一般情況下×××用戶在連接×××服務器是是要輸入密碼的，如果這樣的話，那么在一些公共場合輸入密碼的時候很有可能造成密碼的泄露，從而造成不必要的損失。口令驗證協議雖然硬件上的要求沒有質詢握手協議那么高，但是，在安全性上面，其跟質詢握手協議還是有一段距離。具體要采用哪一種身份驗證協議，用戶要根據自己的安全級別進行判斷。今天我做的這個實驗是：×××用戶在外網連接×××服務器來訪問域內的資源時，不需要輸入密碼，而是通過CA服務器驗證×××用戶的身份。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

?

實驗環境：beijing內網的域控制器、DNS服務器、CA服務器、Radius服務器、IP為<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.1.shanghai為ISA服務器、×××服務器內網網卡的IP為10.1.1.254、外網網卡192.168.0.199，TIANJIN為外網的客戶機，IP為192.168.0.123.注意：shanghai處于工作組環境中

既然CA驗證那么肯定是要在證書的支持下，實現CA加密連接，首先要安裝證書，證書安裝在域控制器上。怎么安裝證書呢？

一、安裝CA證書服務器 首先點開始——設置——控制面板——添加刪除程序——添加或刪除windows組件——證書服務。出現下面對話框點下一步

我們頒發一個企業根證書 寫入證書的公司名稱。我們定義為“ITET” 點擊“下一步”后，向導提示要安裝這書必須暫停INTERBET服務，我們選擇“是” 證書安裝一半的時候，向導又提示開啟ASP，我們還是選擇“是” Ok！證書安裝完成 完成后我們打開IIS默認網站把默認網站啟動起來 接下來在開始菜單的運行命令，在運行中輸入“cmd”，然后在里面輸入gpupdate /force命令來刷新一下組策略。目的是讓申請的證書能夠立即的生效。注意：在所有的計算機上都刷新一下組策略，讓安裝的證書立即生效，同時讓所有的計算機都信任這個證書。 組策略刷新完成后，右擊域控制器上的IE屬性，然后切換到“內容”選項，接著點擊“證書” 然后在點擊“受信任的根證書辦法機構”我們就可以看見剛才在域控制器上安裝的證書了。注意：只要是要讓所有的計算機都可以在IE屬性中看見域控制器中安裝的證書，必須讓實驗環境下所有的計算機信任這個證書，才能進行下一步，免得到最后的時候出現問題。 二、安裝并配置Radius遠程訪問策略 我們在beijing上安裝一個Radius服務器，Radius服務器用來驗證EAP協議用戶請求的。 在beijing上打開開始-----設置-------管理面板------添加刪除應用程序------添加刪除win組件----網絡服務，勾選“internet驗證服務”，點擊確定開始安裝 證書服務器和Radius創建服務器安裝完成后，接下來我們就要在證書服務器上為Radius服務器申請證書了，在beijing的IE瀏覽器中輸入[url]http://beijing/certsrv[/url]，如下圖所示，選擇“申請一個證書”

在選擇“高級證書申請” “創建并向CA提交一個申請” 證書模板選擇“web服務器”，模板識別信息的姓名必須得輸入完全合格域名。出現下面的提示點擊“是”即可。注意:將證書保存在本地的計算機存儲中，因為驗證證書的時候是在本地計算機的存儲中查看。 安裝此證書，選擇“是”，在本機中添加一個證書 Ok！證書成功的在服務器上安裝了。

?

安裝完成后打開beijing開始程序管理工具中的Internet驗證服務，如下圖所示，選擇“新建遠程訪問策略”。 輸入新建策略的名稱 選擇××× 我們點擊“添加”把ISATEST.COM域中的Domain Users組添加進來。讓ISATEST.COM域中的Domain users有組遠程訪問權限 勾選使用EAP協議，類型選擇“智能卡或其他證書”，然后點擊“配置”按鈕。 選擇使用剛才申請的beijing.isatest.com證書來證明自己的身份

這是遠程訪問策略支持的加密級別。選擇默認的即可 點擊“完成”完成新建的遠程訪問 策略 三、配置ISA服務器 在ISA服務器選擇管理器展開到虛擬專用網絡，在右側的任務面板中點擊“配置地址分配方法”

接著選擇“可擴展的身份驗證協議（EAP），使用智能卡或其他證書”。

四、為域內的×××用戶zhangsan申請證書 我們在域控制器上創建了一個叫“zhangsan”的用戶，下面我們為張三申請一個用戶證書。在域控制器上以zhangsan的身份登陸到ISATEST.COM域中 在beijing的瀏覽器中輸入[url]http://beijing/certsrv[/url]，如下圖所示，選擇“申請一個證書”。

選擇“高級證書”

“創建并向CA提交一個申請”

證書模板選擇“用戶”注意:將證書保存在本地的計算機存儲中，因為驗證證書的時候是在本地計算機的存儲中查看。點擊提交會彈出一個對話框，選擇是“繼續”

點擊是安裝此證書

Ok！證書安裝完成

五、把zhangsan用戶的證書導出到本地計算機中 在beijing上打開開始運行輸入mmc打開控制臺

點擊左下角的“添加”

選擇“計算機帳戶”，點擊下一步

本地計算機

右擊zhangsan，選擇所有任務“導出”

下一步

連同私鑰一起導出

選擇默認點擊下一步

輸入一個共享密鑰

指定輸出的文件名。我們把它導出到c盤的根目錄下，名字叫“身份驗證”

OK！zhangsan用戶的證書導出成功

六、導入用戶證書

上一步我們把zhangsan的證書導出到了域控制器上，接下來把證書在導入到客戶機tianjin中，因為zhangsan要在客戶機中用***登陸。把證書復制到tianjin上，然后打開mmc控制臺點擊添加“這書”選擇計算機帳戶

本地計算機

右擊個人所有任務選擇“導入”

選擇后以后點擊下一步

選擇c盤下的“身份驗證”

輸入密鑰，這個密鑰要和剛才導出時候輸入的密鑰一致

將證書存儲在“個人”中

點擊完成

證書已經被成功導出

七、測試 我們在在外網的客戶機上創建個虛擬連接連接看看是否能用用戶證書登陸到域內來訪問下域內的機器。在客戶機上點開虛擬專用網絡屬性

切換到“安全”選項卡中點擊高級后面的“設置”

選擇“智能卡或其他證書”然后點擊“屬性”

勾選“使用使用簡單證書選擇”連接服務器的IP地址輸入能驗證證書的服務器的IP，我們輸入域控制器的IP地址，下面的證書我們選擇在域控制器上申請的第一個名為“ITET的證書”，配置完成后點擊確定退出

然后點擊連接

點擊連接后會，彈出來驗證用戶證書的驗證服務器證書 確認無誤點擊確定

連接成功了，最后我們右擊“虛擬連接”來查看一下連接狀態，如下圖：身份驗證使用的是“EAP”

經過證書的導入到出，終于成功實現了×××用戶與×××服務器之間的加密連接，而且連接時候不需要輸入密碼，使用的就是用戶證書來驗證身份的。一般用戶總害怕自己內部的數據在Internet上傳輸不安全。其實用戶不用考慮那么多，因為前面介紹的×××技術已經能夠提供足夠安全的保障，可以使用戶數據不被查看、修改。主觀因素之二，也是×××應用最大的障礙，是客戶自身的應用跟不上，只有企業將自己的業務完全和網絡聯系上，×××才會有了真正的用武之地。

可以想象，當我們消除了所有這些障礙因素后，×××將會成為我們網絡生活的主要組成部分。在不遠的將來，×××技術將成為廣域網建設的最佳解決方案，它不僅會大大節省廣域網的建設和運行維護費用，而且增強了網絡的可靠性和安全性。同時，×××會加快企業網的建設步伐，使得集團公司不僅僅只是建設內部局域網，而且能夠很快地把全國各地分公司的局域網連起來，從而真正發揮整個網絡的作用。×××對推動整個電子商務、電子貿易將起到不可低估的作用。

希望本文能對各界朋友一下幫助。

?

?

轉載于:https://blog.51cto.com/hongwei/145116

總結

以上是生活随笔為你收集整理的ISA服务器之域内×××用户在外网通过CA验证连接域内×××服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。