實(shí)驗(yàn)一 常見對(duì)稱密碼算法的加解試驗(yàn)

1、實(shí)驗(yàn)一 常見對(duì)稱密碼算法的加/解試驗(yàn)1. 實(shí)驗(yàn)?zāi)繕?biāo)u 對(duì)比了解常見對(duì)稱密碼算法的強(qiáng)度；u 了解對(duì)稱密碼算法的工作方式。2. 考核點(diǎn)u 常見對(duì)稱密碼算法的強(qiáng)度比較；u DES算法的弱密鑰；u 對(duì)稱密碼算法的工作模式CBC。3. 實(shí)驗(yàn)環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盤：至少有1GB或以上的空余磁盤空間。（2）軟件環(huán)境有Apocalypso.exe的Windows XP/2000/2003等（此軟件不需安裝）。4. 實(shí)驗(yàn)要求（1）使用Apocalypso.exe分別完成DES加密、DES雙重加密、Rijndae

2、l（AES）加密等加密試驗(yàn)；（2）通過對(duì)比使用，說說你對(duì)DES和AES的直觀認(rèn)識(shí)！5. 實(shí)驗(yàn)要點(diǎn)與注意事項(xiàng)u 仔細(xì)觀察實(shí)驗(yàn)現(xiàn)象，認(rèn)真思考現(xiàn)象背后的原理；u 為使實(shí)驗(yàn)對(duì)比效果更加明顯，建議待加密的“明文”為全零；u DES算法僅支持ASCII碼；u 通過試驗(yàn)對(duì)比DES和AES算法的強(qiáng)度。實(shí)驗(yàn)二 Hash函數(shù)實(shí)驗(yàn)1. 實(shí)驗(yàn)?zāi)繕?biāo)u 了解Hash函數(shù)的技術(shù)特征及相應(yīng)的用途；u 體會(huì)為什么把文件的Hash值稱作該文件的“指紋”。2. 考核點(diǎn)u Hash函數(shù)的技術(shù)特征和用途；u 信息“完整性”的校驗(yàn)方法。3. 實(shí)驗(yàn)環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u R

3、AM：256MB或以上；u 硬盤：至少有1GB或以上的空余磁盤空間。（2）軟件環(huán)境裝有Win_MD5.exe的Windows XP/2000/2003等（此軟件不需安裝）。4. 實(shí)驗(yàn)要求（1）完成文件的“完整性”校驗(yàn)實(shí)驗(yàn)；5. 實(shí)驗(yàn)要點(diǎn)與注意事項(xiàng)u 輕微改動(dòng)明文內(nèi)容，仔細(xì)對(duì)比試驗(yàn)結(jié)果，體會(huì)密碼算法的“雪崩”效應(yīng)；u 可對(duì)大塊文件進(jìn)行Hash運(yùn)算，體會(huì)對(duì)稱算法的“速度”優(yōu)勢(shì)；u Hash函數(shù)對(duì)文件完整性的驗(yàn)證是如此的有效，在眾多UNIX和Linux中都有實(shí)現(xiàn)，感興趣的同學(xué)可以用“md5sum”命令在UNIX和Linux中測(cè)試。實(shí)驗(yàn)三 口令猜解實(shí)驗(yàn)1. 實(shí)驗(yàn)?zāi)繕?biāo)u 掌握口令的猜解技巧；u 通過試驗(yàn)

4、總結(jié)“健壯的口令”應(yīng)滿足的條件。2. 考核點(diǎn)u 何謂“健壯的口令”；u 通過試驗(yàn)體會(huì)“字典攻擊”、“窮舉攻擊”。3. 實(shí)驗(yàn)環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盤：至少有1GB或以上的空余磁盤空間。（2）軟件環(huán)境安裝有Advanced RAR Password Recovery或LC5的Windows XP/2000/2003等。4. 實(shí)驗(yàn)要求（1）完成“字典攻擊”和“窮舉攻擊”實(shí)驗(yàn)；（2）體會(huì)“社會(huì)工程攻擊”在口令猜解中的應(yīng)用。5. 實(shí)驗(yàn)要點(diǎn)與注意事項(xiàng)u 仔細(xì)觀察實(shí)現(xiàn)現(xiàn)象，思考體會(huì)“密鑰空間”的概念；u 在使

5、用字典工具生成“字典文件”是，一定要注意字典文件的大小；u 通過多次的試驗(yàn)，總結(jié)口令猜解的技巧，體會(huì)其中“社會(huì)工程攻擊”的思想。實(shí)驗(yàn)四 公鑰技術(shù)相關(guān)實(shí)驗(yàn)1. 實(shí)驗(yàn)?zāi)繕?biāo)u 通過數(shù)字簽名、驗(yàn)證、加密和數(shù)字信封等試驗(yàn)，掌握公鑰技術(shù)的應(yīng)用。2. 考核點(diǎn)u 數(shù)字簽名、公鑰加密和數(shù)字信封；u 對(duì)信息安全中“機(jī)密性”、“完整性”和“不可否認(rèn)性”的認(rèn)識(shí)。3. 實(shí)驗(yàn)環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u RAM：256MB或以上；u 硬盤：至少有GB或以上的空余磁盤空間。（2）軟件環(huán)境裝有Adobe Acrobat 7.0/8.0 Professional的Wi

6、ndows XP/2000/2003等。4. 實(shí)驗(yàn)要求（1）創(chuàng)建“自簽名證書”，并秘密保存；導(dǎo)出與私鑰對(duì)應(yīng)的個(gè)人公鑰，公開給自己的合作者；（2）私鑰簽名試驗(yàn)：用自己的私鑰簽名一個(gè)PDF文檔并公布；思考：怎么識(shí)別簽名？（3）公鑰驗(yàn)證試驗(yàn)：拿到含有簽名信息的PDF文檔，任何人都可以用簽名者的公鑰來驗(yàn)證其簽名；思考：怎么才能拿到簽名者的合法公鑰？可信中心還是其它？（4）用合作伙伴的公鑰和自己的私鑰結(jié)合，加密一個(gè)PDF文檔，看看都誰能打開它？是怎么打開的？（5）完成“數(shù)字信封”綜合試驗(yàn)：加密、簽名、驗(yàn)證。5. 實(shí)驗(yàn)要點(diǎn)與注意事項(xiàng)u 私鑰一定要秘密、可靠地保存（要額外備份），并且保護(hù)私鑰的口令不能太簡(jiǎn)單

7、和泄露；u 私鑰和公鑰成對(duì)使用，一個(gè)加密，另一個(gè)用來解密；u 公鑰應(yīng)該有“信任”級(jí)別。實(shí)驗(yàn)五 Windows IPsec試驗(yàn)1. 實(shí)驗(yàn)?zāi)繕?biāo)u 了解IPsec的體系結(jié)構(gòu)；u 掌握IPsec篩選器；u 了解IPsec典型應(yīng)用；2. 考核點(diǎn)u IPsec的部署與應(yīng)用；u AH與ESP 的保護(hù)方式u IPsec主機(jī)到主機(jī)的應(yīng)用模式；3. 實(shí)驗(yàn)環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III 500MHz或以上；u RAM：1024MB或以上；u 硬盤：至少有10GB或以上的空余磁盤空間。（2）軟件環(huán)境VMware Workstation 6.0、Windows Server 2003

8、Enterprise Edition、Sniffer Pro或Network Monitor、Windows XP Professional。（3）實(shí)驗(yàn)拓?fù)鋱D3-1 Windows IPsec試驗(yàn)拓?fù)洌?）實(shí)驗(yàn)環(huán)境準(zhǔn)備（可借助上一個(gè)試驗(yàn)環(huán)境）：CA：安裝Windows Server 2003 Enterprise Edition，配置IP信息，安裝域控制器，并升級(jí)域功能；Web：安裝Windows Server 2003 Standard/Enterprise Edition及 Internet Information Services （IIS） 的計(jì)算機(jī)，并安裝微軟自帶的網(wǎng)絡(luò)監(jiān)視器（Net

9、work Monitor）；l 配置IP信息，安裝IIS；l 創(chuàng)建用于測(cè)試的Web站點(diǎn)，（常規(guī)Web，最好與CA的DNS相結(jié)合）。PC：PC是一部運(yùn)行Windows XP Professional的計(jì)算機(jī)，當(dāng)作IPsec客戶端；4. 實(shí)驗(yàn)要求及實(shí)驗(yàn)步驟方案一：使用基于“預(yù)共享密鑰”認(rèn)證的IPsec的傳輸模式（本試驗(yàn)側(cè)重于IPsec篩選器的使用）預(yù)備前提：在PC中分別用ping命令和IE測(cè)試DNS的正常解析及Web的正常訪問，并使用網(wǎng)絡(luò)監(jiān)視器來捕獲和分析網(wǎng)絡(luò)傳輸?shù)拿魑臄?shù)據(jù)；PC：IPsec客戶端（我們一般習(xí)慣于客戶機(jī)訪問服務(wù)器的思維過程，因此先在客戶端上配置更易上手），具體操作步驟如下：（1）打

10、開本機(jī)的“IP安全策略管理”和“IP安全監(jiān)視器”，配置符合試驗(yàn)要求的安全策略。具體如下：【開始】【運(yùn)行】【mmc】【文件】【添加/刪除管理單元】【添加】【IP安全策略管理】【添加】，在此處，我們選擇“本地計(jì)算機(jī)”并完成操作。添加【IP安全監(jiān)視器】【添加】【關(guān)閉】【確定】。（2）在控制臺(tái)根節(jié)點(diǎn)的“IP安全策略管理，在本地計(jì)算機(jī)”中，右擊選擇“創(chuàng)建IP安全策略”，在彈出的“IP安全策略向?qū)А钡膸椭?，一步步?chuàng)建所需的IP安全策略；（3）在“IP安全策略向?qū)А睂?duì)話框中的“IP安全策略名稱”頁(yè)面的“名稱”框中填入合適的（見名知意）IP安全策略名稱，如“Allow PC Ping Web”，如下圖3-2

11、所示：圖3-2 IP安全策略名稱（4）下一步，在【IP安全策略向?qū)А繉?duì)話框的“安全通訊請(qǐng)求”頁(yè)面中取消“激活默認(rèn)的響應(yīng)規(guī)則”復(fù)選框；（5）下一步，在“IP安全策略向?qū)А睂?duì)話框的“正在完成IP安全策略向?qū)А表?yè)面中選中“編輯屬性”復(fù)選框；（6）完成IP安全策略向?qū)У氖褂?，在彈出的如圖3-3所示的IP安全策略屬性對(duì)話框中，在“常規(guī)選項(xiàng)卡”中取消“使用添加向?qū)А睆?fù)選框，并單擊“添加”按鈕，添加自定義的“IP安全規(guī)則”；圖3-3 創(chuàng)建新IP安全規(guī)則（7）在彈出的如圖3-4所示的“新規(guī)則屬性”對(duì)話框中的“IP篩選器列表”選項(xiàng)卡中，單擊【添加】按鈕；圖3-4 創(chuàng)建新篩選器列表（8）在彈出的如圖3-5所示的“

12、IP 篩選器列表”對(duì)話框中的“名稱”選項(xiàng)，填寫合適的IP篩選器列表名稱，（如：Allow PC Ping web Filter List），取消“使用添加向?qū)А睆?fù)選框，并單擊【添加】按鈕；圖3-5 添加IP篩選器（9）在彈出的如圖3-6所示的“篩選器 屬性”對(duì)話框中，在“尋址”選項(xiàng)卡，在“源地址”下拉列表框中選擇“我的地址”，在“目標(biāo)地址”下拉列表框中選擇“一個(gè)特定的IP地址”，并在IP地址字段中填寫正確的Web服務(wù)器地址，并確?！扮R像”復(fù)選框有效；圖3-6 篩選器屬性地址對(duì)話框（10）在如圖3-7所示的“篩選器屬性”對(duì)話框中，在“協(xié)議”選項(xiàng)卡中的“選擇協(xié)議類型”下拉列表框中選擇ping命令所

13、需的“ICMP”協(xié)議；圖3-7 篩選器屬性協(xié)議對(duì)話框（11）在如圖3-7中的“篩選器屬性”對(duì)話框中，在“描述”選項(xiàng)卡中的“描述”字段中填寫合適的篩選器名稱，如：Allow PC Ping Web；確定，完成篩選器的創(chuàng)建。（12）如圖3-8所示，在完成的IP篩選器列表中，選中我們剛剛創(chuàng)建的IP篩選器列表，單擊“篩選器操作”選項(xiàng)卡；圖3-8 創(chuàng)建篩選器操作（13）在如圖3-9所示的“新規(guī)則 屬性”對(duì)話框中的“篩選器操作”選項(xiàng)卡中，取消“使用添加向?qū)А睆?fù)選框，單擊【添加】按鈕；圖3-9 添加新的篩選器操作（14）在如圖3-10所示的“新篩選器操作屬性”對(duì)話框中，在“安全措施”選項(xiàng)卡，選中“協(xié)商安全”

14、復(fù)選框，并單擊【添加】按鈕；圖3-10 新篩選器操作屬性（15）在如圖3-11彈出的“新增安全措施”對(duì)話框中，選中“僅保持完整性”復(fù)選框，并單擊“確定”按鈕；圖3-11 新增安全措施（16）在“新篩選器 屬性”對(duì)話框中，在“常規(guī)”選項(xiàng)卡的“名稱”字段為篩選器操作填寫合適的名稱，如：“Allow P Ping Web With AH”，單擊確定，完成篩選器操作的創(chuàng)建。（17）在如圖3-12所示的“新規(guī)則 屬性”對(duì)話框中，在“篩選器操作”選項(xiàng)卡中，選中我們剛剛創(chuàng)建的篩選器操作，點(diǎn)擊“身份驗(yàn)證方法”選項(xiàng)卡，圖3-12 創(chuàng)建身份驗(yàn)證方法（18）如圖3-13所示在“新規(guī)則 屬性”對(duì)話框中的“身份驗(yàn)證方法

15、”選項(xiàng)卡上單擊【添加】按鈕；圖3-13 添加新身份驗(yàn)證方法（19）如圖3-14在彈出的“新身份驗(yàn)證方法 屬性”對(duì)話框中，選中“使用此字符串（預(yù)共享密鑰）”并在對(duì)話框中填寫合適的“預(yù)共享密鑰”；圖3-14 預(yù)共享密鑰身份驗(yàn)證（20）單擊“確定”，返回上一級(jí)選項(xiàng)卡，如圖3-15所示，在“身份驗(yàn)證方法首選順序”框內(nèi)，上移“預(yù)共享的密鑰”為首選身份驗(yàn)證方法，并應(yīng)用；圖3-15 身份驗(yàn)證方法優(yōu)先級(jí)（21）在“新規(guī)則屬性”對(duì)話框中的“隧道設(shè)置”選項(xiàng)卡，默認(rèn)選擇“此規(guī)則不指定IPsec隧道”；（22）在“新規(guī)則屬性”對(duì)話框中的“連接類型”選項(xiàng)卡，默認(rèn)選擇“所有網(wǎng)絡(luò)連接”；（23）至此，PC端的自定義的IP安

16、全策略設(shè)置完畢；只需右鍵選中自定義的策略，單擊“指派”即可。u Web：2003 web服務(wù)器端配置（1）打開本機(jī)的“IP安全策略管理”和“IP安全監(jiān)視器”，配置自定義的安全策略，具體方法同上；（2）在本機(jī)，創(chuàng)建自定義的IP安全策略，與在PC計(jì)算機(jī)上的配置相對(duì)應(yīng)，配置方法同上，配置內(nèi)容概要如下：Allow PC Ping Web With AH，步驟如下：1）新建IP安全策略名稱：Allow PC Ping web；2）新建IP安全規(guī)則：Allow PC Ping Web；3）新建IP安全篩選器列表：Allow PC Ping Web Filter List；4）新建IP篩選器“Allow P

17、C Ping Web”，其屬性為；源IP目標(biāo)IP協(xié)議鏡像我的PCICMP是5）新建篩選器操作：Ø 安全措施：協(xié)商安全；Ø 安全和加密選項(xiàng)：僅完整性；Ø 名稱：Allow PC Ping Web With AH；6）身份驗(yàn)證方法：預(yù)共享密鑰（HeNanXinHua）；7）隧道設(shè)置：無；8）連接類型：所有網(wǎng)絡(luò)連接；（3）至此，Web端的自定義的IP安全策略設(shè)置完畢，“指派”使其生效即可。u Web：測(cè)試自定義的IP安全策略（1）ping測(cè)試：在第一次Ping過程中，會(huì)出現(xiàn)如下圖所示的協(xié)商過程和通信過程。若只有協(xié)商過程，則說明IP安全策略定義有不一致的地方，檢查并重新配

18、置。注意：若PC端打開了XP SP2自帶的防火墻，Ping不能成功。圖3-16 Ping測(cè)試AH的傳輸模式（2）網(wǎng)絡(luò)監(jiān)視器：如圖3-17所示，用網(wǎng)絡(luò)監(jiān)視器捕獲并察看數(shù)據(jù)傳輸過程?？梢郧逦乜吹剑簂 對(duì)等體在使用IPsec的AH傳輸模式保護(hù)通信傳輸之前，進(jìn)行了“十次”協(xié)商；l IPsec通過添加“ESP”報(bào)頭保護(hù)了IP的上層協(xié)議ICMP；注意：IPsec不是使用是AH協(xié)議來“僅保持完整性”的嗎？怎么會(huì)是ESP呢？在圖3-11的“僅保持完整性”選項(xiàng)的背后，隱藏的實(shí)質(zhì)是用ESP協(xié)議的SHA-1算法來保持完整性的。若要使用AH協(xié)議的完整性保護(hù)，可在圖3-11的自定義選項(xiàng)內(nèi)選配。那么問題是：AH協(xié)議的完

19、整性保護(hù)和ESP協(xié)議的完整性保護(hù)，在安全上有什么區(qū)別呢？l “僅保持完整性”模式?jīng)]有加密IP的上層數(shù)據(jù)明文傳輸；圖3-17 網(wǎng)絡(luò)監(jiān)視器捕獲的IPsec數(shù)據(jù)包解析（3）IP安全監(jiān)視器：如圖3-18所示，打開控制臺(tái)根節(jié)點(diǎn)下的IP安全監(jiān)視器，可以看到整個(gè)IP安全策略的配置信息和傳輸細(xì)節(jié)的統(tǒng)計(jì)。因此，依據(jù)IP安全監(jiān)視器進(jìn)行IPsec通信的排錯(cuò)，是個(gè)不錯(cuò)的選擇。圖3-18 IP安全監(jiān)視器的統(tǒng)計(jì)信息方案一 的進(jìn)一步練習(xí)：目的在于熟練掌握IP安全策略的使用分別在PC和Web上自定義以下IP安全策略：（1）Allow PC Ping Web With ESP（在原來基礎(chǔ)上，只需改“篩選器操作”、“安全措施”中

20、的“僅保持完整性”為“加密并保持完整性”即可）；注意：每次IPsec策略改變之后，在測(cè)試時(shí)最好用網(wǎng)絡(luò)監(jiān)視器來捕獲通信過程，以從根本上驗(yàn)證IPsec策略并對(duì)比分析IPsec協(xié)議的細(xì)節(jié)。此乃學(xué)習(xí)網(wǎng)絡(luò)的最佳之路。（2）Allow PC Access Web 80 With AH（在原來基礎(chǔ)上，只需改動(dòng)“篩選器”的“協(xié)議”選項(xiàng)即可）；l PC端，IP篩選器“Allow Access Web 80 Filter”；源IP目標(biāo)IP協(xié)議源端口目標(biāo)端口鏡像我的WebTCP任意80是l Web端IP篩選器：IP安全策略定義完成后，要用IE和網(wǎng)絡(luò)監(jiān)視器來驗(yàn)證源IP目標(biāo)IP協(xié)議源端口目標(biāo)端口鏡像我的PCTCP80任

21、意是（3）Allow PC Access Web 80 With AH&ESP（在2基礎(chǔ)上，只需改動(dòng)“篩選器操作”中的“安全措施”即可）；（4）Allow PC Access Web 80 and Ping Web With AH&ESP（在原來基礎(chǔ)上，只需添加“篩選器”的“協(xié)議”選項(xiàng)）；方案二：使用基于“Kerberos V5”認(rèn)證的IPsec的傳輸模式基于“預(yù)共享密鑰”認(rèn)證方式的IPsec安全性最差，但卻擁有最廣泛的兼容性；當(dāng)前在Window企業(yè)環(huán)境下，活動(dòng)目錄已成為一種基本的部署，在沒有公鑰基礎(chǔ)設(shè)施的企業(yè)環(huán)境中，基于Kerberos V5認(rèn)證方案IPsec已成為最佳選擇。

22、l CA：在CA的“Active Directory用戶和計(jì)算機(jī)”中，創(chuàng)建用于試驗(yàn)客戶端PC的域管理員（Domain Admini）帳戶和成員服務(wù)器Web的域管理員帳戶；l PC：使本機(jī)加入域環(huán)境，用相應(yīng)的域管理員帳戶登錄；檢查此用戶是否有配置本機(jī)的“IP安全策略管理”的權(quán)限，若沒有重啟系統(tǒng)并檢查域帳戶權(quán)限；l Web：使本機(jī)加入域環(huán)境，用相應(yīng)的域用戶登錄；檢查此用戶是否有配置本機(jī)的“IP安全策略管理”的權(quán)限，若沒有重啟系統(tǒng)并檢查域帳戶權(quán)限；說明：兩個(gè)測(cè)試系統(tǒng)（Web和PC）必須是同一（或受信任）域的成員。參照試驗(yàn)一的步驟，分別在PC和Web上創(chuàng)建相應(yīng)的IP安全策略，例如：保護(hù)PC對(duì)Web服務(wù)

23、器TCP 80端口的訪問；僅把身份驗(yàn)證方法設(shè)置為默認(rèn)的Kerveros即可；注意：以前自定義的IP安全策略，最好全部刪除；l PC端：Ø 新建IP安全策略名稱：Allow Access web Policy；Ø 新建IP安全規(guī)則：Allow Access Web；Ø 新建IP安全篩選器列表：Allow Access Web Filter List；Ø 新建IP篩選器“Allow Access Web 80 Filter”：源IP目標(biāo)IP協(xié)議源端口目標(biāo)端口鏡像我的WebTCP任意80是Ø 新建篩選器操作：ü 安全措施：協(xié)商安全；

24、2; 安全和加密選項(xiàng)：加密并保持完整性；ü 名稱：Allow Access Web With ESP；Ø 身份驗(yàn)證方法：默認(rèn)Kerberos；Ø 隧道設(shè)置：無；Ø 連接類型：LAN；l Web端：Ø 新建IP安全策略名稱：Allow PC Access web Policy；Ø 新建IP安全規(guī)則：Allow PC Access Web；Ø 新建IP安全篩選器列表：Allow PC Access Web Filter List；Ø 新建IP篩選器“Allow PC Access Web 80”：源IP目標(biāo)IP協(xié)議源端

25、口目標(biāo)端口鏡像我的PCTCP80任意是Ø 新建篩選器操作：ü 安全措施：協(xié)商安全；ü 安全和加密選項(xiàng)：加密并保持完整性；ü 名稱：Allow PC Access Web With ESP；Ø 身份驗(yàn)證方法：默認(rèn)Kerberos；Ø 隧道設(shè)置：無；Ø 連接類型：LAN；方案三：使用基于“證書”的IPsec的傳輸模式由于活動(dòng)目錄的協(xié)議復(fù)雜且需要開放很多的端口，因此IPsec并不適合保護(hù)域成員及其與控制器之間的通信安全；在部署有公鑰基礎(chǔ)設(shè)施的企業(yè)環(huán)境中，基于“證書”或“智能卡”認(rèn)證是最安全的認(rèn)證方案，基于證書的IPsec應(yīng)用也就是

26、最安全傳輸保護(hù)方案。CA：（部分借助方案二的試驗(yàn)環(huán)境，只需額外添加證書的自動(dòng)頒發(fā)即可）啟用IPsec證書模板：在CA的“證書頒發(fā)機(jī)構(gòu)”中右擊“證書模板”選擇“新建”“要頒發(fā)的證書模板”選擇“IPsec”，單擊確定，如圖3-19所示；圖3-19 啟用IPsec證書模板設(shè)置CA來自動(dòng)注冊(cè)IPsec證書，請(qǐng)執(zhí)行下列步驟：1）在域控制器上，編輯“默認(rèn)組策略”；2）在控制臺(tái)樹中，依序打開計(jì)算機(jī)配置、Windows 設(shè)置、安全設(shè)置、公鑰策略及自動(dòng)證書請(qǐng)求設(shè)置；3）右擊“自動(dòng)證書請(qǐng)求設(shè)置”，指向“新建”，再單擊“自動(dòng)證書請(qǐng)求”，在“歡迎使用自動(dòng)證書請(qǐng)求設(shè)置向?qū)А表?yè)面上，單擊“下一步”，在“證書模板”對(duì)話框中

27、，選中“IPsec”，如下圖所示；圖3-20 自動(dòng)證書申請(qǐng)?jiān)O(shè)置4）單擊下一步，在完成自動(dòng)證書請(qǐng)求設(shè)置向?qū)ы?yè)面上，單擊完成。刷新組策略：l PC：（可借助方案二的試驗(yàn)環(huán)境，只需額外添加證書的自動(dòng)申請(qǐng)即可）Ø 重啟或刷新組策略；通過組策略申請(qǐng)IPsec證書；Ø 察看PC是否已獲得IPsec證書，察看方法：方法一：控制臺(tái)根節(jié)點(diǎn)證書計(jì)算機(jī)賬戶本地計(jì)算機(jī)，確定；打開“控制臺(tái)根節(jié)點(diǎn)”下的證書（本地計(jì)算機(jī)）個(gè)人證書下查看是否有計(jì)算機(jī)證書。有，說明證書已通過組策略自動(dòng)分發(fā)，如下圖所示；沒有，可以在此處單擊右鍵，選擇“所有任務(wù)”“申請(qǐng)新證書”，使用“證書申請(qǐng)向?qū)А眮硗瓿勺C書申請(qǐng)；若還申請(qǐng)不到

28、，說明上面的配置出了問題，請(qǐng)重新配置。圖3-21 本地計(jì)算機(jī)證書控制臺(tái)方法二：在CA的證書頒發(fā)機(jī)構(gòu)中，察看已頒發(fā)的證書中是否有VPN客戶端的用戶證書。按照前面的的試驗(yàn)配置自定義IP安全策略，只把前面例子中的身份方法改為“使用由此證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書”即可，見下圖，并選擇自創(chuàng)建的證書頒發(fā)機(jī)構(gòu)（CA），確定，并確?！吧矸蒡?yàn)證方法首選順序”為證書，為避免意外，可以將Kerberos刪除。圖3-22 設(shè)置身份驗(yàn)證方式證書l Web：Ø 重啟或刷新組策略；通過組策略申請(qǐng)IPsec證書；Ø 察看Web服務(wù)器是否已獲得IPsec證書，察看方法同上；Ø 在Web服務(wù)器上配置與P

29、C相對(duì)應(yīng)的IPsec策略，具體方法同上。l Web：測(cè)試自定義的IP安全策略Ø Ping測(cè)試與網(wǎng)絡(luò)監(jiān)視器捕獲，請(qǐng)同學(xué)們?cè)谠囼?yàn)時(shí)要把試驗(yàn)現(xiàn)象記錄進(jìn)試驗(yàn)手冊(cè)。5. 實(shí)驗(yàn)要點(diǎn)與注意事項(xiàng)u 本試驗(yàn)步驟復(fù)雜，可逐步配置，逐步試驗(yàn)；u 在配置（定制）IPsec策略時(shí)，最好不要用“向?qū)А?，按照自己事先的?guī)劃，以使試驗(yàn)步驟不跳躍太大；u 本實(shí)驗(yàn)的關(guān)鍵在于熟練掌握“IPsec篩選器、保護(hù)方式及身份驗(yàn)證方法”的靈活應(yīng)用，（Windows IPsec位于系統(tǒng)內(nèi)核的TCP/IP協(xié)議棧之中，因此IPsec篩選器也就成了最好的防火墻高效、安全）；u 可以使用“IPsec安全監(jiān)視器”，來檢查IPsec策略和驗(yàn)證I

30、Psec通信；u 本實(shí)驗(yàn)逐步嘗試IPsec的多種身份認(rèn)證方法，并對(duì)比起靈活性、易用性和安全性；u 進(jìn)一步的參考資源：為隔離組創(chuàng)建IPsec策略。（http:）實(shí)驗(yàn)六 Windows VPN試驗(yàn)1. 實(shí)驗(yàn)?zāi)繕?biāo)u VPN的概念與應(yīng)用；u IPsec的體系結(jié)構(gòu)與應(yīng)用；u 企業(yè)CA的管理證書模板的使用與根CA信任；u 雙因子認(rèn)證智能卡登陸2. 考核點(diǎn)u VPN的特征、隧道技術(shù)；u IPsec的部署與應(yīng)用；u 證書模板與根CA的自動(dòng)信任；u 目前三種通用的VPN解決方案：PPTP VPN、L2TP VPN、EAP-TLS VPN。3. 實(shí)驗(yàn)環(huán)境（1）硬件環(huán)境u CPU：Intel Pentium III

31、 500MHz或以上；u RAM：1024MB或以上；u 硬盤：至少有10GB或以上的空余磁盤空間。（2）軟件環(huán)境VMware Workstation 6.0、Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Sniffer Pro或Network Monitor、Windows XP Professional。（3）實(shí)驗(yàn)拓?fù)鋱D3-23 VPN試驗(yàn)拓?fù)洌?）實(shí)驗(yàn)環(huán)境準(zhǔn)備（部分可借助上一個(gè)試驗(yàn)環(huán)境）：CA：安裝Windows Server 2003 Enterprise Edition，只有企業(yè)

32、版才能設(shè)置EAP-TLS 身份驗(yàn)證的用戶證書自動(dòng)注冊(cè)；l 配置IP信息，安裝域控制器，并升級(jí)域功能；l 安裝內(nèi)部網(wǎng)段的 DHCP 服務(wù)器，為遠(yuǎn)程VPN客戶端分發(fā)IP地址；l 安裝IIS，安裝證書服務(wù)，使之成為域的企業(yè)根認(rèn)證中心（CA）。在活動(dòng)目錄中創(chuàng)建用于成員服務(wù)器IAS和VPN的域管理員（Domain Admin）賬戶，創(chuàng)建用于訪問的用戶組（VPNUsers）及帳戶（vpnuser1）。IAS：IAS是一部運(yùn)行 Windows Server 2003 Standard/Enterprise Edition 的計(jì)算機(jī)，可為 VPN 提供 RADIUS 身份驗(yàn)證、授權(quán)與帳戶處理。l 安裝 Win

33、dows Server 2003 Standard/Enterprise Edition，作為域中的成員服務(wù)器；VPN：VPN是一部運(yùn)行 Windows Server 2003 Standard/Enterprise Edition 的計(jì)算機(jī)，安裝有兩塊網(wǎng)卡，可為Internet上的 VPN 客戶端PC，提供遠(yuǎn)程訪問服務(wù)，并安裝微軟自帶的網(wǎng)絡(luò)監(jiān)視器（Network Monitor）；l 安裝 Windows Server 2003 Standard/Enterprise Edition，作為域中的成員服務(wù)器；Web：為內(nèi)網(wǎng)客戶端提供Web服務(wù)，供Internet上的VPN客戶端連接到內(nèi)網(wǎng)后，作

34、連接測(cè)試使用；l 安裝Windows Server 2003 Standard/Enterprise Edition及 Internet Information Services （IIS） 的計(jì)算機(jī)；l 創(chuàng)建用于測(cè)試的Web站點(diǎn)，（最好與CA的DNS相結(jié)合）PC：PC是一部運(yùn)行Windows XP Professional的計(jì)算機(jī)，當(dāng)作Internet上的VPN客戶端；4. 實(shí)驗(yàn)要求及實(shí)驗(yàn)步驟方案一：PPTP VPNl IAS：要將 IAS 設(shè)置為 RADIUS 服務(wù)器，請(qǐng)執(zhí)行下列步驟：Ø 以前面創(chuàng)建的域管理員賬戶加入域；Ø 在“Windows組件”中，選擇并安裝“網(wǎng)絡(luò)服

35、務(wù)”組件中的“Internet身份驗(yàn)證服務(wù)”；如下圖所示，右擊“RADIUS 客戶端”，選擇“新建RADIUS 客戶端”，并輸入客戶端的名稱或IP地址；驗(yàn)證信息。 注意：IAS是專門為遠(yuǎn)程訪問服務(wù)和撥號(hào)服務(wù)集中提供“AAA” （Authentication 認(rèn)證，Authorization 授權(quán)，Accounting記帳） 服務(wù)的，所以IAS的“RADIUS 客戶端”應(yīng)該是VPN服務(wù)器；圖3-24 新建RADIUS客戶端單擊“下一步”，在彈出的如下圖所示的“新建RADIUS客戶端”向?qū)е械摹捌渌畔ⅰ睂?duì)話框中，在“客戶端供應(yīng)商”選項(xiàng)中默認(rèn)選擇“RADIUS Standard”并填寫RADIUS

36、客戶端的客戶端（VPN服務(wù)器）與IAS服務(wù)器之間的共享機(jī)密；圖3-25 RADIUS客戶端信息完成RADIUS客戶端的創(chuàng)建。如下圖所示，右擊“遠(yuǎn)程訪問策略”，在彈出的“新建遠(yuǎn)程訪問策略向?qū)А钡膸椭?，完成自定義的遠(yuǎn)程訪問策略。具體如下：圖3-26 新建遠(yuǎn)程訪問策略在“新建遠(yuǎn)程訪問策略向?qū)А钡摹安呗耘渲梅椒?yè)面”，選中“使用向?qū)碓O(shè)置在普通情況下的典型策略”復(fù)選框，并填寫合適的策略名稱，單擊“下一步”；在“訪問方法”頁(yè)面，選擇“VPN”，下一步；在“用戶或組訪問”頁(yè)面，選則“組”，并添加在CA中創(chuàng)建的允許VPN客戶端訪問的組VPNUsers，如下圖所示；圖3-27 遠(yuǎn)程訪問策略中允許訪問的用戶或

37、組在“身份驗(yàn)證方法”頁(yè)面，選擇“MS-CHAP v2” 身份驗(yàn)證協(xié)議；圖3-28 遠(yuǎn)程訪問策略的身份驗(yàn)證方法在“策略加密級(jí)別”頁(yè)面，選擇“最強(qiáng)加密（IPsec的三重DES或MPPE128bits）”；完成遠(yuǎn)程訪問策略的創(chuàng)建。l VPN：要將VPN設(shè)置為 VPN 服務(wù)器，請(qǐng)執(zhí)行下列步驟：以前面創(chuàng)建的域管理員賬戶加入域；在“所有工具”“路由和遠(yuǎn)程訪問”中，右擊“VPN（本地）”，選擇“配置并啟用路由及遠(yuǎn)程訪問”，在彈出的中的“歡迎使用路由及遠(yuǎn)程訪問服務(wù)器安裝向?qū)А钡膸椭?，完成VPN服務(wù)器的創(chuàng)建。具體如下：Ø “配置”頁(yè)面，選擇“遠(yuǎn)程訪問（撥號(hào)或VPN）”，下一步；Ø 在“遠(yuǎn)程

38、訪問”頁(yè)面，選擇“VPN” ，下一步；Ø 在“VPN連接”頁(yè)面中的“網(wǎng)絡(luò)接口”對(duì)話框中，選中外網(wǎng)接口（在此監(jiān)聽來自外網(wǎng)的VPN訪問請(qǐng)求），并取消“靜態(tài)數(shù)據(jù)包篩選器”（用來進(jìn)行Ping測(cè)試，實(shí)際部署中，要啟用），下一步；圖3-29 VPN服務(wù)器的接口Ø 在“IP地址指定”頁(yè)面，選定“自動(dòng)分配”，（若內(nèi)網(wǎng)中沒有DHCP，則指定一個(gè)內(nèi)網(wǎng)地址段），下一步；Ø 在“管理多個(gè)遠(yuǎn)程訪問服務(wù)器”頁(yè)面上，選擇“設(shè)置此VPN服務(wù)器與 RADIUS 服務(wù)器一起工作”，下一步；Ø 在“RADIUS服務(wù)器選擇”頁(yè)面，在“主RADIUS服務(wù)器”對(duì)話框中填入RADIUS服務(wù)器的IP地

39、址，以及VPN服務(wù)器與RADIUA服務(wù)器之間的共享秘密，下一步；圖3-30 VPN服務(wù)器與RADIUA服務(wù)器的協(xié)同Ø 完成路由及遠(yuǎn)程訪問服務(wù)器安裝向?qū)У呐渲茫?#216; 如果上面選擇的是“IP地址指定 自動(dòng)分配”的話，不要忘了把“DHCP中繼代理”指定到DHCP服務(wù)器，如下圖所示。圖3-31 指定DHCP中繼l PC：首先配置PC的網(wǎng)卡和IP信息（外網(wǎng)地址），ping測(cè)試發(fā)現(xiàn)，能ping通VPN服務(wù)器，但能ping通內(nèi)網(wǎng)的計(jì)算機(jī)如CA、Web等；為什么？右擊“網(wǎng)上鄰居”選擇“屬性”，在彈出的“網(wǎng)絡(luò)連接”頁(yè)面中，單擊“網(wǎng)絡(luò)任務(wù)”中的“創(chuàng)建一個(gè)新的連接”，在彈出的“新建連接向?qū)А表?yè)面中

40、，單擊“下一步”；Ø 在新建連接向?qū)У摹斑B接類型”頁(yè)面中，選擇“連接到我工作場(chǎng)所的網(wǎng)絡(luò)”，單擊“下一步”；Ø 在新建連接向?qū)У摹熬W(wǎng)絡(luò)連接”頁(yè)面中，選擇“虛擬專用網(wǎng)絡(luò)連接”，單擊“下一步”；Ø 在新建連接向?qū)У摹斑B接名”頁(yè)面中，在“公司名”對(duì)話框內(nèi)輸入合適的公司名稱，單擊“下一步”；Ø 在新建連接向?qū)У摹癡PN服務(wù)器選擇”頁(yè)面中，填入VPN服務(wù)器的IP地址（這里一般要填寫VPN服務(wù)器的外網(wǎng)接口地址）或主機(jī)名，單擊“下一步”；Ø 在桌面上創(chuàng)建新建連接的快捷方式，完成新建連接向?qū)А?#216; 打開新建的網(wǎng)絡(luò)連接，如圖3-32所示，單擊“屬性”按鈕，

41、在彈出的如圖3-33所示的“連接屬性”對(duì)話框中，選擇“網(wǎng)絡(luò)”選項(xiàng)卡，在“VPN類型”下拉菜單中選中“PPTP VPN”，單擊確定； 圖3-32 VPN客戶端連接的用戶輸入 圖3-33 VPN客戶端的連接類型至此，客戶端的PPTP VPN連接建立完成，可以用預(yù)先在CA上創(chuàng)建的VPN客戶端賬戶登陸測(cè)試了，并同時(shí)在VPN服務(wù)器上用網(wǎng)絡(luò)監(jiān)視器，驗(yàn)證連接是否為PPTP連接。l PPTP VPN連接驗(yàn)證Ø PC端PC端連接成功后，會(huì)在工具欄中添加一個(gè)新的網(wǎng)絡(luò)連接的圖標(biāo)，雙擊打開，在其狀態(tài)的詳細(xì)信息選項(xiàng)卡中，能顯現(xiàn)本連接的細(xì)節(jié)，如下圖所示。圖3-34 客戶端VPN連接狀態(tài)Ø VPN服務(wù)器

42、端在PPTP連接建立后，打開如下圖所示的“路由及遠(yuǎn)程訪問”對(duì)話框，選中“VPN”下的“端口”選項(xiàng)，會(huì)看到右側(cè)的端口列表，找到其狀態(tài)為“活動(dòng)”的那個(gè) ，右擊選擇“狀態(tài)”，察看該端口的消息信息；圖3-35 VPN服務(wù)器的端口狀態(tài)在PPTP連接初始化過程中，打開“網(wǎng)絡(luò)監(jiān)視器”，選擇在“撥號(hào)連接或VPN”捕獲，發(fā)現(xiàn)能夠捕獲PPP CHAP的認(rèn)證信息，如下圖所示；試想捕獲了這些認(rèn)證信息，能夠分析初什么？圖3-36 PPTP連接的認(rèn)證數(shù)據(jù)在PPTP連接建立以后，用網(wǎng)絡(luò)監(jiān)視器在“外網(wǎng)接口”上捕獲，能發(fā)現(xiàn)PPTP的數(shù)據(jù)封裝格式，IP封裝GRE，GRE封裝PPP，PPP封裝什么？圖3-37 PPTP數(shù)據(jù)的封裝格

43、式此處的捕獲，涉及到PPTP協(xié)議的細(xì)節(jié)，篇幅限制，對(duì)此不作深入闡述，感興趣的同學(xué)，可以參考相關(guān)的資料。方案二：L2TP/IPsec VPN一般而言，如果公司對(duì)遠(yuǎn)程訪問安全性要求較高且公司已部署公鑰基礎(chǔ)架構(gòu)（PKI），那么最好使用基于L2TP的IPSec來保護(hù)；L2TP/IPsec VPN是目前最流行的遠(yuǎn)程訪問解決方案：L2TP的廣泛適用性和IPsec的安全性的完美結(jié)合。L2TP/IPSec遠(yuǎn)程訪問要求VPN客戶端和VPN服務(wù)器上都必須有“計(jì)算機(jī)證書”，而計(jì)算機(jī)證書的頒發(fā)，可以參考實(shí)驗(yàn)一的方案三（證書模板的使用及基于組策略的證書分發(fā)）。因此，本實(shí)驗(yàn)只需在PPTP VPN實(shí)驗(yàn)的基礎(chǔ)上，稍作改動(dòng)即可

44、，大致步驟如下：l CA：自動(dòng)頒發(fā)計(jì)算機(jī)證書設(shè)置CA來自動(dòng)注冊(cè)計(jì)算機(jī)證書，請(qǐng)執(zhí)行下列步驟：1）在域控制器上，編輯活動(dòng)目錄的“默認(rèn)組策略”；2）在控制臺(tái)樹中，依次打開“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“公鑰策略”及“自動(dòng)證書請(qǐng)求設(shè)置”；3）右擊“自動(dòng)證書請(qǐng)求設(shè)置”，指向新建，再單擊自動(dòng)證書請(qǐng)求；4）在歡迎使用自動(dòng)證書請(qǐng)求設(shè)置向?qū)ы?yè)面上，單擊下一步；5）在證書模板頁(yè)面上，選中“計(jì)算機(jī)”，如圖3-20；6）單擊下一步，在完成自動(dòng)證書請(qǐng)求設(shè)置向?qū)ы?yè)面上，單擊完成；7）退出組策略編輯器，命令行中輸入“gpupdate”更新CA上的組策略；l VPN：在VPN服務(wù)器獲取計(jì)算機(jī)證書，請(qǐng)

45、執(zhí)行下列步驟：命令鍵入gpupdate或重啟系統(tǒng)，更新組策略并自動(dòng)申請(qǐng)計(jì)算機(jī)證書。確認(rèn)VPN服務(wù)器獲取計(jì)算機(jī)證書：方法一：在CA的證書頒發(fā)機(jī)構(gòu)中，察看已頒發(fā)的證書中是否有VPN服務(wù)器的計(jì)算機(jī)證書。方法二：VPN服務(wù)器上“開始運(yùn)行mmc文件添加/刪除管理單元添加證書添加計(jì)算機(jī)帳戶本地計(jì)算機(jī)確定完成”，在打開的“控制臺(tái)根節(jié)點(diǎn)證書（個(gè)人計(jì)算機(jī)）個(gè)人”下查看是否有計(jì)算機(jī)證書。有，說明沒有問題；沒有，可以在此處申請(qǐng)；若還申請(qǐng)不到，若還申請(qǐng)不到，可以重啟系統(tǒng)，再次檢查，還沒有則說明上面的配置有問題。l PC：在VPN客戶端PC上獲取計(jì)算機(jī)證書，請(qǐng)執(zhí)行下列步驟：Ø 更改網(wǎng)卡、IP，將PC連接到內(nèi)部

46、網(wǎng)段，作為 域中一臺(tái)成員計(jì)算機(jī)，然后以域中的遠(yuǎn)程訪問帳戶（如：vpnuser1）登錄；Ø 注銷，登錄到本地計(jì)算機(jī)，將域中的遠(yuǎn)程訪問帳戶（如：vpnuser1）加入本地管理員組中；Ø 重新啟動(dòng)計(jì)算機(jī)，然后以 域中的遠(yuǎn)程訪問帳戶身份登錄，計(jì)算機(jī)與用戶組策略將自動(dòng)更新，即可自動(dòng)獲得計(jì)算機(jī)證書；驗(yàn)證VPN客戶端的計(jì)算機(jī)證書是否已經(jīng)頒發(fā)：在 VPN客戶端PC上，登錄到本地計(jì)算機(jī)，打開“控制臺(tái)根節(jié)點(diǎn)計(jì)算機(jī)賬戶本地計(jì)算機(jī)個(gè)人”下查看是否有計(jì)算機(jī)證書。有，說明沒有問題；如下圖所示。沒有，可以在此處申請(qǐng)；若還申請(qǐng)不到，說明上面的配置有問題。圖3-38 VPN客戶端上的計(jì)算機(jī)證書創(chuàng)建到VPN服

47、務(wù)器的L2TP/IPsec的VPN連接：Ø 更改網(wǎng)卡和IP地址，模擬Internet網(wǎng)絡(luò)，以域中的遠(yuǎn)程訪問帳戶登錄；Ø 創(chuàng)建PC到VPN服務(wù)器的L2TP/IPsec VPN連接，具體步驟可參考PPTP VPN，下面只給出關(guān)鍵參數(shù)；Ø 如圖3-39所示，在VPN連接的“網(wǎng)絡(luò)”選項(xiàng)卡中，選擇VPN 的類型中的“L2TP IPSec VPN”； 圖3-39 VPN連接的L2TP IPsec VPN 圖3-40 L2TP/IPsec VPN的連接狀態(tài)Ø L2TP/IPsec VPN連接創(chuàng)建完成后，用域內(nèi)創(chuàng)建好的遠(yuǎn)程訪問帳戶登錄。l 驗(yàn)證L2TP/IPsec VP

48、N：PC端：PC端L2TP/IPsec VPN連接成功后，可以察看其狀態(tài)的詳細(xì)信息，如驗(yàn)證方法、加密協(xié)議等等，如圖3-40所示。VPN端：在VPN服務(wù)器上啟用網(wǎng)絡(luò)監(jiān)視工具，并監(jiān)視VPN服務(wù)器的外網(wǎng)接口，驗(yàn)證L2TP/IPsec連接的通信細(xì)節(jié)如下圖所示。從圖片中我們可以清晰地看到IPsec對(duì)通信雙方的保護(hù)（ISAKMP協(xié)商及ESP通信加密保護(hù)，此處涉及IPsec協(xié)議的細(xì)節(jié)，請(qǐng)同學(xué)們參考教材，來進(jìn)一步的分析）。圖3-41 L2TP/IPsec VPN的通信解析方案三：EAP-TLS VPN從上面L2TP/IPsec VPN的實(shí)驗(yàn)現(xiàn)象中我們可以看出：VPN服務(wù)器與VPN客戶端之間的通信，已非常牢靠（

49、IPsec來認(rèn)證和加密）；但是IAS服務(wù)器和VPN服務(wù)器之間呢？仍是“共享秘密”若您要以最安全的用戶層身份驗(yàn)證協(xié)議來驗(yàn)證VPN客戶端，則應(yīng)使用 EAP-TLS（可擴(kuò)展身份驗(yàn)證協(xié)議-傳輸層安全）；在生產(chǎn)環(huán)境中，建議您使用智能卡來執(zhí)行EAP-TLS身份驗(yàn)證，而不要使用本地安裝的用戶證書（智能卡大多是證書的載體）。EAP-TLS 遠(yuǎn)程訪問要求VPN客戶端必須有用戶證書而IAS服務(wù)器必須有計(jì)算機(jī)證書（且兩個(gè)證書之間必須有信任關(guān)系，即信任共同的根CA）。因此，EAP-TLS VPN的實(shí)驗(yàn)只需在L2TP VPN實(shí)驗(yàn)的基礎(chǔ)上，稍加改動(dòng)即可。大致步驟如下：l CA： “計(jì)算機(jī)證書”的自動(dòng)頒發(fā)已在上步試驗(yàn)中設(shè)置

50、過，這里只進(jìn)行“用戶證書”的自動(dòng)頒發(fā)設(shè)置。Server 2003中用戶證書的模板是V1模板，必須轉(zhuǎn)換成V2模板之后才能使用。若要設(shè)置CA來自動(dòng)注冊(cè)用戶證書，請(qǐng)執(zhí)行下列步驟：V1證書模板向V2證書模板的轉(zhuǎn)換：Ø 單擊開始與運(yùn)行，輸入 mmc 之后，再單擊確定；Ø 在文件菜單中，單擊添加/刪除插件，再單擊添加；Ø 在添加獨(dú)立管理單元下，選擇證書模板，添加關(guān)閉確定；Ø 在控制臺(tái)根節(jié)點(diǎn)中，選擇證書模板，將在右側(cè)的窗格中詳細(xì)信息顯示所有證書模板，如下圖3-42所示；圖3-42 選擇用戶證書模板在詳細(xì)信息窗格中，右鍵單擊“用戶”模板，在彈出的菜單中，單擊“復(fù)制模板”

51、，在彈出的如圖3-43所示的“新模板屬性”對(duì)話框中的“常規(guī)”選項(xiàng)卡，在“模板顯示名稱”一欄中，輸入VPNUsers并確認(rèn)已選定“在Active Directory 中頒發(fā)證書”的復(fù)選框； 圖3-43 復(fù)制V1模板 圖3-44 證書模板的申請(qǐng)權(quán)限單擊“安全”選項(xiàng)卡，在彈出的如圖3-44所示的“安全”選項(xiàng)卡中，給予相關(guān)用戶授予合適的權(quán)限（必須）。這里，我們給予“Domain Users”“讀取”、“注冊(cè)”和“自動(dòng)注冊(cè)”的權(quán)限，單擊確定，復(fù)制后的“VPNUsers”模板變成了鮮亮的彩色，由此可以確定已經(jīng)完成由V1模板向V2模板的轉(zhuǎn)換；Ø 用戶模板的啟用如下圖所示，打開CA中的“證書頒發(fā)機(jī)構(gòu)

52、”，打開“證書頒發(fā)機(jī)構(gòu)（本地）”下的“MyPKI-Root（自定義的CA名稱）”，右擊“證書模板”，選擇“新建”，單擊“要頒發(fā)的證書模板”，在彈出的對(duì)話框中選擇自定義的證書模板“VPNUsers”，然后單擊確定。圖3-45 啟用自定義的用戶證書模板Ø 用戶證書的自動(dòng)頒發(fā)如下圖所示，編輯Active Directory的組策略，在控制臺(tái)樹中，依序打開“用戶配置”、Windows 設(shè)置、安全設(shè)置以及公鑰策略，在右側(cè)的詳細(xì)信息窗格中，雙擊打開“自動(dòng)注冊(cè)設(shè)置”，選定“自動(dòng)注冊(cè)證書”、“續(xù)訂過期的證書、更新未決證書并刪除已吊銷的證書”和“更新使用證書模板的證書”三個(gè)復(fù)選框，單擊確定； 圖3-46 設(shè)置