Microsoft Windows Server™ 2003 支持 EAP-TLS 来实现拨号和 VPN 连接,从而使远程用户能够使用智能卡。 有关 EAP-TLS 的更多信息,请参阅“可扩展身份验证协议 (EAP)”主题(可能为英文),网址为 www.microsoft.com/resources/docu ... zh-CN/auth_eap.mspx。
有关 EAP 证书要求的更多信息,请参阅 Microsoft 知识库文章“当您使用 EAP-TLS 或 PEAP 使用 EAP-TLS 证书要求”,网址为 http://whatis.ctocio.com.cn/sear ... 26446.shtml]support.microsoft.com/default.aspx?scid=814394[/url]。
智能卡部署的网络基础结构先决条件
智能卡需要操作系统和网络元素支持的适当的基础结构。 在您开始智能卡部署过程之前,先解决以下组件的要求:
•用户要求
•公钥基本结构 (PKI)
•证书模板
•Active Directory® 目录服务
•安全组
•登记站和注册代理
用户要求
需要 VPN 访问的用户和组的标识是智能卡部署的一个重要部分。 在部署过程的早期识别这些帐户可帮助定义项目范围和控制成本。
公钥基本结构 (PKI)
智能卡解决方案需要 PKI 来提供带公钥/私钥对的证书,从而在 Active Directory 中启用帐户映射。 可以下列两种方式中的一种来实施此 PKI: 为外部组织提供内部证书基础结构,或在 Windows Server 2003 中使用证书服务。要在 Windows Server 2003 中使用证书服务来实现您的智能卡解决方案,证书颁发机构 (CA) 必须是需要 Active Directory 的企业颁发机构。
有关 Windows Server 2003 中的证书服务的更多信息,请参阅“Windows Server 2003 的公钥基础结构”网站(可能为英文),网址为 www.microsoft.com/windowsserver2003/technologies/pki/default.mspx。
PKI 必须拥有处理证书吊销的机制。 当证书过期或攻击者已损坏证书时,必须吊销证书。 通过吊销证书,管理员拒绝使用证书的任何人的访问。 每个证书都包括其证书吊销列表 (CRL) 的位置。
有关如何管理证书吊销的详细信息,请参阅 Microsoft TechNet 上的“管理证书吊销”主题(可能为英文),网址为 http://technet2.microsoft.com/Wi ... 61033.mspx?mfr=true。
您可使用 PKI 为 VPN 解决方案中的每张智能卡分派证书。 VPN 服务器信任的 CA 必须颁发证书。 如果在 Windows Server 2003 中使用证书服务,请确保在 VPN 服务器上安装 PKI 根证书。
对于相互身份验证,必须从客户端信任的 CA 为 VPN 服务器分派证书。 如果在 Windows Server 2003 中使用证书服务,请确保在 VPN 客户端上安装 PKI 根证书。
