使用USBKEY實(shí)現(xiàn)智能卡域登錄的說明

/使用ＵSBKEＹ實(shí)現(xiàn)Ｗｉｎｄows智能卡登錄的說明２007年1月1８日目錄ＴＯＣ＼o”1-３”\ｈ\zＨYPEＲLINK\l”_Toｃ1５6９８77９7"一、前言?PAGＥREF＿Toc1５６９8779７\ｈ1HＹPERLＩNＫ＼l＂_Toc１56987798"二、安裝AｃtiｖeDirecｔory?PAGEＲEF_Toc１５6９８77９8\h1HＹPＥRLINK4．2添加證書模板 PＡＧＥREF_Toc1569８7802\ｈ7HYPERLINK＼l"_Ｔｏｃ１569８7803"五、申請(qǐng)注冊(cè)代理證書 ＰAGEREF_Ｔoc156987803\ｈ8ＨＹPERLINK\l＂＿Toｃ1５６987８０4＂六、安裝USBKEY的軟件及硬件?PAGEREF_Tｏc156９87８04\h１0HYPERLINK\l”_Ｔoｃ15６９87805”七、申請(qǐng)智能卡證書 PAGＥRＥＦ_Ｔoc156987８0５\ｈ10HYPＥRLINK＼l”_Tｏc1５6987８06"7．1更改IＥ安全設(shè)置 PAGＥREF＿Toc１569878０6\h10HＹPERLINK＼l”_Toc1５6987８07＂7．2申請(qǐng)智能卡證書?ＰＡGＥREF_Ｔｏc１５6987８０7\h11HYＰEＲＬINＫ\ｌ＂_Ｔoc１5698７808"八、使用USＢＫEY登錄 PAGEREF_Ｔoc１５69８7８0８\h13HYPERLINK\l＂＿Ｔoc１5698780９”九、使用USBKＥＹ的安全配置?ＰＡGEREF_Tｏｃ156987809\ｈ1３使用USBKEY實(shí)現(xiàn)Windoｗs智能卡登錄的說明一、前言身份認(rèn)證是系統(tǒng)安全的基本方面,被用來確認(rèn)任何試圖訪問網(wǎng)絡(luò)資源的用戶的身份。但目前在企業(yè)內(nèi)部所使用Ｗindows網(wǎng)絡(luò)中,用戶名加密碼仍然是普遍使用的身份認(rèn)證方式，這種身份認(rèn)證方式已經(jīng)暴露出越來越多的問題：密碼易被泄露:密碼經(jīng)常在無意之間被泄露出去.密碼易被竊取:密碼被各種層出不窮的黑客和木馬工具竊取。密碼易被猜測：由于密碼長度有限,可能被猜測或窮舉。針對(duì)這個(gè)問題，微軟從Wｉndｏws200０開始就支持智能卡登錄。通過智能卡登錄到網(wǎng)絡(luò)提供了很強(qiáng)的身份認(rèn)證方式。在智能卡中存放了用戶的個(gè)人信息和數(shù)字證書,用戶在登錄時(shí)必須插入智能卡并同時(shí)輸入對(duì)應(yīng)的個(gè)人識(shí)別碼(PＩN)才能通過身份認(rèn)證。相對(duì)于口令驗(yàn)證，智能卡具有更強(qiáng)的安全性。因?yàn)榭诹畋容^容易被不懷好意的人得到，而智能卡就像一把無法復(fù)制的鑰匙，只有拿在手里才能打開大門。 ＵSBＫEY是結(jié)合ＵSＢ技術(shù)和智能卡技術(shù)而開發(fā)的一種便攜式安全產(chǎn)品,體積小巧，便于攜帶和使用。下面以Winｄｏws２０03Ｓervｅr為例，來描述使用USＢKＥY實(shí)現(xiàn)Winｄows智能卡登錄的整個(gè)配置過程：安裝ActiveＤirectory安裝IIS安裝Wiｎｄowｓ證書服務(wù)申請(qǐng)注冊(cè)代理證書安裝USBKEY的軟件及硬件申請(qǐng)智能卡證書使用ＵSＢＫＥY登錄二、安裝AｃtiｖeＤｉrecｔory 在Winodws的帶域網(wǎng)絡(luò)環(huán)境中,對(duì)用戶進(jìn)行身份認(rèn)證及授權(quán)是通過域控制器來實(shí)現(xiàn)的。要使服務(wù)器成為域控制器則必須在服務(wù)器上安裝活動(dòng)目錄服務(wù)(ActiveDirectorｙ)。Wiｎｄｏws的活動(dòng)目錄服務(wù)對(duì)網(wǎng)絡(luò)上所有對(duì)象的信息進(jìn)行分類，包括用戶、計(jì)算機(jī)以及打印機(jī)等，并且通過網(wǎng)絡(luò)發(fā)布信息。有了AcｔiveDirectory,只需要登錄一次就可以很容易地找到并且使用網(wǎng)絡(luò)上任何地方的資源。安裝及配置步驟如下：?第一步：啟動(dòng)“管理您的服務(wù)器”，點(diǎn)擊“添加或刪除角色”，出現(xiàn)“配置您的服務(wù)器向?qū)А睂?duì)話框，如下圖所示： 第二步：在“服務(wù)器角色”中選擇“域控制器(ActiveDｉｒｅｃtorｙ）",然后點(diǎn)擊"下一步”按鈕。將出現(xiàn)“AcｔiveDireｃtory安裝向?qū)А?請(qǐng)根據(jù)此安裝向?qū)У慕缑嫣崾就瓿捎蚩刂破鞯陌惭b與配置。第三步：點(diǎn)擊”下一步”，進(jìn)入屬性配置頁,在接下來的配置中分別點(diǎn)選“新域的域控制器"和“在新林中的域”。第四步:點(diǎn)擊"下一步”,為新域鍵入ＤNS全名“”,第一個(gè)點(diǎn)號(hào)“．”之前的名字將作為網(wǎng)絡(luò)標(biāo)識(shí)名(NｅｔBIＯS),即新建域的名字為“ＨBCATＥST”。第五步:點(diǎn)擊"下一步”，在“DＮS注冊(cè)診斷”中,選擇“在這臺(tái)機(jī)器上安裝并配置DＮS服務(wù)器，并將這臺(tái)DNＳ服務(wù)器設(shè)為這臺(tái)計(jì)算機(jī)首選ＤＮS服務(wù)器”。第六步：點(diǎn)擊”下一步”，出現(xiàn)“摘要"對(duì)話框，顯示配置信息如下圖所示：第七步：點(diǎn)擊”下一步"，開始安裝和配置ＡｃtｉｖeＤｉrｅｃtorｙ過程。三、安裝IIS?由于將使用Winｄｏws提供的基于Weｂ的證書注冊(cè)服務(wù)來申請(qǐng)智能卡登錄證書,因此需要在服務(wù)器上安裝IＩS(InternetInformａt(yī)ionSｅrｖice）服務(wù)。安裝及配置步驟如下: 第一步：啟動(dòng)“管理您的服務(wù)器”，點(diǎn)擊“添加或刪除角色”，出現(xiàn)如下圖所示的界面。在“服務(wù)器角色”中選擇“應(yīng)用程序服務(wù)器(II）”，然后點(diǎn)擊“下一步"按鈕。第二步:在“應(yīng)用程序服務(wù)器選項(xiàng)”中，如下圖所示,選中所有的工具選項(xiàng)，然后點(diǎn)擊“下一步"按鈕.此后，Winｄｏws將自動(dòng)安裝并配置IIＳ服務(wù).?第三步：啟動(dòng)“IIS管理器”，選擇“Web服務(wù)擴(kuò)展".檢查“ActiveSerｖerPaｇes”是否是被允許的，如果不是，請(qǐng)點(diǎn)擊“允許”按鈕.如下圖所示：由于Ｗｉndｏwｓ提供的Wｅb證書申請(qǐng)是基于ＡSP（ActiveSerｖerPaｇes）而開發(fā)的，因此要確保在IIS中ASPWeｂ服務(wù)擴(kuò)展是被允許的。第四步：啟動(dòng)“IIS管理器”，選擇“網(wǎng)站"中的“默認(rèn)網(wǎng)站”。在其“屬性”對(duì)話框中選擇“目錄安全性”的“編輯”按鈕,設(shè)置身份驗(yàn)證方法為:啟用匿名訪問，如下圖所示：四、安裝Wｉｎｄoｗs證書服務(wù)因?yàn)槭褂肳inｄｏws提供的證書服務(wù)來申請(qǐng)智能卡登錄證書，所以需在服務(wù)器上安裝Wiｎｄows證書服務(wù).4。１安裝證書頒發(fā)機(jī)構(gòu)?證書頒發(fā)機(jī)構(gòu)亦即通常所說的CA中心。Wｉndowｓ200３Seｒｖer的安裝程序在缺省設(shè)置下并不會(huì)自動(dòng)安裝證書服務(wù).安裝及配置步驟如下：第一步：從控制面板的“添加或刪除程序"中選擇“添加/刪除Windowｓ組件”，將出現(xiàn)“Ｗindoｗｓ組件向?qū)А睂?duì)話框,如下圖所示：第二步:從中選擇“證書服務(wù)”，然后點(diǎn)擊”下一步”按鈕，將出現(xiàn)“CA類型"選擇界面，如下圖所示:關(guān)于各CA的類型描述如下:企業(yè)根CA：它是證書層次結(jié)構(gòu)中的最高級(jí)ＣA，并且需要AcｔｉｖｅDireｃｔｏrｙ目錄服務(wù)。它自我簽發(fā)自己的CA證書,并使用組策略將該證書發(fā)布到域中的所有服務(wù)器和工作站的受信任的根證書頒發(fā)機(jī)構(gòu)的存儲(chǔ)區(qū)中。企業(yè)從屬CA：它必須從另一CＡ獲得它的CＡ證書，并要求有ActiveＤｉrｅｃtｏrｙ目錄服務(wù).獨(dú)立根ＣA：它是證書層次結(jié)構(gòu)中的最高級(jí)CA。它既可以是域的成員也可以不是，因此它不需要ActiｖｅDiｒｅcｔorｙ。但是,如果存在AcｔiveDｉrectｏry用于發(fā)布證書和證書吊銷列表，則會(huì)使用AｃｔivｅDirectｏrｙ。獨(dú)立從屬CＡ：它必須從另一CA獲得它的CA證書。獨(dú)立從屬CA可以是域的成員也可以不是，因此它不需要ActiｖeDiｒｅctｏrｙ。但是，如果存在ActivｅDireｃｔｏry用于發(fā)布證書和證書吊銷列表，則會(huì)使用ＡctiveＤireｃｔory。對(duì)于企業(yè)內(nèi)部的網(wǎng)絡(luò)，一般選擇“企業(yè)根CＡ”類型.在接下來的過程中，請(qǐng)根據(jù)界面提示創(chuàng)建CA的自簽名證書.4。2添加證書模板從Wｉndｏws證書頒發(fā)機(jī)構(gòu)申請(qǐng)證書時(shí)，根據(jù)其訪問權(quán)限，證書申請(qǐng)者可從基于證書模板的各種證書類型中進(jìn)行選擇.證書模板包括如何頒發(fā)證書和它們所包含的內(nèi)容，它使用戶省去了對(duì)于他們所需要的證書類型的配置細(xì)節(jié)。對(duì)于智能卡登錄來說,需要“注冊(cè)代理”和“智能卡登錄”等證書模板。這些證書模板在缺省設(shè)置中并沒有加入到證書頒發(fā)機(jī)構(gòu)中,因此需要手工添加.安裝及配置步驟如下: 第一步：從管理工具中啟動(dòng)“證書頒發(fā)機(jī)構(gòu)"。選擇左邊目錄樹中的“證書模板”，然后右鍵單擊，從彈出的右鍵菜單中選擇“新建”下的“要頒發(fā)的證書模板”菜單項(xiàng),如下圖所示:?第二步：在彈出的“啟用證書模板”對(duì)話框中,選擇“智能卡登錄”和“注冊(cè)代理"等模板,然后點(diǎn)擊“確定”按鈕.五、申請(qǐng)注冊(cè)代理證書從安全方面考慮，Winｄｏws要求智能卡證書的申請(qǐng)是一個(gè)受控制的過程。域用戶無法申請(qǐng)“智能卡登錄”證書,申請(qǐng)智能卡證書必須通過智能卡注冊(cè)站來進(jìn)行。在安裝Ｗinｄows證書頒發(fā)機(jī)構(gòu)時(shí)，已安裝了智能卡注冊(cè)站。這允許管理員代表用戶申請(qǐng)智能卡登錄證書。但在使用智能卡注冊(cè)站之前,管理員必須獲得基于注冊(cè)代理證書模板的簽名證書。安裝及配置步驟如下：第一步：啟動(dòng)ＩＥ瀏覽器，在地址欄中輸入，將出現(xiàn)Windｏws證書服務(wù)頁面,在頁面中選擇“申請(qǐng)一個(gè)證書"鏈接，如下圖所示: 第二步：在申請(qǐng)一個(gè)證書頁面中,選擇“高級(jí)證書申請(qǐng)”鏈接,如下圖所示： 第三步：在高級(jí)證書申請(qǐng)頁面中選擇“創(chuàng)建并向此ＣA提交一個(gè)申請(qǐng)"鏈接,如下圖所示：?第四步:在高級(jí)證書申請(qǐng)頁面中，證書模板選擇“注冊(cè)代理”，其余參數(shù)配置如下圖所示，點(diǎn)擊“提交”按鈕申請(qǐng)證書。 第五步：在證書申請(qǐng)成功后，將出現(xiàn)如下圖所示頁面。點(diǎn)擊“安裝此證書”鏈接來安裝剛剛申請(qǐng)的注冊(cè)代理證書。六、安裝ＵSＢKEY的軟件及硬件?系統(tǒng)管理員為域用戶申請(qǐng)智能卡登錄證書以及域用戶進(jìn)行智能卡登錄前必須安裝USBＫEY的軟件和硬件。 USBＫEY的軟件包含PＣ/SＣ驅(qū)動(dòng)及CＳP安全模塊，運(yùn)行USＢKＥY的軟件安裝程序，根據(jù)提示安裝即可。?軟件安裝完畢后，將USBKEY插入到計(jì)算機(jī)中的空閑USB接口上，系統(tǒng)將會(huì)提示找到新硬件,當(dāng)系統(tǒng)提示硬件已正確安裝后，就可使用USBKEY了。七、申請(qǐng)智能卡證書７.1更改IE安全設(shè)置 從Winｄｏws證書服務(wù)Wｅb頁面上為用戶申請(qǐng)智能卡證書時(shí),將會(huì)下載一些ActivｅX控件，為確保這些AｃtiveX控件能下載成功，需更改IＥ的一些安全設(shè)置.?安裝及配置步驟如下：第一步：啟動(dòng)IE瀏覽器，打開“Ｉnteｒｎet選項(xiàng)"對(duì)話框，如下圖所示：第二步:在“安全”頁面中,選擇“Ｉnternet”區(qū)域，然后點(diǎn)擊“自定義級(jí)別"按鈕,將彈出“安全設(shè)置”對(duì)話框,如下圖所示：?第三步：將“對(duì)沒有標(biāo)記為安全的ActｉveＸ控件進(jìn)行初始化和腳本運(yùn)行”及“下載未簽名的AｃtiveX控件"項(xiàng)設(shè)為提示，然后點(diǎn)擊“確定"按鈕。７。2申請(qǐng)智能卡證書打開Windｏｗｓ證書服務(wù)Web頁面,申請(qǐng)并下載用戶智能卡證書。安裝及配置步驟如下：第一步：啟動(dòng)IE瀏覽器，在地址欄中輸入,將出現(xiàn)Wiｎdoｗｓ證書服務(wù)頁面，在頁面中選擇“申請(qǐng)一個(gè)證書"鏈接，如下圖所示:?第二步:在申請(qǐng)一個(gè)證書頁面中,選擇“高級(jí)證書申請(qǐng)”鏈接，如下圖所示： 第三步:在高級(jí)證書申請(qǐng)頁面中選擇“通過使用智能卡證書注冊(cè)站來為另一用戶申請(qǐng)一個(gè)智能卡證書”鏈接，如下圖所示：?第四步:在智能卡證書注冊(cè)站頁面中，證書模板選擇“智能卡登錄”，加密服務(wù)提供程序選擇相應(yīng)的USBKEY驅(qū)動(dòng)程序.點(diǎn)擊“選擇用戶…”按鈕選擇欲申請(qǐng)證書的用戶名稱，如：ａｄminiｓtratoｒ。如下圖所示：?第五步：插入U(xiǎn)SBＫＥY，然后點(diǎn)擊“注冊(cè)”按鈕,將出現(xiàn)如下圖所示的“PIＮ碼校驗(yàn)”對(duì)話框。請(qǐng)輸入用戶PIＮ，然后點(diǎn)擊“確定”按鈕。??第六步：當(dāng)出現(xiàn)如下圖所示的頁面時(shí),表明用戶的智能卡證書已申請(qǐng)成功。八、使用USＢＫEY登錄?當(dāng)為用戶申請(qǐng)智能卡登錄證書后,用戶就可以使用USＢＫEY來進(jìn)行Wｉndｏws域登錄了.登錄步驟如下：第一步:當(dāng)系統(tǒng)啟動(dòng)出現(xiàn)如下圖所示的界面時(shí)，插入U(xiǎn)ＳBKEY。?第二步：彈出如下圖所示的對(duì)話框,請(qǐng)輸入用戶PIＮ。如果PIN輸入正確,將成功進(jìn)入Windowｓ操作系統(tǒng)并可訪問網(wǎng)絡(luò)中許可訪問的資源