內網用戶在外網用×××登陸內網得需輸入用戶名與密碼,如果是在公共場合登陸的話用戶名與密碼很容易泄露造成不必要的損失。當然用智能卡可以不用輸入用戶名與密碼,但是成本還是有的。今天我做的這個試驗是隻需用戶在內網申請個用戶證書與公司內部的CA服務器證書把它導出到移動設備上,在外網用的時候導入用戶證書到計算機就可以直接通過VNP連接到公司內部而無須輸入賬號與密碼,用戶不用時在把用戶證書導出就可以了。零成本 (*^__^*) 嘻嘻……(注意:得需外網信任內網的CA服務器,如果在公共場合只需把公司的CA證書安裝上就可以了)
試驗目的:內網用戶在外網只需把證書導入到自己的的計算機,不用輸入用戶名與密碼就能通過×××連接到內網。
拓撲圖:
如拓撲圖所示:
Denver是contoso.com的域控制器,DNS服務器,CA服務器和Radius服務器,Beijing是ISA2006服務器,而且處在工作組環境,Istanbul是外網的一臺客戶機。
在我試驗的環境中,我已經可以具備了下列條件:
1 Denver上安裝了企業根CA服務器。(必須是企業根)
2 所有的實驗計算機都信任Denver上的CA服務器。
3 Beijing上已經配置成了×××服務器,支持用戶用PPTP或L2TP撥入。
4 Beijing可以利用Denver上的Radius服務器對域用戶進行身份驗證。
大概流程是: 在域控制器上的CA證書頒發機構添加2個模板,並讓內網CA頒發機構給域管理員頒發註冊代理證書(有了這個註冊代理證書後,纔有資格爲其他用戶申請證書,顯然這是爲了防止隨意頒發證書而導致安全隱患)。在域控制器上給Radius服務器申請證書並配置讓它能夠進行驗證,在對ISA防火牆上的×××做下設置,讓防火牆的×××身份驗證方法支持使用證書來對身份進行驗證。最後在域內的stserver用戶申請用戶證書並通過導出導入到外網計算機上,在外網計算機上創建個 連接 讓在外網的域內用戶的不需要輸入用戶名與密碼選擇證書就能通過×××連接到內網。(注意:不用在外網計算機上創建與域內相同的用戶,打個比方 我在外網是用的administration用戶登陸的,在使用stserver用戶證書登陸後在域內就顯示是域內用戶stserver登錄的)
第一步:在Denver上對CA服務器添加證書模板。
1.)在Denver的管理工具中打開證書頒發機構,選擇新建“要頒發的證書模板”。然後添加二個證書模板,分別是“註冊代理”,“註冊代理(計算機)”,點擊“確定”。
2.)在Win2003的CA服務器中,如果要爲用戶申請證書,那麼管理員必須先擁有一個註冊代理證書。要申請註冊代理證書,確保在Denver上是以域管理員身份登錄,然後運行MMC,如下圖所示,添加一個證書管理單元。
選擇使用定製的證書管理單元管理選擇 我的用戶賬號
如下圖所示,在用戶證書管理工具中切換到個人-證書,選擇“申請新證書”。
出現證書申請向導,選擇“下一步”。
申請的證書類型選擇“註冊代理”。
如下圖所示,爲申請的註冊代理證書取個名字以及進行簡單描述 直接下一步
點擊“完成”結束申請。管理員administrator已經獲得了CA頒發的註冊代理證書。
如上圖 這樣域內管理員administrator就有資格爲用戶頒發證書了。
第二步:配置ISA服務器
在ISA服務器選擇管理器展開到虛擬專用網絡,在右側的任務面板中點擊“選擇身份驗證方法”上選擇“可擴展的身份驗證協議(EAP),使用智能卡或其他證書”。
第三步:在域控制器上給Radius服務器申請證書 並配置
1.)我們在Radius服務器上申請一個服務器證書,這樣×××客戶機使用證書登錄時可以利用這個證書驗證Radius服務器的身份,避免登錄到了錯誤的服務器上,提高整體安全性。我們在Denver的瀏覽器中輸入[url]http://denver/certsrv[/url],如下圖所示,選擇“申請一個證書”。
選擇提交一個高級證書申請
選擇“創建並向此CA提交一個申請”。
選擇申請一個Web服務器證書,證書姓名輸入denver.contoso.com,選擇把證書保存在計算機存儲中。參數填寫完畢後,點擊“申請”。
如下圖所示,申請的證書已經頒發,選擇安裝此證書
2.)配置Radius遠程訪問策略
我在Radius服務器中創建一個新的遠程訪問策略,在這個策略中配置使用EAP協議驗證用戶請求。在Denver的管理工具中打開Internet驗證服務,如下圖所示,選擇“新建遠程訪問策略”。
如下圖所示,出現遠程訪問策略創建嚮導,選擇下一步
選擇使用嚮導完成遠程訪問策略的設置,爲策略命名爲 身份驗證 下一步
遠程訪問的類型是 ××× 然後點擊 下一步
授予contoso.com域中的Domain users組遠程訪問權限
勾選使用EAP協議,類型選擇“智能卡或其他證書”,點擊“配置”按鈕選擇使用剛纔申請的denver.contoso.com證書來證明自己的身份。
接下來選擇遠程訪問策略支持的加密級別,我們使用默認設置選擇支持所有加密級別即可。
點擊 完成 結束新建遠程訪問策略的創建。
第四步:給域內用戶申請用戶證書
在域控制器上創建用戶(stserver),然後以新創建的用戶登錄
這個用戶申請證書。在Denver的瀏覽器中輸入[url]http://denver/certsrv[/url],如下圖所示,選擇“申請一個證書”。
選擇提交一個高級證書申請
選擇“創建並向此CA 提交一個申請”。
在模板中選擇“用戶”,在選擇“標記密鑰爲可導出”,點擊“提交” 如下圖。
如下圖 然後 選擇安裝此證書
用戶證書就申請好了 然後在域內計算機導出證書 在開始運行 輸入MMC 進入到證書 選擇計算機帳戶
選擇 剛申請的用戶證書 選擇 導出
彈出導出嚮導 下一步
選擇 “是,導出私鑰” 如圖 (如果在申請證書時沒有選擇“標記密鑰爲可導出”的話那這裏就是灰色的)
選擇 導出的格式 按默認下一步
這一步 是爲了保護私鑰而設置的密碼(由於是在做實驗這個密碼簡單了點)
選擇 證書導出的位置 (隨自己,我這裏選擇C盤)點擊下一步
在檢查下確認無誤後點擊 完成 用戶證書導出完畢。
第五步:測試 在外網機器上創建個連接看看是否能用用戶證書登陸到域內來訪問下域內的機器
打開外網的Istanbul在網絡連接裏點擊“新建連接嚮導”
彈出嚮導 直接下一步
選擇“連接到我的工作場所的網絡” 下一步
選擇 “虛擬專用網絡連接” 下一步
填寫 連接到的服務器名字(我這個名字與Radius遠程訪問策略裏用到的證書名一樣)
輸入 ×××服務器的IP地址 點擊下一步
問 此連接爲 只是我還是任何人使用 選擇默認 下一步
點擊 完成連接創建完成。
然後在配置下剛創建的連接 在新建連接 點擊 屬性
在屬性裏的“安全”標籤裏選擇“設置” 在設置裏選擇 “使用可擴展的身份驗證協議(EAP)”
如上圖所示在高級安全設置裏 在選擇屬性
選擇 “在次計算機上使用證書”,並填寫內網的能驗證證書的服務器IP 與 選擇 受信任的根頒發機構(如果你的本機沒有在內網域控制器上的用戶的話選擇“爲此連接使用一步不同的用戶名”)
選擇好了點擊確定 。這樣連接 配置好了。把在內網申請的證書導入到外網這臺計算機中我以導入好了如圖(注意:是導入到當前用戶)
然後 雙擊 打開剛纔創建好的連接 點擊“連接”
選擇 要使用的用戶證書 如圖
點擊完 確定後會彈出 來驗證用戶證書的驗證服務器證書 確認無誤點擊確定
然後連接成功 !
我拿外網連接下內網域內的機器資源 能正常訪問 測試成功!!
在此感謝 嶽雷老師 對我的栽培。