各位好！通過上期的學(xué)習(xí)，我們實(shí)現(xiàn)了對(duì)遠(yuǎn)程桌面的加密和身份驗(yàn)證的連接，而在身份驗(yàn)證過程中我們采用的是Kerberos這種方式，這種身份驗(yàn)證方式只能應(yīng)用在域環(huán)境里，但如果兩端有一邊沒有加入域，那我們?nèi)绾蝸肀ＷC身份驗(yàn)證呢？好，今天我們就來學(xué)習(xí)一下，如何通過另外兩種身份驗(yàn)證的方式來保證安全性。

    身份驗(yàn)證的三種方式：
    1.Kerberos （適合于域環(huán)境）
    2.證書（需要搭建證書服務(wù)器）
    3.預(yù)共享密鑰

    我們今天的環(huán)境如下圖所示：N1還是DC，但Client并沒有加入域。


我們今天實(shí)驗(yàn)的操作思路：（注意我并沒改3389-->6689，若想改可參考上篇）
1.先在DC上創(chuàng)建一個(gè)IPSec策略，允許任何客戶端（或一段子網(wǎng)或主機(jī)均可）來訪問DC的3389端口，并要求保證數(shù)據(jù)完整性和加密，身份驗(yàn)證我們依次選擇預(yù)共享密鑰和證書。
2.開啟DC的遠(yuǎn)程桌面功能。
3.在相應(yīng)的客戶端，如Client上創(chuàng)建同樣的一個(gè)IPSec策略，可以訪問DC的3389端口，并選擇相對(duì)應(yīng)的加密與身份驗(yàn)證方式。
4.分別指派這兩個(gè)策略，測(cè)試即可。

一、身份驗(yàn)證方式：預(yù)共享密鑰
注意：要求DC和Client兩邊必須采用相同的密鑰。
1.服務(wù)器端配置如下：


單擊上圖中的編輯，如下圖所示：并選擇“使用此字符串（預(yù)共享密鑰）”中輸入共享密鑰如haha!,單擊確定，依次關(guān)掉所有對(duì)話框，最后，并指派該策略。




2.客戶端的配置同于服務(wù)器端，此處就省了吧，呵呵~~
3.測(cè)試：

抓包后，如下圖所示:加密傳輸


二、身份驗(yàn)證方式：證書

在這個(gè)環(huán)境里，我們需要搭建證書服務(wù)器（CA），并為兩臺(tái)計(jì)算機(jī)都要申請(qǐng)一個(gè)計(jì)算機(jī)證書，我們選擇DC同時(shí)做CA服務(wù)器，但要在客戶端安裝CA的根證書。這樣兩臺(tái)計(jì)算機(jī)上的計(jì)算機(jī)證書都是由同一個(gè)證書頒發(fā)機(jī)構(gòu)頒發(fā)的，它們就會(huì)相互信任，我們就可以用該證書進(jìn)行身份驗(yàn)證了。

下面我們一步步來操作：
（一）DC服務(wù)器上的操作：
步驟：
1.在DC上先安裝IIS（因?yàn)槲覀円ㄟ^web方式允許客戶端申請(qǐng)證書）
2.再安裝CA（我們安裝企業(yè)根CA）
3.為DC申請(qǐng)計(jì)算機(jī)證書，并安裝。

好，我們開始吧！

打開DC的添加/刪除程序（appwiz.cpl)--添加和刪除Windows組件，如下圖所示：

在“應(yīng)用程序服務(wù)器”打勾，然后單擊“下一步”，完成安裝。然后再次運(yùn)行appwiz.cpl，選擇“證書服務(wù)”，再次單擊“詳細(xì)信息”，如下圖所示：有WEB方式申請(qǐng)證書一項(xiàng)。注意，安裝完證書服務(wù)后，這臺(tái)計(jì)算機(jī)就不能再改名了。


單擊上圖中的確定，再單擊下一步，如下圖：我們選擇“企業(yè)根CA”。

輸入CA的公用名稱，my root.其它可以不用修改。

有關(guān)證書數(shù)據(jù)庫(kù)等位置，可以不用修改！

單擊下一步，如下正在安裝。

最后安裝結(jié)束。

下面我們來為DC申請(qǐng)一個(gè)計(jì)算機(jī)證書。
打開IE，輸入[url]http://10.1.1.5/certsrv[/url]，如下所示：


出現(xiàn)如下圖，單擊“申請(qǐng)一個(gè)證書”。

如下圖，我們選擇“高級(jí)證書申請(qǐng)”。

再次選擇“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”。


在下圖中選擇“系統(tǒng)管理員”，但一定要保存在計(jì)算機(jī)存儲(chǔ)中，這樣就是一個(gè)計(jì)算機(jī)證書了！


如下，提交即可。

由于我們是企業(yè)根CA，所以在默認(rèn)下，會(huì)自動(dòng)頒發(fā)證書，故，我們提交后稍等一會(huì)，就會(huì)出現(xiàn)如下所示，并“安裝此證書”，這樣DC的計(jì)算機(jī)證書就申請(qǐng)完了。


（二）客戶端的操作：
在Client上的操作：
1.打開[url]http://10.1.1.5/certsrv[/url]，下載并安裝CA根證書。
2.利用WEB方式，申請(qǐng)計(jì)算機(jī)證書。

具體操作如下：
注意在出現(xiàn)用戶名登錄的對(duì)話框內(nèi)，一定要輸入一個(gè)域用戶帳戶信息。


選擇“下載一個(gè)CA證書..”后，出現(xiàn)如下圖所示：

單擊“下載CA證書”，稍等一會(huì)，出來證書的下載界面，選擇“保存”，并把該證書保存在桌面上。

接下來，我們要安裝該CA的根證書了，你需要打開MMC，添加組件--證書（必須選擇計(jì)算機(jī)帳戶），如下圖所示：

注意：選擇“導(dǎo)入”后，找到剛才保存的證書，然后根據(jù)提示一路安裝下去，就不用圖示了吧~~，最后如下圖所示：


好了，接下來，我們?yōu)榭蛻舳松暾?qǐng)“計(jì)算機(jī)證書”，這個(gè)操作過程和剛才在DC上申請(qǐng)計(jì)算機(jī)證書一樣。安完成最后的安裝！

最后特別關(guān)鍵的一步：為DC和Client分別選擇利用證書做身份驗(yàn)證。

如下圖所示：


選擇第二項(xiàng)，再單擊“瀏覽”，如下所示，你就能看到my root這個(gè)根證書。

選擇中，并單擊“確定”，如下所示：


兩邊都做完以后，可以重新指派一下，然后在client上做一下測(cè)試，OK，如下所示：


哈哈，測(cè)試成功了?。。?！
你還可以抓包來看一下，如下所示：


好了，終于把這個(gè)技術(shù)點(diǎn)講完了，希望能給各位一些幫助。

小結(jié)：通過兩次講座，無非告訴各位，IPSec可以幫我們完成很多事情，我這個(gè)實(shí)例只不過是一個(gè)引子而已。那IPSec到底可以做那些事呢？

1.可以關(guān)機(jī)器的端口。
2.可以禁用機(jī)器的協(xié)議。
3.可以對(duì)數(shù)據(jù)的傳輸進(jìn)行加密和保證其完整性。
4.可以對(duì)計(jì)算機(jī)身份進(jìn)行驗(yàn)證。如可以實(shí)現(xiàn)網(wǎng)絡(luò)的隔離。

總而言之，IPSec功能特別強(qiáng)大，在域內(nèi)你可以對(duì)客戶端統(tǒng)一部署，來達(dá)到網(wǎng)絡(luò)的隔離的目的，我會(huì)在后期繼續(xù)給各位對(duì)IPSec做更深入的介紹。

本文出自 51CTO.COM技術(shù)博客