SSTP：windows server 2008+ 配置关键点

关键知识点：

• 可信根root CA
• root CA 签发的“服务器身份验证”类型的crt
• CN【姓名、颁发给、使用者】必须是 “计算机全名【FQDN：Fully Qualified Domain Name：完整限定的域名】”
• crt扩展属性中必须包含CRL【证书吊销列表】的CDP【证书吊销列表 分发点】信息
• crt扩展属性中必须包含AIA【颁发机构信息访问】信息
• 以上CDP\AIA信息必须可被internet访问到，可以通过file、http、ftp、ldap等协议提供

 

技巧：

• CN对应着vpn客户端的访问域名：可通过dns、或lmhosts配置来调整
• crt的扩展属性CDP\AIA可在证书颁发机构的扩展属性配置内配置【windows server 2003的证书服务就不错，默认都有这些配置】
• crt的CDP\AIA信息，可通过自定义网站【如apache、nginx、tomcat等等】搭建访问点

 

实践：

todo...