内容概要：在这篇文章中，louma详细的说明了基于L2TP的站点到站点的VPN连接中，连接双方的证书配置。除了VPN的情况，如果你想了解如何申请证书，也可以参照此文。

基于PPTP的站点到站点VPN配置在How To：配置基于PPTP模式的站点到站点的VPN连接一文中已经说的很详细了，在此我们仅对基于L2TP的站点到站点VPN连接中的证书配置进行介绍。
在本次试验中，因为我的域内已经有一台CA服务器，而且我的ISA服务器不在域内，并且想配置一台CA证书服务器颁发证书给VPN客户使用，所以在安装CA服务器时，没装成集成域的CA服务器而是装成独立的CA根服务器。

域集成的CA服务器的证书申请跟独立CA服务器不一样的，如果你安装的是域集成的CA服务器，请看微软的帮助。

下面是CA证书服务器建立、证书申请、安装的步骤：

注意：

看完文章后再进行操作，千万不要边看边做！

服务器身份验证证书是装在被拨方，客户端身份验证证书是装在主拨方。

1、建立IIS服务器要允许ASP；

2、建立CA服务器；

3、安装时CA类型选择时选择 独立根CA 如果想生成更强的证书可选择用自定义设置生成密钥对和CA证书

4、在CA识别信息中，测试时随便输入，呵呵

5、证书数据库设置 最好不要随便更改 因为要发布的和CRL下载

6、CA服务器安装完成 CA服务器的默认设置是证书申请必须手动颁发，要改为自动颁发的话在 CA服务器的策略模块里可更改（对于独立的CA服务器，最好不要自动颁发，否则有泄漏的危险）。在扩展中 修改用户可获取证书吊销列表的位置要改为http://这种方式（这样可以让在外部的证书用户获得证书吊销列表，否则你吊销的证书还继续有效）。

7：在ISA发布完CA服务器后还要在防火墙策略里打开允许CRL吊销列表的下载.

作者：louma

[1] [2] [3] [4] 下一页