如題:
使用L2TP網絡“端口”協議時,最簡單的方式是雙方使用預設的IPSec共享密碼作為秘鑰,但是不太安全! 這個不太安全指的是如果這個IPSec共享秘鑰泄露后,可能會被非法連接。
問題關鍵就是如何保證這個IPSec共享秘鑰安全,所以,進一步可以建立某種制度或機制來解決泄露問題:比如,定期更換,制定某種變更規則,設置某種設置規則等等。
除卻以上方式外,可以通過使用證書方式。個人理解,使用證書也不見得多安全,而是使用門檻高,部署復雜,會引入其他限制因素。所以相對IPSec泄露安全了些而已。
相關證書也可能泄露啊,呵呵。
----------------------------- 廢話不再多說 -----------------------------------
本文目的是:網上太多使用證書的L2TP教程設置方法太 .... 太復雜,太多注意點了,讓人望而生畏。其實,真的很簡單、很簡單!
簡要說明如下:
step 1) 必須先安裝iis,主要需要啟用asp功能
step 2) 然后安裝 證書服務,它會部署一個web應用到iis中。這個過程會自動生成windows 2003服務器上的根ca證書
step 3)通過iis的證書web應用,必須是通過“高級證書申請”,申請一個本服務器(windows 2003)的ca證書,比如名字是“any”
關鍵點來了:任何類型的證書都行(哪怕是自定義的什么什么類型),必須允許導出證書的私鑰
這也是網上教程讓人覺得難且含糊不清的地方
step 4)通過"證書頒發機構 (本地)" (即windows 2003服務器)頒發上面申請的證書“any”
step 5)通過iis的證書web應用,查看申請的“any”證書,並安裝該證書到服務器(windows 2003)。該步驟的目的是后續導出這個證書。
step 6)從證書頒發機構服務器上 "證書(本地計算機)"個人目錄下,將證書“any”導出,注意,導出時必須選擇“是,導出私鑰”
導出時,最好勾選“如果可能,導出證書路徑中的所有證書”,這樣一次導出就將證書chain都一並導出了,省的后面麻煩。見下面可選的步驟
step 7)(可選的),從證書頒發機構服務器上 "證書(本地計算機)"個人目錄下,將個人可信根機構ca證書導出
step 8)通過以上步驟,我們就拿到了windows上普適的L2TP證書,去部署吧!
step 9)todo,理論上,我們只要生成一次windows 2003的根root ca證書和所頒發的相關ca證書,拿到任何windows服務器和客戶端上,均可用。
換句話說,以后你不用再安裝iis、證書服務器組件了,直接用默認安裝,即可在“證書(本地計算機)”內直接導入之前生成的相關證書即可。
... ...
