目錄. 事前準備 1.Active Directory 相關安裝與設定 1.1 安裝 Active Directory (AD) 1.2 於 AD 增加使用者 1.3 AD 智慧卡服務設定 2. Certificate Authority 安裝與相關設定 2.1 安裝 Certificate Authority (CA) 2.2 設定智慧卡相關憑證 2.3 發行憑證 2.3.1 發行憑證 主控台 憑證 2.3.2 發行憑證 - 註冊代理程式 2.3.3 發行憑證 使用者 2.3.4 瀏覽器安全性設定 2.4 CA 憑證 2.4.1 申請 CA 憑證 2.4.2 安裝 CA 憑證 3. 虛擬私人網路 (VPN) 相關設定 3.1 準備 VPN 伺服器 3.2 設定 VPN 伺服器 3.3 設定 VPN 用戶端 3.4 用戶端 VPN 連線
. 事前準備 請預備 : Windows 2000 server 光碟 (sp4) SafeNet ikey 2000 Series Authentication Solution v4.7.0 MU20 或更新版本請自行安裝 Windows 2000 與 Internet 服務管理員 (IIS) 及 SafeNet ikey 2000 驅動程式 1.Active Directory 相關安裝與設定 1.1 安裝 Active Directory (AD) 請自 開始 程式集 系統管理工具 設定您的伺服器 選定之後將出現 Windows 2000 設定伺服器 之視窗 請在左側選 Active Directory 右側 啟動, 然後跳出 Active Directory 安裝精靈 視窗 在新生成的視窗裡, 先選 下一步 新網域的網域控制站 下一步 建立新的網域樹狀目錄 下一步 建立網域樹狀目錄的新樹系 輸入 新網域的 DNS 名稱 : 然後按 下一步 輸入 網域 NetBIOS 名稱 ( 例如 :CYUT_IM_ISRC_I) 下一步 下一步 出現訊息視窗 :
按 確定 選擇 是, 在這部上安裝並設定 DNS 下一步 選擇 使用權限和 Windows 2000 前版伺服器相容 下一步 指定密碼 : 指定完請按 下一步 下一步 然後算待設定完成 : 設定結束後, 請按 完成 接著, 系統會要求您重新啟動電腦 完成後, 可在 桌面 我的電腦 右鍵 內容 跳出視窗 系統內容 網路識 別 看到設定的的完整電腦名稱 (YourName.cyut.im.isrc.e316i) 和網域 (cyut.im.isrc.e316i) 1.2 於 AD 增加使用者
請自 開始 程式集 系統管理工具 Active Directory 使用者及電腦 然後出現 Active Directory 使用者及電腦 的視窗 : 接著請如上圖所示, 於左列樹狀目錄的 User 按右鍵, 並選定 新增 使用者 然後如下圖輸入新建的用戶名稱 : 輸入完, 請按 下一步 設定 密碼 下一步 完成 接著, 為了將該用戶設定為可使用 VPN 者, 您可在 Active Directory 使用者及電腦 的視窗左側選定 User, 接著在右側找到您所新建的用戶 ( 本例為 kiki), 右鍵點選後, 在功能表選 內容, 在出現的視窗選 撥入 :
選 允許存取 確定 1.3 AD 智慧卡服務設定 請自 開始 程式集 系統管理工具 Active Directory 站台及服務 並 依下圖展開 服務節點 : 接下來, 請在樹狀目錄找到 Services Public Key Services Certificate Templates 然後在視窗右側找到 EnrollmentAgent SmartcardLogon SmartcardUser, 並依序勾 選權限如下 : Authenticated Users Domain Admins Enterprise Admins EnrollmentAgent 讀取 全勾 全勾 SmartcardLogon 讀取 寫入 加入 全勾 加入 SmartcardUser 讀取 寫入 加入 全勾 全勾
2. Certificate Authority 安裝與相關設定 2.1 安裝 Certificate Authority (CA) 請自 開始 控制台 新增/ 移除程式 新增/ 移除 Windows 元件 勾選 Certificate Services, 然後會出現警告視窗 請確定您已經將網域的相關設定做好, 再進行 CA 的安裝 網域的相關設定已做好, 請選 是 下一步 選 企業根 CA 下一步 輸入 CA 的資訊, 如下圖 : 然後請選 下一步 下一步 若出現下圖, 請選 確定, 並等待安裝完成 安裝完成後, 請選 完成 來結束安裝 2.2 設定智慧卡相關憑證 請自 開始 程式集 系統管理工具 憑證授權單位, 並請依照下圖選 到 發行憑證
接著選取 註冊代理程式 的範本 確定 ; 然後重覆動作選到範本 智慧卡登入 知慧卡使用者 如此一來, 您就可以申請這三種憑證, 稍後將會用到 2.3 發行憑證 2.3.1 發行憑證 主控台 憑證 請自 開始 執行 在開啟的地方輸入 mmc 確定 新增/ 移除嵌入式管理單元 在跳出的視窗裡按 新增 選取 憑證 新增 選取 我的使用者帳戶 完成, 然後關閉 新增 / 移除嵌入式管理單元 您可以在最外層的功能表找到 另存新檔, 將這個主控台儲存起來 2.3.2 發行憑證 - 註冊代理程式 進行或打開 2.3.1 所制作的主控台, 於樹狀目錄找到 憑證 目前的使用者 個人 憑證 右鍵 所有工作 要求新憑證 ; 接著跳出 憑證要求精靈 下一步 選 註冊代理程式 勾選 進階選項 下一步 在密碼編譯服務提供者選取 Datakey *
然後選兩次 下一步 留下好記的名稱和說明 下一步 完成 # 此時系統會 向您要求智慧卡的密碼 正確輸入後就會將憑證放入智慧卡之中 安裝憑證 確定, 之後可在憑證目錄下看到您所要求的憑證 * 需預先安裝 SafeNet ikey 智慧卡的驅動程式 # 務必插入智慧卡 2.3.3 發行憑證 使用者 開啟網頁瀏覽器, 於位址欄輸入 http://localhost/certsrv/ 然後出現下圖 : 選 要求憑證 下一步 進階要求 下一步 使用智慧卡 下 一步 此時, 可能因瀏覽器安全性的因素而無法正常執行, 問題的排除請看下一節 (2.4.2) 若是正常執行, 可看到 :
憑證範本 請選 智慧卡登入 或 智慧卡使用者 ( 可為電子郵件加密 ) 密碼編譯 請選 Datakey ( 需預先安裝 SafeNet ikey 智慧卡的驅動程式 ) 請插入具有 註冊代理程式 憑證的智慧卡, 以及要放入使用者憑證的智慧卡, 然後按下 選取憑證, 選擇 註冊代理程式 憑證 ( 會被要求輸入智慧卡的 PIN); 接著按下 選取使用 者, 然後選定要發給的使用者 註冊 輸入 PIN 完成 2.3.4 瀏覽器安全性設定 以 Microsoft Internet Explorer (IE) 為例, 在工具列 工具 網際網路選項 安全性 近端內部網路 先按 預設層級 將 此區域的安全層級 如下圖調整到低安全性 確定 2.4 CA 憑 2.4.1 申請 CA 憑證 申請 CA 憑證的目的在於讓用戶端能確認憑證的合法性 開啟網頁瀏覽器, 於位址欄輸入 http://localhost/certsrv/ 後選取 抓取 CA 馮證或憑證止清單 下一步 點選 下載 CA 憑證路徑 自行選擇存放的位置
2.4.2 安裝 CA 憑證 將 2.5.1 申請到的憑證複製到用戶端電腦, 然後對憑證檔按右鍵選 安裝憑證 在 憑證匯入精靈 裡按 下一步 選 將所有憑證放入以下的存放區 按 瀏覽 選 信任的根憑證授權 確定 下一步 完成 3. 虛擬私人網路 (VPN) 相關設定 3.1 準備 VPN 伺服器 請自 開始 程式集 系統管理工具 路由及遠端存取 若是沒有預先設定好的伺服器, 請於 伺服器狀態 右鍵 新增伺服器 選取 這台電腦 伺服器新增後, 如上圖於新增的伺服器按右鍵 設定和啟用路由及遠端存取 跳出精靈, 請選 下一步 選 虛擬私人網路 (VPN) 伺服器 下一步 確認通訊協定清單 ( 如 TCP/IP, IPX ) 下一步 依情況選取連線 下一步 選 自動 ( 本例讓伺服器自己安排用戶的 IP) 下一步 選 否, 我不想現在就設定這台伺服器來使用 RADIUS ( 本例可以不用 RADIUS 完成 VPN 連線, 您可依需求自行選擇 ) 完成 3.2 設定 VPN 伺服器 同前一節, 開出 路由及遠端存取 視窗, 在樹狀目錄下找到 遠端存取原則 選擇一 圈視窗右側的權限, 如下圖 :
右鍵選 內容 選擇 授與遠端存取使用權限 先按 套用 然後 編輯設定檔 驗證 然後到下圖處選 可延伸的驗證通訊協定 : 連續兩個 確定 後, 請回到樹狀目錄, 在伺服器上按右鍵 內容 安全性 驗證方法 勾選 延伸驗證通訊協定 確定 3.3 設定 VPN 用戶端 確定執行過 2.5.2 的部份後, 請在用戶端電腦上的 開始 設定 網路和撥號連線 建立新連線 在 網路連線精靈 裡選 下一步 透過 Internet 連線到私人網路 選 不要撥接起始連線 再到下一步 輸入伺服器的主機位址 ( 如 192.168.1.15) 下一步 選取 使用我的智慧卡 依需求選定 ( 本例為 : 提供給所有的使用者使用 ) 依需求選擇是否開放 Internet 連線共用 輸入連線的名稱 ( 自定 ) 完成 3.4 用戶端 VPN 連線 雙擊所建立的連線 插入智慧卡 選 確定 輸入智慧卡的 PIN 連線完成