VPN服务器证书设置

接下来将进行的是在整个IKEv2 VPN服务器安装设置中最关键的步骤，那就是关于服务器证书的配置部分。请在安装有证书服务器的主机上从“系统管理工具”下拉菜单中开启“证书授权单位”，然后在“证书范本”节点上点击鼠标右键，单击“管理”继续。在开启“证书范本控制台”界面之后，找到系统内置的“IPSec”模板项目，点击鼠标右键，单击“复制范本”继续。在“重复的模板”信息窗口中，选取“Windows Server 2003 Enterprise”项目并且单击“确定”继续。

打开 “新模板的属性”之后，在“一般”的页面中先输入自定义的模板显示名称（例如 ：VPN Reconnect），然 后决定好默认的有效期间（默认=2年）继续。切换到“处理要求”页面中，将“允许导出私钥”项目勾选继续。在“主体名称”页面中，将此页面选项设置修改为“在要求中提供”，并且确认“为自动注册更新要求使用来自现有证书的主体信息”选项已取消勾选状态。在上述的操作设置中可能会出现警告信息，无需理会。单击“确定”继续。

接着，切换到“延伸”页面中，在选取了“应用程序策略”项目之后，单击“编辑”按钮。如在“编辑应用程序策略延伸”页面中，首先必须确认目前已经存在“IP安全性IKE中继”项目。紧接着，单击“新增”按钮。在“新增应用程序策略”的页面中，选取“服务器验证”项目，并且单击“确定”继续。再次回到“延伸”页面中，在选取“密钥使用方法”项目之后单击“编辑”按钮继续。

在“编辑密钥使用方法延伸”页面，确认“数字签名”选项目前已经勾选。再次回到上一层页面中之后，单击“确定”完成自定义证书模板的建立。

接下来，在“证书授权单位”界面的“证书范本”节点上，按下鼠标右键，单击“新增→要发出的证书范本”。开启“启用证书模板”页面之后，选取在前面步骤中我们所建立的证书模板项目（例如 ：VPN Reconnect）。单击“确定”。

VPN服务器证书安装

接下来，我们必须到准备作为IKEv2 VPN的主机中来申请服务器证书。请在开启IE浏览器之后，单击位于“工具”下拉菜单中的“网际网络选项”。在“安全性”页面中先选择“近端内部网络”，然后在“此区域的安全性等级”设置中将它变更为最低状态即可。

关于这项安全性设置的修改，主要目的在于方便我们后续通过浏览器来申请IKEv2 VPN服务器证书，然而如果是在实际的环境当中，通常会因安全性的考虑不会直接修改上述设置，而是改单击“自定义等级”按钮。在近端内部网络区域的安全性设置页面中，事实上我们只要将位于“ActiveX控件与插件”类别中的“二进制和脚本行为”选项设置成“启用”即可。接下来，在网址列中输入要连接的证书服务器网址（例如：http：//dc01/certsrv），此时将会开启“证书服务”页面。单击“要求证书”连接继续。在“要求证书”页面中，单击“进阶证书要求”连接继续。此时，将会出现ActiveX不安全的相关警告讯息，单击“是”继续。

注意：如果没有出现此警告信息，即表示您未完成前面步骤中的IE安全性设置。

接着，将会出现“Web访问确认”的警告信息息，单击“是”继续。来到“进阶证书要求”页面中，请先从证书模板下拉菜单中选取我们在前面步骤中所建立的证书模板项目（例 如：VPN Reconnect），接着在“名称”字段中输入将提供给远程用户连接的VPN地 址（例 如：vpn01.msft.com），这个地址必须同样在外部DNS区域中有着相同的A记录以供Internet解析才可以。最后，陆续完成其他字段信息的输入，并且单击“提交”按钮即可。

此时，将会出现“证书已发出”的页面，单击“安装这个证书”连接继续。等待成功完成了服务器证书的安装之后，将会出现安装的页面，即表示目前的证书已经储存在本机计算器之中，请关闭浏览器窗口。

调整证书安装位置

在前面步骤中，虽然已经完成了IKEv2 VPN服务器证书的申请与安装，但是，目前证书的默认自动储存位置并不正确，因此，必须进行证书储存位置的修该。在开启MMC界面之后，在执行“新增或移除嵌入式管理单元”页面中，选取“证书”项目与单击“新增”时，分别将“目前用户”与“本机计算器”的证书类型都一一加入。单击“确定”继续。

开启“目前用户”的证书节点之后，在“个人→证书”节点页面中找到前面步骤中所申请安装的证书项目，然后点击鼠标右键，单击“所有工作→导出”继续。在执行“证书导出向导”过程中，首先在“导出私钥”的页面中选取“是，导出私钥”项目，单击“下一步”。

在“导出文件格式”页面中，不需要修改任何设置，直接单击“下一步”。在“密码”页面中设置一组用以保护后续证书档案的密码，单击“下一步”继续。在“要导出的档案”页面中，单击“浏览”按钮来设置储存导出证书档案的路径。连续单击“下一步”完成导出操作。接下来，单击“证书（本机计算器）→个人”，点击鼠标右键，单击“所有工作→导入”继续。

在“导入档案”的页面中，单击“浏览”按钮，此时将会开启“开启旧文件”窗口，请先在文件类型下拉菜单中选取“个人信息交换（*.pfx，*.p12）”，然后再浏览至证书档案的路径，便可以看到前面步骤中所导出的证书档案。选取之后，单击“开启旧文件”按钮继续。在“导入档案”页面中完成证书档案路径设置，单击“下一步”。

在“密码”页面中，输入用以开启导入证书档案的保护密码，确认无误之后，单击“下一步”。在“证书存放区”页面中，选取“将所有证书放入以下的存放区”，然后单击“浏览”，并且选取“个人”。单击“下一步”。最后，在“完成证书导入向导”的页面中，可以看到设置摘要，确认无误之后，单击“完成”即可。当服务器证书成功导入之后，将会出现导入成功的信息。

成功完成服务器证书的导入之后，我们将可以在“证书（本机计算器）→个人→证书”节点页面中看到该证书档案。除了上述必要的服务器证书之外，无论是对于远程客户端计算器或是IKEv2 VPN服务器本身，在它们的“证书（本机计算器）→受信任的根证书授权单位→证书”节点中，都必须确认已存放了来自相同证书服务器的证书档案。关于此证书档案的下载与安装，您可以手动从证书服务器网站上来下载，或是让计算器在加入域中不久之后也会自动下载。