企業中有許多的行動工作者是透過VPN網路,來進行各種遠端協同作業需求,為了讓這些用戶在使用VPN網路的過程中更加流暢,可以善用Windows Server 2008 R2 VPN Reconnect技術來達成。
TOP 2:準備VPN伺服器所需憑證
在整個IKEv2 VPN伺服器安裝設定中最關鍵的步驟,就是伺服器憑證的組態配置。在已安裝憑證伺服器的主機上,從「系統管理工具」下拉選單中開啟「憑證授權單位」,然後如圖3所示在「憑證範本」節點上按一下滑鼠右鍵,接著點選快速選單中的【管理】。
|
▲圖3 憑證授權單位。 |
如圖4所示,開啟「憑證範本主控台」介面後,找到系統內建的「IPSec」範本項目,然後按下滑鼠右鍵,點選快速選單中的【複製範本】。
|
▲圖4 憑證範本管理。 |
隨即跳出「重複的範本」訊息視窗,如圖5所示選擇「Windows Server 2003 Enterprise」項目,並且按下〔確定〕按鈕。
|
▲圖5 選擇範本類型。 |
隨即開啟「新範本的內容」視窗,在〔一般〕活頁標籤內先輸入好自訂的「範本顯示名稱」(例如VPN Reconnect),然後決定好預設的「有效期間」(預設=2年)。
接著,切換到至〔處理要求〕活頁標籤,勾選「允許匯出私密金鑰」項目。
如圖6所示,再切換到〔主體名稱〕活頁標籤,將此頁面選項設定修改為「在要求中提供」,並確認「為自動註冊更新要求使用來自現有憑證的主體資訊」選項已經取消勾選。
|
▲圖6 主體名稱設定。 |
在上述操作設定中可能會出現如圖7所示的警告訊息,無須理會,直接按下〔確定〕按鈕繼續。
|
▲圖7 跳出警告訊息。 |
切換到如圖8所示的〔延伸〕活頁標籤之內,先選取「應用程式原則」項目,接著再按下〔編輯〕按鈕繼續。
|
▲圖8 延伸設定。 |
如圖9所示跳出「編輯應用程式原則延伸」視窗,首先確認目前已經存在「IP安全性IKE中繼」項目,緊接著按下〔新增〕按鈕。
|
▲圖9 編輯應用程式原則延伸。 |
在「新增應用程式原則」頁面中選取「伺服器驗證」項目,然後按下〔確定〕按鈕。再次回到〔延伸〕活頁標籤,選取「金鑰使用方法」項目並按下〔編輯〕按鈕。
如圖10所示將出現「編輯金鑰使用方法延伸」頁面,確認「數位簽章」選項目前已經勾選。再一次回到上一層頁面中,然後按下〔確定〕按鈕完成自訂憑證範本的建立。
|
▲圖10 編輯金鑰使用方法延伸。 |
接下來,在「憑證授權單位」視窗內的「憑證範本」節點上按一下滑鼠右鍵,然後依序點選快速選單中的【新增】→【要發出的憑證範本】,如圖11所示。
|
▲圖11 憑證授權單位。 |