引言

在降低成本以及在迅速扩展的市场中保持竞争力的需求的推动下，通信技术的发展使得组织不仅能够维持一周 7 天、一天 24 小时的通信信道，而且可提供与远程位置的业务数据和服务的连接。

Internet 为组织和个人提供了使用计算机在全世界范围内交流和共享数据的能力，提供诸如可访问性、可扩展性、性能以及与业务相关的成本降低等好处。 但是，Internet 对于组织是一个不安全、可能有危险的操作环境。困难在于组织在利用 Internet 提供的好处的同时要保持必要级别的数据和通信安全性。

而虚拟专用网络 (VPN) 使组织能够利用 Internet，同时又能帮助限制数据和通信信道的泄密；VPN 通过提供许多安全功能来做到这一点，包括可靠的身份验证和加密机制。

本指南的读者对象

本指南的目标读者包括负责在他们的网络环境中部署 VPN 服务的信息技术 (IT) 专业人士。

本指南中的信息适用于必须对其网络提供可靠远程访问的小到中型企业。

概述

在对您的网络资源配置远程 VPN 访问时，可使用您在工作时用于访问网络的同一组凭据： 网络用户名和密码。 但是，这可能不是最安全的解决方案。 例如，名片或文档资料通常包括用户名。 它们也很容易遭受“试错法”攻击。 如果第三方知道了您的用户名，则密码成为保护您的企业网络的唯一安全机制。

单一机密（如密码）可以是有效的安全控制。 但由随机字母、数字和特殊符号组成的长密码很难破解。 此外，通行短语提供的安全性比单一密码更好。

遗憾的是，用户始终无法记住复杂的密码，于是只能写下它们。 但是如果不对密码复杂性进行限制时，用户往往创建容易记住的密码，因此也容易被猜中。

用户名和密码解决方案称为一元法，因为您只使用您知道的信息来访问网络。 而多元身份验证系统通过结合各种要求解决了一元身份验证的问题，这些要求包括：

• 用户知道的信息，如密码或个人识别码 (PIN)。

• 用户拥有的信息，如硬件令牌或智能卡。

• 用户本身的信息，如指纹或视网膜扫描。

智能卡及其关联的 PIN 越来越成为流行、可靠和经济型的双重身份验证。 用户必须有他们的智能卡并且知道 PIN 才能访问网络资源。 双重身份验证要求大大降低了未经授权访问您的组织网络的可能性。

VPN 好处

当您的组织必须将包含敏感和专有数据的网络连接到 Internet 进行远程访问时，增强的连接性将带来巨大的安全风险。

在可能有危险的 Internet 环境中，VPN 解决方案就变得极其重要，因为它除了节省可能的操作成本之外，还有助于保持与专用网络基础结构关联的安全性。 VPN 解决方案可提供安全性，因为它使用安全的隧道连接，对数据进行加密并且只允许经过验证的用户访问企业网络。

VPN 支持大量身份验证方法、隧道协议和加密技术以保持业务数据的安全性。

VPN 身份验证方法包括：

• 密码身份验证协议 (PAP)。

• 质询握手身份验证协议 (CHAP)。

• Microsoft® 质询握手身份验证协议 (MS-CHAP)。

• MS-CHAP 版本 2 (MS-CHAP v2)。

• 可扩展身份验证协议 (EAP)。

VPN 隧道协议包括：

• 点对点隧道协议 (PPTP)。

• 第二层隧道协议 (L2TP)。

VPN 加密协议包括：

• Microsoft 点对点加密 (MPPE)。

• IP 安全协议 (IPSec)。

要支持最广泛的 Microsoft 客户端操作系统，可使用 MS-CHAP、PPTP 和 MPPE 版本。

如果使用 Microsoft Windows® 2000 或更高版本，则使用 EAP、L2TP 和 IPSec 可提供更高级别的安全性。

有关 VPN 身份验证、隧道和加密的更多信息，请参阅 Microsoft TechNet 上的 “虚拟专用网络：概述”白皮书（可能为英文），网址为 www.microsoft.com/technet/prodtechnol/windows2000serv/plan/vpnoverview.mspx。

智能卡技术

智能卡提供双重身份验证。 双重身份验证不仅仅是简单的用户名和密码组合，它要求用户提交某种形式的独特令牌以及 PIN。

智能卡是信用卡大小的塑料片，包含一个微型计算机和少量的内存。 它们可提供安全、抗干扰的存储器用于存储私钥和 X.509 安全证书。

要对计算机进行身份验证或通过远程访问连接进行身份验证，用户可将智能卡插入适当的读卡器并键入他或她的 PIN。 用户仅使用 PIN 或仅使用智能卡均不能访问网络。 对智能卡 PIN 进行扩展、猛烈的攻击都是不可能的，因为在多次试图键入正确的 PIN 失败之后，智能卡将锁定。

智能卡运行嵌入式操作系统和一种可存储数据的文件系统。 智能卡操作系统必须能够执行以下任务：

• 存储用户的公钥和私钥

• 存储关联的公钥证书

• 检索公钥证书

• 以用户名义执行私钥操作

有关智能卡和 Microsoft 支持的智能卡读卡器列表的更多信息，请参阅 Microsoft TechNet 中的 “智能卡”主题（可能为英文），网址为 www.microsoft.com/technet/security/topics/identitymanagement/scard.mspx。

智能卡部署要求

要支持智能卡登录以实现远程访问 VPN，您的计算机系统需要特定的硬件和软件组件。

有关智能卡部署的规范和要求的更多信息，请参阅 Microsoft TechNet 中的 使用智能卡安全访问规划指南 （可能为英文），网址为 www.microsoft.com/technet/security/topics/networksecurity/securesmartcards/
default.mspx。

智能卡客户端硬件要求

要支持智能卡 VPN 解决方案，要求用户拥有能够运行 Windows XP 的客户端计算机。

此外，用户还需要有智能卡读卡器连接到标准外围接口，如 RS-232 串口、PS/2、PC 卡或通用串行总线 (USB)。

智能卡客户端软件要求

您的远程访问客户端需安装 Windows XP 以支持智能卡 VPN 解决方案。 此外，还建议他们安装 Service Pack 2 (SP2)。

每个客户端计算机需安装支持所选智能卡的加密服务提供程序 (CSP)。 Windows XP 包括支持多个智能卡解决方案的 CSP。 或者，智能卡解决方案供应商将提供 CSP。 CSP 实现以下功能：

• 加密功能，包括数字签名

• 私钥管理

• 客户端计算机的智能卡读卡器与智能卡之间的安全通信

每个客户端计算机都需安装特定智能卡读卡器的设备驱动程序。 设备驱动程序将读卡器的功能映射到 Windows XP 和智能卡基础结构提供的本机服务。 智能卡读卡器设备驱动程序传递卡的插入和取出事件，并提供进出卡的数据通信能力。

连接管理器是 Windows XP 的一个标准功能，用于简化和管理网络、拨号和 VPN 连接。 此外，您还可使用连接管理器管理工具包 (CMAK) 自定义连接管理器配置文件并创建自动配置分发给客户端的 VPN 连接的安装文件。

智能卡部署包括客户端的卡管理软件。 该软件包括智能卡管理、连接和使您能够查看智能卡内容、重置 PIN 和添加附加证书的安全工具。

VPN 服务器硬件要求

VPN 连接在远程访问服务器上放置额外的处理器负载。 而智能卡保护的登录不会明显增加该负载。 处理大量入站连接的 VPN 远程访问服务器需要快速的处理器，最好是配置多处理器，支持高网络吞吐量除外。 使用 IPSec 保护的 VPN 的组织可实施网卡将 IPSec 加密过程卸载到位于网卡上的单独处理器上。

VPN 服务器软件要求

用于智能卡访问的 VPN 服务器软件要求相对简单。 远程访问服务器必须运行 Windows 2000 服务器或更高版本，启用路由和远程访问，且必须支持可扩展身份验证协议-传输层安全 (EAP-TLS)。

EAP-TLS 是一种相互身份验证机制，开发成与安全设备一起使用，如智能卡和硬件令牌。 EAP-TLS 支持点对点协议 (PPP) 和 VPN 连接，并使得能够交换 MPPE 的共享机密密钥，除 IPSec 之外。

EAP-TLS 的主要好处在于其对强力攻击的抵抗和对相互身份验证的支持。 使用相互身份验证，客户端和服务器都必须相互证明它们的身份。 如果客户端或服务器不发送证书来验证其身份，则终止连接。

Microsoft Windows Server™ 2003 支持 EAP-TLS 来实现拨号和 VPN 连接，从而使远程用户能够使用智能卡。 有关 EAP-TLS 的更多信息，请参阅 “可扩展身份验证协议 (EAP)”主题（可能为英文），网址为 www.microsoft.com/resources/documentation/windows/xp/all/proddocs/zh-CN/auth_eap.mspx。

有关 EAP 证书要求的更多信息，请参阅 Microsoft 知识库文章“ 当您使用 EAP-TLS 或 PEAP 使用 EAP-TLS 证书要求”，网址为 http://support.microsoft.com/default.aspx?scid=814394。

智能卡部署的网络基础结构先决条件

智能卡需要操作系统和网络元素支持的适当的基础结构。 在您开始智能卡部署过程之前，先解决以下组件的要求：

• 用户要求

• 公钥基本结构 (PKI)

• 证书模板

• Active Directory® 目录服务

• 安全组

• 登记站和注册代理

用户要求

需要 VPN 访问的用户和组的标识是智能卡部署的一个重要部分。 在部署过程的早期识别这些帐户可帮助定义项目范围和控制成本。

公钥基本结构 (PKI)

智能卡解决方案需要 PKI 来提供带公钥/私钥对的证书，从而在 Active Directory 中启用帐户映射。 可以下列两种方式中的一种来实施此 PKI： 为外部组织提供内部证书基础结构，或在 Windows Server 2003 中使用证书服务。要在 Windows Server 2003 中使用证书服务来实现您的智能卡解决方案，证书颁发机构 (CA) 必须是需要 Active Directory 的企业颁发机构。

有关 Windows Server 2003 中的证书服务的更多信息，请参阅 “Windows Server 2003 的公钥基础结构”网站（可能为英文），网址为 www.microsoft.com/windowsserver2003/technologies/pki/default.mspx。

PKI 必须拥有处理证书吊销的机制。 当证书过期或攻击者已损坏证书时，必须吊销证书。 通过吊销证书，管理员拒绝使用证书的任何人的访问。 每个证书都包括其证书吊销列表 (CRL) 的位置。

有关如何管理证书吊销的详细信息，请参阅 Microsoft TechNet 上的 “管理证书吊销”主题（可能为英文），网址为 http://technet2.microsoft.com/WindowsServer/en/library/92a5e655-3eb2-4843-b9cb-58c84c0a91d61033.mspx?mfr=true。

您可使用 PKI 为 VPN 解决方案中的每张智能卡分派证书。 VPN 服务器信任的 CA 必须颁发证书。 如果在 Windows Server 2003 中使用证书服务，请确保在 VPN 服务器上安装 PKI 根证书。

对于相互身份验证，必须从客户端信任的 CA 为 VPN 服务器分派证书。 如果在 Windows Server 2003 中使用证书服务，请确保在 VPN 客户端上安装 PKI 根证书。

证书模板

Windows Server 2003 提供特定的证书模板来颁发数字证书与智能卡解决方案配合使用。 智能卡使用的三种证书模板是：

• 注册代理，允许经授权的用户为其他用户请求证书。

• 智能卡用户，允许用户使用智能卡登录并对电子邮件签名。 此外，该证书还提供客户端身份验证。

• 智能卡登录，使用户能够使用智能卡登录并提供客户端身份验证，但并不启用签名的电子邮件。

注意   Microsoft 强烈建议您将当前 Windows Server 2003 PKI 升级到带 Service Pack 1 (SP1) 的 Windows Server 2003 PKI 以利用增强的安全功能。

VPN 解决方案将至少需要一名拥有注册代理证书的管理员将证书分派给智能卡。 此外，您的客户端的智能卡上还将需要有智能卡登录证书。

有关证书模板的详细信息，请参阅 TechNet 上的 “证书模板”主题（可能为英文），网址为 http://technet2.microsoft.com/WindowsServer/en/Library/7d82b420-10ef-4f20-a56f-17ee7ee352d21033.mspx?mfr=true。

Active Directory

Active Directory 提供管理构成网络环境的标识和关系的方法，并且是实施智能卡解决方案的关键组件。 Windows Server 2003 中的 Active Directory 包含对强制智能卡登录和将帐户映射到证书的能力的内置支持。 将用户帐户映射到证书的这个功能可将智能卡上的私钥与存储在 Active Directory 中的证书连接在一起。

当注册代理为特定用户的智能卡分派证书时，此过程将此证书映射到 Active Directory 中的用户帐户。 登录时显示智能卡凭据要求 Active Directory 将此特定卡与用户帐户相匹配，从而为用户提供网络上的相关权限和功能。

有关证书映射的更多信息，请参阅 Microsoft TechNet 上的 “将证书映射到用户帐户” 主题（可能为英文），网址为 www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/zh-CN/dssch_pki_cyek.asp。

有关 Active Directory 的更多信息，请参阅 “Windows Server 2003 Active Directory”页面（可能为英文），网址为 www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/
default.mspx。

安全组

如果在 Active Directory 内使用安全组来组织用户，则智能卡部署和管理过程就极其简单。 例如，典型的智能卡部署可能需要您创建以下安全组：

• 智能卡注册代理。 智能卡注册代理负责分发智能卡给用户。

• 智能卡过渡。 智能卡过渡组包含接收智能卡的所有用户，但尚未为这些用户登记注册代理并激活他们的卡。

• 智能卡用户。 智能卡用户组包含已完成注册过程并具有激活的智能卡的所有用户。 注册代理将用户从智能卡过渡组移到智能卡用户组。

• 智能卡临时异常。 智能卡临时异常组包含需要智能卡要求出现临时异常的用户，例如，当智能卡丢失之后或忘记智能卡时。

• 智能卡永久异常。 智能卡永久异常组包括需要智能卡登录要求出现永久异常的帐户。

您的 VPN 解决方案将至少需要注册代理和智能卡用户组。 创建这些组使您能够更容易地管理和配置多个用户。

登记站和注册代理

可使用基于 Web 的界面为用户颁发或注册智能卡，但不建议采用这种方法。 因为用户必须输入其用户名和密码才能获取智能卡，这种方法有效地将智能卡的安全级别降至与向 Web 界面显示凭据相同的级别。 更好的解决方案是创建登记站并指定一个或多个管理员为注册代理。

典型的登记站是连接了智能卡读卡器和智能卡写入器的计算机。 读卡器使登记站登录，而写入器颁发新智能卡给用户。 注册代理一删除其智能卡，登记站的“组策略”设置便强制注销。

指定的管理员承担起注册代理的角色并使用其智能卡登录到登记站。 然后打开“证书服务”网页，验证用户的身份，注册用户并颁发已注册的智能卡。 注册代理需要注册代理证书，且必须有权限访问证书模板。

操作注意事项

智能卡 VPN 解决方案必须解决如何监视解决方案的操作状态这个问题。 监视工具必须显示您需要提供操作支持的必需信息。 如果解决方案没有满足这个要求，安全人员就无法确定解决方案是否有效地保持安全远程访问连接。

操作注意事项包括：

• 测试对内部应用程序的身份验证。 智能卡应仅影响初始登录。 先导程序应测试并验证对内部应用程序的成功身份验证。

• 解决远程客户端问题。 为成功地解决问题，客户端问题可要求分布在不同时区的多个小组紧密合作。 严格的测试和正确的先导部署有助于减少支持电话。

• 了解组织远程访问方案和威胁。 您必须了解您的组织的远程访问方案和安全威胁以及二者之间的平衡。 您必须将最需要保护的资产排出优先等级并在成本和风险之间找到最佳平衡点。

• 预测技术难题。 您应预测技术难题，如安装例程和智能卡管理工具的分发。 您可能需要将智能卡解决方案集成到现有的企业管理工具中。

• 监视和管理性能问题。 您必须监视和管理性能问题，并在部署前设置用户的期望值。

• 考虑个人资产。 记住员工的家庭计算机是他们的个人财产，不在组织的 IT 部门管理之下。 如果员工无法安装硬件和软件以支持智能卡保护的远程访问，可使用其他选项。 例如，Microsoft Outlook® Web Access (OWA) 通过加密的安全套接字层 (SSL) 连接可为员工提供访问 Microsoft Exchange Server 邮箱的权限。

  有关电子邮件安全性的更多信息，请参阅本系列中的“ 如何保护管制行业中的电子邮件机密性”文章（可能为英文），网址为 http://go.microsoft.com/fwlink/?LinkId=71176。

• 管理对解决方案进行的更改。 您必须通过类似于初始部署所要求的那些步骤来管理对解决方案进行的任何更改和增强。

• 优化解决方案。 智能卡解决方案的各个方面均要求定期审核和优化。 您必须定期审核注册过程和帐户异常需要，目的是为了提高安全性和完整性。

远程访问 VPN 方案的智能卡登录

本节定义的为远程访问 VPN 配置智能卡登录的过程涉及中小型企业方案。 下表显示一个中型企业网络；在您自己的环境中可能具有所显示的一些或全部服务。

具体来讲，此过程符合远程用户要求访问外部位置的企业数据和服务的方案。 为此，远程用户创建与 Windows Server 2003 VPN 服务器的 VPN 连接，并使用智能卡进行身份验证。

以下步骤将帮助您为远程访问 VPN 准备、部署和配置智能卡支持。

如何准备 CA 来颁发智能卡证书

首先，您必须准备 CA 来分派必需的证书、注册代理和智能卡登录。

准备 CA 来颁发智能卡证书

1. 以管理员权限进行登录。

2. 打开“Active Directory 站点和服务”。

3. 单击“视图”菜单，然后选择“显示服务节点”。

4. 展开“服务”，单击“公钥服务”，然后单击“证书模板”（如以下屏幕截图所示）。

   

   
   

5. 右键单击“EnrollmentAgent”证书模板，然后选择“属性”。

6. 为创建为部署先决条件一部分的注册代理添加安全组，并分派“读取”和“注册”权限（如以下屏幕截图所示）。 然后单击“确定”。

   >

   
   

7. 关闭“Active Directory 站点和服务”。

8. 打开“证书颁发机构”。

9. 展开服务器名称，然后选择“证书模板”。 在右窗格中，可看到 CA 可分派的证书列表（如以下屏幕截图所示）。

   

   
   

10. 右键单击“证书模板”，指向“新建”，然后单击“要颁发的证书模板”。

11. 按下 CTRL 键，并在“启用证书模板”列表中，选择“注册代理”和“智能卡登录”（如以下屏幕截图所示）。 然后单击“确定”。

    

    
    

12. 关闭“证书颁发机构”。

如何将证书部署到智能卡

下一步，您可以为远程用户的智能卡分派证书。 以用户帐户所处的域的注册代理身份进行登录。

如何将证书部署到智能卡

1. 打开 Microsoft Internet Explorer®。

2. 在地址栏中，键入颁发智能卡登录证书的 CA 的地址，然后按 ENTER 键。

3. 单击“申请证书”，然后单击“高级证书申请”。 将显示类似于以下的屏幕。

   

   
   

4. 单击“代表使用智能卡证书登记站的其他用户申请智能卡证书”。 在出现提示是否接受 Microsoft ActiveX® 控件时，单击“是”。 您必须在 Internet Explorer 中启用 ActiveX 控件。

5. 在“智能卡证书登记站”屏幕上（如以下屏幕截图所示），选择“智能卡登录”。 此外，您还应看到“证书颁发机构”、“加密服务提供程序”和“管理员签名证书”的名称。 如果您无法选择管理员签名证书，说明您还未给登录用户分派注册代理证书。

   

   
   

6. 从“证书颁发机构”下拉列表中，选择您想要颁发智能卡证书的 CA 的名称。

7. 从“加密服务提供程序”下拉列表中，选择智能卡的制造商。

8. 在“管理员签名证书”中，键入将对注册请求签名的注册代理证书的名称，或单击“选择证书”以选择一个名称。

9. 单击“选择用户”，然后选择相应的用户帐户。 单击“注册”。

10. 在出现提示时，将智能卡插入计算机上的智能卡读卡器，然后单击“确定”。 当提示键入个人识别码 (PIN) 时，键入智能卡的 PIN。

如何为智能卡身份验证配置 VPN 服务器

现在您可以开始配置 VPN 服务器。

配置路由和远程访问服务以接受 EAP 身份验证

1. 启动“路由和远程访问”管理单元。

2. 右键单击 “<servername>” ，单击“属性”，然后单击“安全”选项卡。

3. 单击“身份验证方法”。

4. 选择“可扩展身份验证协议 (EAP)”复选框（如以下屏幕截图所示），然后单击“确定”。

   

   
   

5. 单击“确定”。

如何为智能卡身份验证配置远程访问策略

现在可以在远程访问策略中启用 EAP。 默认情况下，“远程访问策略”组件包括在“路由和远程访问”管理单元中。 但是，如果安装了 Internet 验证服务 (IAS)（也称为“远程身份验证拨号用户服务”或 RADIUS），则“远程访问策略”组件包括在 IAS 管理单元中。

启用 EAP 以及远程访问策略

1. 在“路由和远程访问”左窗格中，单击“远程访问策略”。

2. 在右窗格中，双击“Microsoft 路由和远程访问服务器连接”。 将显示类似于以下的屏幕。

   

   
   

3. 单击“编辑配置文件”，单击“身份验证”选项卡，然后单击“EAP 方法”（如以下屏幕截图所示）。

   

   
   

4. 如果“EAP 类型”列表中没有出现“智能卡或其他证书”，则单击“添加”，选择“智能卡或其他证书”，然后单击“确定”。

   

   
   

5. 选择“智能卡或其他证书”，然后单击“编辑”。 将显示类似于以下的屏幕。

   

   
   

6. 在下拉列表中，选择想用于 EAP 身份验证的证书，然后单击“确定”三次。

7. 请确保选择“授予远程访问权限”，单击“确定”，然后关闭“路由和远程访问”。

如何为智能卡身份验证配置 VPN 客户端

下一步可配置客户端以使用 EAP 身份验证来支持智能卡。

创建电话簿项

1. 单击“开始”，依次指向“连接到”、“显示全部连接”，然后在“网络任务”列表中，单击“新建连接”。 然后在“新建连接向导”欢迎屏幕上单击“下一步”。 将显示以下屏幕。

   

   
   

2. 选择“连接到我的工作场所的网络”，然后单击“下一步”。

3. 选择“虚拟专用网络连接”，然后单击“下一步”。

4. 在“公司名称”框中键入连接名称，然后单击“下一步”。 将显示以下屏幕。

   

   
   

5. 如果您永久连接至 Internet，请选择“不拨初始连接”，然后单击“下一步”。 或者，如果您需在创建 VPN 之前拨号连接，可选择“自动拨号此初始连接”，从下拉列表中选择拨号连接，然后单击“下一步”。

6. 在“主机名称或 IP 地址”框中键入 VPN 服务器名称或 IP 地址，然后单击“下一步”。

7. 选择“使用我的智能卡”，单击“下一步”，然后单击“完成”。

在创建电话簿项之后，配置此项以使用 EAP。

配置当前连接以使用智能卡身份验证

1. 右键单击该连接，选择“属性”，然后选择“安全”选项卡。 将显示以下屏幕。

   

   
   

2. 确保选择“典型（推荐设置）”，然后在“按如下方式验证我的身份”下拉列表中选择“使用智能卡”。

3. 选择“高级（自定义设置）”，然后单击“设置”。

4. 单击“智能卡或其他证书（启用加密）”。

5. 单击“属性”，然后单击“使用我的智能卡”。

6. 请确保已启用“验证服务器证书”。

7. 如有必要，请选择“服务器名称结尾为如下时，才连接”复选框。

8. 在“受信任根证书颁发机构”框中，单击颁发与智能卡一起使用的证书的 CA 名称或安装的用户证书。

9. 如有必要，请选择“使用连接的其他用户名”复选框。

10. 用户必须登录计算机才能使用 EAP 以及用户证书。

如何使用连接管理器为智能卡身份验证配置 VPN 客户端

如果需要为多个客户端配置 VPN 连接，可使用连接管理器。

在运行 Windows Server 2003 的计算机上安装 CMAK

1. 单击“开始”，选择“控制面板”，然后选择“添加/删除程序”。

2. 在“添加/删除程序”对话框中，单击“添加/删除 Windows 组件”。

3. 在“Windows 组件向导”屏幕上，选择“管理和监视工具”，然后单击“详细信息”。 将显示类似于以下的屏幕。

   

   
   

4. 在“管理和监视工具”对话框中，选择“连接管理器管理工具包”，然后依次单击“确定”、“下一步”和“完成”。

使用 CMAK 创建可分发给您的用户的 VPN 连接配置文件

1. 依次单击“开始”、“管理工具”和“连接管理器管理工具包”。

2. 在“欢迎使用连接管理器管理工具包向导”屏幕上，单击“下一步”。

3. 确保选择“新配置文件”，然后单击“下一步”。

4. 在“服务名称”框中键入配置文件的名称，在“文件名”框中键入分发给客户端的可执行文件的名称。

5. “领域名称”屏幕（如以下屏幕截图所示）可使您对用户名添加领域名称。 如果您的用户通过使用 RADIUS 传递网络身份验证凭据给 Internet 验证服务 (IAS) 服务器的第三方网络访问服务器连接到 VPN，就可能需要添加领域名称以识别您的用户。

   选择“不将领域名称添加至用户名”（除非需要），然后单击“下一步”。

   

   
   

6. 使用“合并配置文件信息”屏幕可合并之前配置的“连接管理器”配置文件。 如果需要将其他配置文件中包含的信息（如网络访问号）合并到当前配置文件中，就要这样做。 添加任何必需的配置文件，然后单击“下一步”。

7. 使用“VPN 支持”屏幕（如以下屏幕截图所示）可从配置文件创建电话簿并配置 VPN 服务器，或为 VPN 客户端配置服务器。

   

   
   

   电话簿包含如地区代码、电话号码和用户身份验证方法等信息。 连接管理器电话簿还包括运行 CMAK 向导时配置的各种网络设置。

   如果想要您的客户端具有连接到多个 VPN 服务器的选项，可在文本文件中创建 VPN 服务器列表（如以下屏幕截图所示）。 如果想要该连接使用 VPN 服务器列表，请选择“允许用户在连接前选择 VPN 服务器”，浏览至该文本文件，然后单击“下一步”。

   

   
   

8. 在“VPN 项”屏幕上，选择正在创建的配置文件，单击“编辑”，然后单击“安全”选项卡。 将显示以下对话框。

   

   
   

9. 在“安全设置”下拉列表中，选择“使用高级安全设置”，然后单击“配置”。 将显示以下对话框。

   

   
   

10. 确保“数据加密”下拉列表已启用“要求加密”，并确保在 VPN 策略下拉列表中选择了正确的隧道协议。

    在相应的下拉列表中选择“使用可扩展身份验证协议 (EAP) 和智能卡或其他证书（已启用加密）”，然后单击“属性”。 将显示类似于以下的屏幕。

    

    
    

11. 确保选择了“使用我的智能卡”，并且如果想要客户端确认服务器的有效性，确保选择“验证服务器证书”。 此外，还可键入要连接的一个或多个服务器的名称，以及验证服务器的证书根证书颁发机构。 如果您的客户端必须使用其他用户名来验证证书中的用户名，可选择“使用连接的其他用户名”。 单击“确定”三次，然后单击“下一步”。

12. 使用“电话簿”屏幕可在配置文件中包括附加电话簿文件，并自动下载电话簿更新。 电话簿包括如地区代码、电话号码和支持的用户身份验证方法等信息。 连接管理器电话簿还包括运行 CMAK 向导时配置的各种网络设置。 如果选择“自动下载电话簿更新”，则必须键入下载更新的位置。 如果您不需要下载电话簿更新，则请勿选择此选项。 单击“下一步”。

13. 如果您的连接正在使用拨号网络，可选择这个项，然后单击“拨号网络项”屏幕上的“编辑”。 （如果您的连接没有使用拨号网络，在后续步骤中将看到如何禁用它。） 在进行了必需的设置之后，或如果不需要使用拨号网络，请单击“下一步”。 在任务 14 至 25 中描述的向导屏幕配置主要改变连接外观的可选组件。

14. 可使用“路由表更新”屏幕上的设置来配置连接的路由信息。 默认设置是通过 VPN 接口将 VPN 客户端连接到所有非直接连接的网络。 但是，如果不配置 VPN 客户端以将 VPN 连接用作其默认网关，则可创建自定义路由表项，允许 VPN 客户端访问内部网络上所选择的子网。 完成后，单击“下一步”。

15. 可使用“自动代理配置”屏幕上的设置强制 VPN 客户端使用 VPN 服务器作为其 Web 代理服务器。 单击“下一步”。

16. 可使用“自定义操作”屏幕上的设置指定在 VPN 连接前后或连接期间自动启动的程序。 单击“下一步”。

17. 可使用“登录位图”屏幕上的设置创建在用户打开 VPN 连接时出现的特殊图形。 如果创建自定义图形，请确保图形为 330x140 像素。 单击“下一步”。

18. 可使用“电话簿位图”屏幕上的设置创建在用户打开电话簿时出现的特殊图形。 如果创建自定义图形，请确保图形为 114x309 像素。 单击“下一步”。

19. 可使用“图标”屏幕上的设置指定想要在“连接管理器”界面 (UI) 中显示的图标。 单击“下一步”。

20. 可使用“通知区域快捷菜单”屏幕上的设置向“连接管理器”上下文菜单中添加项目。 单击“下一步”。

21. 可使用“帮助文件”屏幕上的设置分派自定义帮助文件给您的用户。 单击“下一步”。

22. 可使用“支持信息”屏幕上的设置为您的用户提供支持信息。 单击“下一步”。

23. 可在“连接管理器软件”屏幕上查看这些设置。 您可以选择在尚未在其计算机上安装连接管理器的客户端上安装连接管理器版本 1.3。 单击“下一步”。

24. 可使用“许可协议”屏幕上的设置以包括连接的自定义许可协议。 单击“下一步”。

25. 可使用“附加文件”屏幕在“连接管理器”配置文件中包括附加文件。 单击“下一步”。

26. 在“准备构建服务配置文件”屏幕上，选择“高级自定义”，然后单击“下一步”。

27. 使用“高级自定义”屏幕（如以下屏幕截图所示）可配置配置文件中各设置的值。 对于支持智能卡的 VPN 连接，应通过将拨号的值设置为 0 禁用拨号。HideDomain、HideUserName 和 HidePassword 设置也已启用。

    

    
    

28. 配置文件基于文本，且具有 .inf、.cms 和 .cmp 文件扩展名。 向导读入使用 CMAK 安装的 template.inf、template.cms 和 template.cmp 默认文件。

    完成此向导后，即为配置文件创建新配置文件为 profilename.inf、profilename.cms 和 profilename.cmp。您可以编辑这些默认模板文件以添加可通过向导的任何用户配置的其他设置。

    有关连接管理器的高级自定义选项的更多信息，请参阅 “连接管理器的高级自定义选项” 页面（可能为英文），网址为 www.microsoft.com/resources/documentation/Windows/2000/server/reskit/zh-CN/ierk/Ch14_d.asp。

    template.cms 文件（如以下屏幕截图所示）已被编辑为包括隐藏域、用户名和密码框的功能，以便在需要时可包括此功能。 MPPE 在加密过程中使用用户密码，因此在某些情况下，解决方案需要用户名和密码框。

    

    
    

29. 在完成所有设置更改后，单击“下一步”创建可执行配置文件。 记下将存储文件的位置，然后单击“完成”。 通过标准软件分发机制可向客户端分发可执行文件。 客户端可手动执行此文件，或可自动操作此过程以安装 VPN 连接。

如何验证智能卡 VPN 解决方案

验证过程的目标是在全面部署之前找出设计或配置解决方案中的任何问题。 要验证智能卡 VPN 解决方案，必须执行解决方案的主要步骤。 要验证的主要步骤包括：

• 向智能卡分派证书。

• 分发连接管理器配置文件。

• 安装连接管理器配置文件。

• 通过使用智能卡身份验证连接到 VPN 服务器。

• 通过 VPN 连接访问内部网络资源。

如何解决智能卡 VPN 解决方案中的问题

验证过程的目标是解决此解决方案中的问题，找出过程失败的地方，并将精力集中在这块地方。

下表显示一些智能卡-VPN 解决方案疑难解答指南。

表 1：智能卡 VPN 疑难解答指南

问题	解决方案
CA 中不存在相关证书。	在“Active Directory 站点和服务”中启用证书模板。 分派注册权限。
无法分派证书给智能卡。	安装智能卡写入器。 分派注册代理证书。
VPN 服务器无法验证远程客户端的身份。	配置服务器以支持 EAP-TLS 身份验证。 确保服务器上使用的证书受客户端的信任。
客户端在创建 VPN 之前试图拨号连接。	配置客户端以便客户端不拨号初始连接。
客户端在创建 VPN 之前不试图拨号连接。	配置客户端为拨号初始连接。
当客户端试图创建 VPN 时，将提示用户输入用户名、域名和密码。	确保 VPN 连接配置为使用智能卡。 确保 HideUserName、HideDomain 和 HidePassword 设置已启用。
客户端在网络连接中没有连接对象。	确保“连接管理器”配置文件已被发送至客户端。 确保“连接管理器”可执行配置文件已运行。
客户端没有连接到 VPN 服务器。	确保客户端连接使用正确的 VPN 服务器名称进行配置。 确保客户端从 VPN 服务器列表选择正确的服务器。
客户端无法使用 VPN 服务器进行身份验证。	确保客户端连接到正确的 VPN 服务器。 确保智能卡拥有受 VPN 服务器信任的证书。

有关 VPN 连接的一般疑难解答的更多信息，请参阅 Microsoft TechNet 上的 “VPN 疑难解答”主题（可能是英文），网址为 http://technet2.microsoft.com/WindowsServer/en/Library/4543aff5-e10f-487c-92ad-bb5518a736201033.mspx。

摘要

实施智能卡以验证远程访问连接所提供的安全性比简单的用户名和密码结合更高。 智能卡通过结合智能卡和 PIN 实施双重身份验证。 双重身份验证更难遭到攻击，且较之强密码，用户更容易记住 PIN。

为远程访问用户提供智能卡身份验证可帮助提供增强网络安全性的可靠而经济的方法。