VPN de Microsoft Windows 2003 使用 EAP 证书

在本程序中, 客户端和 Routing Server 之间的 VPN 连接将受到保护. 我们将使用两种连接方式, 一个通过 Ativo Directory 的用户名/密码，另一个通过使用证书 (EAP （英语）).

CONFIGURACIÓN DEL SERVIDOR:

Lo primero de todo es crear un grupo en el directorio activo, lo usaremos para dar permisos a sus miembros que se conecten con la VPN.

Será un grupo de Seguridad y le llamaremos ‘GrupoVPN’.

结束.

Ahora necesitamos instalar el servidor IAS (Internet Authentication Service) para conigurarlo con el Servidor VPN, y hacer el llamado RADIUS. Para ello vamos al Panel de Control > 添加或删除程序 > Windows 组件 > Y entramos en ‘Servicios de Red’.

Marcamos con el check ‘Internet Authentication Service’ y damos a OK para que lo instale.

Abrimos la consola que estará en las Herramientas administrativas > Internet Authentication Service. Tenemos que registrar el IAS en el Directorio Activo (D.A.), 为此, encima de nuestro servidor IAS botón derecho > ‘Registrar en el D.A.’.

还行.

Una vez autorizado para funcionar en nuestro D.A. tenemos que crear un cliente RADIUS, que será el servidor VPN (que deberá estar ya instalado, 否则, mirar el capitulo de configuración del Servidor VPN – 这里). Creamos el cliente con botón derecho en ‘RADIUS Clients’ y ‘New RADIUS Client’

Deberemos de meter el nombre del servidor VPN que puede que sea el propio donde esté instalado el IAS, metemos su nombre y su IP. 以后.

Metemos un secreto para que tengan en común el IAS y el Servidor VPN.

Ahora deberemos de crear una Politica de Acceso al Grupo creado anteriormente.

以后.

Le ponemos un nombre para identificarla.

VPN y Siguiente.

Seleccionamos el grupo que hemos creado al principio. Y le damos a Siguiente.

Seleccionamos EAP (con certificados o tarjeta inteligente) y pinchamos en ‘Configure…’, seleccionamos el certificado que hemos creado en el capitulo de poner seguridad al OWA (这里) y marcamos el check de MS-CHAP2 (是可选的).

La encriptación más fuerte, 以后.

结束.

Abrimos la consola de configuración del Servidor VPN, en Herramientas Administrativas > Enrutamiento y Acceso Remoto. Entramos en las propiedades del Servidor.

Pestaña Seguridad > Seleccionamos Authenticación RADIUS y pinchamos ‘Configure…’

Pinchamos en ‘Añadir’

Seleccionamos el nombre del servidor IAS (que como he dicho antes puede que sea que el mismo que el Servidor VPN). Tenemos que meter ahora el secreto que se configuro en el IAS pinchando en ‘Change’.

Metemos el secreto que se puso en el IAS y Ok.

De nuevo en las propiedades del Servidor VPN, en la pestaña Seguridad > En Proveedor de cuenta metemos ‘RADIUS Accounting’ y pulsamos en ‘Configure…’

加…

Aquí lo mismo que antes, metemos el nombre del servidor IAS y metemos el secreto en comun que tienen el IAS y el Servidor VPN, en ‘Change…’.

El secreto ese famoso y Ok.

Ahora pinchamos en ‘Metodos de Autenticación…’

Seleccionamos EAP y opcionalmente MS-CHAP2, pulsamos en ‘Metodos EAP…’

Seleccionamos ‘tarjeta inteligente u otro certificado…’ y Aceptamos todas las ventanas.

Lo que quedaría ahora es generar el certificado por cada usuario que nos interese que se conecte a la VPN, para ello abriremos el explorador y nos conectamos a nuestro servidor C.A. HTTP 协议://servidorca/certsrv. Lo importante aqui es logearnos con el usuario en cuestión, así que no podemos estar logeados como el administrador en Windows pq sino nos cojerá los credenciales de este. O sino cambiando en las propiedades del sitio ‘certsrv’ en el IIS el tipo de autenticación para que nos pida usuario y contraseña siempre y asi logearnos con el usuario que nos interese.

Pinchamos en ‘Request a certificate’.

Ahora pinchamos en ‘User Certificate’

Pinchamos en el botón ‘Submit’ y nos saltara un mensaje de advertencia que confirmaremos la peticion del certificado diciendo que Sí en el mensaje.

Nos abrirá la web con el certificado generado, lo que tenemos que hacer ahora es pinchar en el enlace de ‘Install this certificate’ y diremos que Sí para que se instale en este PC el certifiado. 如果我们想在另一台电脑上使用证书 (这是合理的) 我们需要从控制面板的Internet选项中导出它.