四、增加一个VPN用户组,并在此用户组中增加域用户test
在域控制器中,点击“开始”-“程序”-“管理工具”-“Active Directroy用户和计算机”,增加“VPN”用户组,并在此组中增加成员“test”。
五、智能卡的初始化与注册申请
此步骤与智能卡相关,因为在测试环境中用的飞天诚信公司的Epass1000产品,各公司的产品可能相关设置略有不同。
安装ePass 的驱动程序及硬件
要在计算机上使用ePass,必须要安装ePass 的驱动程序,才可以访问ePass,下面我们来安装ePass 的驱动程序。运行eps1k_full.exe 程序,根据系统提示完成驱动程序的安装。
注意:在安装驱动时不要将ePass 插在计算机的USB 接口上。
驱动安装完成后需要重新启动计算机。在计算机重新启动后,将ePass 插入到计算机的USB 接口,出现找到新硬件,根据系统提示完成ePass 硬件的安装。
初始化ePass
要在ePass 中存放证书,必须先对ePass 进行初始化后,才能存储证书,我们下面就对ePass进行初始化。下图为Epass1000的管理器界面。
申请智能卡证书
在CA服务器上运行Internet Explorer,在地址中输入http://localhost/certsrv,出现证书服务页面,选择申请一个证书,选择选择“高级证书申请”,进行高级证书申请。
选择“通过使用智能卡证书注册站来为另一个用户申请一个智能卡证书”,出现智能卡证书注册站
选择证书模板为“
智能卡用户”,选择加密服务提供程序为:“FTSafe ePass1000 RSA Cryptographic Service Provider”, 点击
选择用户按钮选择智能卡注册到的用户,选择用户后,选择“
注册”按钮,出现输入用户PIN 码的对话框,输入用户PIN 码后,选择“
确定”按钮,完成智能卡证书的申请
注意:这里选择的用户就是你准备允许VPN拨入的用户,选择我们刚才增加的test用户,后面将在isa2004 vpn设置中允许此用户拨入。
证书注册完成。
六、开启ISA2004 VPN功能
需要注意的时这两个地方:
(1)在允许远程访问的域组中要增加入刚才所建立的VPN用户组。
(2)开启EAP认证方式
七、远程客户端根证书安装
此步骤在客户端的拨号连接中设置成“不验证服务器证书”后可以省略,但是不验证服务器证书降低了安全性,我们建议给客户端安装计算机证书。
在客户端电脑上访问:http://CA服务器/certsrv
选择“申请一个证书”,选择“用户证书”,点击“安装证书”即可。
大家不禁要问,我现在客户端无法访问CA服务器,那么如何安装这个证书呢?其实这个证书可以在CA服务器上或者通过内网的计算机申请后导出来,安装到客户端PC上即可,注意:一定要 将CA证书导入到“受信任的证书颁发安全机构”中。
八、远程客户端建入VPN拨号连接
首先我们为客户端电脑安装epass驱动软件,按要求重启电脑。
点击“开始”,选择“设置”,“网络连接”,“新建连接向导”
在接下来的窗口中选择“下一步”继续。
选择“连接到我的工作场所的网络”,并点击“下一步”
选择“虚拟专用网络连接”,并点击“下一步”
在公司名中可以随便输入,如“Jandar”,并点击“下一步”
选择“不拨初始连接”,继续。
在主机名中输入“vpn.jandar.com.cn”,继续。
根据自己需要选择此VPN拨号连接是否给此计算机的所有用户使用,还是只给当前用户使用。
根据自己需要,选择是否中桌面建立快捷方式
点击“完成”按钮后,接着会弹出下图,请先点击“属性”。
切换到“安全”页,在“验证我的身份为”里选择“使用智能卡”,点击“确定”按钮保存设置。
这时候插入Epass1000,点击连接按钮,可以进行VPN连接了。
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)