首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-VPN > 配置VPN服务器使用智能卡身份验证
现在时间是: 2019-02-19 18:37
配置VPN服务器使用智能卡身份验证

(2005-03-24 18:13)
来源:ISA中文站

配置VPN服务器使用智能卡身份验证

作者:whitehu

 

 
我公司的外地办事处人员或出差人员使用VPN连入公司内部网络,但是感觉使用用户名加密码的认证方式保密性较差,所以使用智能卡来进行身份验证:对需要使用公司的VPN服务的人员发一个智能卡,只能插入智能卡才可以登录公司的VPN服务。
智能卡产品采用的是飞天诚信的Epass1000,接口是USB的 ,相类似的产品应该很多。
网络结构图如下:


 

实现思路:采用ISA2004基于EAP的认证方式,通过操作系统自带的CA功能来实现证书的注册、管理。
 
在测试环境中各服务器操作系统说明:

域控制器  Windows 2003企业版

ISA2004 Windows 2000服务器版

远程客户端 Windows XP

 

本文中的配置过程如下 :
  • 一、配置域控制器
  • 二、配置IIS 服务器
  • 三、配置CA服务器
  • 四、增加一个VPN用户组,并在此用户组中增加域用户test
  • 五、智能卡的初始化与注册申请
  • 六、开启ISA2004 VPN功能
  • 七、远程客户端根证书安装
  • 八、远程客户端建入VPN拨号连接
 

一、配置域控制器

由于智能卡是基于PKI体系的,而PKI体系的核心是CA中心,而要建立CA 中心颁发智能卡证书,需要安装企业根CA,而安装企业CA 中心,必须安装 活动目录(Active Directory )。
 
二、配置IIS 服务器
  因为我们从web 上来申请智能卡证书,而windows 2003 Server 自带的证书系统需要通过IIS 来发布证书,因此我们需要安装IIS 服务器,IIS6默认是不支持ASP的,而证书发布系统却是基于asp,所以我们必须配置active server page 为允许。
 
 
 
三、配置CA 服务器
  要颁发智能卡证书,必须要配置证书服务器,我们下面来配置证书服务器。选择“添加/删除Windows 组件,出现添加删除windows 组件的界面
 

选择“证书服务”选项后出现,选择“下一步(N)>”按钮,根据系统提示进行操作,出现选择CA 类型界面
 

要颁发智能卡登录证书,必须选择“企业根CA”才可以使用,选择“企业根CA(E)”后,选择“下一步(N)>”按钮,根据系统提示填写CA 识别信息、证书数据库设置等信息后完成证书颁发机构的安装

启动“证书颁发机构”,启动证书模板对话框
 


选择智能卡用户,智能卡登录,注册代理,注册代理(计算机)等策略,后选择“确定”按钮,返回到证书颁发机构
 


 

我们看到我们新增加的证书模板,已经位于证书模板中了,此时就完成了CA 中心的配置。

 

申请注册代理证书
Windows Server 2003 为了安全起见,要求颁发智能卡证书必须通过注册代理站来颁发,不允许随意颁发智能卡证书,注册代理站需要使用注册代理证书,所以必须先申请注册代理证书,我们下面来申请注册代理证书运行mmc 程序进入控制台管理,启动添加独立管理单元对话对话框 ,
 


选择“证书”,选择“添加(A)”按钮后,根据系统提示完成证书管理单元选择。在控制台管理界面,选择“证书-当前用户”,选择“个人”,点击鼠标右键,选择“所有证书(K)”,选择“申请新证书…”, 进行证书类别选择
 


选择“注册代理”,选择“下一步(N)>”按钮,根据系统提示填写出现证书的名称和描述等信息完成注册代理证书的申请 。



作者:whitehu
责任编辑:风间子

[1] [2] [3] 下一页>>
上一篇:ISA Server 2004里VPN服务器的客户端地址池使用分析
下一篇:为VPN客户启用DHCP中继
相关信息:

如何在ISA Server 2004中禁止MSN
理解ISA 2004访问规则的处理过程 v1.1
理解ISA Server 2004中的网络
关于ISA Server 2004中请求拨号的使用说明
ISA Server 2004 FAQ:监视和日志

热点信息 TOP 10
How To:配置基于PPTP模式的站点到站点的VPN连接
启用ISA Server 2004 的VPN服务
How to :让VPN客户解析内部网络中的计算机名
使用RADIUS来认证VPN用户
ISA Server 2004中的Site-to-Site VPN
在背靠背ISA防火墙中配置远程VPN访问
配置VPN服务器使用智能卡身份验证
为VPN客户启用DHCP中继
关于L2TP站点到站点VPN连接中的证书的配置
关于ISA防火墙中VPN服务的一些补充说明

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..