环境:

DC:TestDC.vmc.com(IP:22.22.22.1)

TMG Server:Test.vmc.com(IP:22.22.22.2、200.200.200.3

Route:Route.vmc.com(IP:200.200.200.1)

TestClient:TestWin8(IP:200.200.200.2)

实验开始:

1、部署AD域环境、安装CA【略】

2、安装TMG Server,首先运行安装前准备工具:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第1张图片

检查中

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第2张图片

检查完毕后,点击启动“安装向导”,一路默认,到达如下页面:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第3张图片

 由于楼主手速过快,这里应该有张添加网络范围的图,楼主直接点到这里了(只需添加Server的网卡即可):

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第4张图片

安装完成后点击初始配置,完成如下图的设置:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第5张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第6张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第7张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第8张图片

接下来为Router安装路由访问功能以充当路由器:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第9张图片

接下来查看TMG Server是否已经配置好:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第10张图片

先点击”显示系统策略“:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第11张图片

将”强制符合RPC规则“取消,以免通过Web方式申请证书时出现RPC错误,接下来建立一条80端口和443端口的规则,为申请证书做准备:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第12张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第13张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第14张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第15张图片

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第16张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第17张图片

接下来打开CA申请页面:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第18张图片

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第19张图片

接下来将证书导入TMG Server

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第20张图片

接下来复制一个”计算机“证书:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第21张图片

接着在,WebCA中的高级申请为×××服务器申请证明身份的证书:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第22张图片

点击安装证书到本地:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第23张图片

接着将其从证书(个人)中,导入到证书(计算机)中,记住将密钥导出:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第24张图片

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第25张图片

导入成功:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第26张图片

3、配置TMG Server 搭建SSTP ×××服务器

打开TMG Server 管理台,点击“远程访问策略 ×××”,在右侧,点击定义地址分配:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第27张图片

点击配置×××客户端访问:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第28张图片

接着为达到测试效果,将AD 域管理员设置为允许拨入:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第29张图片

由于客户端需要联系“吊销服务器”进行证书验证,所以我们首先增加可用得CRL分布点与AIA具体如下图:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第30张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第31张图片

接着发布CRL并检查:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第32张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第33张图片

接下来启用SSTP协议,并建立相应侦听器:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第34张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第35张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第36张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第37张图片

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第38张图片

建立完成后为其选择证书为刚刚申请得:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第39张图片

接下来发布CA吊销服务器所使用的侦听器:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第40张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第41张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第42张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第43张图片

接下来发布内部证书吊销服务器到公网,以便外网用户可以通过吊销服务器验证:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第44张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第45张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第46张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第47张图片

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第48张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第49张图片 【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第50张图片

由于DNS服务器并没有发布到外网,这里通过修改客户端的Hosts文件手动解析服务器名称(将吊销服务器的名称添加):

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第51张图片

4、测试

为客户端建立×××连接【略】

接着输入×××服务器地址,由于申请证书所使用的名称为IP地址(200.200.200.3),基于CN名必须相同的原则,这里输入200.200.200.3:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第52张图片

接下来测试连接,连接成功后效果图:

【单机实现系列】使用TMG2010搭建SSTP的×××实验笔记_第53张图片

 

本实验所要主要的重点是:

1、PPTP ×××必须先搭通才可以进行SSTP ×××

2、证书服务器的发布很重要

3、AIA与CRL的发布点