智能卡产品采用的是飞天诚信的Epass1000,接口是USB的 ,相类似的产品应该很多。
域控制器 Windows 2003企业版
ISA2004 Windows 2000服务器版
远程客户端 Windows XP
- 一、配置域控制器
- 二、配置IIS 服务器
- 三、配置CA服务器
- 四、增加一个VPN用户组,并在此用户组中增加域用户test
- 五、智能卡的初始化与注册申请
- 六、开启ISA2004 VPN功能
- 七、远程客户端根证书安装
- 八、远程客户端建入VPN拨号连接
一、配置域控制器
因为我们从web 上来申请智能卡证书,而windows 2003 Server 自带的证书系统需要通过IIS 来发布证书,因此我们需要安装IIS 服务器,IIS6默认是不支持ASP的,而证书发布系统却是基于asp,所以我们必须配置active server page 为允许。
要颁发智能卡证书,必须要配置证书服务器,我们下面来配置证书服务器。选择“添加/删除Windows 组件,出现添加删除windows 组件的界面
选择“证书服务”选项后出现,选择“下一步(N)>”按钮,根据系统提示进行操作,出现选择CA 类型界面
要颁发智能卡登录证书,必须选择“企业根CA”才可以使用,选择“企业根CA(E)”后,选择“下一步(N)>”按钮,根据系统提示填写CA 识别信息、证书数据库设置等信息后完成证书颁发机构的安装
启动“证书颁发机构”,启动证书模板对话框
选择智能卡用户,智能卡登录,注册代理,注册代理(计算机)等策略,后选择“确定”按钮,返回到证书颁发机构
我们看到我们新增加的证书模板,已经位于证书模板中了,此时就完成了CA 中心的配置。
申请注册代理证书
Windows Server 2003 为了安全起见,要求颁发智能卡证书必须通过注册代理站来颁发,不允许随意颁发智能卡证书,注册代理站需要使用注册代理证书,所以必须先申请注册代理证书,我们下面来申请注册代理证书运行mmc 程序进入控制台管理,启动添加独立管理单元对话对话框 ,
选择“证书”,选择“添加(A)”按钮后,根据系统提示完成证书管理单元选择。在控制台管理界面,选择“证书-当前用户”,选择“个人”,点击鼠标右键,选择“所有证书(K)”,选择“申请新证书…”, 进行证书类别选择
选择“注册代理”,选择“下一步(N)>”按钮,根据系统提示填写出现证书的名称和描述等信息完成注册代理证书的申请 。
要在计算机上使用ePass,必须要安装ePass 的驱动程序,才可以访问ePass,下面我们来安装ePass 的驱动程序。运行eps1k_full.exe 程序,根据系统提示完成驱动程序的安装。
注意:在安装驱动时不要将ePass 插在计算机的USB 接口上。
驱动安装完成后需要重新启动计算机。在计算机重新启动后,将ePass 插入到计算机的USB 接口,出现找到新硬件,根据系统提示完成ePass 硬件的安装。
初始化ePass
要在ePass 中存放证书,必须先对ePass 进行初始化后,才能存储证书,我们下面就对ePass进行初始化。下图为Epass1000的管理器界面。
在CA服务器上运行Internet Explorer,在地址中输入http://localhost/certsrv,出现证书服务页面,选择申请一个证书,选择选择“高级证书申请”,进行高级证书申请。
选择“通过使用智能卡证书注册站来为另一个用户申请一个智能卡证书”,出现智能卡证书注册站
选择证书模板为“智能卡用户”,选择加密服务提供程序为:“FTSafe ePass1000 RSA Cryptographic Service Provider”, 点击选择用户按钮选择智能卡注册到的用户,选择用户后,选择“注册”按钮,出现输入用户PIN 码的对话框,输入用户PIN 码后,选择“确定”按钮,完成智能卡证书的申请
注意:这里选择的用户就是你准备允许VPN拨入的用户,选择我们刚才增加的test用户,后面将在isa2004 vpn设置中允许此用户拨入。
选择“申请一个证书”,选择“用户证书”,点击“安装证书”即可。
在接下来的窗口中选择“下一步”继续。
选择“连接到我的工作场所的网络”,并点击“下一步”
选择“虚拟专用网络连接”,并点击“下一步”
在公司名中可以随便输入,如“Jandar”,并点击“下一步”
选择“不拨初始连接”,继续。
在主机名中输入“vpn.jandar.com.cn”,继续。
根据自己需要选择此VPN拨号连接是否给此计算机的所有用户使用,还是只给当前用户使用。
根据自己需要,选择是否中桌面建立快捷方式
点击“完成”按钮后,接着会弹出下图,请先点击“属性”。
切换到“安全”页,在“验证我的身份为”里选择“使用智能卡”,点击“确定”按钮保存设置。
这时候插入Epass1000,点击连接按钮,可以进行VPN连接了。
