一般情况下×××用户在连接×××服务器是是要输入密码的,如果这样的话,那么在一些公共场合输入密码的时候很有可能造成密码的泄露,从而造成不必要的损失。口令验证协议虽然硬件上的要求没有质询握手协议那么高,但是,在安全性上面,其跟质询握手协议还是有一段距离。具体要采用哪一种身份验证协议,用户要根据自己的安全级别进行判断。今天我做的这个实验是:×××用户在外网连接×××服务器来访问域内的资源时,不需要输入密码,而是通过CA服务器验证×××用户的身份。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

实验环境:beijing内网的域控制器、DNS服务器、CA服务器、Radius服务器、IP<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.1.shanghaiISA服务器、×××服务器内网网卡的IP10.1.1.254、外网网卡192.168.0.199TIANJIN为外网的客户机,IP192.168.0.123.注意:shanghai处于工作组环境中

既然CA验证那么肯定是要在证书的支持下,实现CA加密连接,首先要安装证书,证书安装在域控制器上。怎么安装证书呢?

一、安装CA证书服务器
首先点开始——设置——控制面板——添加删除程序——添加或删除windows组件——证书服务。出现下面对话框点下一步

我们颁发一个企业根证书
写入证书的公司名称。我们定义为“ITET
点击“下一步”后,向导提示要安装这书必须暂停INTERBET服务,我们选择“是”
证书安装一半的时候,向导又提示开启ASP,我们还是选择“是”
Ok!证书安装完成
完成后我们打开IIS默认网站把默认网站启动起来
接下来在开始菜单的运行命令,在运行中输入“cmd”,然后在里面输入gpupdate /force命令来刷新一下组策略。目的是让申请的证书能够立即的生效。注意:在所有的计算机上都刷新一下组策略,让安装的证书立即生效,同时让所有的计算机都信任这个证书。
组策略刷新完成后,右击域控制器上的IE属性,然后切换到“内容”选项,接着点击“证书”
然后在点击“受信任的根证书办法机构”我们就可以看见刚才在域控制器上安装的证书了。注意:只要是要让所有的计算机都可以在IE属性中看见域控制器中安装的证书,必须让实验环境下所有的计算机信任这个证书,才能进行下一步,免得到最后的时候出现问题。
二、安装并配置Radius远程访问策略
我们在beijing上安装一个Radius服务器,Radius服务器用来验证EAP协议用户请求的。
beijing上打开开始-----设置-------管理面板------添加删除应用程序------添加删除win组件----网络服务,勾选“internet验证服务”,点击确定开始安装
证书服务器和Radius创建服务器安装完成后,接下来我们就要在证书服务器上为Radius服务器申请证书了,在beijingIE浏览器中输入[url]http://beijing/certsrv[/url],如下图所示,选择“申请一个证书”

在选择“高级证书申请”
“创建并向CA提交一个申请”
证书模板选择“web服务器”,模板识别信息的姓名必须得输入完全合格域名。出现下面的提示点击“是”即可。注意:将证书保存在本地的计算机存储中,因为验证证书的时候是在本地计算机的存储中查看。
安装此证书,选择“是”,在本机中添加一个证书
Ok!证书成功的在服务器上安装了。

 

安装完成后打开beijing开始程序管理工具中的Internet验证服务,如下图所示,选择新建远程访问策略
输入新建策略的名称
选择×××
我们点击“添加”把ISATEST.COM域中的Domain Users组添加进来。让ISATEST.COM域中的Domain users有组远程访问权限
勾选使用EAP协议,类型选择智能卡或其他证书,然后点击配置按钮。
选择使用刚才申请的beijing.isatest.com证书来证明自己的身份

这是远程访问策略支持的加密级别。选择默认的即可
点击“完成”完成新建的远程访问 策略
三、配置ISA服务器
ISA服务器选择管理器展开到虚拟专用网络,在右侧的任务面板中点击配置地址分配方法

接着选择可扩展的身份验证协议(EAP),使用智能卡或其他证书

四、为域内的×××用户zhangsan申请证书
我们在域控制器上创建了一个叫“zhangsan”的用户,下面我们为张三申请一个用户证书。在域控制器上以zhangsan的身份登陆到ISATEST.COM域中
beijing的浏览器中输入[url]http://beijing/certsrv[/url],如下图所示,选择申请一个证书

选择“高级证书”

“创建并向CA提交一个申请”

证书模板选择“用户”注意:将证书保存在本地的计算机存储中,因为验证证书的时候是在本地计算机的存储中查看。点击提交会弹出一个对话框,选择是“继续”

点击是安装此证书

Ok!证书安装完成

五、把zhangsan用户的证书导出到本地计算机中
beijing上打开开始运行输入mmc打开控制台

点击左下角的“添加”

选择“计算机帐户”,点击下一步

本地计算机

右击zhangsan,选择所有任务“导出”

下一步

连同私钥一起导出

选择默认点击下一步

输入一个共享密钥

指定输出的文件名。我们把它导出到c盘的根目录下,名字叫“身份验证”

OKzhangsan用户的证书导出成功

六、导入用户证书

上一步我们把zhangsan的证书导出到了域控制器上,接下来把证书在导入到客户机tianjin中,因为zhangsan要在客户机中用***登陆。把证书复制到tianjin上,然后打开mmc控制台点击添加“这书”选择计算机帐户

本地计算机

右击个人所有任务选择“导入”

选择后以后点击下一步

选择c盘下的“身份验证”

输入密钥,这个密钥要和刚才导出时候输入的密钥一致

将证书存储在“个人”中

点击完成

证书已经被成功导出

七、测试
我们在在外网的客户机上创建个虚拟连接连接看看是否能用用户证书登陆到域内来访问下域内的机器。在客户机上点开虚拟专用网络属性

切换到“安全”选项卡中点击高级后面的“设置”

选择“智能卡或其他证书”然后点击“属性”

勾选“使用使用简单证书选择”连接服务器的IP地址输入能验证证书的服务器的IP,我们输入域控制器的IP地址,下面的证书我们选择在域控制器上申请的第一个名为“ITET的证书”,配置完成后点击确定退出

然后点击连接

点击连接后会,弹出来验证用户证书的验证服务器证书 确认无误点击确定

连接成功了,最后我们右击“虚拟连接”来查看一下连接状态,如下图:身份验证使用的是“EAP

经过证书的导入到出,终于成功实现了×××用户与×××服务器之间的加密连接,而且连接时候不需要输入密码,使用的就是用户证书来验证身份的。一般用户总害怕自己内部的数据在Internet上传输不安全。其实用户不用考虑那么多,因为前面介绍的×××技术已经能够提供足够安全的保障,可以使用户数据不被查看、修改。主观因素之二,也是×××应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,×××才会有了真正的用武之地。

可以想象,当我们消除了所有这些障碍因素后,×××将会成为我们网络生活的主要组成部分。在不远的将来,×××技术将成为广域网建设的最佳解决方案,它不仅会大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性。同时,×××会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。×××对推动整个电子商务、电子贸易将起到不可低估的作用。

希望本文能对各界朋友一下帮助。