文章編號: 555281 - 上次校閱: 2005年3月30日 - 版次: 1.0

如何建立離線 L 2 TP / IPSec 憑證

作者?Jesper Hanno MVP
中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
Community Solutions Content社群解決方案內容免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

徵狀

當非網域成員用戶端要建立 VPN 連線到 ISA Server 2004 使用 L 2 TP / IPSec 要要求 IPSec 憑證在代表用戶端上。 本文將告訴您如何安裝、 設定企業憑證服務以及如何建立憑證要求給非網域成員 請注意, 您需要 Microsoft Windows Server 2003 Enterprise Edition 版本來建立 L 2 TP / IPSec 範本。
回此頁最上方

發生的原因

您必須先建立自訂範本, 以核發憑證給非網域成員離線
回此頁最上方

解決方案

在這個工作
?
摘要
如何安裝憑證服務
如何建立自訂 MMC
如何建立自訂的 L 2 TP / IPSec (離線要求)] 範本
如何發出自訂的 L 2 TP / IPSec (離線要求)] 範本
如何要求到 ISA Server 2004 L 2 TP / IPsec 憑證
如何將 PFX 憑證匯出到 ISA Server 2004
如何將憑證匯入 ISA Server 2004
如何要求 L 2 TP / IPSec 為離線用戶端憑證
如何將 PFX 憑證匯出到離線用戶端
如何匯入為離線用戶端憑證
其他相關資訊
?
?
摘要
?
當非網域成員用戶端要建立 VPN 連線到 ISA Server 2004 使用 L 2 TP / IPSec 要要求 IPSec 憑證在代表用戶端上。 本文將告訴您如何安裝、 設定企業憑證服務以及如何建立憑證要求給非網域成員 請注意, 您需要 Microsoft Windows Server 2003 Enterprise Edition 版本來建立 L 2 TP / IPSec 範本。
?
?
?
如何安裝憑證服務
?
第一個步驟是, 以安裝 「 憑證服務 」 和 Internet Information Services (IIS)。
?
您要在伺服器上安裝 「 憑證服務 」 與 Internet Information Services
請按一下 [ 開始 ] , 按一下 [ 控制台 ] , 按一下 [ 新增 / 移除程式 ] , 按一下 [ 新增 / 移除 Windows 元件 ]
請選取 應用程式伺服器 , 按一下 [ 詳細資料
選取 Internet Information Services (IIS) , 按一下 [ 詳細資料
向下捲動, 在 全球資訊網 (World Wide Web 服務 前放置核取標記, 請按一下 [ 確定 ]
前放置核取標記 「 憑證服務 」 中, 按一下 [ 是 ] 以機器名稱有關警告
按一下 [ 下一步 ]
在 [ CA 類型 ] 頁面, 請保留預設設定 (企業根 CA), 按一下 [ 下一步 ]
在 [ CA 識別資訊 ] 頁面, 以名稱例如, 公司名稱 ] 企業根 CA 提供根 CA, 您可能會變更 [ 有效期間設定為 10 或 20 年, 按一下 [ 下一步 ]
在頁 憑證資料庫設定 面, 按一下 [ 下一步 ]
按一下 [ 是 ] 以 Active Server Page 有關警告 (ASP) 必須在 Internet Information Services (IIS) a 中啟用
按一下 完成 ] 以完成 Windows 元件精靈
?
?
如何建立自訂 MMC
?
您在要管理憑證範本及匯出憑證需要來建立自訂 Microsoft 管理主控台 (MMC)。
?
憑證伺服器上
請按一下 [ 開始 ] , 按一下 [ 執行 ] , 輸入, MMC 然後再按 Enter 鍵
再按 [ 檔案 , 及 [ 新增 / 移除嵌入式管理單元
和按一下 [ Add , 和按一下 [ 新增 ] 、 選取 電腦帳戶 、 按一下 [ 下一步 ] 、 選取 本機電腦 、 按一下 [ 完成 ] 然後從清單選取 憑證 ]
從清單選取 [ 憑證範本 ] , 按一下 [ 新增 ]
從清單選取 憑證授權單位 並按一下 [ 新增 ] , 選取 [ 本機電腦
按一下 [ 關閉 ] , 按一下 [ 確定 ]
?
?
如何建立自訂的 L 2 TP / IPSec (離線要求)] 範本
?
然後 「 憑證伺服器上?
按一下 [ 憑證範本 ]
請以滑鼠右鍵按一下 [ 有關 IPSec (離線要求) , 並選取 重複的範本
在 [ 一般 ] 頁面輸入 L 2 TP / IPSec (離線要求) [ 範本顯示名稱?
您可能會變更 [ 有效期間
選取 要求處理 頁面, 在 要匯出私密金鑰允許 設定核取記號
按一下 CSPs? , 選取 要求可以使用任何 CSP subject?s 電腦上可用 , 請按一下 [ 確定 ]
按一下 [ 確定 ]
1 1:Option 選項:?
如何發出自訂 L 2 TP / IPSec (離線要求)] 範本
1 1:Option 選項:?
憑證伺服器上?
展開 [ 憑證授權單位 (區域)
展開 [ 企業根 CA 名稱 > <
以滑鼠右鍵按一下 [ 憑證範本 ] , 選取 [ 新增 ], 按一下 要發行憑證範本
在啟用 [ 憑證範本 ] 頁面清單上選取 L 2 TP / IPSec (離線要求) 然後按一下 [ 確定 ] [
1 1:Option 選項:?
1 1:Option 選項:?
如何要求到 ISA Server 2004 L 2 TP / IPsec 憑證
?
憑證伺服器上
請開啟 Internet Explorer, 然後瀏覽至 的 CA Server / Certsrv http://Name
選取 [ 要求憑證
請選取 [ 進階憑證要求
選取 建立向這個 CA 並提交要求
在 [ 憑證範本, 選取 [ L 2 TP / IPSec (離線要求)
在識別資訊對於離線範本, 鍵入所需在 [ 名稱 ] 欄位 ISASrv.Domain.Local 例如 ISA Server 2004 完整合格的網域名稱 (FQDN)
Store 本機電腦憑證存放區中憑證 放入核取記號
按一下 [ 提交
按一下 [ 是 ] 以潛在指令碼違規方塊
按一下 [ 安裝這個憑證
按一下 [ 是 ] 以潛在指令碼違規方塊
?
?
?
如何將 PFX 憑證匯出到 ISA Server 2004
?
?
憑證伺服器上
在 Microsoft Management Console, 自訂展開 [ 憑證 (本機電腦)
展開 [ 個人
展開 [ 憑證 ]
以滑鼠右鍵按一下您剛建立憑證, 選取 [ 所有工作 ] , 請選取 [ 匯出
在歡迎使用至 [ 憑證匯出精靈 ] 頁面, 按一下 [ 下一步 ]
在 [ 匯出私密金鑰, 頁面選取 [ 是 ], 匯出私密金鑰 , 按一下 [ 下一步 ]
在匯出檔案格式頁, 保留預設值並且按一下 [ 下一步 ]
請輸入一個密碼為憑證, 在頁密碼面, 按一下 [ 下一步 ]
在 [ 要匯出的檔案 ] 頁面, 輸入為 c:\L2TP 憑證為 ISASRV.Domain.Local 例如憑證名稱, 按一下 [ 下一步 ]
在完成憑證匯出精靈 ] 頁面上, 按一下 [ 完成 ]
按一下 [ 確定 ]
?
?
?
如何將憑證匯入 ISA Server 2004
?
首先您要 for ISA Server 2004, 匯入憑證, 然後為新企業 「 憑證服務 」 匯入根憑證。
?
若要匯入 ISA Server 2004 憑證
?
c:\ 複製 < 名稱的憑證伺服器名稱的企業根目錄 ca.crt 到 ISA Server 2004 電腦從 「 憑證伺服器
將從 「 憑證伺服器複製到 ISA Server 2004 電腦 c:\L2TP ISASRV.Domain.Local.pfx 對於憑證
ISA Server 2004 上
建立自訂 MMC 如 憑證 ]
請按一下 [ 開始 ] , 按一下 [ 執行 ] , 輸入, MMC 然後再按 Enter 鍵
再按 [ 檔案 , 及 [ 新增 / 移除嵌入式管理單元
和按一下 [ Add , 和按一下 [ 新增 ] 、 選取 電腦帳戶 、 按一下 [ 下一步 ] 、 選取 本機電腦 、 按一下 [ 完成 ] 然後從清單選取 憑證 ]
按一下 [ 關閉 ] , 按一下 [ 確定 ]
展開 [ 憑證 ]
以滑鼠右鍵按一下 [ 個人 、 選取 [ 所有工作 ] , 請選取 [ 匯入
在歡迎使用至 [ 憑證匯入精靈 ] 頁面, 按一下 [ 下一步 ]
在 [ 要匯入頁面, 輸入 憑證為 ISASRV.Domain.Local.pfx c:\L2TP , 按一下 [ 下一步 ]
在頁密碼面, 型別為憑證, [ 防寫密碼 ] 按一下 [ 下一步 ]
在 [ 憑證存放區頁面, 選取 Place 所有憑證放入下列 , 儲存及選取 個人 , 按一下 [ 下一步 ]
在完成 [ 憑證匯入精靈 ] 頁面上, 按一下 [ 完成 ]
按一下 [ 確定 ]
?
?
若要匯入根憑證
?
在 ISA Server 2004 上管理主控台中自訂
展開 [ 受信任的根憑證授權單位 ]
以滑鼠右鍵按一下 [ 憑證 ] , 選取 [ 所有工作 ] , 中選取 了 [ 匯入
在歡迎使用至 [ 憑證匯入精靈 ] 頁面, 按一下 [ 下一步 ]
在 [ 要匯入頁面, 輸入 c:\ < 名稱的憑證伺服器名稱的企業根目錄 ca.crt , 按一下 [ 下一步 ]
在 [ 憑證存放區頁面, 選取 Place 所有憑證放入下列 , 儲存及選取 [ 信任的根憑證授權 ] , 按一下 [ 下一步 ]
在完成 [ 憑證匯入精靈 ] 頁面上, 按一下 [ 完成 ]
按一下 [ 確定 ]
?
重新啟動電腦, 以允許 IPSec 原則, 以檢查 4295 和在系統事件日誌 4294 識別在重新啟動之後生效, ISA Server 2004。
?
?
?
如何要求 L 2 TP / IPSec 為離線用戶端憑證
1 1:Option 選項:?
1 1:Option 選項:?
憑證伺服器上
請開啟 Internet Explorer, 然後瀏覽至 的 CA Server / Certsrv http://Name
選取 [ 要求憑證
請選取 [ 進階憑證要求
選取 建立向這個 CA 並提交要求
在 [ 憑證範本, 選取 [ L 2 TP / IPSec (離線要求)
在識別資訊對於離線範本, 輸入完全合格的網域名稱 (FQDN) 為非網域成員電腦在 Remote.Client.Local 例如, [ 名稱 ] 欄位
Store 本機電腦憑證存放區中憑證 放入核取記號
按一下 [ 提交
按一下 [ 是 ] 以潛在指令碼違規方塊
按一下 [ 安裝這個憑證
按一下 [ 是 ] 以潛在指令碼違規方塊
?
如何將 PFX 憑證匯出到離線用戶端
?
憑證伺服器上
在 Microsoft Management Console, 自訂展開 [ 憑證 (本機電腦)
展開 [ 個人
展開 [ 憑證 ]
以滑鼠右鍵按一下該憑證在非網域電腦上, 選取 [ 所有工作 ] , 請選取 [ 匯出
在歡迎使用至 [ 憑證匯出精靈 ] 頁面, 按一下 [ 下一步 ]
在 [ 匯出私密金鑰, 頁面選取 [ 是 ], 匯出私密金鑰 , 按一下 [ 下一步 ]
在匯出檔案格式頁, 保留預設值並且按一下 [ 下一步 ]
請輸入一個密碼為憑證, 在頁密碼面, 按一下 [ 下一步 ]
在 [ 要匯出的檔案 ] 頁面, 輸入為 c:\L2TP 憑證為 Remote.Client.Local 例如憑證名稱, 按一下 [ 下一步 ]
在完成憑證匯出精靈 ] 頁面上, 按一下 [ 完成 ]
按一下 [ 確定 ]
?
1 1:Option 選項:?
1 1:Option 選項:?
如何匯入為離線用戶端憑證
?
首先您要匯入為 Remote.Client.Local , 電腦憑證, 然後為新企業 「 憑證服務 」 匯入根憑證。
?
若要匯入 Remote.Client.Local 憑證
?
c:\ 複製 < 名稱的憑證伺服器名稱的企業根目錄 ca.crt 到 ISA Server 2004 電腦從 「 憑證伺服器
從 「 憑證伺服器 」 (Certificate Server) 複製到非網域成員電腦 c:\L2TP Remote.Client.Local.pfx 對於憑證
在非網域成員電腦上
建立自訂 MMC 如 憑證 ]
請按一下 [ 開始 ] , 按一下 [ 執行 ] , 輸入, MMC 然後再按 Enter 鍵
再按 [ 檔案 , 及 [ 新增 / 移除嵌入式管理單元
和按一下 [ Add , 和按一下 [ 新增 ] 、 選取 電腦帳戶 、 按一下 [ 下一步 ] 、 選取 本機電腦 、 按一下 [ 完成 ] 然後從清單選取 憑證 ]
按一下 [ 關閉 ] , 按一下 [ 確定 ]
展開 [ 憑證 ]
以滑鼠右鍵按一下 [ 個人 、 選取 [ 所有工作 ] , 請選取 [ 匯入
在歡迎使用至 [ 憑證匯入精靈 ] 頁面, 按一下 [ 下一步 ]
在 [ 要匯入頁面, 輸入 憑證為 Remote.Client.Local.pfx c:\L2TP , 按一下 [ 下一步 ]
在頁密碼面, 型別為憑證, [ 防寫密碼 ] 按一下 [ 下一步 ]
在 [ 憑證存放區頁面, 選取 Place 所有憑證放入下列 , 儲存及選取 個人 , 按一下 [ 下一步 ]
在完成 [ 憑證匯入精靈 ] 頁面上, 按一下 [ 完成 ]
按一下 [ 確定 ]
?
?
若要匯入根憑證
?
在 ISA Server 2004 上管理主控台中自訂
展開 [ 受信任的根憑證授權單位 ]
以滑鼠右鍵按一下 [ 憑證 ] , 選取 [ 所有工作 ] , 中選取 了 [ 匯入
在歡迎使用至 [ 憑證匯入精靈 ] 頁面, 按一下 [ 下一步 ]
在 [ 要匯入頁面, 輸入 c:\ < 名稱的憑證伺服器名稱的企業根目錄 ca.crt , 按一下 [ 下一步 ]
在 [ 憑證存放區頁面, 選取 Place 所有憑證放入下列 , 儲存及選取 [ 信任的根憑證授權 ] , 按一下 [ 下一步 ]
在完成 [ 憑證匯入精靈 ] 頁面上, 按一下 [ 完成 ]
按一下 [ 確定 ]
回此頁最上方

其他相關資訊

藉由逐步指南在完成之後您可以建立在新的連線到 ISA Server 2004 來自遠端非網域成員。 請記得將設定 ISA Server 2004 來接受傳入 VPN 連線並建立防火牆規則, 以允許從 VPN 用戶端網路到內部網路流量。 請務必將 VPN 型別設定為 L 2 TP IPSec VPN 用戶端端上。 以自動化用戶端組態使用連線管理員系統管理套件 (CMAK)。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition
回此頁最上方
關鍵字:?
kbpubtypecca kbpubmvp kbhowto KB555281 KbMtzh kbmt
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。如果您發現錯誤,並想要協助我們進行改善,請填寫本篇文章下方的問卷。
按一下這裡查看此文章的英文版本:555281? (http://support.microsoft.com/kb/555281/en-us/ )
回此頁最上方
Community Solutions Content社區解決方案內容免責聲明
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方