我们都知道，Windows Server 2008的×××有三种类型：PPTP、L2TP/IPSec、SSTP。而对于SSTP×××直接走443端口，增加了通用性。而对于ISA2004/2006均不可以实现这种类型的×××，而最近微软发布的新产品TMG增加了对SSTP×××的支持，今天我们就来看一下，这三种类型的×××在TMG下的实现方式：

对于本内容我们分三次进行，这是我们的第三次课，SSTP ×××的实现过程：

前言：

对于×××的工作过程，不外乎两个阶段：身份验证和授权，对于身份验证说白了其实就是对用户进行合法性验证，即是否是对应数据库里的用户，并且密码验证也通过。授权，即该用户必须有拔入权限。

实验拓朴：

三台机器，所有配置如上所示，初始环境已经搭建结束，如W08a是DC和DNS，CA并没有安装。W08c是TMG服务器，并已经安装了TMG，远程客户端win7的TCP相关配置如上。接下来我们来看SSTP×××的实现过程：

分析：

1. 要实现SSTP×××我们必须要有CA服务器，即必须为TMG这台服务器准备计算机证书，同时为远程客户端安装CA的根证书。当然如果在生产环境里，我们完全可以去商业CA那里为TMG服务器申请并购买计算机证书，在这里我们为了测试就直接在企业内部搭建自己的CA了。

2.远程客户端在使用SSTP的方式连接TMG时，必须要下载TMG的服务器证书，当然也必须有能力验证该证书的有效性，即远程客户端必须能联系CA的证书吊销服务器，由于我们在企业内部搭建的CA服务器，故我们必须在TMG上把内部的证书吊销服务器的WEB站点发布到公网。

3.远程客户端必须使用TMG服务器证书的名字来联系TMG服务器并下载该服务器的证书。故必须保证在远程客户端上通过公网DNS可以解析TMG服务器的名称为TMG服务器公网网卡的IP，在这里，由于是测试环境，我们采用Hosts文件实现名称的解析。

大致步骤：

一、解决证书问题：

1.在企业内部搭建根CA（独立CA），同时安装WEB申请组件。

2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。

3.在远程客户端下载CA的根证书并安装到计算机存储列表中。

二、TMG上的配置：

1.在TMG上完成SSTP ×××的配置并创建相应的访问规则及用户拔入权限。

2.在TMG上完成内部证书吊销服务器WEB站点的发布。

三、远程客户端的配置：

1.在Win7上创建×××拔号连接

2.修改Hosts文件

3.并测试。

四、总结

实现过程：

一、解决证书问题：

1.在企业内部搭建根CA（独立CA），同时安装WEB申请组件。

2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。

3.在远程客户端下载CA的根证书并安装到计算机存储列表中。

有关证书问题，各位可以参考《TMG实现L2TP/IPSec ×××---TMG2010 ×××系列之二》，注意在配置L2TP/IPSec×××时我们在客户端也申请了计算机证书，但在SSTP ×××中，我们可以只为客户端下载CA的根证书就可以了。

详细的操作，此外略。

二、TMG上的配置：

1.在TMG上完成SSTP ×××的配置并创建相应的访问规则及用户拔入权限。

此处配置，基本上和《TMG实现L2TP/IPSec ×××---TMG2010 ×××系列之二》类似，唯一不同我们选择×××协议是SSTP，并且要创建一个“侦听器”，具体操作如下所示：

（PS：所谓侦听器，也就是我们需要确定让我们的TMG在哪个网络接口接收客户端的访问请求，在这里由于实现SSTP的×××，所以需要在TMG公网卡的443端口侦听来公网的请求，并且我们需要选择一个证书，当客户端连接此网络接口时，TMG会把该证书传送给客户端。从而实现将来的安全通信）

如下图，我们单击“新建”，如下：

2.在TMG上完成内部证书吊销服务器WEB站点的发布。

分析：当远程客户端从TMG下载到证书之后，需要联系“证书吊销服务器”来验证该证书是否有效，故在×××未建立之前远程客户端必须有联系证书吊销服务器，因为在我们实验环境里，CA和证书吊销服务器均是内网的w08a.contoso.com，所以我们必须通过“WEB服务器发布规则”把证书吊销服务器的WEB站点发布出来。

（1）创建Web侦听器：

如图所示，选择“新建WEB侦听器”。

（2）新建WEB发布规则：

具体操作过程如下：

到如上，也可以单击上图中的“测试规则”，如果有问题也有相应的提示。

三、远程客户端的配置：

1.在Win7上创建×××拔号连接

基本上和L2TP/IPSec ×××的拔号创建差不多，唯一不同的，选择×××类型为SSTP，并且连接从IP改为名字。如下所示：

2.修改Hosts文件

如上，要保证w08c能解析为172.16.1.1，此外还要能保证当从远程客户端访问http://w08a.contoso.com时能定位到CA服务器，所以我们通过Hosts文件的来完成名字解析，修改如下：

以管理员身份运行cmd（什么！不会！哈哈，右击CMD，选择“以管理员身份运行”就可以了），输入以下命令：

保存关闭文件即可。

3.并测试。

四、总结：

配置SSTP ×××关键点：

1.证书的申请并安装。

2.证书吊销服务器的发布。

而查看证书吊销服务器可以通过证书文件来查看，如下图所示：

因此在公网能访问此WEB站点。名字当然也必须一样的。