【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记

 环境：

DC：TestDC.vmc.com（IP：22.22.22.1）

TMG Server：Test.vmc.com（IP：22.22.22.2、200.200.200.3）

Route：Route.vmc.com（IP：200.200.200.1）

TestClient：TestWin8(IP：200.200.200.2)

实验开始：

1、部署AD域环境、安装CA【略】

2、安装TMG Server，首先运行安装前准备工具：

检查中：

检查完毕后，点击启动“安装向导”，一路默认，到达如下页面：

 由于楼主手速过快，这里应该有张添加网络范围的图，楼主直接点到这里了（只需添加Server的网卡即可）：

安装完成后点击初始配置，完成如下图的设置：

接下来为Router安装路由访问功能以充当路由器：

接下来查看TMG Server是否已经配置好：

先点击”显示系统策略“：

将”强制符合RPC规则“取消，以免通过Web方式申请证书时出现RPC错误，接下来建立一条80端口和443端口的规则，为申请证书做准备：

接下来打开CA申请页面：

接下来将证书导入TMG Server

接下来复制一个”计算机“证书：

接着在，WebCA中的高级申请为×××服务器申请证明身份的证书：

点击安装证书到本地：

接着将其从证书（个人）中，导入到证书（计算机）中，记住将密钥导出：

导入成功：

3、配置TMG Server 搭建SSTP ×××服务器

打开TMG Server 管理台，点击“远程访问策略 ×××”，在右侧，点击定义地址分配：

点击配置×××客户端访问：

接着为达到测试效果，将AD 域管理员设置为允许拨入：

由于客户端需要联系“吊销服务器”进行证书验证，所以我们首先增加可用得CRL分布点与AIA具体如下图：

接着发布CRL并检查：

接下来启用SSTP协议，并建立相应侦听器：

建立完成后为其选择证书为刚刚申请得：

接下来发布CA吊销服务器所使用的侦听器：

接下来发布内部证书吊销服务器到公网，以便外网用户可以通过吊销服务器验证：

由于DNS服务器并没有发布到外网，这里通过修改客户端的Hosts文件手动解析服务器名称（将吊销服务器的名称添加）：

4、测试

为客户端建立×××连接【略】

接着输入×××服务器地址，由于申请证书所使用的名称为IP地址（200.200.200.3），基于CN名必须相同的原则，这里输入200.200.200.3：

接下来测试连接，连接成功后效果图：

 

本实验所要主要的重点是：

1、PPTP ×××必须先搭通才可以进行SSTP ×××

2、证书服务器的发布很重要

3、AIA与CRL的发布点