绘图1
此时Perth上的测试用户vpnuser可以通过Beijing的ISA上指定的Radius服务器进行远程VPN登录。
01
02
下面我们来通过使用证书让用户vpnuser通过证书实现远程的VPN登录。
 
我们要作下面几个方面的准备:Radius服务器的设置,ISA的设置,拨号端设置
 
 
 
Radius服务器设置
 
首先我们为Raidus服务器申请一个WEB证书
03
 
安装申请下来的证书
04 05
 
启动Internet验证服务
06
 
然后在远程访问策略中新建一条“远程访问策略”
07
 
我们选择用向导来制作该策略,其中策略名称随意
08
 
选择VPN
09
 
添加Domian user组
10
 
协议选择EAP协议,类型选择智能卡或与证书,配置中选择CA服务器申请来的证书
11
 
使用默认加密方式
12
 
 
 
ISA设置
 
下面我们来进行ISA上的设置
 
首先因为ISA所在的计算机没有加入域,因此我们要手动信任Contoso.com域中的CA服务器,我们先去Contoso域中的CA服务器上下载一个CA证书
13
14
15
 
在MMC控制台中添加证书(计算机证书),在受信任的根证书颁发机构下的证书里导入刚才申请的CA证书
16
17
 
导入成功后在右边的列表中会出现你刚才导入的证书机构
18
 
在ISA中的配置中选择身份验证方法,勾选其中的EAP选项。
19
 
别忘记应用改动后的规则
20
好了ISA到这里就配置完成了。
 
 
 
拨号端设置
 
最后我们对拨号端进行设置
还是老样子,先让拨号的客户端信任CA证书服务器,过程同ISA信任过程不再重复。
 
打开拨号连接程序选择属性
21
 
在安全页选高级设置,点击边上的设置按钮。
22
 
选择EAP协议属性
23
 
选择使用证书,填写证书服务器的IP地址,选择证书颁发机构,如果当前本地登录用户名与将要进行VPN登录的用户名不同还要勾选“为此连接使用一个不同的用户名”
24
 
设置完成后登录界面就变成了下面的样子了
zz
 
好了进入最后阶段,我们用contoso域中的用户vpnuser申请一个用户证书,并将公私密钥一起导出成PFX文件。
25
 
在Perth上导入vpnuser的证书后,打开连接程序后,点击连接按钮后出现下面信息
26
 
成功在望,呵呵。点确定继续显示登录到了contoso域中的CA服务器。
27
 
点击确定,如果证书没有问题,该用户允许远程拨入的话,你应该已经能利用证书远程VPN登录了。同时这种方式简单灵活,管理方便,易于实现真是居家旅行必备的VPN远程登录方式。