Implementarea infrastructurii certificatelor
Pentru informații despre implementarea infrastructurii certificatelor, consultați "Anexa E. Implementarea infrastructurii certificatelor".
Instalarea certificatelor de calculator
Pentru a instala un certificat de computer, trebuie să aveți o CA care să elibereze certificate. După configurarea CA-ului emitent, puteți instala certificatul computerului în următoarele moduri:
Prin rularea scriptului client CAPICOM care solicită certificatul de computer.
Dacă utilizați această metodă pe toate computerele care au nevoie de un certificat de computer, trebuie să executați scriptul CAPICOM care solicită certificatul de computer de la CA-ul emitent. CAPICOM este un client COM care suportă automatizarea pentru efectuarea funcțiilor de criptare (CryptoAPI) utilizând controale Microsoft ActiveX și obiecte COM. CAPICOM poate fi folosit cu Visual Basic, Visual Basic Scripting Edition și C ++. Pentru mai multe informații despre CAPICOM, vizitați site-ul web CAPICOM.
Instalarea certificatelor de utilizator
Pentru a instala un certificat de utilizator, trebuie să aveți o CA care să elibereze certificate. După configurarea CA-ului emitent, puteți instala certificatul de utilizator în următoarele moduri:
După ce executați scriptul client CAPICOM care solicită certificatul de utilizator.
Când se utilizează această metodă, toți utilizatorii care au nevoie de un certificat de utilizator trebuie să ruleze scriptul CAPICOM care solicită certificatul de utilizator de la CA-ul emitent.
Implementarea infrastructurii de Internet
Implementarea infrastructurii de Internet pentru conexiunile VPN de acces la distanță constă în următorii pași:
Conectarea serverelor VPN la rețeaua perimetrală sau la Internet.
Configurați conturile de utilizator și grupurile Active Directory.
Configurarea serverului principal IAS pe controlerul de domeniu.
Configurarea serverului de rezervă IAS pe controlerul de domeniu secundar.
Configurați conturile de utilizatori și de grup Active Directory
Pentru a configura conturile de utilizator și grupurile Active Directory, procedați în felul următor:
Asigurați-vă că toți utilizatorii care au nevoie să creeze conexiuni dial-up au conturi corespunzătoare. Acest lucru se aplică angajaților, contractanților, furnizorilor și partenerilor de afaceri.
Pentru a gestiona accesul la distanță la nivel de utilizator, setați permisiunea de acces la distanță în proprietățile contului de utilizator din accesul Permite acces sau Deny. Pentru a gestiona accesul la distanță la nivel de grup, setați permisiunea de acces la distanță în proprietățile contului de utilizator la accesul de control prin Politica de acces la distanță.
Configurarea serverului principal IAS pe controlerul de domeniu
Pentru a configura serverul principal IAS pe controlerul de domeniu, procedați în felul următor:
Creați politici de acces la distanță care afișează scenariile dvs. de acces la distanță. De exemplu, pentru a configura o politică de acces la distanță, care necesită VPN-conexiuni grup bazate pe PPTP pentru membrii Angajaților utilizând protocolul EAP-TLS și criptare pe 128 de biți pentru autentificare, de a crea o politică de acces la distanță cu următorii parametri:
Nume politică: conexiuni VPN
Pentru atributul NAS-Port-Type, Virtual (VPN)
Pentru atributul Tunnel-Type, Protocolul Tunnel Point-to-Point
Pentru atributul Windows-Groups, a fost adăugat grupul angajați (în conformitate cu exemplul în cauză)
Acces permis de la distanță: Acordați dreptul de acces la distanță
Setări profil, fila Autentificare
Setările profilului, fila Criptare:
Bifați caseta de selectare Strongest și apoi ștergeți toate celelalte casete de selectare.
Configurarea unui server IAS Backup pe un controler de domeniu suplimentar
Pentru a configura un server de rezervă IAS pe un controler de domeniu suplimentar, procedați în felul următor:
Implementarea serverelor VPN
Implementarea serverelor VPN pentru conexiunile VPN de acces la distanță constă în următorii pași: