21.října 2013
Jak nakonfigurovat SSTP VPN na Windows.
RRAS konfigurace
- Na serveru je třeba nainstalovat RRAS (Routing and Remote Access) - ve Windows 2008 Serveru se jedná o Roli Network Policy and Access Service.
- Nakonfigurovat jako VPN server.
- Následně je třeba v RRASu ve Vlastnostech serveru na Záložce Security vybrat Certifikát
- Chceme-li poslouchat na jiném portu než 443, nastavíme port v registrech:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\ListenerPort=[Port]
Ostatní nastavení v registry najdete v KB947054.
Získání důvěryhodného certifikátu
Možnosti jsou dvě - bůď požádat o certifikát zdarma na StartCom a nebo nainstalovat Certifikační autoritu, v IIS požádat o certifikát (IIS -> server -> Server Certificates -> Create Domain Certificate) a ten pak nahrát na RRAS server do Osobních certifikátů počítače (pokud není IIS na stejném serveru.)
Rozchození SSTP VPN na klientovi
- Defaultní Windows client podporuje SSTP pouze od Windows Vista a novější.
- Přidat VPN, ip_adresa[:port] a nastavit v Zabezpečení Typ sítě na Protokol SSTP.
- Aby fungovala VPN, musí být certifikát na serveru důvěryhodný. Při vlastní certifikační autoritě je třeba vyexportovat certifikát certifikační autority a naimportovat jej do Důvěryhodných kořenových certifikátů počítače na klientovi. Tím se stane certifikát důvěryhodný.
- Dalším krokem k tomu, aby byl certifikát důvěryhodný je, že musí být vypublikovaný CRL (Certification Revocation List). Pokud nechcete kontrolovat CRL, lze to na klientovy vypnout v registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\NoCertRevocationCheck=1 -
Ostatní nastavení v registry najdete v KB947054.
Komentáře čtenářů
Chcete-li ke komentáři přidat svou fotku nebo jinou ikonku, postupujte podle návodu.