在為終端服務網關(TS GW)服務器安裝專用的計算器證書之前,我們必須先建立一個它專用的證書模板。首先登錄證書服務器,開啟“系統(tǒng)管理工具”下拉選單中的“證書授權單位”管理接口,展開至“證書模板”項目節(jié)點,點擊鼠標右鍵,選擇“管理”繼續(xù)。
注意:想要產生終端服務網關專用的主機證書,所使用的Windows Server 2003或Windows Server 2008的CA證書服務器操作系統(tǒng)必須是企業(yè)版才可以。
接著,將會開啟“證書模板控制臺”管理界面,在眾多的證書模板項目中找到“IPSec(脫機要求)”項目,并且按下鼠標右鍵,選擇“復制范本”繼續(xù)。接下來您必須設置一個惟一的模板顯示名稱,接著可以自行定義證書的有效期(最多999年),以及更新的間隔時間。然后切換到“處理要求”頁面,勾選“允許導出私鑰“選項,點擊右下角的“CSP”按鈕繼續(xù)。
在“CSP選取”頁面中,在選取“要求必須是以下其中一個CSP”之后,勾選下方CSP清單中的“Microsoft Enhanced RSA and ASE Cryptographic”,點擊“確定”繼續(xù)。切換到“延伸”頁面中,在選取“應用程序政策”項目之后,按下鼠標右鍵,點擊“編輯”繼續(xù)。
接下來會開啟“編輯應用程序政策延伸”頁面,先將默認的“IP安全性IKE中繼”刪除之后,再分別將“客戶端驗證”與“服務器驗證”加入,點選“確定”繼續(xù)。隨后,切換到“安全性”頁面中,在“群組或用戶名稱”清單中選取“Authentication Users”項目,然后將下方權限清單中的允許“注冊”勾選,點選“確定”完成設置。
再次回到“證書授權單位”管理界面,點選“證書模板”項目后,按下鼠標右鍵,點選“新增”下拉選單中的“要發(fā)出的證書范本”繼續(xù)。
在“啟用證書模板”頁面中,可以看見我們在前面所建立的“終端服務網關(TS GW)Server”證書范本,請在選取之后點擊“確定”。在“證書模板”的項目節(jié)點上,便可以看到前面新增進來的“終端服務網關(TS GW)Server”證書范本。
完成了自定義的終端服務網關 (TS GW)Server 證書模板的建立之后,接下來當然要從證書授權單位的主機上,來申請與安裝此計算機證書在終端服務網關(TS GW)主機本地計算機中。首先在終端服務網關(TS GW)主機的IE瀏覽器中連接登錄證書授權單位的網站(例如 :https://caserver/certsrv),選擇“要求證書“連接繼續(xù)。接著在“要求證書”連接頁面中,選擇“進階證書要求”連接繼續(xù)。
接著在“進階證書要求”頁面中,選擇“向這個CA建立并提交一個要求”連接繼續(xù)。接著將會來到如圖2所示的“進階證書要求”頁面,在此首先要在“證書范本”下拉選單中選取“終端服務網關(TS GW)Server”,然后在脫機模板識別信息區(qū)域的第一個字段中,輸入單位終端服務網關(TS GW)網絡給予外部使用者連接的網際網絡FQDN地址(絕對不可以輸入錯誤),接著請在下方的CSP下拉選單中選取“Microsoft Enhanced RSA and AES Cryptographic Provider”,并且將“將密鑰標示成可匯出”設置勾選,最后點擊“送出”按鈕繼續(xù)。
圖2 進階證書要求設置
點擊“送出”按鈕時,將會彈跳“Web存取確認”的警告信息,點擊“是(Y)”繼續(xù)。接著會出現(xiàn)“證書已發(fā)出”頁面,在此點擊“安裝這個證書”連接繼續(xù)。執(zhí)行之后將會再一次出現(xiàn)“Web存取確認”警告頁面,主要是用來讓使用者可以確認來源證書的合法性,點擊“是”按鈕繼續(xù)。完成證書安裝之后,將會出現(xiàn)“證書已安裝”頁面,點擊“關閉”按鈕繼續(xù)。
完成在證書授權單位主機上的終端服務網關(TS GW)Server證書安裝之后,還有一個地方需要做一下調整,那就是將默認安裝在以目前用戶容器中的終端服務網關(TS GW)Server證書,加入到以本地為主的證書容器中才可以正常運行。
首先在終端服務網關(TS GW)服務器上以MMC接口開啟MMC管理接口之后,然后在“新增或移除嵌入式管理單元”頁面中,分別加入兩個“證書”管理項目,請務必記得“目前的使用者”以及“本地計算機”都必須加入才可以。點擊“確定”繼續(xù)。在“證書-目前的使用者→個人→證書”中,可以看到目前所安裝的終端服務網關(TS GW)Server專屬的計算器證書,針對此證書項目點擊鼠標右鍵,選擇“所有工作→匯出”繼續(xù)。
接著將會開啟“證書匯出向導”頁面,整個過程中有些設置要特別注意。首先在“匯出私鑰”頁面中,必須選取“是,導出私鑰”選項,點選“下一步”繼續(xù)。在“匯出文件格式”頁面中,請將“如果可能的話,包含證書路徑中的所有證書”以及“導出所有延伸屬性”項目勾選繼續(xù)。點選“下一步”繼續(xù)。在“密碼”頁面中可以設置用來保護這個證書檔案的密碼,而這個密碼也將在后續(xù)匯入到本地計算機的操作中需要再次輸入。
完成了證書從目前使用者的容器中匯出之后,緊接著需要將此證書檔案匯入本地計算機的證書容器中。在本地計算機的“個人→證書”節(jié)點上,點擊鼠標右鍵,選擇“匯入”,執(zhí)行過程中會出現(xiàn)“匯入檔案”頁面,選擇“瀏覽”按鈕選取前面所導出的證書檔案(擴展名=pfx),點擊“下一步”繼續(xù)。
接著,會出現(xiàn)“密碼”頁面,首先必須先輸入前面證書導出時所設置的密碼,然后把“將這個密鑰設成可匯出,這樣可以在以后備份或傳輸您的密鑰”項目,以及“包含所有延伸屬性”項目勾選,點擊“下一步”繼續(xù)完成證書的匯入作業(yè)即可。在完成了終端網關服務證書的安裝之后,最后必須在“TS網關管理員”接口中將所安裝的證書設置進來即可。