使用USBKEY實現(xiàn)智能卡域登錄的說明

/使用ＵSBKEＹ實現(xiàn)Ｗｉｎｄows智能卡登錄的說明２007年1月1８日目錄ＴＯＣ＼o”1-３”\ｈ\zＨYPEＲLINK\l”_Toｃ1５6９８77９7"一、前言?PAGＥREF＿Toc1５６９8779７\ｈ1HＹPERLＩNＫ＼l＂_Toc１56987798"二、安裝AｃtiｖeDirecｔory?PAGEＲEF_Toc１５6９８77９8\h1HＹPＥRLINK4．2添加證書模板 PＡＧＥREF_Toc1569８7802\ｈ7HYPERLINK＼l"_Ｔｏｃ１569８7803"五、申請注冊代理證書 ＰAGEREF_Ｔoc156987803\ｈ8ＨＹPERLINK\l＂＿Toｃ1５６987８０4＂六、安裝USBKEY的軟件及硬件?PAGEREF_Tｏc156９87８04\h１0HYPERLINK\l”_Ｔoｃ15６９87805”七、申請智能卡證書 PAGＥRＥＦ_Ｔoc156987８0５\ｈ10HYPＥRLINK＼l”_Tｏc1５6987８06"7．1更改IＥ安全設置 PAGＥREF＿Toc１569878０6\h10HＹPERLINK＼l”_Toc1５6987８07＂7．2申請智能卡證書?ＰＡGＥREF_Ｔｏc１５6987８０7\h11HYＰEＲＬINＫ\ｌ＂_Ｔoc１5698７808"八、使用USＢＫEY登錄 PAGEREF_Ｔoc１５69８7８0８\h13HYPERLINK\l＂＿Ｔoc１5698780９”九、使用USBKＥＹ的安全配置?ＰＡGEREF_Tｏｃ156987809\ｈ1３使用USBKEY實現(xiàn)Windoｗs智能卡登錄的說明一、前言身份認證是系統(tǒng)安全的基本方面,被用來確認任何試圖訪問網(wǎng)絡資源的用戶的身份。但目前在企業(yè)內(nèi)部所使用Ｗindows網(wǎng)絡中,用戶名加密碼仍然是普遍使用的身份認證方式，這種身份認證方式已經(jīng)暴露出越來越多的問題：密碼易被泄露:密碼經(jīng)常在無意之間被泄露出去.密碼易被竊取:密碼被各種層出不窮的黑客和木馬工具竊取。密碼易被猜測：由于密碼長度有限,可能被猜測或窮舉。針對這個問題，微軟從Wｉndｏws200０開始就支持智能卡登錄。通過智能卡登錄到網(wǎng)絡提供了很強的身份認證方式。在智能卡中存放了用戶的個人信息和數(shù)字證書,用戶在登錄時必須插入智能卡并同時輸入對應的個人識別碼(PＩN)才能通過身份認證。相對于口令驗證，智能卡具有更強的安全性。因為口令比較容易被不懷好意的人得到，而智能卡就像一把無法復制的鑰匙，只有拿在手里才能打開大門。 ＵSBＫEY是結合ＵSＢ技術和智能卡技術而開發(fā)的一種便攜式安全產(chǎn)品,體積小巧，便于攜帶和使用。下面以Winｄｏws２０03Ｓervｅr為例，來描述使用USＢKＥY實現(xiàn)Winｄows智能卡登錄的整個配置過程：安裝ActiveＤirectory安裝IIS安裝Wiｎｄowｓ證書服務申請注冊代理證書安裝USBKEY的軟件及硬件申請智能卡證書使用ＵSＢＫＥY登錄二、安裝AｃtiｖeＤｉrecｔory 在Winodws的帶域網(wǎng)絡環(huán)境中,對用戶進行身份認證及授權是通過域控制器來實現(xiàn)的。要使服務器成為域控制器則必須在服務器上安裝活動目錄服務(ActiveDirectorｙ)。Wiｎｄｏws的活動目錄服務對網(wǎng)絡上所有對象的信息進行分類，包括用戶、計算機以及打印機等，并且通過網(wǎng)絡發(fā)布信息。有了AcｔiveDirectory,只需要登錄一次就可以很容易地找到并且使用網(wǎng)絡上任何地方的資源。安裝及配置步驟如下：?第一步：啟動“管理您的服務器”，點擊“添加或刪除角色”，出現(xiàn)“配置您的服務器向?qū)А睂υ捒?，如下圖所示： 第二步：在“服務器角色”中選擇“域控制器(ActiveDｉｒｅｃtorｙ）",然后點擊"下一步”按鈕。將出現(xiàn)“AcｔiveDireｃtory安裝向?qū)А?請根據(jù)此安裝向?qū)У慕缑嫣崾就瓿捎蚩刂破鞯陌惭b與配置。第三步：點擊”下一步”，進入屬性配置頁,在接下來的配置中分別點選“新域的域控制器"和“在新林中的域”。第四步:點擊"下一步”,為新域鍵入ＤNS全名“”,第一個點號“．”之前的名字將作為網(wǎng)絡標識名(NｅｔBIＯS),即新建域的名字為“ＨBCATＥST”。第五步:點擊"下一步”，在“DＮS注冊診斷”中,選擇“在這臺機器上安裝并配置DＮS服務器，并將這臺DNＳ服務器設為這臺計算機首選ＤＮS服務器”。第六步：點擊”下一步”，出現(xiàn)“摘要"對話框，顯示配置信息如下圖所示：第七步：點擊”下一步"，開始安裝和配置ＡｃtｉｖeＤｉrｅｃtorｙ過程。三、安裝IIS?由于將使用Winｄｏws提供的基于Weｂ的證書注冊服務來申請智能卡登錄證書,因此需要在服務器上安裝IＩS(InternetInformａt(yī)ionSｅrｖice）服務。安裝及配置步驟如下: 第一步：啟動“管理您的服務器”，點擊“添加或刪除角色”，出現(xiàn)如下圖所示的界面。在“服務器角色”中選擇“應用程序服務器(II）”，然后點擊“下一步"按鈕。第二步:在“應用程序服務器選項”中，如下圖所示,選中所有的工具選項，然后點擊“下一步"按鈕.此后，Winｄｏws將自動安裝并配置IIＳ服務.?第三步：啟動“IIS管理器”，選擇“Web服務擴展".檢查“ActiveSerｖerPaｇes”是否是被允許的，如果不是，請點擊“允許”按鈕.如下圖所示：由于Ｗｉndｏwｓ提供的Wｅb證書申請是基于ＡSP（ActiveSerｖerPaｇes）而開發(fā)的，因此要確保在IIS中ASPWeｂ服務擴展是被允許的。第四步：啟動“IIS管理器”，選擇“網(wǎng)站"中的“默認網(wǎng)站”。在其“屬性”對話框中選擇“目錄安全性”的“編輯”按鈕,設置身份驗證方法為:啟用匿名訪問，如下圖所示：四、安裝Wｉｎｄoｗs證書服務因為使用Winｄｏws提供的證書服務來申請智能卡登錄證書，所以需在服務器上安裝Wiｎｄows證書服務.4。１安裝證書頒發(fā)機構?證書頒發(fā)機構亦即通常所說的CA中心。Wｉndowｓ200３Seｒｖer的安裝程序在缺省設置下并不會自動安裝證書服務.安裝及配置步驟如下：第一步：從控制面板的“添加或刪除程序"中選擇“添加/刪除Windowｓ組件”，將出現(xiàn)“Ｗindoｗｓ組件向?qū)А睂υ捒?如下圖所示：第二步:從中選擇“證書服務”，然后點擊”下一步”按鈕，將出現(xiàn)“CA類型"選擇界面，如下圖所示:關于各CA的類型描述如下:企業(yè)根CA：它是證書層次結構中的最高級ＣA，并且需要AcｔｉｖｅDireｃｔｏrｙ目錄服務。它自我簽發(fā)自己的CA證書,并使用組策略將該證書發(fā)布到域中的所有服務器和工作站的受信任的根證書頒發(fā)機構的存儲區(qū)中。企業(yè)從屬CA：它必須從另一CＡ獲得它的CＡ證書，并要求有ActiveＤｉrｅｃtｏrｙ目錄服務.獨立根ＣA：它是證書層次結構中的最高級CA。它既可以是域的成員也可以不是，因此它不需要ActiｖｅDiｒｅcｔorｙ。但是,如果存在AcｔiveDｉrectｏry用于發(fā)布證書和證書吊銷列表，則會使用AｃｔivｅDirectｏrｙ。獨立從屬CＡ：它必須從另一CA獲得它的CA證書。獨立從屬CA可以是域的成員也可以不是，因此它不需要ActiｖeDiｒｅctｏrｙ。但是，如果存在ActivｅDireｃｔｏry用于發(fā)布證書和證書吊銷列表，則會使用ＡctiveＤireｃｔory。對于企業(yè)內(nèi)部的網(wǎng)絡，一般選擇“企業(yè)根CＡ”類型.在接下來的過程中，請根據(jù)界面提示創(chuàng)建CA的自簽名證書.4。2添加證書模板從Wｉndｏws證書頒發(fā)機構申請證書時，根據(jù)其訪問權限，證書申請者可從基于證書模板的各種證書類型中進行選擇.證書模板包括如何頒發(fā)證書和它們所包含的內(nèi)容，它使用戶省去了對于他們所需要的證書類型的配置細節(jié)。對于智能卡登錄來說,需要“注冊代理”和“智能卡登錄”等證書模板。這些證書模板在缺省設置中并沒有加入到證書頒發(fā)機構中,因此需要手工添加.安裝及配置步驟如下: 第一步：從管理工具中啟動“證書頒發(fā)機構"。選擇左邊目錄樹中的“證書模板”，然后右鍵單擊，從彈出的右鍵菜單中選擇“新建”下的“要頒發(fā)的證書模板”菜單項,如下圖所示:?第二步：在彈出的“啟用證書模板”對話框中,選擇“智能卡登錄”和“注冊代理"等模板,然后點擊“確定”按鈕.五、申請注冊代理證書從安全方面考慮，Winｄｏws要求智能卡證書的申請是一個受控制的過程。域用戶無法申請“智能卡登錄”證書,申請智能卡證書必須通過智能卡注冊站來進行。在安裝Ｗinｄows證書頒發(fā)機構時，已安裝了智能卡注冊站。這允許管理員代表用戶申請智能卡登錄證書。但在使用智能卡注冊站之前,管理員必須獲得基于注冊代理證書模板的簽名證書。安裝及配置步驟如下：第一步：啟動ＩＥ瀏覽器，在地址欄中輸入，將出現(xiàn)Windｏws證書服務頁面,在頁面中選擇“申請一個證書"鏈接，如下圖所示: 第二步：在申請一個證書頁面中,選擇“高級證書申請”鏈接,如下圖所示： 第三步：在高級證書申請頁面中選擇“創(chuàng)建并向此ＣA提交一個申請"鏈接,如下圖所示：?第四步:在高級證書申請頁面中，證書模板選擇“注冊代理”，其余參數(shù)配置如下圖所示，點擊“提交”按鈕申請證書。 第五步：在證書申請成功后，將出現(xiàn)如下圖所示頁面。點擊“安裝此證書”鏈接來安裝剛剛申請的注冊代理證書。六、安裝ＵSＢKEY的軟件及硬件?系統(tǒng)管理員為域用戶申請智能卡登錄證書以及域用戶進行智能卡登錄前必須安裝USBＫEY的軟件和硬件。 USBＫEY的軟件包含PＣ/SＣ驅(qū)動及CＳP安全模塊，運行USＢKＥY的軟件安裝程序，根據(jù)提示安裝即可。?軟件安裝完畢后，將USBKEY插入到計算機中的空閑USB接口上，系統(tǒng)將會提示找到新硬件,當系統(tǒng)提示硬件已正確安裝后，就可使用USBKEY了。七、申請智能卡證書７.1更改IE安全設置 從Winｄｏws證書服務Wｅb頁面上為用戶申請智能卡證書時,將會下載一些ActivｅX控件，為確保這些AｃtiveX控件能下載成功，需更改IＥ的一些安全設置.?安裝及配置步驟如下：第一步：啟動IE瀏覽器，打開“Ｉnteｒｎet選項"對話框，如下圖所示：第二步:在“安全”頁面中,選擇“Ｉnternet”區(qū)域，然后點擊“自定義級別"按鈕,將彈出“安全設置”對話框,如下圖所示：?第三步：將“對沒有標記為安全的ActｉveＸ控件進行初始化和腳本運行”及“下載未簽名的AｃtiveX控件"項設為提示，然后點擊“確定"按鈕。７。2申請智能卡證書打開Windｏｗｓ證書服務Web頁面,申請并下載用戶智能卡證書。安裝及配置步驟如下：第一步：啟動IE瀏覽器，在地址欄中輸入,將出現(xiàn)Wiｎdoｗｓ證書服務頁面，在頁面中選擇“申請一個證書"鏈接，如下圖所示:?第二步:在申請一個證書頁面中,選擇“高級證書申請”鏈接，如下圖所示： 第三步:在高級證書申請頁面中選擇“通過使用智能卡證書注冊站來為另一用戶申請一個智能卡證書”鏈接，如下圖所示：?第四步:在智能卡證書注冊站頁面中，證書模板選擇“智能卡登錄”，加密服務提供程序選擇相應的USBKEY驅(qū)動程序.點擊“選擇用戶…”按鈕選擇欲申請證書的用戶名稱，如：ａｄminiｓtratoｒ。如下圖所示：?第五步：插入USBＫＥY，然后點擊“注冊”按鈕,將出現(xiàn)如下圖所示的“PIＮ碼校驗”對話框。請輸入用戶PIＮ，然后點擊“確定”按鈕。??第六步：當出現(xiàn)如下圖所示的頁面時,表明用戶的智能卡證書已申請成功。八、使用USＢＫEY登錄?當為用戶申請智能卡登錄證書后,用戶就可以使用USＢＫEY來進行Wｉndｏws域登錄了.登錄步驟如下：第一步:當系統(tǒng)啟動出現(xiàn)如下圖所示的界面時，插入UＳBKEY。?第二步：彈出如下圖所示的對話框,請輸入用戶PIＮ。如果PIN輸入正確,將成功進入Windowｓ操作系統(tǒng)并可訪問網(wǎng)絡中許可訪問的資源