使用USBKEY實(shí)現(xiàn)智能卡域登錄的說明(共17頁)

1、 使用USBKEY實(shí)現(xiàn)Windows智能卡登錄的說明PAGE II使用(shyng)USBKEY實(shí)現(xiàn)Windows智能卡登錄(dn l)的說明2007年1月18日目錄 TOC o 1-3 h z HYPERLINK l _Toc156987797 一、前言(qin yn) PAGEREF _Toc156987797 h 1 HYPERLINK l _Toc156987798 二、安裝(nzhung)Active Directory PAGEREF _Toc156987798 h 1 HYPERLINK l _Toc156987799 三、安裝(nzhung)IIS PAGEREF _Toc15

2、6987799 h 3 HYPERLINK l _Toc156987800 四、安裝Windows證書服務(wù) PAGEREF _Toc156987800 h 5 HYPERLINK l _Toc156987801 4.1安裝證書頒發(fā)機(jī)構(gòu) PAGEREF _Toc156987801 h 5 HYPERLINK l _Toc156987802 4.2添加證書模板 PAGEREF _Toc156987802 h 7 HYPERLINK l _Toc156987803 五、申請注冊代理證書 PAGEREF _Toc156987803 h 8 HYPERLINK l _Toc156987804 六、安裝U

3、SBKEY的軟件及硬件 PAGEREF _Toc156987804 h 10 HYPERLINK l _Toc156987805 七、申請智能卡證書 PAGEREF _Toc156987805 h 10 HYPERLINK l _Toc156987806 7.1更改IE安全設(shè)置 PAGEREF _Toc156987806 h 10 HYPERLINK l _Toc156987807 7.2申請智能卡證書 PAGEREF _Toc156987807 h 11 HYPERLINK l _Toc156987808 八、使用USBKEY登錄 PAGEREF _Toc156987808 h 13 HYP

4、ERLINK l _Toc156987809 九、使用USBKEY的安全配置 PAGEREF _Toc156987809 h 13 使用USBKEY實(shí)現(xiàn)Windows智能卡登錄的說明 PAGE 18使用(shyng)USBKEY實(shí)現(xiàn)Windows智能卡登錄(dn l)的說明一、前言(qin yn)身份認(rèn)證是系統(tǒng)安全的基本方面，被用來確認(rèn)任何試圖訪問網(wǎng)絡(luò)資源的用戶的身份。但目前在企業(yè)內(nèi)部所使用Windows網(wǎng)絡(luò)中，用戶名加密碼仍然是普遍使用的身份認(rèn)證方式，這種身份認(rèn)證方式已經(jīng)暴露出越來越多的問題：密碼易被泄露：密碼經(jīng)常在無意之間被泄露出去。密碼易被竊?。好艽a被各種層出不窮的黑客和木馬工具竊取。密

5、碼易被猜測：由于密碼長度有限，可能被猜測或窮舉。針對這個(gè)問題，微軟從Windows 2000開始就支持智能卡登錄。通過智能卡登錄到網(wǎng)絡(luò)提供了很強(qiáng)的身份認(rèn)證方式。在智能卡中存放了用戶的個(gè)人信息和數(shù)字證書，用戶在登錄時(shí)必須插入智能卡并同時(shí)輸入對應(yīng)的個(gè)人識別碼（PIN）才能通過身份認(rèn)證。相對于口令驗(yàn)證，智能卡具有更強(qiáng)的安全性。因?yàn)榭诹畋容^容易被不懷好意的人得到，而智能卡就像一把無法復(fù)制的鑰匙，只有拿在手里才能打開大門。USBKEY是結(jié)合USB技術(shù)和智能卡技術(shù)而開發(fā)的一種便攜式安全產(chǎn)品，體積小巧，便于攜帶和使用。下面以Windows 2003 Server為例，來描述使用USBKEY實(shí)現(xiàn)Windows

6、 智能卡登錄的整個(gè)配置過程：安裝Active Directory安裝IIS安裝Windows證書服務(wù)申請注冊代理證書安裝USBKEY的軟件及硬件申請智能卡證書使用USBKEY登錄二、安裝Active Directory在Winodws的帶域網(wǎng)絡(luò)環(huán)境中，對用戶進(jìn)行身份認(rèn)證及授權(quán)是通過域控制器來實(shí)現(xiàn)的。要使服務(wù)器成為域控制器則必須在服務(wù)器上安裝活動目錄服務(wù)（Active Directory）。Windows的活動目錄(ml)服務(wù)對網(wǎng)絡(luò)上所有對象的信息進(jìn)行分類，包括用戶、計(jì)算機(jī)以及打印機(jī)等，并且通過網(wǎng)絡(luò)發(fā)布信息。有了 Active Directory，只需要登錄一次就可以很容易地找到并且使用網(wǎng)絡(luò)上任

7、何地方的資源。安裝(nzhung)及配置(pizh)步驟如下：第一步：啟動“管理您的服務(wù)器”，點(diǎn)擊“添加或刪除角色”，出現(xiàn)“配置您的服務(wù)器向?qū)А睂υ捒?，如下圖所示：第二步：在“服務(wù)器角色”中選擇“域控制器（Active Directory）”，然后點(diǎn)擊”下一步”按鈕。將出現(xiàn)“Active Directory 安裝向?qū)А保埜鶕?jù)此安裝向?qū)У慕缑嫣崾就瓿捎蚩刂破鞯陌惭b與配置。第三步：點(diǎn)擊”下一步”，進(jìn)入屬性配置頁，在接下來的配置中分別點(diǎn)選“新域的域控制器”和“在新林中的域”。第四步：點(diǎn)擊”下一步”，為新域鍵入DNS全名“”，第一個(gè)點(diǎn)號“.” 之前的名字將作為網(wǎng)絡(luò)標(biāo)識名（NetBIOS），即新建域的

8、名字為“HBCATEST”。第五步：點(diǎn)擊(din j)”下一步(y b)”，在“DNS注冊(zhc)診斷”中，選擇“在這臺機(jī)器上安裝并配置DNS服務(wù)器，并將這臺DNS服務(wù)器設(shè)為這臺計(jì)算機(jī)首選DNS服務(wù)器”。第六步：點(diǎn)擊”下一步”，出現(xiàn)“摘要”對話框，顯示配置信息如下圖所示：第七步：點(diǎn)擊”下一步”，開始安裝和配置Active Directory過程。三、安裝IIS由于將使用Windows提供的基于Web的證書注冊服務(wù)來申請智能卡登錄證書，因此需要在服務(wù)器上安裝IIS（Internet Information Service）服務(wù)。 安裝及配置步驟如下：第一步：啟動“管理您的服務(wù)器”，點(diǎn)擊“添加或

9、刪除角色”，出現(xiàn)如下圖所示的界面。在“服務(wù)器角色”中選擇“應(yīng)用程序服務(wù)器（IIS，ASP.NET）”，然后點(diǎn)擊“下一步”按鈕。第二步：在“應(yīng)用程序服務(wù)器選項(xiàng)”中，如下圖所示，選中所有的工具(gngj)選項(xiàng)，然后點(diǎn)擊“下一步(y b)”按鈕。此后(c hu)，Windows將自動安裝并配置IIS服務(wù)。第三步：啟動“IIS管理器”，選擇“Web 服務(wù)擴(kuò)展” 。檢查“Active Server Pages”是否是被允許的，如果不是，請點(diǎn)擊“允許”按鈕。如下圖所示：由于Windows提供的Web證書申請是基于ASP（Active Server Pages）而開發(fā)(kif)的，因此要確保在IIS中ASP

10、 Web服務(wù)擴(kuò)展是被允許的。第四步：啟動(qdng)“IIS管理器”，選擇(xunz)“網(wǎng)站”中的“默認(rèn)網(wǎng)站”。在其“屬性”對話框中選擇“目錄安全性”的“編輯”按鈕，設(shè)置身份驗(yàn)證方法為：啟用匿名訪問，如下圖所示：四、安裝Windows證書服務(wù)因?yàn)槭褂肳indows提供的證書服務(wù)來申請智能卡登錄證書，所以需在服務(wù)器上安裝Windows證書服務(wù)。4.1安裝(nzhung)證書頒發(fā)機(jī)構(gòu)證書頒發(fā)機(jī)構(gòu)亦即通常所說(su shu)的CA中心。Windows 2003 Server的安裝程序在缺省設(shè)置下并不會自動安裝證書服務(wù)。安裝及配置(pizh)步驟如下：第一步：從控制面板的“添加或刪除程序”中選擇“添加

11、/刪除Windows組件”，將出現(xiàn)“Windows 組件向?qū)А睂υ捒?，如下圖所示： 第二步：從中選擇“證書服務(wù)”，然后點(diǎn)擊”下一步”按鈕，將出現(xiàn)“CA類型”選擇界面，如下圖所示：關(guān)于各CA的類型描述如下：企業(yè)根CA ：它是證書(zhngsh)層次結(jié)構(gòu)中的最高級CA，并且(bngqi)需要Active Directory目錄服務(wù)。它自我簽發(fā)自己的CA 證書，并使用組策略將該證書發(fā)布(fb)到域中的所有服務(wù)器和工作站的受信任的根證書頒發(fā)機(jī)構(gòu)的存儲區(qū)中。企業(yè)從屬CA： 它必須從另一CA 獲得它的CA 證書，并要求有 Active Directory目錄服務(wù)。 獨(dú)立根CA：它是證書層次結(jié)構(gòu)中的最高級C

12、A。它既可以是域的成員也可以不是，因此它不需要 Active Directory。但是，如果存在 Active Directory 用于發(fā)布證書和證書吊銷列表，則會使用 Active Directory。獨(dú)立從屬CA：它必須從另一CA獲得它的CA 證書。獨(dú)立從屬CA 可以是域的成員也可以不是，因此它不需要 Active Directory。但是，如果存在 Active Directory 用于發(fā)布證書和證書吊銷列表，則會使用 Active Directory。對于企業(yè)內(nèi)部的網(wǎng)絡(luò)，一般選擇“企業(yè)根CA”類型。在接下來的過程中，請根據(jù)界面提示創(chuàng)建CA的自簽名證書。4.2添加證書模板從Windows

13、證書頒發(fā)機(jī)構(gòu)申請證書時(shí)，根據(jù)其訪問權(quán)限，證書申請者可從基于證書模板的各種證書類型中進(jìn)行選擇。證書模板包括如何頒發(fā)證書和它們所包含的內(nèi)容，它使用戶省去了對于他們所需要的證書類型的配置細(xì)節(jié)。對于智能卡登錄來說，需要“注冊代理”和“智能卡登錄”等證書模板。這些證書模板在缺省設(shè)置中并沒有加入到證書頒發(fā)機(jī)構(gòu)中，因此需要手工添加。安裝及配置步驟如下：第一步：從管理工具中啟動“證書頒發(fā)機(jī)構(gòu)”。選擇左邊目錄樹中的“證書模板”，然后右鍵單擊，從彈出的右鍵菜單中選擇“新建”下的“要頒發(fā)的證書模板”菜單項(xiàng)，如下圖所示：第二步：在彈出的“啟用(qyng)證書模板”對話框中，選擇(xunz)“智能卡登錄(dn l)”和

14、“注冊代理”等模板，然后點(diǎn)擊“確定”按鈕。五、申請注冊代理證書從安全方面考慮，Windows要求智能卡證書的申請是一個(gè)受控制的過程。域用戶無法申請“智能卡登錄”證書，申請智能卡證書必須通過智能卡注冊站來進(jìn)行。在安裝Windows證書頒發(fā)機(jī)構(gòu)時(shí)，已安裝了智能卡注冊站。這允許管理員代表用戶申請智能卡登錄證書。但在使用智能卡注冊站之前，管理員必須獲得基于注冊代理證書模板的簽名證書。安裝及配置步驟如下：第一步：啟動(qdng)IE瀏覽器，在地址欄中輸入 HYPERLINK http:/servername/CertSrv 2/CertSrv，將出現(xiàn)(chxin)Windows證書服務(wù)頁面，在頁面(y

15、min)中選擇“申請一個(gè)證書”鏈接，如下圖所示：第二步：在申請一個(gè)證書頁面中，選擇“高級證書申請”鏈接，如下圖所示：第三步：在高級證書申請頁面中選擇“創(chuàng)建并向此CA提交一個(gè)申請”鏈接，如下圖所示：第四步：在高級證書(zhngsh)申請頁面中，證書模板選擇“注冊(zhc)代理”，其余參數(shù)(cnsh)配置如下圖所示，點(diǎn)擊“提交”按鈕申請證書。第五步：在證書申請成功后，將出現(xiàn)如下圖所示頁面。點(diǎn)擊“安裝此證書”鏈接來安裝剛剛申請的注冊代理證書。六、安裝USBKEY的軟件及硬件系統(tǒng)管理員為域用戶申請智能卡登錄證書以及域用戶進(jìn)行智能卡登錄前必須安裝USBKEY的軟件和硬件。USBKEY的軟件包含PC/SC

16、驅(qū)動及CSP安全模塊，運(yùn)行USBKEY的軟件安裝程序，根據(jù)提示安裝即可。軟件安裝完畢后，將USBKEY插入到計(jì)算機(jī)中的空閑USB接口上，系統(tǒng)將會提示找到新硬件，當(dāng)系統(tǒng)提示硬件已正確安裝后，就可使用USBKEY了。七、申請(shnqng)智能卡證書7.1更改(gnggi)IE安全設(shè)置從Windows證書(zhngsh)服務(wù)Web頁面上為用戶申請智能卡證書時(shí)，將會下載一些ActiveX控件，為確保這些ActiveX控件能下載成功，需更改IE的一些安全設(shè)置。安裝及配置步驟如下：第一步：啟動IE瀏覽器，打開“Internet 選項(xiàng)”對話框，如下圖所示：第二步：在“安全”頁面中，選擇“Internet”

17、區(qū)域，然后點(diǎn)擊“自定義級別”按鈕，將彈出“安全設(shè)置”對話框，如下圖所示： 第三步：將“對沒有標(biāo)記為安全的ActiveX控件進(jìn)行初始化和腳本運(yùn)行”及“下載未簽名的ActiveX控件”項(xiàng)設(shè)為提示，然后點(diǎn)擊“確定”按鈕。7.2申請智能卡證書 打開Windows證書服務(wù)Web頁面，申請并下載用戶智能卡證書。 安裝及配置步驟如下：第一步：啟動IE瀏覽器，在地址欄中輸入 HYPERLINK http:/servername/CertSrv 2/CertSrv，將出現(xiàn)Windows證書服務(wù)頁面，在頁面中選擇“申請一個(gè)證書”鏈接，如下圖所示：第二步：在申請(shnqng)一個(gè)證書頁面中，選擇“高級證書(zhn

18、gsh)申請”鏈接(lin ji)，如下圖所示：第三步：在高級證書申請頁面中選擇“通過使用智能卡證書注冊站來為另一用戶申請一個(gè)智能卡證書”鏈接，如下圖所示：第四步：在智能卡證書注冊站頁面中，證書模板選擇“智能卡登錄”，加密服務(wù)提供程序選擇相應(yīng)的USBKEY驅(qū)動程序。點(diǎn)擊“選擇用戶”按鈕選擇欲申請證書的用戶名稱，如：administrator。如下圖所示：第五步：插入(ch r)USBKEY，然后(rnhu)點(diǎn)擊“注冊(zhc)”按鈕，將出現(xiàn)如下圖所示的“PIN碼校驗(yàn)”對話框。請輸入用戶PIN，然后點(diǎn)擊“確定”按鈕。第六步：當(dāng)出現(xiàn)如下圖所示的頁面時(shí)，表明用戶的智能卡證書已申請成功。八、使用(shyng)USBKEY登錄(dn l)當(dāng)為用戶(yngh)申請智能卡登錄證書后，用戶就可以使用USBKEY來進(jìn)行Windows域登錄了。登錄步驟如下：第一步：當(dāng)系統(tǒng)啟動出現(xiàn)如下圖所示的界面時(shí)，插入U(xiǎn)SBKEY。第二步：彈出如下圖所示的對話框，請輸入用戶PIN。如果PIN輸入正確，將成功進(jìn)入Windows操作系統(tǒng)并可訪問網(wǎng)絡(luò)中許可訪問的資源。當(dāng)計(jì)算機(jī)被鎖定時(shí)，也可插入U(xiǎn)SBKE