radius CA 认证 SSL IPSEC VPN高级实验.docx
《radius CA 认证 SSL IPSEC VPN高级实验.docx》由会员分享,可在线阅读,更多相关《radius CA 认证 SSL IPSEC VPN高级实验.docx(16页珍藏版)》请在冰豆网上搜索。
radiusCA认证SSLIPSECVPN高级实验
Windows2003IPsecVPN
通过把VPN和IPsec进行有效的结合,可以达到更好的身份验证和安全性。
基于IPsec的VPN方式将采用L2TP进行连接。
在实验之前,我们首先确保客户端可以通过PPTP进行连接,然后在此基础上做进一步的配置。
RADIUS称为远程验证拨入用户服务,如果拥有不止一个RAS服务器,则可以使用RADIUS服务器来集中管理这些RAS服务器,如进行验证、授权、计费和审计。
实验的工作原理:
(本实验把DC和radius服务器二合一)
1、VPN客户端像VPN服务器(即RADIUS客户端)发送建立连接请求
2、VPN服务器(即RADIUS客户端)将来自VPN客户端的请求转发给RADIUS服务器
3、RADIUS对来自VPN服务器的请求进行验证,并且存储帐户信息
4、RADIUS服务器告诉RADIUS客户端(即VPN服务器)是接受还是拒绝来自VPN客户端的请求
拓展知识:
关于windows身份验证和RADIUS身份验证
当使用Windows验证时,如果VPN服务器是独立服务器,则使用本地账户(SAM)来验证VPN客户,并通过本地配置来决定是否授权VPN客户的拨入;如果VPN服务器是域成员服务器,则使用活动目录数据库来验证VPN客户,并通过域用户拨入属性(所有属于此域的VPN服务器共享)或者VPN服务器的本地远程访问策略来决定是否允许VPN客户的拨入。
每个VPN服务器使用自己独立的配置或者共享域用户拨入属性的配置。
如果使用RADIUS进行身份验证,那么VPN服务器将VPN客户提交的身份验证信息发送至RADIUS服务器进行验证,由RADIUS服务器来决定是否授权VPN客户的访问。
多个VPN服务器可以配置为使用一个RADIUS服务器,这是一种集中管理的身份验证、授权、记账方式。
在Windows服务器中同样提供了RADIUS服务器组件
VPN服务器上安装两块网卡,一个连入内网一个连入外网。
Authentication(验证):
设置哪些用户可以通过VPN访问服务器资源。
在DC上做身份验证。
Authorization(授权):
检查客户端是否可以拨入服务器,是否符合拨入条件(时间,协议……)
(一)、实验前的准备工作
本实验DC和VPN都用WIN2003系统,升级安装DC,域名为,并把VPN服务器加入到域中,并启用RAS服务。
在DC上安装Internet验证服务。
(详细过程这里省略)。
也可以不把VPN加入到域中,客户端也可以在RADIUS上进行身份的验证,大家可以试一下。
1、在DC上安装证书服务(要同时安装WEB服务,因为通过浏览器申请证书,需要WEB服务的支持)。
本实验的CA类型为“独立根CA”,且将VPN服务器加入到域中。
2、为VPN服务器添加两块网卡,一块用于连接内网,IP为10.1.1.2,另一块用来连接外网客户端,IP为:
20.1.1.1。
3、在VPN服务器上开启路由和远程访问服务,按照向导配置如下:
远程访问服务提供了两种接入的方式:
拨号连接和VPN连接。
现在主要采用VPN连接的方式,因为通过虚拟专网的方式费用会较低,效率高,实现一定的身份认证和机密性。
下图的选择公网的网卡,即和客户端相连的那块网卡
新建地址范围“20.1.1.2—20.1.1.200”单击“下一步”:
我们在指定IP地址范围的时候我们应该知道在这里指定的是服务和VPN客户端相连的一个网段的IP地址;提示:
使用静态IP地址池为客户端分配IP地址可以减少IP地址解析时间,提高连接速度。
在“管理多个访问服务器”中我们选择“是”。
设置成和RADIUS服务器一起工作,如果过选择否,那么将在VPN上做身份验证,而不会到RADIUS服务器上。
单击“下一步”,进入RADIUS服务器选择。
这里共享密码设置为123。
到这里向导设置就结束了。
在DC上打开“Internet验证服务”,配置向导如下图所示:
上图中下面两个勾可以不选择
最后单击“完成”。
单击“VPN”选择“属性”,配置一下默认的远程访问策略为开启。
下面在Internet验证服务里新建RADIUS客户端。
客户端的IP地址是VPN服务器即RADIUS客户端的内网卡的IP地址。
在VPN服务器上确认一下身份验证的方式为RADIUS
下图的端口号要注意,如果client不能正常访问,那么端口也是要检查的,看看端口是不是出现了问题。
这里还要设置好机密,就是设置好统一的密码。
到DC上,新建用户abc,作为拨入用户,右击该用户,选择属性,拨入属性选项卡,选择第三项:
使用远程访问策略控制访问。
注意:
如果该选项为灰色,需要提升默认的域功能级别到2003模式。
5、到客户端上新建拨号连接,连接类型为“连接到我工作场所的网络”“虚拟专用网络连接”。
保证客户端可以用PPTP的方式访问。
(过程省略)
(二)、具体的IPsecVPN的实现过程
1、VPN服务器和客户端均需申请IPsec证书,下载并且安装所申请的证书,作为独立CA,会稍微麻烦一点。
首先为VPN服务器申请“IPsec证书”,输入http:
//1.1.1.1/certsrv
选择“高级证书申请”
选择创建并向此CA提交一个申请
在下图的证书类型中选择“IPsec证书”,注意勾选“将证书保存在本地计算机存储中”,点击“提交”
到DC上,打开证书颁发机构,颁发该IPsec证书。
VPN服务器所申请的证书会在DC的证书颁发机构的挂起的申请中,我们需要到DC的证书颁发机构中对该挂起的申请进行颁发
查看证书挂起的状态。
颁发之后,回到VPN服务器上打开IE,下载由证书颁发机构所颁发的证书,选择“查看挂起证书的申请状态”
点上图,安装证书,VPN的证书安装完成
提示:
企业根CA只存在于域环境下,它的好处之一就是证书自动颁发,而独立CA需要到证书服务管理工具上手动将挂起的证书进行颁发
接下来要用相同的方法为客户端申请证书(步骤省略)
2、当VPN服务器和客户端的证书申请完毕后,这个时候还不能通过证书信任来进行IPsec的访问,需要在VPN和客户端上下载根CA证书及证书链,并导入到信任的证书颁发机构列表中
以VPN为例
将CA证书及证书链下载到桌面吧,然后进行下列的操作,安装到“受信任的证书颁发机构”
按照上面同样的方式导入证书链。
对于客户端来说下载CA和CA链的方式以及导入的方式与VPN服务器完全相同,在此配置省略。
3、当客户端和VPN服务器的证书申请完毕后,最好重启一下VPN服务和CA服务
4、将客户端的VPN连接属性改为L2TP证书验证。
注意:
为了验证证书生效,所以如果有L2TP的共享密钥,一定要将其删除,且把勾挑掉。
等做完客户端的配置之后,就可以使用IPsecVPN进行安全的通信了。
【注意事项】
1、在客户端和VPN服务器上是不是正确地申请了IPsec的VPN,如果IPsecVPN申请的时候出现配置错误,或者申请的根本不是IPsec证书(比如申请成了web浏览器证书),那么客户机是无法找到有效的IPsec证书的。
2、如果在客户端和VPN服务器上没有下载并导入根CA证书和证书链到受信任的证书颁发机构中,那么在客户机访问的时候也是无法找到正确的信任关系的。
3、访问VPN服务器上的共享资源,可以通过“网上邻居”直接访问共享资源;也可以通过UNC路径访问,即在地址栏中输入“\\服务器名”或\\服务器地址,通过浏览器窗口访问共享资源。
提示:
在成功建立VPN连接后可能会出现客户端和服务端的“网上邻居”窗口中无法找到对方的问题,这时应该检查两者是否均安装了NetBEUI协议。
如果客户端在访问服务器端的共享资源的时候可能会出现长时间的搜索过程。
如果迟迟找不到服务器,可以使用“搜索计算机”进行搜索。
如果VPN服务器端同时又作为局域网内的一台主机,用户还可以让VPN客户端进一步访问局域网内的其他主机。
这需要VPN服务端开启了路由器功能并启用了IP路由,不过在VPN服务器配置完成后这些功能都是默认启用的。
4、工作组模型下VPN服务器做身份验证,拨号请求发送至SAM数据库做身份验证。
5、用户帐号拨入权限:
条件、权限、配置文件决定了客户端是否可以拨入VPN网络。
6、配置文件包括:
拨入时间,IP地址范围,是否支持多链路,何种身份验证,是否加密。
7、运行里输入“rrasmgmt.msc”也可以打开“路由和远程访问”
8、VPN使用以下的技术来保证安全性:
隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
9、注意RADIUS验证和RADIUS记账的端口号。
10、把本实验改成两台VPN服务器做一下,然后把这2台VPN设置成群集系统。