Двухфакторная аутентификация VPN подключения по протоколу SSTP с использованием Смарт Карты.
 Zwei-Faktor-Authentisierung von VPN-Verbindungen nach SSTP-Protokoll mit Smart Cards.
 Two-factor authentication of VPN connections for SSTP protocol using Smart Cards.

 Да, именно так. Чтобы гугл знал такой запрос на нескольких языках для Windows Server 2012 R2. И так поехали.
 Начнём с подготовки сертификатов, которые для смарт карт простые пользователи запрашивать не могут, да им это и не требуется. Уже настроенная Смарт Карта должна быть доставлена конечному пользователю.   Для SSTP VPN необходимо опубликовать список отозванных сертификатов CRL. Настройка описана в данной статье. В идеальном случае создаётся отдельная учётная запись, к примеру, CA Agent, с правом входа только на DC, CA и специально выделенный компьютер или ноутбук, который можно хранить в сейфе. В моём случае этот компьютер должен иметь Windows 8.1, т.к. Windows 10 не видела Смарт Карту eToken 5100 от Gemalto (это решается установкой программы от Gemalto без драйверов). Пользователю CA Agent разрешается две копии шаблонов:
 - Enrollment Agent
 - Smartcard Logon

 Если использование Смарт Карт не планируется, тогда используется только один сертификат: User.

 В свойствах Smartcard Logon явно указывается провайдер для Smart Card:

 Далее на сервере NPS создаётся политика для подключения по SSTP и аутентификации на смарт картах:

И сразу покажу пример настройки клиента Windows 10:

 А теперь самое интересное: выпуск сертификатов и импорт в карту. На самом деле всё оказалось просто. Для начала надо установить SafeNet Authentication Client, который можно запросить к примеру тут, если вдруг на диске, который пришёл вместе с токеном, оказалась старая версия. У меня так и было, и клиент не устанавливался на OS X (это вообще отдельная тема...).

 Задаём PIN код для смарт карты:

А далее начинаем работать с оснасткой сертификаты (пользователь):

 Для начала запросим сертификат для CA Agent:

Далее (внимание!), запросим сертификат для пользователя. Делается это именно в оснастке сертификатов! В веб-интерфейсе CA 2012 R2 такой возможности больше нет.

 Выбираем поиск в домене и доменного пользователя, для которого запрашиваем сертификат:

Вводим PIN от смарт карты и импортируем сертификат в неё. При этом в оснастке так же будет копия этого сертификата:

 Подключаемся по VPN, вводим PIN - работаем!

06.09.2016