使用USBKEY實現(xiàn)智能卡域登錄的說明

1、使用USBKEY實現(xiàn)WINDOWS智能卡登錄的說明2007年1月18日目錄一、前言1二、安裝Active Directory1三、安裝IIS3四、安裝Windows證書服務54.1安裝證書頒發(fā)機構(gòu)54.2添加證書模板7五、申請注冊代理證書8六、安裝USBKEY的軟件及硬件10七、申請智能卡證書107.1更改IE安全設(shè)置107.2申請智能卡證書11八、使用USBKEY登錄13九、使用USBKEY的安全配置13使用USBKEY實現(xiàn)Windows智能卡登錄的說明一、前言身份認證是系統(tǒng)安全的基本方面，被用來確認任何試圖訪問網(wǎng)絡(luò)資源的用戶的身份。但目前在企業(yè)內(nèi)部所使用Windows網(wǎng)絡(luò)中，用戶名加密碼仍

2、然是普遍使用的身份認證方式，這種身份認證方式已經(jīng)暴露出越來越多的問題：l 密碼易被泄露：密碼經(jīng)常在無意之間被泄露出去。l 密碼易被竊?。好艽a被各種層出不窮的黑客和木馬工具竊取。l 密碼易被猜測：由于密碼長度有限，可能被猜測或窮舉。針對這個問題，微軟從Windows 2000開始就支持智能卡登錄。通過智能卡登錄到網(wǎng)絡(luò)提供了很強的身份認證方式。在智能卡中存放了用戶的個人信息和數(shù)字證書，用戶在登錄時必須插入智能卡并同時輸入對應的個人識別碼（PIN）才能通過身份認證。相對于口令驗證，智能卡具有更強的安全性。因為口令比較容易被不懷好意的人得到，而智能卡就像一把無法復制的鑰匙，只有拿在手里才能打開大門。U

3、SBKEY是結(jié)合USB技術(shù)和智能卡技術(shù)而開發(fā)的一種便攜式安全產(chǎn)品，體積小巧，便于攜帶和使用。下面以Windows 2003 Server為例，來描述使用USBKEY實現(xiàn)Windows 智能卡登錄的整個配置過程：l 安裝Active Directoryl 安裝IISl 安裝Windows證書服務l 申請注冊代理證書l 安裝USBKEY的軟件及硬件l 申請智能卡證書l 使用USBKEY登錄二、安裝Active Directory在Winodws的帶域網(wǎng)絡(luò)環(huán)境中，對用戶進行身份認證及授權(quán)是通過域控制器來實現(xiàn)的。要使服務器成為域控制器則必須在服務器上安裝活動目錄服務（Active Directory）

4、。Windows的活動目錄服務對網(wǎng)絡(luò)上所有對象的信息進行分類，包括用戶、計算機以及打印機等，并且通過網(wǎng)絡(luò)發(fā)布信息。有了 Active Directory，只需要登錄一次就可以很容易地找到并且使用網(wǎng)絡(luò)上任何地方的資源。安裝及配置步驟如下：第一步：啟動“管理您的服務器”，點擊“添加或刪除角色”，出現(xiàn)“配置您的服務器向?qū)А睂υ捒?，如下圖所示：第二步：在“服務器角色”中選擇“域控制器（Active Directory）”，然后點擊”下一步”按鈕。將出現(xiàn)“Active Directory 安裝向?qū)А?，請根?jù)此安裝向?qū)У慕缑嫣崾就瓿捎蚩刂破鞯陌惭b與配置。第三步：點擊”下一步”，進入屬性配置頁，在接下來的配

5、置中分別點選“新域的域控制器”和“在新林中的域”。第四步：點擊”下一步”，為新域鍵入DNS全名“”，第一個點號“.” 之前的名字將作為網(wǎng)絡(luò)標識名（NetBIOS），即新建域的名字為“HBCATEST”。第五步：點擊”下一步”，在“DNS注冊診斷”中，選擇“在這臺機器上安裝并配置DNS服務器，并將這臺DNS服務器設(shè)為這臺計算機首選DNS服務器”。第六步：點擊”下一步”，出現(xiàn)“摘要”對話框，顯示配置信息如下圖所示：第七步：點擊”下一步”，開始安裝和配置Active Directory過程。三、安裝IIS由于將使用Windows提供的基于Web的證書注冊服務來申請智能卡登錄證書，因此需要在服務器上安

6、裝IIS（Internet Information Service）服務。 安裝及配置步驟如下：第一步：啟動“管理您的服務器”，點擊“添加或刪除角色”，出現(xiàn)如下圖所示的界面。在“服務器角色”中選擇“應用程序服務器（IIS，ASP.NET）”，然后點擊“下一步”按鈕。第二步：在“應用程序服務器選項”中，如下圖所示，選中所有的工具選項，然后點擊“下一步”按鈕。此后，Windows將自動安裝并配置IIS服務。第三步：啟動“IIS管理器”，選擇“Web 服務擴展” 。檢查“Active Server Pages”是否是被允許的，如果不是，請點擊“允許”按鈕。如下圖所示：由于Windows提供的Web證

7、書申請是基于ASP（Active Server Pages）而開發(fā)的，因此要確保在IIS中ASP Web服務擴展是被允許的。第四步：啟動“IIS管理器”，選擇“網(wǎng)站”中的“默認網(wǎng)站”。在其“屬性”對話框中選擇“目錄安全性”的“編輯”按鈕，設(shè)置身份驗證方法為：啟用匿名訪問，如下圖所示：四、安裝Windows證書服務因為使用Windows提供的證書服務來申請智能卡登錄證書，所以需在服務器上安裝Windows證書服務。4.1安裝證書頒發(fā)機構(gòu)證書頒發(fā)機構(gòu)亦即通常所說的CA中心。Windows 2003 Server的安裝程序在缺省設(shè)置下并不會自動安裝證書服務。安裝及配置步驟如下：第一步：從控制面板的“

8、添加或刪除程序”中選擇“添加/刪除Windows組件”，將出現(xiàn)“Windows 組件向?qū)А睂υ捒?，如下圖所示： 第二步：從中選擇“證書服務”，然后點擊”下一步”按鈕，將出現(xiàn)“CA類型”選擇界面，如下圖所示：關(guān)于各CA的類型描述如下：l 企業(yè)根CA ：它是證書層次結(jié)構(gòu)中的最高級CA，并且需要Active Directory目錄服務。它自我簽發(fā)自己的CA 證書，并使用組策略將該證書發(fā)布到域中的所有服務器和工作站的受信任的根證書頒發(fā)機構(gòu)的存儲區(qū)中。l 企業(yè)從屬CA： 它必須從另一CA 獲得它的CA 證書，并要求有 Active Directory目錄服務。 l 獨立根CA：它是證書層次結(jié)構(gòu)中的最高級

9、CA。它既可以是域的成員也可以不是，因此它不需要 Active Directory。但是，如果存在 Active Directory 用于發(fā)布證書和證書吊銷列表，則會使用 Active Directory。l 獨立從屬CA：它必須從另一CA獲得它的CA 證書。獨立從屬CA 可以是域的成員也可以不是，因此它不需要 Active Directory。但是，如果存在 Active Directory 用于發(fā)布證書和證書吊銷列表，則會使用 Active Directory。對于企業(yè)內(nèi)部的網(wǎng)絡(luò)，一般選擇“企業(yè)根CA”類型。在接下來的過程中，請根據(jù)界面提示創(chuàng)建CA的自簽名證書。4.2添加證書模板從Wind

10、ows證書頒發(fā)機構(gòu)申請證書時，根據(jù)其訪問權(quán)限，證書申請者可從基于證書模板的各種證書類型中進行選擇。證書模板包括如何頒發(fā)證書和它們所包含的內(nèi)容，它使用戶省去了對于他們所需要的證書類型的配置細節(jié)。對于智能卡登錄來說，需要“注冊代理”和“智能卡登錄”等證書模板。這些證書模板在缺省設(shè)置中并沒有加入到證書頒發(fā)機構(gòu)中，因此需要手工添加。安裝及配置步驟如下：第一步：從管理工具中啟動“證書頒發(fā)機構(gòu)”。選擇左邊目錄樹中的“證書模板”，然后右鍵單擊，從彈出的右鍵菜單中選擇“新建”下的“要頒發(fā)的證書模板”菜單項，如下圖所示：第二步：在彈出的“啟用證書模板”對話框中，選擇“智能卡登錄”和“注冊代理”等模板，然后點擊“

11、確定”按鈕。五、申請注冊代理證書從安全方面考慮，Windows要求智能卡證書的申請是一個受控制的過程。域用戶無法申請“智能卡登錄”證書，申請智能卡證書必須通過智能卡注冊站來進行。在安裝Windows證書頒發(fā)機構(gòu)時，已安裝了智能卡注冊站。這允許管理員代表用戶申請智能卡登錄證書。但在使用智能卡注冊站之前，管理員必須獲得基于注冊代理證書模板的簽名證書。安裝及配置步驟如下：第一步：啟動IE瀏覽器，在地址欄中輸入http:/CertSrv，將出現(xiàn)Windows證書服務頁面，在頁面中選擇“申請一個證書”鏈接，如下圖所示：第二步：在申請一個證書頁面中，選擇“高級證書申請”鏈接，如下圖所示：第三步：在高級證書

12、申請頁面中選擇“創(chuàng)建并向此CA提交一個申請”鏈接，如下圖所示：第四步：在高級證書申請頁面中，證書模板選擇“注冊代理”，其余參數(shù)配置如下圖所示，點擊“提交”按鈕申請證書。第五步：在證書申請成功后，將出現(xiàn)如下圖所示頁面。點擊“安裝此證書”鏈接來安裝剛剛申請的注冊代理證書。六、安裝USBKEY的軟件及硬件系統(tǒng)管理員為域用戶申請智能卡登錄證書以及域用戶進行智能卡登錄前必須安裝USBKEY的軟件和硬件。USBKEY的軟件包含PC/SC驅(qū)動及CSP安全模塊，運行USBKEY的軟件安裝程序，根據(jù)提示安裝即可。軟件安裝完畢后，將USBKEY插入到計算機中的空閑USB接口上，系統(tǒng)將會提示找到新硬件，當系統(tǒng)提示硬

13、件已正確安裝后，就可使用USBKEY了。七、申請智能卡證書7.1更改IE安全設(shè)置從Windows證書服務Web頁面上為用戶申請智能卡證書時，將會下載一些ActiveX控件，為確保這些ActiveX控件能下載成功，需更改IE的一些安全設(shè)置。安裝及配置步驟如下：第一步：啟動IE瀏覽器，打開“Internet 選項”對話框，如下圖所示：第二步：在“安全”頁面中，選擇“Internet”區(qū)域，然后點擊“自定義級別”按鈕，將彈出“安全設(shè)置”對話框，如下圖所示： 第三步：將“對沒有標記為安全的ActiveX控件進行初始化和腳本運行”及“下載未簽名的ActiveX控件”項設(shè)為提示，然后點擊“確定”按鈕。7.

14、2申請智能卡證書 打開Windows證書服務Web頁面，申請并下載用戶智能卡證書。 安裝及配置步驟如下：第一步：啟動IE瀏覽器，在地址欄中輸入http:/CertSrv，將出現(xiàn)Windows證書服務頁面，在頁面中選擇“申請一個證書”鏈接，如下圖所示：第二步：在申請一個證書頁面中，選擇“高級證書申請”鏈接，如下圖所示：第三步：在高級證書申請頁面中選擇“通過使用智能卡證書注冊站來為另一用戶申請一個智能卡證書”鏈接，如下圖所示：第四步：在智能卡證書注冊站頁面中，證書模板選擇“智能卡登錄”，加密服務提供程序選擇相應的USBKEY驅(qū)動程序。點擊“選擇用戶”按鈕選擇欲申請證書的用戶名稱，如：administrator。如下圖所示：第五步：插入USBKEY，然后點擊“注冊”按鈕，將出現(xiàn)如下圖所示的“PIN碼校驗”對話框。請輸入用戶PIN，然后點擊“確定”按鈕。第六步：當出現(xiàn)如下圖所示的頁面時，表明用戶的智能卡證書已申請成功。八、使用USBKEY登錄當為用戶申請智能卡登錄證書后，用戶就可以使用USBKEY來進行Windows域登錄了。登錄步驟如下：第一步：當系統(tǒng)啟動出現(xiàn)如下圖所示的界面時，插入USBKEY。第二步：彈出如下圖所示的對話框，請輸入用戶PIN。如果PIN輸入正確，將成功進入Windows操作系統(tǒng)并可訪問網(wǎng)絡(luò)中許可訪問的資源。當計算機被鎖定時，也可插入USBK