Como criar certificados baseadas em L2TP / IPSec offline

Quando clientes membro do domínio não pretende estabelecer uma ligação VPN com o ISA Server 2004 Utilizar L2TP / IPSec necessitar de requisitar um certificado IPSec em Nome no cliente. Este artigo descreve como instalar, configurar um serviço de certificados da empresa e como criar um pedido de certificado a membros de domínio não. Note que é necessário uma edição do Microsoft Windows Server 2003 Enterprise para criar o modelo L2TP / IPSec.

Tem de criar um modelo personalizado para emitir certificados para um membro de domínio não offline

Nesta tarefa
 
Resumo
Como instalar os Serviços de certificados
Como criar uma MMC personalizada
Como criar um modelo personalizado baseadas em L2TP / IPSec (requisição offline)
Como pode emitir um modelo personalizado baseadas em L2TP / IPSec (requisição offline)
Como pedir um certificado baseadas em L2TP / IPSec para o ISA Server 2004
Como exportar um certificado PFX para o ISA Server 2004
Como importar os certificados para o ISA Server 2004
Como pedir um certificado baseadas em L2TP / IPSec para o cliente offline
Como exportar um certificado PFX para o cliente offline
Como importar os certificados para o cliente offline
Informações adicionais
 
 
Resumo
 
Quando clientes membro do domínio não pretende estabelecer uma ligação VPN com o ISA Server 2004 Utilizar L2TP / IPSec necessitar de requisitar um certificado IPSec em Nome no cliente. Este artigo descreve como instalar, configurar um serviço de certificados da empresa e como criar um pedido de certificado a membros de domínio não. Note que é necessário uma edição do Microsoft Windows Server 2003 Enterprise para criar o modelo L2TP / IPSec.
 
 
 
Como instalar os Serviços de certificados
 
O primeiro passo consiste em instalar os Serviços de certificados e Internet Information Services (IIS).
 
No servidor que pretende instalar os Serviços de certificados e Internet Information Services
Clique em Iniciar , clique em Painel de controlo , clique em ' Adicionar / Remover programas , clique em Adicionar / remover componentes do Windows
Seleccione Servidor de aplicações , clique em Detalhes
Seleccionar Internet Information Services (IIS) , clique em Detalhes
Desloque-se para baixo e colocar uma marca de verificação no Serviço World Wide Web , clique em OK
Colocar uma marca de verificação nos Serviços de certificados , clique em Sim para o aviso sobre Nome do computador
Faça clique sobre seguinte
Na página Tipo de AC , deixar as predefinições (AC de raiz de empresa), clique em Seguinte
Na página Informações identificação da AC , fornecer AC de raiz com um nome tal como AC de raiz da empresa Nome da Empresa , é pode alterar o período de validade para 10 ou 20 anos, faça clique sobre seguinte
Na página Definições da base de dados de certificados , clique em Seguinte
Clique em Sim para o aviso sobre Active Server Page (ASPs) tem de ser activadas no to Internet Information Services (IIS)
Em Clique em Concluir para concluir o ' Assistente de componentes do Windows
 
 
Como criar uma MMC personalizada
 
Para gerir os modelos de certificado e exportar certificados é necessário criar uma consola Microsoft Gestão personalizada (MMC).
 
No servidor de certificados
Clique em Iniciar , clique em Executar , escreva MMC, Microsoft Management Console , e, em seguida, prima Enter
Clique em Ficheiro e, em seguida, clique em Adicionar / remover ajustar na
Clique em Adicionar , e seguida, seleccione Certificados a partir da lista e clique em Adicionar , seleccione conta do computador , clique em Seguinte , seleccionar Computador local , faça clique sobre Concluir
Seleccione Modelos de certificado a partir da lista e clique em Adicionar
Seleccionar autoridade de certificação a partir da lista e clique em Adicionar , seleccione Computador local
Clique em Fechar , clique em OK
 
 
Como criar um modelo personalizado baseadas em L2TP / IPSec (requisição offline)
 
Em seguida, o Certificate Server 
Clique em Modelos de certificado
Clique com o botão direito do clique sobre a IPSec (Pedido offline) , seleccione Modelo duplicado
Na página Geral escreva baseadas em L2TP / IPSec (requisição offline) no nome do modelo de apresentação 
Pode alterar o período de validade
Seleccione Manipulação de pedidos de página, defina uma marca de verificação na chave privada permitir a serem exportadas
Clique em CSPsà , e seleccione Pedidos podem utilizar qualquer CSP disponível no computador subjectÆs , clique em OK
Faça clique sobre OK
 
Como pode emitir o modelo personalizado baseadas em L2TP / IPSec (requisição offline)
 
No servidor de certificados 
Expandir autoridade de certificação (local)
Expandir < Nome da AC de Raiz de Empresa >
Clique com o botão direito do rato modelos de certificado , seleccione Novo , clique em Modelo de certificado a emitir
Na página Activar modelos de certificado seleccionar L2TP / IPSec (requisição offline) na lista e faça clique sobre OK
 
 
Como pedir um certificado baseadas em L2TP / IPSec para o ISA Server 2004
 
No servidor de certificados
Abra o Internet Explorer e navegue para http://Name da AC servidor / Certsrv
Seleccione Request a certificate
Seleccione avançadas pedido de certificado
Seleccione Criar e submeter um pedido a esta AC
No modelo de certificado, seleccione baseadas em L2TP / IPSec (requisição offline)
Na identificação informação para o modelo offline, escreva o nome qualificado de domínio totalmente (FQDN) para o ISA Server 2004 no campo ' nome ISASrv.Domain.Local ex.:
Colocar uma marca de verificação em Armazenar certificado no arquivo de certificado Computador local
Clique em Submeter
Clique em Sim para a caixa violação Scripting potenciais
Clique em Instalar este certificado
Clique em Sim para a caixa violação Scripting potenciais
 
 
 
Como exportar um certificado PFX para o ISA Server 2004
 
 
No servidor de certificados
Na Consola de gestão da Microsoft personalizada, expanda Certificados (computador local)
Expandir pessoais
Expandir Certificados
Clique com o botão direito do rato no certificado que criou, seleccione Todas as tarefas , seleccione Exportar
No Bem-vindo ao página Assistente para exportar certificados, clique em Seguinte
Na página Exportar chave privada, seleccione Sim, exportar a chave privada , clique em Seguinte
Na exportação página Formato de ficheiro, deixe a predefinição e faça clique sobre seguinte
Na página Palavra-passe, escreva uma palavra-passe para o certificado, clique em Seguinte
No ficheiro à página de exportação, escreva um nome para o certificado ex.: c:\L2TP certificado para ISASRV.Domain.Local , clique em Seguinte
Na página a concluir o assistente (Completing), clique em Concluir o Assistente para exportar certificados
Faça clique sobre OK
 
 
 
Como importar os certificados para o ISA Server 2004
 
Em primeiro lugar tem de importe o certificado para o ISA Server 2004, e em seguida, importe o certificado de raiz para os Serviços de certificados da Empresa novo.
 
Para importar o certificado o ISA Server 2004
 
Copiar o c:\<Name do nome do servidor de certificados do CA.crt raiz de empresa a partir do servidor de certificados para o computador o ISA Server 2004
Copiar o certificado para ISASRV.Domain.Local.pfx c:\L2TP a partir do servidor de certificados para o computador o ISA Server 2004
No ISA Server 2004
Criar uma MMC personalizada para os certificados
Clique em Iniciar , clique em Executar , escreva MMC, Microsoft Management Console , e, em seguida, prima Enter
Clique em Ficheiro e, em seguida, clique em Adicionar / remover ajustar na
Clique em Adicionar , e seguida, seleccione Certificados a partir da lista e clique em Adicionar , seleccione conta do computador , clique em Seguinte , seleccionar Computador local , faça clique sobre Concluir
Clique em Fechar , clique em OK
Expandir Certificados
Clique com o botão direito do rato pessoais , seleccione Todas as tarefas , seleccione Importar
No Bem-vindo ao página Assistente para importar certificados, clique em Seguinte
No ficheiro à página de importação, escreva c:\L2TP certificado para ISASRV.Domain.Local.pfx , clique em Seguinte
Na página Palavra-passe, escreva a palavra-passe para o certificado, clique em Seguinte
Na página certificados seriados, seleccione Place todos os certificados no seguinte armazenar , e seleccione pessoal , clique em Seguinte
Na página a concluir o assistente (Completing), clique em Concluir o Assistente para importar certificados
Faça clique sobre OK
 
 
Para importar o certificado raiz
 
Na Consola de gestão personalizada no ISA Server 2004
Expandir autoridades de certificação de raiz fidedigna
Clique com o botão direito do rato Certificados , seleccione Todas as tarefas , seleccione Importar
No Bem-vindo ao página Assistente para importar certificados, clique em Seguinte
No ficheiro à página de importação, c:\<Name Tipo do nome do servidor de certificados do CA.crt raiz de empresa, clique em Seguinte (Next)
Na página certificados seriados, seleccione Place todos os certificados no seguinte armazenar , e seleccione autoridades de certificação de raiz fidedigna , clique em Seguinte
Na página a concluir o assistente (Completing), clique em Concluir o Assistente para importar certificados
Faça clique sobre OK
 
Reinicie o computador o ISA Server 2004 para permitir que as políticas IPSec sejam implementadas, após o reinício Procurar eventID 4295 e 4294 no registo de eventos do sistema.
 
 
 
Como pedir um certificado baseadas em L2TP / IPSec para o cliente offline
 
 
No servidor de certificados
Abra o Internet Explorer e navegue para http://Name da AC servidor / Certsrv
Seleccione Request a certificate
Seleccione avançadas pedido de certificado
Seleccione Criar e submeter um pedido a esta AC
No modelo de certificado, seleccione baseadas em L2TP / IPSec (requisição offline)
Na identificação informação para o modelo offline, escreva o totalmente qualificado de domínio (FQDN) para o computador membro de domínio Não no campo ' nome Remote.Client.Local ex.: nome
Colocar uma marca de verificação em Armazenar certificado no arquivo de certificado Computador local
Clique em Submeter
Clique em Sim para a caixa violação Scripting potenciais
Clique em Instalar este certificado
Clique em Sim para a caixa violação Scripting potenciais
 
Como exportar um certificado PFX para o cliente offline
 
No servidor de certificados
Na Consola de gestão da Microsoft personalizada, expanda Certificados (computador local)
Expandir pessoais
Expandir Certificados
Clique com o botão direito do rato no certificado para o computador sem ser de domínio, seleccione Todas as tarefas , seleccione Exportar
No Bem-vindo ao página Assistente para exportar certificados, clique em Seguinte
Na página Exportar chave privada, seleccione Sim, exportar a chave privada , clique em Seguinte
Na exportação página Formato de ficheiro, deixe a predefinição e faça clique sobre seguinte
Na página Palavra-passe, escreva uma palavra-passe para o certificado, clique em Seguinte
No ficheiro à página de exportação, escreva um nome para o certificado ex.: c:\L2TP certificado para Remote.Client.Local , clique em Seguinte
Na página a concluir o assistente (Completing), clique em Concluir o Assistente para exportar certificados
Faça clique sobre OK
 
 
 
Como importar os certificados para o cliente offline
 
Em primeiro lugar tem de importe o certificado para o computador Remote.Client.Local , e em seguida, importe o certificado de raiz para os Serviços de certificados da Empresa novo.
 
Para importar o certificado Remote.Client.Local
 
Copiar o c:\<Name do nome do servidor de certificados do CA.crt raiz de empresa a partir do servidor de certificados para o computador o ISA Server 2004
Copiar o certificado para Remote.Client.Local.pfx c:\L2TP a partir do servidor de certificados para o computador membro de domínio não
No computador membro de domínio não
Criar uma MMC personalizada para os certificados
Clique em Iniciar , clique em Executar , escreva MMC, Microsoft Management Console , e, em seguida, prima Enter
Clique em Ficheiro e, em seguida, clique em Adicionar / remover ajustar na
Clique em Adicionar , e seguida, seleccione Certificados a partir da lista e clique em Adicionar , seleccione conta do computador , clique em Seguinte , seleccionar Computador local , faça clique sobre Concluir
Clique em Fechar , clique em OK
Expandir Certificados
Clique com o botão direito do rato pessoais , seleccione Todas as tarefas , seleccione Importar
No Bem-vindo ao página Assistente para importar certificados, clique em Seguinte
No ficheiro à página de importação, escreva c:\L2TP certificado para Remote.Client.Local.pfx , clique em Seguinte
Na página Palavra-passe, escreva a palavra-passe para o certificado, clique em Seguinte
Na página certificados seriados, seleccione Place todos os certificados no seguinte armazenar , e seleccione pessoal , clique em Seguinte
Na página a concluir o assistente (Completing), clique em Concluir o Assistente para importar certificados
Faça clique sobre OK
 
 
Para importar o certificado raiz
 
Na Consola de gestão personalizada no ISA Server 2004
Expandir autoridades de certificação de raiz fidedigna
Clique com o botão direito do rato Certificados , seleccione Todas as tarefas , seleccione Importar
No Bem-vindo ao página Assistente para importar certificados, clique em Seguinte
No ficheiro à página de importação, c:\<Name Tipo do nome do servidor de certificados do CA.crt raiz de empresa, clique em Seguinte (Next)
Na página certificados seriados, seleccione Place todos os certificados no seguinte armazenar , e seleccione autoridades de certificação de raiz fidedigna , clique em Seguinte
Na página a concluir o assistente (Completing), clique em Concluir o Assistente para importar certificados
Faça clique sobre OK

Depois de concluída este guia passo-a-passo pode criar no nova ligação de um membro de domínio não remoto com o ISA Server 2004. Lembre-se configurar o ISA Server 2004 para aceitar ligações VPN de entrada e criar uma regra do firewall para permitir o tráfego da rede clientes VPN à rede interna. Lembre-se de definir o tipo de VPN para L2TP IPSec VPN no lado do cliente Para automatizar a configuração de cliente utilizar Kit administrativo do Gestor de ligações (CMAK, Connection Manager Administration Kit).