如何使用微软证书系统(CA)创建智能卡登录环境
使用微软 windows server 系统的朋友可能很清楚,2003server 系统有一个很好用
的免费组件:证书服务。
用这个服务就可以搭建企业自己的免费证书服务器,很简单、很实用、很方便。有这方
面需求的朋友可以在自己单位部署。部署起来很简单,在添加 windows 组件中就可以完
成。
在这里我想和大家分享一下如何使用微软 CA 创基于智能卡登录的环境。
1. 创建 AD 环境,网上资料很多,这里不做描述。
2. 选择智能卡:市场上很多,飞天、大明五洲、捷德等等。
3. CA 操作详细步骤:
1)准备:AD 用户和计算机中创建两个用户:user1(用来为用户颁发证书)和
user2(测试智能卡登录用户)。计算机 A(作为为用户颁发证书的代理)和计算机 B
(用来做智能卡登录测试),两台计算机均要加入到域中。
2)管理控制台中添加:证书模板和证书颁发机构。证书模板-注册代理-属性-安全,
将用户 user1 添加进来,并给读取和注册权限。证书模板-注册代理(计算机)-属性-
安全,将计算机 A 添加进来,并给读取和注册权限。证书模板-智能卡登录用户(或智
能卡登录)-属性-安全,将用户 domain user 添加进来,并给读取和注册权限。
3)证书颁发机构-证书模板-新建-要颁发的证书模板,选择注册代理、注册代理(计
算机)、智能卡用户。
4)将证书服务重新启动。
5)用用户 user1 登录到计算机 A 上,运行 mmc-文件-添加删除管理单元-添加证书-
我的用户账号和计算机账号。在证书(本地计算机)-个人-证书右键-所有任务-申请新
证书-证书类别选择注册代理(计算机)。证书(当前用户)-个人-证书右键-所有任
务-申请新证书-证书类别选择注册代理。完成后关闭控制台。
5)在计算 A 上安装智能卡驱动(这里以飞天诚信的 epass3000 key 为例),为用
户 user2 签发证书:
a.http:// 证书服务器地址 /certsrv 申请一个证书-高级证书申请-通过使用智能卡注
册站来为另一个用户申请一个 智能卡证书。
b. 证书模板:智能卡用户--加密服务提供商:FeiTian…--管理员签署证书选择默认—
要注册的用户选择 user2,插上智能卡,点击注册,完成。
评论1