設置VPN服務器證書

VPN服務器證書設置

接下來將進行的是在整個IKEv2 VPN服務器安裝設置中最關鍵的步驟，那就是關于服務器證書的配置部分。請在安裝有證書服務器的主機上從“系統管理工具”下拉菜單中開啟“證書授權單位”，然后在“證書范本”節點上點擊鼠標右鍵，單擊“管理”繼續。在開啟“證書范本控制臺”界面之后，找到系統內置的“IPSec”模板項目，點擊鼠標右鍵，單擊“復制范本”繼續。在“重復的模板”信息窗口中，選取“Windows Server 2003 Enterprise”項目并且單擊“確定”繼續。

打開 “新模板的屬性”之后，在“一般”的頁面中先輸入自定義的模板顯示名稱（例如 ：VPN Reconnect），然 后決定好默認的有效期間（默認=2年）繼續。切換到“處理要求”頁面中，將“允許導出私鑰”項目勾選繼續。在“主體名稱”頁面中，將此頁面選項設置修改為“在要求中提供”，并且確認“為自動注冊更新要求使用來自現有證書的主體信息”選項已取消勾選狀態。在上述的操作設置中可能會出現警告信息，無需理會。單擊“確定”繼續。

接著，切換到“延伸”頁面中，在選取了“應用程序策略”項目之后，單擊“編輯”按鈕。如在“編輯應用程序策略延伸”頁面中，首先必須確認目前已經存在“IP安全性IKE中繼”項目。緊接著，單擊“新增”按鈕。在“新增應用程序策略”的頁面中，選取“服務器驗證”項目，并且單擊“確定”繼續。再次回到“延伸”頁面中，在選取“密鑰使用方法”項目之后單擊“編輯”按鈕繼續。

在“編輯密鑰使用方法延伸”頁面，確認“數字簽名”選項目前已經勾選。再次回到上一層頁面中之后，單擊“確定”完成自定義證書模板的建立。

接下來，在“證書授權單位”界面的“證書范本”節點上，按下鼠標右鍵，單擊“新增→要發出的證書范本”。開啟“啟用證書模板”頁面之后，選取在前面步驟中我們所建立的證書模板項目（例如 ：VPN Reconnect）。單擊“確定”。

VPN服務器證書安裝

接下來，我們必須到準備作為IKEv2 VPN的主機中來申請服務器證書。請在開啟IE瀏覽器之后，單擊位于“工具”下拉菜單中的“網際網絡選項”。在“安全性”頁面中先選擇“近端內部網絡”，然后在“此區域的安全性等級”設置中將它變更為最低狀態即可。

關于這項安全性設置的修改，主要目的在于方便我們后續通過瀏覽器來申請IKEv2 VPN服務器證書，然而如果是在實際的環境當中，通常會因安全性的考慮不會直接修改上述設置，而是改單擊“自定義等級”按鈕。在近端內部網絡區域的安全性設置頁面中，事實上我們只要將位于“ActiveX控件與插件”類別中的“二進制和腳本行為”選項設置成“啟用”即可。接下來，在網址列中輸入要連接的證書服務器網址（例如：http：//dc01/certsrv），此時將會開啟“證書服務”頁面。單擊“要求證書”連接繼續。在“要求證書”頁面中，單擊“進階證書要求”連接繼續。此時，將會出現ActiveX不安全的相關警告訊息，單擊“是”繼續。

注意：如果沒有出現此警告信息，即表示您未完成前面步驟中的IE安全性設置。

接著，將會出現“Web訪問確認”的警告信息息，單擊“是”繼續。來到“進階證書要求”頁面中，請先從證書模板下拉菜單中選取我們在前面步驟中所建立的證書模板項目（例 如：VPN Reconnect），接著在“名稱”字段中輸入將提供給遠程用戶連接的VPN地 址（例 如：vpn01.msft.com），這個地址必須同樣在外部DNS區域中有著相同的A記錄以供Internet解析才可以。最后，陸續完成其他字段信息的輸入，并且單擊“提交”按鈕即可。

此時，將會出現“證書已發出”的頁面，單擊“安裝這個證書”連接繼續。等待成功完成了服務器證書的安裝之后，將會出現安裝的頁面，即表示目前的證書已經儲存在本機計算器之中，請關閉瀏覽器窗口。

調整證書安裝位置

在前面步驟中，雖然已經完成了IKEv2 VPN服務器證書的申請與安裝，但是，目前證書的默認自動儲存位置并不正確，因此，必須進行證書儲存位置的修該。在開啟MMC界面之后，在執行“新增或移除嵌入式管理單元”頁面中，選取“證書”項目與單擊“新增”時，分別將“目前用戶”與“本機計算器”的證書類型都一一加入。單擊“確定”繼續。

開啟“目前用戶”的證書節點之后，在“個人→證書”節點頁面中找到前面步驟中所申請安裝的證書項目，然后點擊鼠標右鍵，單擊“所有工作→導出”繼續。在執行“證書導出向導”過程中，首先在“導出私鑰”的頁面中選取“是，導出私鑰”項目，單擊“下一步”。

在“導出文件格式”頁面中，不需要修改任何設置，直接單擊“下一步”。在“密碼”頁面中設置一組用以保護后續證書檔案的密碼，單擊“下一步”繼續。在“要導出的檔案”頁面中，單擊“瀏覽”按鈕來設置儲存導出證書檔案的路徑。連續單擊“下一步”完成導出操作。接下來，單擊“證書（本機計算器）→個人”，點擊鼠標右鍵，單擊“所有工作→導入”繼續。

在“導入檔案”的頁面中，單擊“瀏覽”按鈕，此時將會開啟“開啟舊文件”窗口，請先在文件類型下拉菜單中選取“個人信息交換（*.pfx，*.p12）”，然后再瀏覽至證書檔案的路徑，便可以看到前面步驟中所導出的證書檔案。選取之后，單擊“開啟舊文件”按鈕繼續。在“導入檔案”頁面中完成證書檔案路徑設置，單擊“下一步”。

在“密碼”頁面中，輸入用以開啟導入證書檔案的保護密碼，確認無誤之后，單擊“下一步”。在“證書存放區”頁面中，選取“將所有證書放入以下的存放區”，然后單擊“瀏覽”，并且選取“個人”。單擊“下一步”。最后，在“完成證書導入向導”的頁面中，可以看到設置摘要，確認無誤之后，單擊“完成”即可。當服務器證書成功導入之后，將會出現導入成功的信息。

成功完成服務器證書的導入之后，我們將可以在“證書（本機計算器）→個人→證書”節點頁面中看到該證書檔案。除了上述必要的服務器證書之外，無論是對于遠程客戶端計算器或是IKEv2 VPN服務器本身，在它們的“證書（本機計算器）→受信任的根證書授權單位→證書”節點中，都必須確認已存放了來自相同證書服務器的證書檔案。關于此證書檔案的下載與安裝，您可以手動從證書服務器網站上來下載，或是讓計算器在加入域中不久之后也會自動下載。