epasswindowsserver2003智能卡登录

北京飞天诚信科技有限公司www.FT 北京飞天诚信科技有限公司www.FT 前 言目前在企业内部使用的内部网管理 Window 系统登录仍采用用户名/密码方式进行身份认证，已经暴露越来越多的问题：密码容易泄露：经常在无意之间将密码泄露出去。密码容易被窃取：随着技术的发展，各种黑客和木马工具层出不穷，密码很容易被窃取。密码容易被猜测：由于密码长度有限，可能猜测密码或穷举。针对这个问题，微软在 windows 2000 就开始支持智能卡证书登录，但是由于以下几个原因，一直没有大范围的应用： 使用智能卡和智能卡读写器的成本高，使用和携带不方便 许多读卡器厂商开发的读卡器接口都不是基于标准（PC/SC 等）来开发的 需要开发相应的 CSP（Cryptographic Service Providers）程序针对这几个方面，飞天诚信开发了 ePass 系列身份认证锁： 集读卡器和智能卡功能于一体，降低了成本，使用的是标准 USB 接口，体积小巧，方便携带 ePass 的驱动程序是支持标准的 PC/SC 开发出基于 ePass 的 CSP在 ePass 上实现 Windows Server 2003 上实现智能卡登录不需要进行程序的开发，只需配置系统就可以了，我们分八个步骤来进行智能卡登录：一、配置域控制器二、配置 IIS 服务器三、配置 CA 服务器四、申请注册代理证书五、安装 ePass 的驱动程序及硬件六、初始化 ePass北京飞天诚信科技有限公司www.FT 七、申请智能卡证书八、使用智能卡登录一、 配置域控制器（Active Directory ）由于智能卡是基于 PKI 体系的，而 PKI 体系的核心是 CA 中心，而要建立 CA 中心颁发智能卡证书，需要安装企业根 CA，而安装企业 CA 中心，要求必须安装域控制器（Active Directory ）, 下面我们来配置域控制器从管理您的服务器界面上选择“添加或删除角色”选项，进入到选择服务角色（图 1-1）图 1-1 选择服务器的角色选择“域控制器（Active Directory） ，选择“下一步（N ） ”按钮，按界面操作来配置域控制器，设置服务器类型，DNS,NetBIOS 等，完成域控制器的配置北京飞天诚信科技有限公司www.FT 二、 配置 IIS 服务器因为我们从 web 上来申请智能卡证书，而 windows 2003 Server 自带的证书系统需要通过 IIS 来发布证书，因此我们需要安装 IIS 服务器，其服务器程序是基于 asp，所以我们必须配置 active server page 为允许，我们下面来配置 IIS 服务器从管理您的服务器界面上选择“添加或删除角色”选项,后进入配置服务器角色的界面（图 2-1）图 2-1 配置服务器角色选择“应用程序服务器（IIS,ASP.NET） ”，选择“下一步（N）”按钮，按系统提供完成 IIS 的其它配置。启动 IIS,出现 Web 服务扩展界面（图 2-2）北京飞天诚信科技有限公司www.FT 图 2-2 Web 服务扩展将 Active Server Pages 服务设置为允许完成 Internet 信息服务（IIS）管理器的配置三、 配置 CA 服务器要颁发智能卡证书，必须要配置证书服务器，我们下面来配置证书服务器。选择“添加/删除 Windows 组件，出现添加删除 windows 组件的界面（图 3-1）北京飞天诚信科技有限公司www.FT 图 3-1 添加/删除 Windows 组件选择“证书服务”选项后出现，选择“下一步（N ）”按钮,根据系统提示进行操作，出现选择 CA 类型界面（图 3-2）北京飞天诚信科技有限公司www.FT 图 3-2 选择 CA 类型要颁发智能卡登录证书，必须选择“企业根 CA”才可以使用，选择“企业根 CA（E ） ”后，选择“下一步（N） ”按钮，根据系统提示填写 CA 识别信息、证书数据库设置等信息后完成证书颁发机构的安装注：企业根 CA 和独立根 CA 都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根 CA 需要 Active Directory 支持，而独立根 CA 不需要。从属级的 CA由于只能从另一证书颁发机构获取证书，所以一般不被选择。而创立根主要用于外部网的CA,在安装后不能增加证书模板，不能颁发智能卡证书，所以我们这里不选择独立根 CA。启动“证书颁发机构” ，启动证书模板对话框（图 3-3）北京飞天诚信科技有限公司www.FT 图 3-3 启动证书模板选择智能卡用户，智能卡登录，注册代理，注册代理（计算机）等策略，后选择“确定”按钮，返回到证书颁发机构（图 3-4）图 3-4 证书模板我们看到我们新增加的证书模板，已经位于证书模板中了，完成 CA 中心的配置北京飞天诚信科技有限公司www.FT 注：智能卡登录功能有客户端验证，智能卡登录。智能卡用户比智能卡登录多了安全电子邮件的功能，注册代理是以用户的帐号来申请注册代理证书，而注册代理（计算机）是以用户的计算机来申请注册代理证书。四、 申请注册代理证书Windows Server 2003 为了安全起见，要求颁发智能卡证书必须通过注册代理站来颁发，不允许随意颁发智能卡证书，注册代理站需要使用注册代理证书，所以必须先申请注册代理证书，我们下面来申请注册代理证书运行 mmc 程序进入控制台管理，启动添加独立管理单元对话对话框（图 4-1）图 4-1 添加管理独立管理单元选择“证书” ，选择“添加（A） ”按钮后，根据系统提示完成证书管理单元选择。在控制台管理界面，选择“证书-当前用户” ，选择“个人” ，点击鼠标右键，选择“所有证书（K） ”，选择“申请新证书” ， 进行证书类别选择（图 4-2）北京飞天诚信科技有限公司www.FT 4-2 证书类别选择选择“注册代理” ，选择“下一步（N）”按钮，根据系统提示填写出现证书的名称和描述等信息完成注册代理证书的申请五、 安装 ePass 的驱动程序及硬件要在计算机上使用 ePass，必须要安装 ePass 的驱动程序，才可以访问 ePass，下面我们来安装 ePass 的驱动程序。运行 eps1k_full.exe 程序，根据系统提示完成驱动程序的安装。注意：在安装驱动时不要将 ePass 插在计算机的 USB 接口上。驱动安装完成后需要重新启动计算机。在计算机重新启动后，将 ePass 插入到计算机的USB 接口，出现找到新硬件，根据系统提示完成 ePass 硬件的安装。北京飞天诚信科技有限公司www.FT 六、 初始化 ePass要在 ePass 中存放证书，必须先对 ePass 进行初始化后，才能存储证书，我们下面就对ePass 进行初始化。运行 epassMgr.exe 程序，选择“配置 ePass1000”，选择“初始化” ，出现 ePass 初始化界面（图 6-1）图 6-1 初始化 ePass在填写完相应的配置后，选择“初始化”按钮，来完成 ePass 初始化七、 申请智能卡证书运行 Internet Explorer，在地址中输入 http:/你的服务器名/certsrv，出现证书服务页面（图 7-1）北京飞天诚信科技有限公司www.FT 图 7-1 证书服务选择申请一个证书，选择选择“高级证书申请” ，进行高级证书申请（图 7-2）图 7-2 高级证书申请北京飞天诚信科技有限公司www.FT 选择“通过使用智能卡证书注册站来为另一个用户申请一个智能卡证书” ，出现智能卡证书注册站（图 7-3）图 7-3 智能卡证书注册站选择证书模板为“智能卡用户” ，选择加密服务提供程序为：“FTSafe ePass1000 RSA Cryptographic Service Provider”，选择用户后，选择 “注册”按钮，出现输入用户 PIN 码的对话框（图 7-4）图 7-4 输入用户 PIN 码北京飞天诚信科技有限公司www.FT 输入用户 PIN 码后，选择“确定（O） ”按钮，完成智能卡证书的申请八、 智能卡登录a) 服务器端智能卡登录现在我们已经将证书存储在 ePass 中了，我们开始使用 ePass 来进行智能卡登录图 8-1 带读卡器图标的 Windows 登录界面Windows 登录界面，可以明显地看到有个读卡器的图标在上面（图 8-1）图 8-2 输入 PIN 码如上图 8-2 当插入 ePass 时，系统提示要输入硬件的 PIN 码。校验 PIN 码正确后就可进入 Windows 系统Windows Server 2003 提供了对于智能卡移除的策略，您可以在“域安全策略设置” （图北京飞天诚信科技有限公司www.FT 8-3）当中选择当智能卡移除时“锁定计算机”或“强制注销” ，这样来达到当您临时离开计算机后别人不可以使用您的计算机（图 8-4） 。再插入 ePass 输入 PIN 码，就可重新进入系统图 8-3 域安全设置图 8-4 计算机锁定b) 客户端登录以上的介绍简要说明了，如何在 Windows Server 2003 下配置使用智能卡证书登录、锁北京飞天诚信科技有限公司www.FT 定系统，基于同样的配置适用于 Windows 2000 Server/Advance Server 上，在客户端，支持Windows 2000 Pro、Windows XP Pro，利用 ePass 这种 USB 接口的便携式智能卡设备，不仅能够有效的提升系统的安全性，保障 Server 的安全运行，也为系统管理员有效的管理与登录