Windows2008R2とWindows7による、SSTP接続環境の構築(概要編)

SSTPでの接続の検証環境を構築した際のメモ。
まずは概要。

検討内容

ルーターのポート 80 は Close

SSTPの通常動きとして、ポート80にてCRLを確認する。

しかし、ポート443 のみOpenとするため、SSTPクライアントのレジストリを変更し、CRLを確認しないようにする。

この弊害と検討内容、その対応は以下の通り。

弊害 検討内容 対応
CRL未確認による証明書期限切れへの対応が必要 エラーが出れば気づくはず SSTP前に確認する
Internet側からのCA証明書発行不可 社内LAN側からは発行可能 社内LANにて、事前に発行する

 

DMZに配置するSSTPサーバーは余計な機能を入れたくない

ドメインに参加/不参加により、証明機関の種類と、必要な機能が変わってくる。

参考:TechNet - 証明書を要求する

条件 CAの種類 IIS
ドメインに参加 エンタープライズCA 不要
ドメインに不参加 スタンドアロンCA 必要

 
ドメインIIS、どちらがセキュリティ的にまずいかを考えると、ドメイン参加の方がまずいような気がしたため、今回の検証環境ではドメインに不参加の案を採用。

なお、ルーターのポート80はふさぐため、IISがあっても多少の問題はないかと判断。

 

用意した環境

 

用意した端末

SSTPサーバー

Windows Server 2008 R2 Standard、構成は以下の通り。

項目 内容
名前 sstp
OS Windows Server 2008 R2 Standard
所属 ワークグループ
配置 DMZ
NIC 2個(社内用と社外用)
役割 ルーティングとリモートアクセス
証明機関 スタンドアロンCA
発行証明書 CA証明書と、サーバー証明書
IIS あり
RADIUS関連 RADIUSクライアント

 

SSTPクライアント
項目 内容
名前 client
OS Windows 7 Professional*1
所属 ドメイン
配置 社内LAN、あるいは、社外
証明書の導入 SSTPサーバーのCA証明書
レジストリ変更 CRL確認しないようにする

 

ドメインコントローラー
項目 内容
名前 dc
OS Windows Server 2008 R2 Standard
所属 ドメイン
配置 社内LAN
機能 ドメインコントローラー、DNSサーバー、NPS
RADIUS関連 RADIUSサーバー(NPS)

 

構成図

*1:Windows Server 2008 R2 Unleashed のp860によると、WindowsXP SP3も対象に含まれている。一方、最近のTechNetフォーラム Windows XP SP3 with SSTP VPN? ではXP SP3は不可と言われている。SSTP用のレジストリが見つからなかったことからも、Windows XP SP3では SSTP が使えないかと思う。