告别VPN:带你进入内网世界(一)

ZDNet软件频道 时间:2009-11-06 作者: | IT168 我要评论()
本文关键词:VPN Windows
Direct Access是Windos 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源!

  8. 配置CRL(Certificate Revocation List)发布设置

  打开【证书颁发机构】,点击【contoso-DC1-DA】服务器属性,在【扩展】选项卡中【CRL分发点(CDP)】,添加新的分发点,位置输入【http://crl.contoso.com/crld/】,变量分别添加【<CAName>】【<CRLNameSuffix>】【<DeltaCRLAllowed>】,结尾处添加【.crl】,确定即可。(图18)

  选中刚创建好的分发点,勾选【包括在CRL中。客户端用它来寻找增量CRL的位置】和【包含在颁发的证书的CDP扩展中】。(图19)

  再次点击【添加】,用来说明CRL的列表位置。【位置】输入【da1crldist$】此处为DA1中的隐藏共享文件夹,变量名依然勾选【<CAName>】【<CRLNameSuffix>】【<DeltaCRLAllowed>】,结尾处添加【.crl】。(图20)

  确定后,针对当前分发点勾选【发布CRL到此为止】和【发布增量CRL到此位置】(图21)

此时,CRL扩展设定完成,确定后将会重启AD证书服务。

  小贴士:关于为什么要设置CRL分发点。

  DirectAccess 服务器为通过 IP-HTTPS 的连接使用的证书。由于 DirectAccess 客户端对 DirectAccess 服务器提交的 HTTPS 证书执行证书吊销检查,因此必须确保可通过 Internet 访问在此证书中配置的证书吊销列表 (CRL) 分发点。如果 DirectAccess 客户端无法访问这些 CRL 分发点,则基于 IP-HTTPS 的 DirectAccess 连接的身份验证会失败。有关为 Active Directory 证书服务 (AD CS) 配置 CRL 分发点的信息,请参阅"指定 CRL 分发点"(http://go.microsoft.com/fwlink/?LinkId=145848)。

  9. 启用自动注册计算机证书

  再次打开组策略编辑器,编辑【DA Policy】,依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【公钥策略】-【自动证书申请设置】-右击【新建】-【自动证书申请】,证书模板选择【计算机】即可。(图22)

  至此,DC环境准备已经完成,下一篇,将继续介绍DA、网络位置服务器及客户端的环境准备,敬请关注。


百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134