网络访问的身份验证和证书.PDFVIP

      网络访问的身份验证和证书    该主题包含如下部分：    概述   EAP 的证书要求   通过 IPSec 进行的计算机身份验证   基于证书的身份验证和无线客户端   证书注册方法和域成员身份   选择证书注册方法   CA Web 注册服务   概述    证书 用于网络访问身份验证，因为它们为验证用户和计算机提供强大的安全性，并消除对较不安全、基于密码的身份验证 传输级别安全 (EAP-TLS)、受保护的可扩展的身份验证协议 (PEAP) 或 Internet 协议安全性 (IPSec)，从而为多种类型的网络访问（包括 VPN 和无线连接）执行基于证书的身份验证。此外，该主题还描述证书 注册方法以帮助您确定最佳的证书注册方法以供使用。    讨论身份验证时，服务器被定义为是 TLS 终点的 VPN 或 IAS 服务器。您可以配置 VPN 服务器来执行网络访问身份验证而不使用 IAS，或者当您在网络上具有多个远程访问拨号用户服务 (RADIUS)客户端（例如 VPN 服务器和无线访问点）时，可使用 IAS 用于身份验证。    两种身份验证方法使用证书：可扩展的身份验证协议 - 传输级别安全 (EAP-TLS) 和受保护的可扩展的身份验证协议 (PEAP)。两种方法通常都使用证书进行服务器的身份验证。根据由身份验证方法而配置的身份验证类型，证书可能 用于用户身份验证和客户端身份验证。详细信息，请参阅 EAP 和PEAP 。  (PPTP) 连接不要求证书，尽管在使用 EAP-TLS 作为身份验证方法时，您可以配置 PPTP 连接以使用证书进行计算机 的身份验证。对于无线客户端（带有无线网络适配器的计算设备，例如便携式计算机或个人数字助理），带有 EAP-TLS 和 智能卡或证书的 PEAP 是推荐的身份验证方法。详细信息，请参阅第二层隧道协议、点对点隧道协议和无线网络。    注意  在 PPTP 连接的身份验证尝试中，不发生计算机的身份验证。当 EAP-TLS 用作 PPTP 连接的身份验证方法时，将通过本地计算机上的证书存储区或智能卡中的证书执行用户身份验证。   XOX   XOX   为了向用户和计算机部署证书，您必须首先执行下列操作：  设计公钥基础结构 (PKI)。 使用证书服务部署证书颁发机构 (CA)。 Page 1/9 使用同证书服务一起安装的证书模板设计并发布一个或多个证书。 选择一个或多个分发方式（也称为证书注册方式）在计算机上安装证书并将其分发给用户。   注意  该主题假定您已经根据证书服务最佳操作中提供的指导设计并部署了 PKI。详细信息，请参阅 公钥基础结构。 VPN 或拨号连接不支持 PEAP。   有关 L2TP 的详细信息，请参阅第二层隧道协议。    有关 PPTP 的详细信息，请参阅点对点隧道协议。    证书部署范例  远程访问 VPN 连接     VPN 服务器和带有 EAP-TLS（用作身份验证方法）的 VPN 客户端之间的 L2TP/IPSec 或 PPTP 连接。IPSec 使用客户端和服务器之间的计算机证书进行身份验证，而 EAP-TLS 使用证书（来自智能卡或用户本地证书存储区）进行用户身份验证。IAS 或 VPN 服务器证书必须包含服务器身份验证的目的，而客户端计算机或用户证书必须在证书增强型密钥用法 (EKU)的扩展中包含客户端身份验证的目的。     详细信息，请参阅基于 L2TP 的远程访问 VPN 部署以及基于 PPTP 的远程访问 VPN 部署。   路由器到路由器的 VPN 连接     以 EAP-TLS 作为身份验证方法，并用于服务器之间专用或请求拨号连接的 L2TP/IPSec 连接。两台服务器都必须具有在 EKU 扩展中包含服务器身份验证和客户端身份验证用途的证书。     详细信息，请参阅部署路由器到路由器 VPN 。   IEEE 802.1x 无线或交换机客户端     PEAP-EAP-MS-CHAPv2 配置为身份验证方法，并在客户端计算机上启用验证服务器证书选项。IAS 服务器证书的 EKU 扩展包含服务器身份验证的目的，该证书用于向客户端标识