用智能卡构建身份验证的马其诺防线：ISA2006系列之二十三

核心提示： 五 配置ISA服务器ISA服务器需要配置身份验证协议，ISA服务器默认使用的身份验证协议是MS-CHAPV2，用智能卡构建身份验证的马其诺防线：ISA2006系列之二十三(7)，但使用智能卡登录需要使用可扩展的身份验证协议（EAP），如下图所示，我们在Denver的浏览器中输入http://de

五 配置ISA服务器

ISA服务器需要配置身份验证协议，ISA服务器默认使用的身份验证协议是MS-CHAPV2，但使用智能卡登录需要使用可扩展的身份验证协议（EAP）。如下图所示，我们在ISA管理器中展开到虚拟专用网络，在右侧的任务面板中点击“选择身份验证方法”。

如下图所示，我们选择使用EAP协议对VPN用户进行身份验证，点击“确定”后完成了对VPN服务器的身份验证配置。

六 配置Radius服务器

ISA服务器收到VPN用户发来的身份验证请求后，会把验证请求转到Radius服务器，因此我们接下来需要在Radius服务器上进行配置。一方面要配置Radius服务器支持EAP协议，另一方面要在Radius服务器上申请服务器证书，以便VPN客户机对Radius服务器进行身份验证。

1）　　申请服务器证书

我们在Radius服务器上申请一个服务器证书，这样VPN客户机使用智能卡登录时可以利用这个证书验证Radius服务器的身份，避免登录到了错误的服务器上，提高整体安全性。我们在Denver的浏览器中输入http://denver/certsrv，如下图所示，选择“申请一个证书”。