Инфраструктура сертификата
Инфраструктура сертификата для смарт-карт
Использование смарт-карт для проверки подлинности пользователей является самой стойкой формой проверки подлинности пользователей в Windows 2000. Для VPN-подключений удаленного доступа Вы должны использовать протокол EAP (Extensible Authentication Protocol), указав тип TLS Smart card or other certificate (TLS) (Смарт-карта или иной сертификат), также известный как EAP-TLS (EAP-Transport Level Security).
Развертывание смарт-карт в Вашей организации состоит из следующих этапов:
- Создайте инфраструктуру сертификата, использующую центры сертификации.
- Настройте разрешения безопасности для каждого домена и делегирование для шаблонов сертификата: Пользователь смарт-карты (Smart Card User), Вход в систему с использованием смарт-карты (Smart Card Logon)и Агент подачи заявок (Enrollment Agent).
- Настройте ЦС для выдачи сертификатов смарт-карт и агентов подачи заявок на сертификаты.
- Настройте станцию подачи заявок (компьютер, который используется для физической установки сертификатов на смарт-карты).
- Используйте станцию подачи заявок для подготовки смарт-карты с сертификатом входа в систему, предназначенной для определенной учетной записи пользователя.
За дополнительной информацией о настройке смарт-карт для входа в систему обратитесь к разделу Контрольный список: внедрение использования смарт-карт для входа в систему Windоws (Checklist: Deploying smart cards for logging on to Windows) справки Windows 2000 Server.
Для поиска необходимого раздела в справке Windows 2000 Server:
- Нажмите Пуск (Start) и выберите Справка (Help).
- В диалоговом окне Windows 2000 перейдите на вкладку Поиск (Search).
- Снимите флажок Похожие слова (Match similar words) и установите флажок Только в заголовках (Search titles only).
- В поле Искать следующие слова (Type the keyword to find) введите название раздела и нажмите кнопку Разделы (List topics).
- В списке разделов под кнопкой Показать (Select topic), дважды щелкните по разделу, название которого соответствует введенному в поле поиска.
Индивидуальные смарт-карты выдаются пользователям, которые имеют компьютер со считывателем смарт-карт. Для входа в систему на компьютере необходимо вставить смарт-карту в считыватель смарт-карт и ввести PIN-код (personal identification number – личный идентификационный номер). Когда пользователь пытается установить VPN-подключение, сертификат смарт-карты используется в процессе согласования подключения.
Чтобы настроить протокол EAP-TLS для использования смарт-карт на VPN-клиенте:
- VPN-подключение должно быть настроено для использования протокола EAP с типом проверки подлинности Смарт-карта или иной сертификат (Smart Card or other certificate).
- В свойствах типа проверки подлинности Смарт-карта или иной сертификат протокола EAP, выберите Использовать мою смарт-карту (Use my smart card). Если требуется проверять сертификат компьютера VPN- или IAS-сервера, установите флажок Проверять сертификат сервера (Validate server certificate). Если необходимо подключать только серверы из определенного домена, установите флажок Подключить данные серверы: (Connect only if server name ends with) и введите имя домена. Чтобы запросить у сервера сертификат, выданный определенным ему доверенным корневым ЦС, выберите ЦС в списке Доверенные корневые центры сертификации: (Trusted root certificate authority).
Для настройки проверки подлинности EAP-TLS на VPN-сервере:
- Откройте свойства VPN-сервера в оснастке Маршрутизация и удаленный доступ. Перейдите на вкладку Безопасность (Security). Нажмите кнопку Методы проверки подлинности… (Authentication Methods). В открывшемся диалоговом окне установите флажок Протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP).
Для настройки проверки подлинности EAP-TLS в политике удаленного доступа:
- Откройте свойства политики удаленного доступа, которая используется для VPN-подключений. Нажмите кнопку Изменить профиль (Edit profile). В появившемся диалоговом окне изменения профиля выберите вкладку Проверка подлинности (Authentication). На этой вкладке должен быть отмечен флажок Протокол расширенной проверки подлинности (Extensible Authentication Protocol, EAP). Значением параметра Выберите приемлемый тип протокола для этой политикидолжно быть Смарт-карта или иной сертификат (Smart Card or other certificate). Также Вы должны указать соответствующий сертификат компьютера для проверки во время процесса проверки подлинности EAP-TLS. Если компьютер, на котором настроена политика удаленного доступа, имеет несколько установленных сертификатов компьютера, настройте свойства параметра Смарт-карта или иной сертификат и укажите соответствующий сертификат компьютера, который будет использоваться в процессе проверки подлинности EAP-TLS.