为 2FA 智能卡身份验证配置 SecureCRT 和 SecureFX (RFC 6187)

如果您的 SSH2 服务器环境为 X.509 智能卡证书身份验证正确配置，那么您可以配置 SecureCRT/SecureFX 以使用智能卡上的 2FA 证书进行身份验证。
以下是为 Windows 配置 SecureCRT/SecureFX 以使用智能卡完成身份验证的一般步骤：
1.打开全局选项并选择SSH2 类别。
2.在公钥部分，启用使用个人 CAPI 存储或 PKCS #11 提供程序 DLL 中的证书选项。
3.插入您的智能卡。
4.对于要使用的证书字段，请按右侧的[...]按钮并浏览可用证书。
5.如果您的证书包含应该用于身份验证的用户帐户名称，请启用从证书获取用户名选项；然后指定证书字段，该字段包含对 SSH2 服务器进行智能卡身份验证所需的帐户名称（Principal Name或 Common Name）。
但是，如果您的证书不包含用于对 SSH 服务器进行身份验证的用户帐户名称，则不应启用从证书获取用户名选项。相反，您应该在SSH2的用户名字段中指定所需的用户名会话选项窗口的类别。
6.禁用指纹查看区域下方高级部分中的将密钥添加到代理选项。

7.按 OK 按钮保存您的配置更改。
一旦您对 SecureCRT 的全局选项进行了上述更改，您现在就可以设置会话以使用智能卡身份验证。
如果您想为所有或大部分连接使用所选证书，请编辑默认会话以使用您刚刚在上面配置的全局公钥配置：
1.选择选项 > 编辑默认会话...
2.选择SSH2类别，然后在右侧的Authentication列表中，突出显示PublicKey身份验证方法并将其移至列表顶部。
3.随着公钥在仍然选定的身份验证方法认证列表中，按[属性...]按钮。

4.在Public Key Properties窗口中，启用Use global public key setting选项并注意信息与您之前在Global Options , SSH2类别中指定的信息相匹配。
提醒：如果您需要用于对大多数 SSH2 服务器进行身份验证的用户帐户名与您证书中的名称不同，则不应启用从证书中获取用户名选项。相反，您应该在 SSH2 类别的用户名字段中指定所需的用户帐户名称，如上图中防火墙字段下方所示。

5.按“确定”按钮关闭“公钥属性”窗口。
6.按确定按钮关闭会话选项窗口。
7.当提示将“应用默认会话更改”应用于所有现有会话或仅应用于默认会话时，请注意，如果您选择对所有会话进行此更改，则此操作无法撤消。

如果您要为大多数连接使用智能卡证书进行身份验证，那么您应该考虑对所有会话进行更改。
如果您已经保存的会话已配置为使用公钥身份验证而不是从您的智能卡进行身份验证，并且您希望保留这些会话，您将需要编辑这些单独保存的会话以恢复会话特定的公钥设置（使用公钥属性配置这些属性，以便启用使用会话公钥设置，而不是如下图所示的全局设置）。