传统的×××服务器大多采用“硬件”方式,但这种方式存在如下的缺点:
(1)使用的×××服务器有容量限制,例如,有的用户初期购买60个并发连接的×××设备,当用户的需求超过60个时,只能丢掉原来的设备,购买更大容量的×××接入设备,造成用户原有投资的浪费。
(2)硬件×××组网简单、配置固定。一般硬件×××只有两个或者3个接口,只适合一般的企业,如果企业对网络有更复杂或者更灵活的要求,一般的硬件×××都不能满足。
(3)兼容性差。一般硬件×××采用自己的标准或者协议,没有采用工业标准,如果企业在组建×××网络时,或者所有的设备都采用同一厂家的设备,否则容易造成互连互通的问题。
(4)维护困难。一般的硬件×××,因为各种原因,只能有自己公司的技术人员调试。当用户使用一般时间,想对×××网络进行进一步的定制或者改造时,只能求助于厂家的技术人员。
(5)传统的×××组网,不适合由网管员自己组建,也不适合网管员管理。而本文介绍,将采用“软件”×××方式组网。实际上,所谓“软件”×××也好,“硬件”×××也罢,都是“软、硬件”相接合的方式,许多所谓的“硬件”×××,也是由服务器、硬盘、操作系统、×××服务器软件构成的,而在许多“硬件”×××服务器解决方案中,在超过10000万个并发连接时,也是使用计算机组成的“服务器群”来实现的,所以,硬件×××服务器,最终也是由运行×××服务器软件的“硬件”组成的。
在当今这个时代,组建的×××服务器应该由管理员完全控制或者“一手”组建,或者组建后的×××网络,管理员能很容易上手,再加上现在PC服务器硬件性能的不断提高与成本的不断下降,软件×××服务器,无论从成本、性能、可靠性还是安全性、可扩展性上,都有无可比拟的优势,而且软件×××服务器,也非常适合一些网络系统集成公司部署与学习。
一般的×××服务器,都是使用“用户名”“密码”进行身份验证,虽然用户使用比较简单,安全性也比较高,但这个安全性主要体现在传输部分,它不能保证“用户不被仿冒”,例如,张三的用户没有×××拨入权限,也不能使用×××的方式访问单位内网,李四的用户具有×××拨入权限,假设张三知道了李四的密码,张三就可以使用李四的用户名和密码拨叫×××服务器并访问内网。李四为了避免张三(或者其他用户)知道自己的用户名密码,就要经常修改密码,并且要设置非常复杂的密码,例如,2@#Ui)8这个密码,被认为是复杂密码,但这样一来,李四就不容易记住自己的密码。另外,有许多时候,张三和李四认识,张三可能会打电话询问李四×××的帐户和密码,李四耐于情面也会告诉张三×××的帐户和密码。为了避免这个问题,可以使用“智能卡”的方式进行验证,使用智能卡后,将会改进传统的以用户名、密码进行验证的方式,当用户需要拨叫×××服务器服务器,必须插入智能卡,由×××拨号程序访问智能卡,通过读取智能卡中保存的信息进行身体验证,这样,张三就会没有智能卡而不能访问×××服务器,这样可以达到只让指定的用户访问×××服务器的目的。
技术要点
Windows 2000 Server开始就支持智能卡,它是以Active Directory为基础的,所以组建使用智能卡进行身份验证的×××服务器。使用智能卡进行身份验证,实际上是使用保存在智能卡中的证书进行验证,所以还需要“证书服务器”,而只有Windows Server中的“企业证书服务器”才能与Active Directory进行集成,所以,使用智能卡的×××网络,还需要“企业证书服务器”的支持。
5.1使用智能卡验证的×××网络拓扑结构
在商用的×××服务器中,包括一些“硬件”×××服务器,大多采用“智能卡”作为身份验证的工具,一个是可以提高×××系统的安全性,另外可以提升产品的价值。但实际上,智能卡与常用的计算机(文本)证书、用户名、密码一样,都只是身份验证的一种方法,只不过智能卡不容易仿冒并且安全性相对来说很高而已,如果用户名、密码也非常复杂,例如使用Ae$7Y之类的用户名、采用U*7%$E0@d8之类的密码,其安全性也是非常高的,只不过用如此复杂的密码,许多人是记不住的,而采用智能卡可以解决这些问题。
【说明】:一般学校食堂使用的饭卡、银行发行的信用卡、网上银行使用的“U盾”等,都是智能卡。从Windows 2000开始,操作系统就已经支持“智能卡”,使用本书介绍的智能卡,除了可以作×××用户的身份验证外,还可以用“智能卡”代替用户输入用户名与密码,也就是说,当用户登录计算机时,可以不需要输入用户名与密码,而是插入智能卡并输入智能卡的PIN码(通常是比较简单的)就可以登录计算机,当拔下智能卡时,计算机将被锁定。而在Windows Server 2003、Windows Server 2008、Windows XP中,还可以用智能卡登录远程的Windows Server 2003、Windows Server 2008的终端服务器。
总之,使用智能卡具有如下的优点:
(1)用户不再需要记住复杂的密码。用户只需要记住智能卡的“PIN”码就可以使用智能卡,PIN码可以非常的简单,例如可以用123、5678、abc或者其他容易记住的密码即可。
(2)和银行的存折、信用卡一样,智能卡需要由“认证中心(即企业证书服务器)”统一颁发、续订,用户的智能卡丢失后,可以申请挂失。如果用户的智能卡丢失,识到智能卡的用户如果尝试使用智能卡,在输入错误的PIN码达到次数后(例如3次),智能卡将被锁定。
(3)智能卡具有“唯一性”,可以为需要的用户颁发智能卡。
(4)安全性高:智能卡采用硬件加密,安全可靠。
本章采用图5-1所示的网络拓扑进行介绍。
clip_p_w_picpath002
图5-1 使用智能卡进行身份验证的×××网络拓扑
在图5-1中,使用智能卡进行验证的×××网络需要“×××服务器、Windows Server 2003的Active Directory服务器、企业证书服务器”,其中Active Directory服务器是基础,企业证书服务器与×××服务器都要加入Active Directory,而Internet的、使用智能卡进行身份验证的×××客户端,不需要加入Active Directory。
在图5-1中做如下的设定:Windows Server 2003的Active Directory服务器的域名是msft.com,IP地址是172.30.5.3/24,企业证书服务器的IP地址是172.30.5.4,×××服务器的内网地址是172.30.5.5,外网地址是202.206.197.101。其中Active Directory服务器与企业证书服务器都只需要一块网卡,×××服务器需要两块网卡。
采用智能卡进行身份验证的×××网络组建的主要步骤是:
(1)在将要做Active Directory服务器的计算机上,安装Windows Server 2003,设置IP地址与DNS地址(在本章中都是172.30.5.3)。
(2)在将要做证书服务器的计算机上,设置IP地址(172.30.5.4)与DNS地址(172.30.5.3),加入到Active Directory中作“成员服务器”,并安装证书服务。在实际使用中,“企业证书服务器”可以与“Active Directory”在同一台计算机上。
(3)在将要做×××服务器的计算机上,设置内、外网IP地址并分别设置DNS服务器,并加入“Active Directory”做“成员服务器”,然后安装ISA Server并创建策略。
(4)在“企业证书服务器”上,安装智能卡驱动程序,并配置“证书颁发机构”。
(5)在企业证书服务器上(或者管理工作站上),安装智能卡驱动程序,以域管理员身份登录,一一插入智能卡,并将验证信息写入智能卡。
(6)在×××客户端计算机上,安装智能卡驱动程序、信任企业证书颁发机构、创建×××客户端连接,之后使用智能卡进行验证拨叫×××服务器。
下面将详细介绍每一个操作步骤,为了讲解方便,将图5-1简化成图5-2,每个服务器的名称、IP地址与配置的顺序如表5-1所示。
clip_p_w_picpath004
图5-2 简化的智能卡×××网络拓扑
顺序
计算机名
IP地址/24
DNS地址
DNS域名
描述
1
AD-SERVER
172.30.5.3
172.30.5.3
MSFT.COM
域控制器、证书服务器
2
×××-Server
172.30.5.5
172.30.5.3
MSFT.COM
内网网卡
202.206.197.101
外网网卡
3
XP
202.206.197.102
×××客户端
【注意】不要用×××服务器做Active Directory服务器,×××服务器与Active Directory应该分开,但可以将“证书服务器”与“Active Directory”放在同一台服务器上。
5.2准备Windows Server 2003的Active Directory服务器
在将要做Active Directory服务器的计算机上,安装Windows Server 2003的标准版或者企业版,修改计算机名称、设置IP地址并升级到Active Directory,主要步骤如下。
(1)修改计算机名称为ad-server,并重新启动计算机。
(2)设置IP地址为172.30.5.3,子网掩码为255.255.255.0,设置DNS为127.0.0.1(代表本机地址,也可以设置为172.30.5.3)。
【说明】在实际使用中,必须要根据实际情况设置网关地址。
(3)接下来要将计算机升级到“Active Directory(活动目录)”。在升级的过程中,指定域名为“msft.com”,如图5-6所示。
clip_p_w_picpath006
图5-6 指定域名
(4)安装完成后,单击“立即重新启动”按钮,重新启动Windows Server 2003的计算机,完成Active Directory的安装。
5.3准备企业证书服务器
使用智能卡进行身份验证的×××网络中,企业证书服务器是必须的选择,不能使用“标准证书服务器”,可以将企业证书服务器与Active Directory服务器共同安装在同一台服务器上。
企业证书服务器的安装比较简单,下面介绍其主要步骤。
(1)在Active Directory服务器上,以管理员身份登录,在“控制面板→添加/删除程序→添加/删除Windows组件”中,先安装(选中)“应用程序服务器→ASP.NET和Internet信息服务”。
(2)然后再安装证书服务,单击“下一步”按钮,在“CA类型”页中,选择“企业根CA”。
(3)在“CA识别信息”页中,在“此CA的公用名称”文本框中,键入该企业根CA的信息,例如ent-ca.msft.com,这个信息将在用IE申请证书时出现在证书申请首页中,并且,最好将这个名称注册为DNS域名对外提供服务,在“有效期限”页中,选择该证书服务器的有限期限,默认为5年,如图5-11所示。
clip_p_w_picpath008
图5-11 CA识别信息
(4)在安装完成后,在IE浏览器中,键入[url]http://172.30.5.3/certsrv[/url](其中172.30.5.3是证书服务器的IP地址),按回车键,首先会弹出身份验证对话框,键入管理员帐户和密码,然后按回车键,进入企业证书申请页,首先在“Microsoft证书服务器”后面显示的名称就是图5-11中键入的信息,如图5-13所示。
clip_p_w_picpath010
图5-13 企业证书申请页
至此,Active Directory服务器与企业证书服务器的配置基本完成,接下来将讲述×××服务器的配置过程。
5.4 准备×××服务器
在准备做×××服务器的计算机上,需要经过一系列步骤的配置,才可以让×××服务器使用智能卡进行身份验证,这些步骤主要有:
Ø 修改计算机名称并重启
Ø 设置IP地址与DNS地址
Ø 将计算机加入到Active Directory服务器
Ø 安装ISA Server
Ø 申请证书
Ø 启用×××服务
下面将一一介绍。
5.4.1 ×××服务器基本准备
在准备做×××服务器的计算机上,首先设置内网网卡的IP地址为172.30.5.5,设置DNS地址为172.30.5.3,设置外网网卡的IP地址为202.206.197.101,设置网关地址为202.206.197.4,并且将内网网卡重命名为“LAN”,将外网网卡重命令为“Internet”。
然后重命名计算机为×××-Server,之后重新启动计算机。
最后,确认该计算机没有安装IIS、没有启用Windows内置的防火墙与没有启用“路由和远程访问”服务。
5.4.2 将计算机加入到Active Directory
接下来将计算机加入到Active Directory,作为域msft.com的成员服务器,其主要步骤如下,这些不做过多介绍。
5.4.3 安装ISA Server
当计算机再次登录时,请以域管理员的身份登录到域示。
然后开始安装ISA Server 2006,需要注意:
(1)不要安装“高级日志”。
(2)选择“内网”网卡为内部网络,如图5-25所示。
clip_p_w_picpath012
图5-25 选择内部网络
(3)其他采用默认安装,将不在介绍。
5.4.4 申请证书
在配置×××服务器之前,需要为该服务器申请一个“计算机证书”,但因为这台计算机安装了ISA Server,默认是阻止这台计算机访问其他服务器的,所以需要创建访问策略。
打开ISA Server服务器,创建一条策略,该策略允许Active Directory服务器(IP地址为172.30.5.3)的计算机与ISA Server服务器(即×××服务器)可以以任意协议“互相”通讯,该策略主要步骤如下:
(1)在ISA Server管理控制台,新建访问规则,如图5-26所示。
clip_p_w_picpath014
图5-26 创建访问规则
(2)访问规则名称为“允许与AD任意访问”。
(3)规则操作为“允许”。
(4)访问规则协议为“所有出站通讯”。
(5)在“访问规则源”页中,单击“添加”按钮,在“添加网络实体”对话框中单击“新建→计算机集”,在“新建计算机集规则元素”对话框中,在“名称”文本框后面键入“AD与CA(也可以是其他标识性的名称)”,然后单击“添加→计算机”,在弹出的对话框中键入Active Directory服务器的计算机的IP地址,然后单击“确定”按钮,添加完成后,将“本地主机”与新添加的“AD与CA”添加到“访问规则源”页中,如图5-33所示。
clip_p_w_picpath016
图5-33 添加访问规则源
(6)在“访问规则目标”页中,添加“本地主机”、“AD与CA”。
(7)其他选择默认值,设置完成后单击“应用”按钮,让设置生效。
在创建访问规则之后,就可以为×××服务器从“企业证书服务器”申请“计算机证书”,主要步骤如下:
(1)在×××服务器计算机上,打开IE浏览器,键入[url]http://172.30.5.3/certsrv[/url],在弹出的对话框中键入域管理员帐户和密码。
(2)在“欢迎”页中单击“申请一个证书”链接;在“申请一个证书”页中单击“高级证书申请”链接;在“高级证书申请”页中单击“创建并向此CA提交一个申请”链接。
(3)然后打开“系统属性”,查看并复制计算机名称,如图5-37所示。
clip_p_w_picpath018
图5-37 复制计算机名称
(4)切换到证书申请页,在“高级证书申请”页中,在“证书模板”列表中选择“Web服务器”,在“姓名”文本框中“粘贴”图5-37中复制的计算机名称,如图5-38所示。
clip_p_w_picpath020
图5-38 键入正确的计算机名称
选中“将证书保存在本地计算机存储中”,然后单击“提交”按钮。
(5)从企业证书服务器申请证书时,证书会立刻颁发。在“证书己颁发”页中单击“安装此证书”链接,在弹出的“潜在的脚本冲突”中单击“是”按钮,如图5-40所示。
clip_p_w_picpath022
图5-40 安装己颁发的证书
5.5 启用×××服务
在申请并安装证书之后,就可以在ISA Server中启用×××服务器了,主要步骤包括:
Ø 为“×××客户端创建访问规则”(这一步也可以放在最后)
Ø 在ISA Server中启用×××服务器
Ø 重启计算机并在“路由和远程访问”服务中进行验证
下面将详细的介绍每一个步骤。
5.5.1 为×××客户端创建访问规则
在本章示例中,将允许×××客户端访问“内网”与“外部”,在ISA Server中创建的访问规则如下:
(1)在ISA Server 2006管理控制台中新建“访问规则”。
(2)设置访问规则名称为“允许×××客户端访问内、外网”。
(3)设置访问规则操作为“允许”;设置“协议”为“所有出站通讯”;在“访问规则源”中选择“×××客户端”。
(4)访问规则目标为“内部”、“外部”。
(5)其他选择默认值即可。
5.5.2 为使用智能卡验证启用×××服务器
定位到“虚拟专用网络(×××)”,在右侧单击“定义地址分配”链接。
首先在“地址分配”选项卡中,为×××客户端添加“172.16.100.1~172.16.100.254”的地址,如图5-46所示。
clip_p_w_picpath024
图5-46 创建静态地址
然后单击“身份验证”选项卡,取消“Microsoft加密的身份验证版本2”的选择,选中“可扩展的身份验证协议(EAP),使用智能卡或其他证书”,在弹出的对话框中单击“确定”按钮,然后再次单击“确定”按钮,如图5-47所示。
clip_p_w_picpath026
图5-47 使用智能卡进行验证
在ISA Server管制控制台中,单击“启用×××客户端访问”,然后单击“应用”按钮,让设置生效。
然后重新启动计算机。
5.6 为智能卡用户颁发证书
本书中介绍的智能卡,是一个外形像U盘、具有USB接口的、可移动的、安全电子设备,如图5-55所示。
clip_p_w_picpath028
图5-55 智能卡外形
智能卡使用之前需要经过“初始化”后才能使用,并且在初始化的时候为其设置“管理员密码”与“用户密码”,管理员密码是企业管理员掌握,该密码用来重新初始化智能卡、解密用户密码,用户密码是给智能卡的所有者或使用者,在访问(读取)保存在智能卡中的证书时使用,该密码具有一定的复杂性即可,在初始化时可以设置一个非常简单的密码,例如123,用户在得到智能卡后可以更改此密码,用户密码通常也称作PIN码。
下面将在“企业证书服务器”中,对智能卡进行初始化、为智能卡颁发证书等操作,在实际工作中,会专门找一台计算机对智能卡进行初始化的工作,用来初始化智能卡的计算机不需要加入到Active Directory,而为为智能卡颁发证书的工作站,必须要加入Active Directory并且以域管理员身份登录,读者在第一次学习使用时,最好是在“企业证书服务器”上进行。
5.6.1 安装智能卡驱动程序
Windows 2000、Windows XP、Windows Server 2003、Windows Vista或Windows Server 2008,已经内置了一部分智能卡的驱动程序,但一般情况下,用户使用的智能卡,例如本书中介绍的“明华澳汉”智能卡,Windows操作系统并没有集成该驱动程序,所以,在使用该智能卡前,需要安装智能卡驱动程序。
在企业证书服务器上,安装智能卡驱动程序,在安装驱动程序之前,先不要插入智能卡。有关智能卡驱动程序的安装比较简单,不在介绍。
5.6.2初始化智能卡
运行厂家提供的初始化程序,然后插入新的智能卡,如图5-60所示。
clip_p_w_picpath030
图5-70 初始化程序
当智能卡没有初始化时,在“设备清单”中会显示“未初始化EKEY”提示,单击“初始化”按钮,在弹出的“初始化参数设置”对话框中,设置如下参数:
EKey卷标:类似于硬盘、软盘的卷标,用来识别或标记智能卡,可以键入5~16个字符。
“证书个数”:设置保存的证书的个数,可以在1~10中设置。
管理员密码:设置智能卡的管理员密码,一定要记好,如果管理员密码丢失,将不能再次初始化智能卡,也不能解密用户密码。
密码重试次数:允许尝试密码的次数,可以在1~14中设置。如果超过次数,如果尝试的是“用户密码”,则智能卡被锁定,只能使用“管理员密码”解密,如果尝试的是“管理员密码”,则智能卡被锁定,该智能卡将报废。
用户密码:也称作PIN码,用户使用(访问)智能卡内保存的证书时需要键入的密码。
根据需要设置,设置之后,可以单击“导出参数”按钮,将智能卡的管理员密码、用户密码等保存到配置文件中,当下次再使用“初始化程序”时,将自动从配置文件中读取管理员密码、用户密码、证书个数、密码重试次数等参数。
根据需要设置后,单击“开始初始化”按钮,初始化智能卡,如图5-71所示。
clip_p_w_picpath031
图5-71 初始化参数设置
初始化成功后,可以拔下当前初始化完成的智能卡,重新插入一个新的智能卡进行初始化的工作。
5.6.3 在企业证书服务器上注册服务
在默认情况下,企业证书服务器并不能为智能卡颁发证书,需要经过下面的配置,步骤如下:
(1)在企业证书服务器上,从“管理工具”中运行“证书颁发机构”,在“证书颁发机构”管理控制台中,右键单击“证书模板”,从弹出的快捷菜单中选择“新建→要颁发的证书模板”,如图5-76所示。
clip_p_w_picpath033
图5-76 新建证书模板
(2)在弹出的“启用证书模板”页中,选中“智能卡用户、智能卡登录、注册代理、注册代理(计算机)”,然后单击“确定”按钮。
【说明】可以按shift、ctrl键用鼠标单击进行多选。
(3)关闭“证书颁发机构”,在“运行”中键入mmc并按回车键。
(4)在“控制台1”对话框中,单击“文件→添加/删除管理单元。
(5)在“添加/删除管理单元”对话框中单击“添加”按钮,在弹出的“添加独立管理单元”中双击“证书”,在弹出的对话框中选择“我的用户帐户”,然后单击“完成”按钮。
(6)返回到添加的管理控制台,展开“证书-当前用户→个人→证书”,用鼠标右键单击,从弹出的快捷菜单中选择“所有任务→申请新证书”。
(7)在“证书类型”页中选中“注册代理”,如图5-83所示。
clip_p_w_picpath035
图5-83 注册代理
(8)在“证书的好记的名称和描述”页中,键入名称与描述信息,如图5-84所示。
clip_p_w_picpath037
图5-84 证书名称
(9)在“正在完成证书申请向导”页中单击“完成”按钮,完成证书的申请。
5.6.4 创建用户并为智能卡颁发证书
在完成上述操作后,就可以为智能卡颁发用户证书了。下面将为用户名为“张三”的用户,颁发智能卡证书,该智能卡将给“张三”使用,下面看一下主要的步骤。
(1)在“Active Directory用户和计算机”中,创建“张三”用户,并设置“密码永不过期”。
(2)在创建帐户完成后,设置张三用户属性,允许其有拨入权限,如图5-87所示。
clip_p_w_picpath038
图5-87 允许访问
(3)打开IE浏览器,以管理员帐户登录进入证书申请页,为用户申请证书,在申请之前,需要修改IE的设置。
(4)在“高级”选项卡中,选中“允许活动内容在我的计算机上的文件中运行”,如图5-89所示。
clip_p_w_picpath040
图5-89 允许活动内容在我的计算机上的文件中运行
(5)然后打开“安全”选项卡,在“受信任的站点”中单击“站点”按钮,将证书服务器的地址添加到列表中。
在添加的时候,取消“对该区域中的所有站点要求服务器验证”项。
(6)在“高级证书申请”页中,单击“通过使用智能卡证书注册站来为另一用户申请一个智能卡证书”。
(7)在弹出的“Internet Explorer”对话框中单击“是”按钮。
(8)在“证书模板”列表中选择“智能卡用户”,在“加密服务提供程序”列表中选择“M&W eKey XCSP”,然后单击“选择用户”按钮,如图5-94所示。
clip_p_w_picpath042
图5-94 选择用户
(9)在“选择用户”对话框中,键入张三的用户名,然后单击“确定”按钮,返回到图5-94后,单击“注册”按钮。
(11)在弹出的“请输入EKey访问密码”页中,键入智能卡的用户密码,然后单击“确认”按钮。
(12)注册完成后,单击“查看证书”按钮,查看颁发的证书,如图5-98所示。
clip_p_w_picpath044
图5-98 查看颁发的证书
如果想为其他用户颁发证书,在图5-98中单击“新建用户”按钮,插入新的智能卡并为其选择用户,这些操作不在介绍。
5.7 使用智能卡登录到×××服务器
在使用智能卡进行身份验证的方式访问×××服务器,与使用L2TP的方式访问×××服务器类似,主要步骤有:
Ø 信任证书颁发机构
Ø 创建×××拨号连接并进行设置
因为要使用智能卡进行身份验证,所以客户端计算机还需要安装智能卡的驱动程序。
凡是客户端操作系统安装的是Windows XP Professional、Windows Server 2003、Windows Vista、Windows Server 2008的计算机,都可以使用智能卡拨叫×××服务器,虽然也可以使用Windows 2000工作站,但在实际使用中,有一些Windows 2000的工作站不能使用智能卡访问×××服务器。
下面将在Windows XP的工作站中,介绍使用智能卡登录×××服务器的方法。
(1)首先在网络中可以访问企业证书服务器的计算机上,登录证书申请页,下载并保存CA证书文件,如图5-99所示。
clip_p_w_picpath046
图5-99 下载CA证书
并将此证书文件(certnew.cer)以电子邮件、文件共享或直接拷贝的方式,拷贝到×××客户端工作站上。
(2)在工作站上,双击此证书文件,在弹出的“证书”对话框中单击“安装证书”,如图5-100所示。
clip_p_w_picpath048
图5-100 安装证书
在“安全警告”对话框中,单击“是”按钮信任该证书颁发机构。
(3)安装智能卡驱动程序。
(4)创建×××拨号连接,在安装智能卡驱动程序后,在设置×××服务器的IP地址后,会弹出“智能卡”页,在此选择“使用我的智能卡”。
(5)创建×××拨号连接完成后,插入智能卡,并使用新创建的×××拨号连接,会要求输入智能卡的PIN,如图5-104所示。
clip_p_w_picpath050
图5-104 键入智能卡的PIN
(6)在图5-104中键入智能卡的PIN码之后,将以智能卡身份验证并拨叫到×××服务器,在第一次拨叫成功时,会弹出“验证服务器证书”对话框,查看之后,单击“确定”按钮,拨叫成功,如图5-105所示。
clip_p_w_picpath052
图5-105 验证服务器证书
(7)查看×××客户端状态,可以看到“身份验证”是“EAP”。
(8)如果使用以前创建的×××连接,可以进入×××拨号属性,在“安全”选项卡中,在“安全选项”中选择“使用智能卡”,然后单击“确定”按钮,以后该×××拨号连接时将使用智能卡进行身份验证。