使用USBKEY实现智能卡域登录的说明.doc

使用USBKEY实现Windows智能卡登录的说明使用使用USBKEY实现实现WINDOWS智能卡登录的说明智能卡登录的说明2007年年1月月18日日使用USBKEY实现Windows智能卡登录的说明目目录录一、前言.1二、安装ActiveDirectory.1三、安装IIS.3四、安装Windows证书服务.54.1安装证书颁发机构.54.2添加证书模板.7五、申请注册代理证书.8六、安装USBKEY的软件及硬件.10七、申请智能卡证书.107.1更改IE安全设置.107.2申请智能卡证书.11八、使用USBKEY登录.13九、使用USBKEY的安全配置.13使用USBKEY实现Windows智能卡登录的说明使用USBKEY实现Windows智能卡登录的说明1使用使用USBKEY实现实现Windows智能卡登录的说明智能卡登录的说明一、前言一、前言身份认证是系统安全的基本方面，被用来确认任何试图访问网络资源的用户的身份。但目前在企业内部所使用Windows网络中，用户名加密码仍然是普遍使用的身份认证方式，这种身份认证方式已经暴露出越来越多的问题：密码易被泄露密码易被泄露：密码经常在无意之间被泄露出去。密码易被窃取密码易被窃取：密码被各种层出不穷的黑客和木马工具窃取。密码易被猜测密码易被猜测：由于密码长度有限，可能被猜测或穷举。针对这个问题，微软从Windows2000开始就支持智能卡登录。通过智能卡登录到网络提供了很强的身份认证方式。在智能卡中存放了用户的个人信息和数字证书，用户在登录时必须插入智能卡并同时输入对应的个人识别码（PIN）才能通过身份认证。相对于口令验证，智能卡具有更强的安全性。因为口令比较容易被不怀好意的人得到，而智能卡就像一把无法复制的钥匙，只有拿在手里才能打开大门。USBKEY是结合USB技术和智能卡技术而开发的一种便携式安全产品，体积小巧，便于携带和使用。下面以Windows2003Server为例，来描述使用USBKEY实现Windows智能卡登录的整个配置过程：安装ActiveDirectory安装IIS安装Windows证书服务申请注册代理证书安装USBKEY的软件及硬件申请智能卡证书使用USBKEY登录二、安装二、安装ActiveDirectory在Winodws的带域网络环境中，对用户进行身份认证及授权是通过域控制器来实现的。要使服务器成为域控制器则必须在服务器上安装活动目录服务使用USBKEY实现Windows智能卡登录的说明2（ActiveDirectory）。Windows的活动目录服务对网络上所有对象的信息进行分类，包括用户、计算机以及打印机等，并且通过网络发布信息。有了ActiveDirectory，只需要登录一次就可以很容易地找到并且使用网络上任何地方的资源。安装及配置步骤如下：安装及配置步骤如下：第一步：启动“管理您的服务器”，点击“添加或删除角色”，出现“配置您的服务器向导”对话框，如下图所示：第二步：在“服务器角色”中选择“域控制器（ActiveDirectory）”，然后点击”下一步”按钮。将出现“ActiveDirectory安装向导”，请根据此安装向导的界面提示完成域控制器的安装与配置。第三步：点击”下一步”，进入属性配置页，在接下来的配置中分别点选“新域的域控制器”和“在新林中的域”。第四步：点击”下一步”，为新域键入DNS全名“”，第一个点号“.”之前的名字将作为网络标识名（NetBIOS），即新建域的名字为“HBCATEST”。使用USBKEY实现Windows智能卡登录的说明3第五步：点击”下一步”，在“DNS注册诊断”中，选择“在这台机器上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机首选DNS服务器”。第六步：点击”下一步”，出现“摘要”对话框，显示配置信息如下图所示：第七步：点击”下一步”，开始安装和配置ActiveDirectory过程。三、安装三、安装IIS由于将使用Windows提供的基于Web的证书注册服务来申请智能卡登录证书，因此需要在服务器上安装IIS（InternetInationService）服务。安装及配置步骤如下：安装及配置步骤如下：第一步：启动“管理您的服务器”，点击“添加或删除角色”，出现如下图所示的界面。在“服务器角色”中选择“应用程序服务器（IIS，ASP.NET）”，然后点击“下一步”按钮。使用USBKEY实现Windows智能卡登录的说明4第二步：在“应用程序服务器选项”中，如下图所示，选中所有的工具选项，然后点击“下一步”按钮。此后，Windows将自动安装并配置IIS服务。第三步：启动“IIS管理器”，选择“Web服务扩展”。检查“ActiveServerPages”是否是被允许的，如果不是，请点击“允许”按钮。如下图所示：使用USBKEY实现Windows智能卡登录的说明5由于Windows提供的Web证书申请是基于ASP（ActiveServerPages）而开发的，因此要确保在IIS中ASPWeb服务扩展是被允许的。第四步：启动“IIS管理器”，选择“网站”中的“默认网站”。在其“属性”对话框中选择“目录安全性”的“编辑”按钮，设置身份验证方法为：启用匿名访问，如下图所示：四、安装四、安装Windows证书服务证书服务因为使用Windows提供的证书服务来申请智能卡登录证书，所以需在服务使用USBKEY实现Windows智能卡登录的说明6器上安装Windows证书服务。4.1安装证书颁发机构安装证书颁发机构证书颁发机构亦即通常所说的CA中心。Windows2003Server的安装程序在缺省设置下并不会自动安装证书服务。安装及配置步骤如下：安装及配置步骤如下：第一步：从控制面板的“添加或删除程序”中选择“添加删除Windows组件”，将出现“Windows组件向导”对话框，如下图所示：第二步：从中选择“证书服务”，然后点击”下一步”按钮，将出现“CA类型”选择界面，如下图所示：关于各CA的类型描述如下：企业根企业根CA：使用USBKEY实现Windows智能卡登录的说明7它是证书层次结构中的最高级CA，并且需要ActiveDirectory目录服务。它自我签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中。企业从属企业从属CA：它必须从另一CA获得它的CA证书，并要求有ActiveDirectory目录服务。独立根独立根CA：它是证书层次结构中的最高级CA。它既可以是域的成员也可以不是，因此它不需要ActiveDirectory。但是，如果存在ActiveDirectory用于发布证书和证书吊销列表，则会使用ActiveDirectory。独立从属独立从属CA：它必须从另一CA获得它的CA证书。独立从属CA可以是域的成员也可以不是，因此它不需要ActiveDirectory。但是，如果存在ActiveDirectory用于发布证书和证书吊销列表，则会使用ActiveDirectory。对于企业内部的网络，一般选择“企业根CA”类型。在接下来的过程中，请根据界面提示创建CA的自签名证书。4.2添加证书模板添加证书模板从Windows证书颁发机构申请证书时，根据其访问权限，证书申请者可从基于证书模板的各种证书类型中进行选择。证书模板包括如何颁发证书和它们所包含的内容，它使用户省去了对于他们所需要的证书类型的配置细节。对于智能卡登录来说，需要“注册代理”和“智能卡登录”等证书模板。这些证书模板在缺省设置中并没有加入到证书颁发机构中，因此需要手工添加。安装及配置步骤如下：安装及配置步骤如下：第一步：从管理工具中启动“证书颁发机构”。选择左边目录树中的“证书模板”，然后右键单击，从弹出的右键菜单中选择“新建”下的“要颁发的证书模板”菜单项，如下图所示：使用USBKEY实现Windows智能卡登录的说明8第二步：在弹出的“启用证书模板”对话框中，选择“智能卡登录”和“注册代理”等模板，然后点击“确定”按钮。五、申请注册代理证书五、申请注册代理证书从安全方面考虑，Windows要求智能卡证书的申请是一个受控制的过程。域用户无法申请“智能卡登录”证书，申请智能卡证书必须通过智能卡注册站来进行。在安装Windows证书颁发机构时，已安装了智能卡注册站。这允许管理员代表用户申请智能卡登录证书。但在使用智能卡注册站之前，管理员必须获得基于注册代理证书模板的签名证书。安装及配置步骤如下：安装及配置步骤如下：使用USBKEY实现Windows智能卡登录的说明9第一步：启动IE浏览器，在地址栏中输入http:2CertSrv，将出现Windows证书服务页面，在页面中选择“申请一个证书”链接，如下图所示：第二步：在申请一个证书页面中，选择“高级证书申请”链接，如下图所示：第三步：在高级证书申请页面中选择“创建并向此CA提交一个申请”链接，如下图所示：使用USBKEY实现Windows智能卡登录的说明10第四步：在高级证书申请页面中，证书模板选择“注册代理”，其余参数配置如下图所示，点击“提交”按钮申请证书。第五步：在证书申请成功后，将出现如下图所示页面。点击“安装此证书”链接来安装刚刚申请的注册代理证书。使用USBKEY实现Windows智能卡登录的说明11六、安装六、安装USBKEY的软件及硬件的软件及硬件系统管理员为域用户申请智能卡登录证书以及域用户进行智能卡登录前必须安装USBKEY的软件和硬件。USBKEY的软件包含PCSC驱动及CSP安全模块，运行USBKEY的软件安装程序，根据提示安装即可。软件安装完毕后，将USBKEY插入到计算机中的空闲USB接口上，系统将会提示找到新硬件，当系统提示硬件已正确安装后，就可使用USBKEY了。七、申请智能卡证书七、申请智能卡证书7.1更改更改IE安全设置安全设置从Windows证书服务Web页面上为用户申请智能卡证书时，将会下载一些ActiveX控件，为确保这些ActiveX控件能下载成功，需更改IE的一些安全设置。安装及配置步骤如下：安装及配置步骤如下：第一步：启动IE浏览器，打开“Internet选项”对话框，如下图所示：第二步：在“安全”页面中，选择“Internet”区域，然后点击“自定义级别”按钮，将弹出“安全设置”对话框，如下图所示：第三步：将“对没有标记为安全的ActiveX控件进行初始化和脚本运行”使用USBKEY实现Windows智能卡登录的说明12及“下载未签名的ActiveX控件”项设为提示，然后点击“确定”按钮。7.2申请智能卡证书申请智能卡证书打开Windows证书服务Web页面，申请并下载用户智能卡证书。安装及配置步骤如下：安装及配置步骤如下：第一步：启动IE浏览器，在地址栏中输入http:2CertSrv，将出现Windows证书服务页面，在页面中选择“申请一个证书”链接，如下图所示：第二步：在申请一个证书页面中，选择“高级证书申请”链接，如下图所示：第三步：在高级证书申请页面中选择“通过使用智能卡证书注册站来为另一用户申请一个智能卡证书”链接，如下图所示：使用USBKEY实现Windows智能卡登录的说明13第四步：在智能卡证书注册站页面中，证书模板选择“智能卡登录”，加密服务提供程序选择相应的USBKEY驱动程序。点击“选择用户”按钮选择欲申请证书的用户名称，如：administrator。如下图所示：第五步：插入USBKEY，然后点击“注册”按钮，将出现如下图所示的“PIN码校验”对话框。请输入用户PIN，然后点击“确定”按钮。第六步：当出现如下图所示的页面时，表明用户的智能卡证书已申请成功。使用USBKEY实现Windows智能卡登录的说明14八、使用八、使用USBKEY登录登录当为用户申请智能卡登录证书后，用户就可以使用USBKEY来进行Windows域登录了。登录步骤如下：登录步骤如下：第一步：当系统启动出现如下图所示的界面时，插入USBKEY。第二步：弹出如下图所示的对话框，请输入用户PIN。如果PIN输入正确，将成功进入Windows操作系统并可访问网络中许可访问的资源。当计算机被锁定时，也可插入USBKEY来解除锁定的计算机。使用USBKEY实现Windows智能卡登录的说明