如下： 注意名称要为：VPNserver 的 FQDN

6.颁发证书，安装证书，移动证书，删除不用的证书。(简单点理解是把申请到的证书放到计算机证 书中) 打开 mmc，添加如下：

颁发证书，

安装证书，

移动证书， 安装的证书在用户证书中的个人证书里，导出证书到桌面， 再到计算机证书中导入，同时删除了服务器 CA 的证书(所有用途可用证书) 最终如图：

7.安装 VPN.

启用并配置 VPN：

因没有 DHCP，所以用静态分配的 IP 地址

VPN 服务器搭建完毕。

三、配置第三台机器 设置 ip 地址,host 文件

创建 PPTP 连接，验证访问共享

拔号验证 PPTP，但我们实验可不是为了 PPTP

在 vpnsrv 服务器上，过滤路由和远程访问，基于 pptp 的包，如图： 在管理工具，打开高级安全 windows 防火墙

再次拔 PPTP 的连接，如图:

启用 SSTP。 打开 IE，下载证书，安装证书，

安装完证书后，打开 mmc，加载用户证书和计算机证书，将证书为计算机证书，放到信任的根证书中

重命名，把 PPTP，改成 SSTP。协议也使用 SSTP

最终，使用，SSTP 连接

一步, 创建 Windows Azure VM

点击左下角按钮 NEW, 选择 COMPUTE – VIRTUAL MACHINE – QUICK CREATE, 在文本框中填写 DNS NAME, USER NAME 和 NEW PASSWORD。

图 3 – 创建 VM

第二步, 配置 Windows Azure

为了部署 SSTP VPN, 首先, 我们应当为 VM 开启 TCP 443 端口。

图 4 – Azure Endpoint

然后使用 RDP（Remote Desktop Protocol，远程桌面协议） 连接 VM 。

第三步, 添加 Server Role

点击 Server Manager – Add roles and features，然后它会d出一个窗口。在这个窗口中，我们将添加

图 5 – 添加 Roles

它会d出一个窗口。在这个窗口中，我们将添加 Remote Access role, DirectAccess and VPN (RAS) and Routing role services.

安装 role and role services之后，它可能需要重新启动。

第四步, 配置 Routing and Remote Access

重新启动之后，打开 Server Manager – Notification – Open the Getting Started Wizard, 选择 Deploy VPN only.

图 6 – Getting Started Wizard

现在，打开 Routing and Remote Access 窗口。 右键点击服务器名称，点击 Configure and Enable Routing and Remote Access。

图 7 – Routing and Remote Access Configure

然后， Routing and Remote Access Server Setup Wizard 将被打开。

图 8 – Setup Wizard

点击 Next 按钮后，选择 Custom configuration，并在Custom Configuration界面勾选 VPN access 和 NAT 。

图 9 – Customer Configuration

单击 Finish后，它会启动 Routing and Remote Access 服务。

在服务器上单击鼠标右键，然后单击 Properties ，选择 Security 选项卡。在该选项卡中，选择roccosvpn.cloudapp.net证书。

然后，点击 IPV4 选项卡，选中 “Static address pool” 为客户端获取 IPv4 地址并点击 OK 确定，如下：

点击 IPv4 node 并展开。右键单击 NAT 选择 New Interface…

在这个对话框中，选择一个 external interface。在 Network Address Translation Properties 对话框中，选择Public interface connected to the Internet 和选中 Enable NAT on this interface。点击 OK 保存配置。

图 10 – NAT Properties

第五步, 添加 VPN Users

使用 Local Users and Groups 管理工具来添加一个新用户。

打开 Run 对话框并输入 lusrmgr.msc 然后点击 OK 打开 Local Users and Group management.

然后单击 Users 文件夹，在中间面板上的空白处单击右键，选择 New User ，输入 Users Name, Full Name 和 Password，取消选中 User must change password at next logon.

之后，双击这个用户名，切换到 Dial-in 标签。在 Network Access Permission 中选择 Allow access。

图 11 – User Properties

第六步, Client Configuration

安装从服务器导出的证书到 Trusted Root Certificate Authorities.

转到 Network and Sharing Center，单击 Setup a new connection or network，然后选择 Connect to a workplace 然后再选 Use my Internet Connection (VPN).

在Internet Address 中输入RoccosVPN.cloudapp.net，并输入您的 Destination Name 然后 Create.

点击网络托盘图标，右键单击VPN connection，然后选择 Properties。

切换到 Security 选项卡。更改 VPN type 为 Secure Socket Tunneling Protocol (SSTP).

最后，选中 Microsoft CHAP Version 2 (MS-CHAP v2) 并点击 OK 。

现在，连接这个VPN，输入您的VPN用户信息。开心的享用您的Windows Azure VPN。

第七步, L2TP VPN Deployment

部署 L2TP VPN时，我们首先应当在Windows Azure中开启一些 UDP 端口。

L2TP port: UDP 1701

IPsec port: UDP 500

IKEv2 port: UDP 4500

此外，在Windows Server防火墙添加例外。

然后打开 RRAS management tools，右键单击服务器，选择 Properties 和 Security 选项卡。

选中 “Allow custom IPsec policy for L2TP/IKEv2 connection” 并输入Preshared Key（预共享密钥）。

---