配置VN服务器使用智能卡身份验证.doc

配置VPN服务器使用智能卡身份验证 我公司的外地办事处人员或出差人员使用VPN连入公司内部网络，但是感觉使用用户名加密码的认证方式保密性较差，所以使用智能卡来进行身份验证：对需要使用公司的VPN服务的人员发一个智能卡，只能插入智能卡才可以登录公司的VPN服务。 智能卡产品采用的是飞天诚信的Epass1000，接口是USB的 ，相类似的产品应该很多。 在测试环境中各服务器操作系统说明： 域控制器　　Windows 2003企业版 ISA2004 Windows 2000服务器版 远程客户端　Windows XP 　 本文中的配置过程如下 ： 一、配置域控制器 二、配置IIS 服务器 三、配置CA服务器 四、增加一个VPN用户组，并在此用户组中增加域用户test 五、智能卡的初始化与注册申请 六、开启ISA2004 VPN功能 七、远程客户端根证书安装 八、远程客户端建入VPN拨号连接 　 一、配置域控制器 由于智能卡是基于PKI体系的，而PKI体系的核心是CA中心，而要建立CA 中心颁发智能卡证书，需要安装企业根CA，而安装企业CA 中心，必须安装 活动目录（Active Directory ）。 　 二、配置IIS 服务器 　　因为我们从web 上来申请智能卡证书，而windows 2003 Server 自带的证书系统需要通过IIS 来发布证书，因此我们需要安装IIS 服务器，IIS６默认是不支持ASP的，而证书发布系统却是基于asp，所以我们必须配置active server page 为允许。 　 　 　 三、配置CA 服务器 　　要颁发智能卡证书，必须要配置证书服务器，我们下面来配置证书服务器。选择“添加/删除Windows 组件，出现添加删除windows 组件的界面 　 选择“证书服务”选项后出现，选择“下一步（N）>”按钮,根据系统提示进行操作，出现选择CA 类型界面 　 要颁发智能卡登录证书，必须选择“企业根CA”才可以使用，选择“企业根CA（E）”后，选择“下一步（N）>”按钮，根据系统提示填写CA 识别信息、证书数据库设置等信息后完成证书颁发机构的安装 启动“证书颁发机构”，启动证书模板对话框 　 选择智能卡用户，智能卡登录，注册代理，注册代理（计算机）等策略，后选择“确定”按钮，返回到证书颁发机构 　 　 我们看到我们新增加的证书模板，已经位于证书模板中了，此时就完成了CA 中心的配置。 　 申请注册代理证书 Windows Server 2003 为了安全起见，要求颁发智能卡证书必须通过注册代理站来颁发，不允许随意颁发智能卡证书，注册代理站需要使用注册代理证书，所以必须先申请注册代理证书，我们下面来申请注册代理证书运行mmc 程序进入控制台管理，启动添加独立管理单元对话对话框 ， 　 选择“证书”，选择“添加（A）”按钮后，根据系统提示完成证书管理单元选择。在控制台管理界面，选择“证书-当前用户”，选择“个人”，点击鼠标右键，选择“所有证书（K）”，选择“申请新证书…”， 进行证书类别选择 　 选择“注册代理”，选择“下一步（N）>”按钮，根据系统提示填写出现证书的名称和描述等信息完成注册代理证书的申请 。 ?四、增加一个VPN用户组，并在此用户组中增加域用户test 在域控制器中，点击“开始”－“程序”－“管理工具”－“Active Directroy用户和计算机”，增加“VPN”用户组，并在此组中增加成员“test”。 ?五、智能卡的初始化与注册申请 此步骤与智能卡相关，因为在测试环境中用的飞天诚信公司的Epass1000产品，各公司的产品可能相关设置略有不同。 　 安装ePass 的驱动程序及硬件 要在计算机上使用ePass，必须要安装ePass 的驱动程序，才可以访问ePass，下面我们来安装ePass 的驱动程序。运行eps1k_full.exe 程序，根据系统提示完成驱动程序的安装。 注意：在安装驱动时不要将ePass 插在计算机的USB 接口上。 驱动安装完成后需要重新启动计算机。在计算机重新启动后，将ePass 插入到计算机的USB 接口，出现找到新硬件，根据系统提示完成ePass 硬件的安装。 初始化ePass 要在ePass 中存放证书，必须先对ePass 进行初始化后，才能存储证书，我们下面就对ePass进行初始化。下图为Epass1000的管理器界面。 　 申请智能卡证书 在CA服务器上运行Internet Explorer，在地址中输入http://localhost/certsrv，出现证书服务页面,选择申请一个证书，选择选择“高级证书申请”，进行高级证书申请。 六、开启ISA2004 VPN