用智能卡构建身份验证的马其诺防线：ISA2006系列之二十三

核心提示： 下面我们构思一个实验来完成这个设想，如下图所示，用智能卡构建身份验证的马其诺防线：ISA2006系列之二十三(2)，Denver是contoso.com的域控制器，DNS服务器，如下图所示，在Denver的管理工具中打开证书颁发机构，CA服务器和Radius服务器，Beijing是ISA2006

下面我们构思一个实验来完成这个设想，如下图所示，Denver是contoso.com的域控制器，DNS服务器，CA服务器和Radius服务器，Beijing是ISA2006服务器，而且处在工作组环境，Istanbul是外网的一台客户机。我们在实验中使用的智能卡是飞天诚信公司出品的Epass1000，USB接口。这种智能卡由于使用了标准的USB接口，因此可以在驱动程序的支持下，把计算机的USB接口当成是智能卡的读卡器，直接把智能卡插入计算机的USB口就可以了。而传统的智能卡是由一个读卡器加上一张智能卡组成的，显然不如这样产品方便。

目前的环境中，我们已经可以具备了下列条件：

1 Denver上安装了企业根CA服务器，注意，这个实验必须要求有企业类型的CA。

2 所有的实验计算机都信任Denver上的CA服务器。

3 Beijing上已经配置成了VPN服务器，支持用户用PPTP或L2TP拨入。

4 Beijing可以利用Denver上的Radius服务器对域用户进行身份验证。

我们接下来要做的就是利用CA服务器为一个测试用户颁发证书，再把证书集成到智能卡上，然后利用智能卡在外网的客户机上进行VPN身份验证，具体步骤如下。

一 添加证书模板

首先我们要对CA服务器进行配置，让CA服务器可以对智能卡所需要的证书进行支持。我们要做的是在证书模板中添加智能卡验证所需要的模板，如下图所示，在Denver的管理工具中打开证书颁发机构，选择新建“要颁发的证书模板”。