步骤 3 规划 OTP 证书部署

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

规划 RADIUS 服务器后,必须规划证书颁发机构 (CA) 要求,包括颁发一次密码 (OTP) 证书的 CA、OTP 证书模板以及远程访问服务器用于签署所有 DirectAccess 客户端 OTP 证书请求的注册机构证书。 这些证书的使用方式如下:

  1. DirectAccess 客户端请求 OTP 证书,远程访问服务器接收请求。

  2. 远程访问服务器将验证 OTP 凭据,如果凭据有效,则服务器将充当注册机构,使用短期签名证书对 OTP 证书注册请求进行签名。

  3. 远程访问服务器将签名的证书注册请求发送回 DirectAccess 客户端

  4. 然后,客户端使用服务器签名的证书注册请求从 CA 注册 OTP 证书。

  5. CA 验证凭据和请求。

任务 说明
3.1 规划 OTP CA 规划证书颁发机构 (CA) 用于向 DirectAccess 客户端颁发证书以用于 OTP 身份验证。
3.2 规划 OTP 证书模板 规划 OTP 证书模板。
3.3 规划注册机构证书 规划注册机构证书以签署所有 OTP 身份验证证书请求。

3.1 规划 OTP CA

若要使用一次密码身份验证 (OTP) 部署 DirectAccess,需要内部 CA 向 DirectAccess 客户端计算机颁发 OTP 身份验证证书。 为此,可以使用与颁发用于常规 IPsec 计算机身份验证的证书相同的内部 CA。

3.2 规划 OTP 证书模板

每个 DirectAccess 客户端都需要 OTP 身份验证证书才能访问内部网络。 必须在内部 CA 上为 OTP 证书配置模板。 配置 OTP 证书模板时,请注意以下事项:

  • 需要执行 OTP 身份验证的所有用户都必须具有此模板的读取和注册权限。

  • 使用者名称应基于 Active Directory 信息生成,以确保使用者名称与 OTP 用户名匹配,而不是与执行证书请求的远程访问服务器的名称匹配。 主题名称必须采用完全可分辨的名称格式,并且主题可选名称必须采用 UPN 格式。 这可确保已注册的 OTP 证书对智能卡 Kerberos 身份验证有效。

  • 证书的用途必须是智能卡登录

  • 颁发必须要求一个已授权签名。 必须使用注册机构签名证书模板中设置的预定义 DirectAccess OTP 应用程序策略配置签名。

  • 有效期应设置为一小时。

    注意

    如果 CA 服务器是 Windows Server 2003 计算机,则必须在不同的计算机上配置模板。 这是因为在运行 2008/Vista 之前的版本时,无法设置有效期(Windows小时)。 如果用于配置模板的计算机未安装证书服务角色,或者它是客户端计算机,则你可能需要安装证书模板管理单元。 有关此主题详细信息,请单击此处。

  • 续订期限应设置为 0。

  • (可选) 证书和请求不应存储在 CA 数据库中。

  • 必须正确设置证书增强型密钥用法参数,如下所示:

    • 对于 DirectAccess 注册签名证书模板,请使用密钥 1.3.6.1.4.1.311.81.1.1。

    • 对于 OTP 身份验证证书模板,请使用密钥 1.3.6.1.4.1.311.20.2.2 密钥。

3.3 规划注册机构证书

当 DirectAccess 客户端请求 OTP 证书时,远程访问服务器会收到来自客户端的请求。 远程访问服务器使用注册机构证书对来自客户端的所有 OTP 证书请求进行签名。 只有在远程访问服务器上注册机构证书对请求进行签名时,CA 才颁发证书。 证书必须由内部 CA 颁发,证书不能自签名。 它不需要由颁发 OTP 证书的 CA 颁发,但颁发 OTP 证书的 CA 必须信任颁发注册机构签名证书的 CA。