Win2008r2 AD域控+第三方CA USBKey智能卡登录实验

原创
2017/04/13 13:18
阅读数 425


关于AD域控服务器的搭建和如何使用第三方CA证书做USBKey(智能卡)登录的配置请见下列参考地址:

http://www2.openxpki.org/docs/guide/html_chunked/ch08s03.html

https://support.microsoft.com/zh-cn/kb/281245

http://blog.csdn.net/jinhill/article/details/7200498

http://wenku.baidu.com/link?url=AaU3KcrjXYR3E0GfhXSDtbl4NCd7R5Gah__VP6xikkqSeH_YCZv9QyJStO5sQ6Ced9nYdLthaakSqKNjzbOU97SzPXTrhi-WyGqxnM5dPpS


大概过程是:

一、安装前准备:为域控服务器配置一个固定IP,最好把机器名改成简单好记的,如AD。

二、AD域安装过程:

1. 安装DSN服务和web服务器IIS服务。

2.安装AD 域服务,运行dcpromo配置域服务。添加一个域用户,比如叫 enrollAgent (用于后面的注册代理配置),顺便再添加两个测试域用户,比如test2,test3。

3.安装AD 证书服务(证书颁发机构+证书颁发机构web注册)。

4. certsvr.msc->证书模板,新建要颁发的证书模板(智能卡登录,智能卡用户,注册代理,注册代理(计算机))。

5.certsvr.msc->证书模板,管理,修改智能卡用户模板的属性,赋予Domain User用户读写注册权限。

6.certsvr.msc->证书模板,管理,修改注册代理用户模板的属性,赋予enrollAgent用户读写注册权限。

7. mmc,添加删除管理单元,我的用户,申请一个注册代理证书。

三、第三方CA集成过程:

1.修改证书模板,保证扩展密钥算法包含:clientAuth,smartcardlogon;增加一个备用名称扩展项subject alternative name,UPN主体名称=域用户名@域名 ,比如test2@test.com

2.mmc,添加删除管理单元,企业PKI,将证书链(根,子CA)添加到NTAuthCertificate。

3.gpmc.msc,编辑默认组策略,添加证书链到根、子证书颁发机构(计算机配置-策略-windows设置-安全设置-公钥策略)。

   (可选)如果要实现客户端拔掉Key后自动锁屏,还需要:

       修改交互式登录:智能卡移除行为-锁定工作站;

       保证客户端默认自动开启三个服务:smart card,smart card removal policy,user profile service (计算机配置-策略-windows设置,安全设置-系统服务),设置服务启动模式为:自动,并编辑安全设置,赋予Domain Users用户完全控制权限。

   

4. mmc,添加删除管理单元,本地计算机将证书链(根,子CA)添加到对应区域。

四、测试:

1.申请证书到Key里。

2.客户端安装Key驱动,加入域,使用智能卡登录即可。(win7 + 飞天epass3000 测试通过。win8和win10 下好像因为Key驱动的问题无法登录)


展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部