1、 使用USBKEY實(shí)現(xiàn)Windows智能卡登錄的說(shuō)明PAGE II使用(shyng)USBKEY實(shí)現(xiàn)Windows智能卡登錄(dn l)的說(shuō)明2007年1月18日目錄 TOC o 1-3 h z HYPERLINK l _Toc156987797 一、前言(qin yn) PAGEREF _Toc156987797 h 1 HYPERLINK l _Toc156987798 二、安裝(nzhung)Active Directory PAGEREF _Toc156987798 h 1 HYPERLINK l _Toc156987799 三、安裝(nzhung)IIS PAGEREF _Toc15

2、6987799 h 3 HYPERLINK l _Toc156987800 四、安裝Windows證書(shū)服務(wù) PAGEREF _Toc156987800 h 5 HYPERLINK l _Toc156987801 4.1安裝證書(shū)頒發(fā)機(jī)構(gòu) PAGEREF _Toc156987801 h 5 HYPERLINK l _Toc156987802 4.2添加證書(shū)模板 PAGEREF _Toc156987802 h 7 HYPERLINK l _Toc156987803 五、申請(qǐng)注冊(cè)代理證書(shū) PAGEREF _Toc156987803 h 8 HYPERLINK l _Toc156987804 六、安裝U

3、SBKEY的軟件及硬件 PAGEREF _Toc156987804 h 10 HYPERLINK l _Toc156987805 七、申請(qǐng)智能卡證書(shū) PAGEREF _Toc156987805 h 10 HYPERLINK l _Toc156987806 7.1更改IE安全設(shè)置 PAGEREF _Toc156987806 h 10 HYPERLINK l _Toc156987807 7.2申請(qǐng)智能卡證書(shū) PAGEREF _Toc156987807 h 11 HYPERLINK l _Toc156987808 八、使用USBKEY登錄 PAGEREF _Toc156987808 h 13 HYP

4、ERLINK l _Toc156987809 九、使用USBKEY的安全配置 PAGEREF _Toc156987809 h 13 使用USBKEY實(shí)現(xiàn)Windows智能卡登錄的說(shuō)明 PAGE 18使用(shyng)USBKEY實(shí)現(xiàn)Windows智能卡登錄(dn l)的說(shuō)明一、前言(qin yn)身份認(rèn)證是系統(tǒng)安全的基本方面，被用來(lái)確認(rèn)任何試圖訪問(wèn)網(wǎng)絡(luò)資源的用戶(hù)的身份。但目前在企業(yè)內(nèi)部所使用Windows網(wǎng)絡(luò)中，用戶(hù)名加密碼仍然是普遍使用的身份認(rèn)證方式，這種身份認(rèn)證方式已經(jīng)暴露出越來(lái)越多的問(wèn)題：密碼易被泄露：密碼經(jīng)常在無(wú)意之間被泄露出去。密碼易被竊取：密碼被各種層出不窮的黑客和木馬工具竊取。密

5、碼易被猜測(cè)：由于密碼長(zhǎng)度有限，可能被猜測(cè)或窮舉。針對(duì)這個(gè)問(wèn)題，微軟從Windows 2000開(kāi)始就支持智能卡登錄。通過(guò)智能卡登錄到網(wǎng)絡(luò)提供了很強(qiáng)的身份認(rèn)證方式。在智能卡中存放了用戶(hù)的個(gè)人信息和數(shù)字證書(shū)，用戶(hù)在登錄時(shí)必須插入智能卡并同時(shí)輸入對(duì)應(yīng)的個(gè)人識(shí)別碼（PIN）才能通過(guò)身份認(rèn)證。相對(duì)于口令驗(yàn)證，智能卡具有更強(qiáng)的安全性。因?yàn)榭诹畋容^容易被不懷好意的人得到，而智能卡就像一把無(wú)法復(fù)制的鑰匙，只有拿在手里才能打開(kāi)大門(mén)。USBKEY是結(jié)合USB技術(shù)和智能卡技術(shù)而開(kāi)發(fā)的一種便攜式安全產(chǎn)品，體積小巧，便于攜帶和使用。下面以Windows 2003 Server為例，來(lái)描述使用USBKEY實(shí)現(xiàn)Windows

6、 智能卡登錄的整個(gè)配置過(guò)程：安裝Active Directory安裝IIS安裝Windows證書(shū)服務(wù)申請(qǐng)注冊(cè)代理證書(shū)安裝USBKEY的軟件及硬件申請(qǐng)智能卡證書(shū)使用USBKEY登錄二、安裝Active Directory在Winodws的帶域網(wǎng)絡(luò)環(huán)境中，對(duì)用戶(hù)進(jìn)行身份認(rèn)證及授權(quán)是通過(guò)域控制器來(lái)實(shí)現(xiàn)的。要使服務(wù)器成為域控制器則必須在服務(wù)器上安裝活動(dòng)目錄服務(wù)（Active Directory）。Windows的活動(dòng)目錄(ml)服務(wù)對(duì)網(wǎng)絡(luò)上所有對(duì)象的信息進(jìn)行分類(lèi)，包括用戶(hù)、計(jì)算機(jī)以及打印機(jī)等，并且通過(guò)網(wǎng)絡(luò)發(fā)布信息。有了 Active Directory，只需要登錄一次就可以很容易地找到并且使用網(wǎng)絡(luò)上任

7、何地方的資源。安裝(nzhung)及配置(pizh)步驟如下：第一步：?jiǎn)?dòng)“管理您的服務(wù)器”，點(diǎn)擊“添加或刪除角色”，出現(xiàn)“配置您的服務(wù)器向?qū)А睂?duì)話(huà)框，如下圖所示：第二步：在“服務(wù)器角色”中選擇“域控制器（Active Directory）”，然后點(diǎn)擊”下一步”按鈕。將出現(xiàn)“Active Directory 安裝向?qū)А保?qǐng)根據(jù)此安裝向?qū)У慕缑嫣崾就瓿捎蚩刂破鞯陌惭b與配置。第三步：點(diǎn)擊”下一步”，進(jìn)入屬性配置頁(yè)，在接下來(lái)的配置中分別點(diǎn)選“新域的域控制器”和“在新林中的域”。第四步：點(diǎn)擊”下一步”，為新域鍵入DNS全名“”，第一個(gè)點(diǎn)號(hào)“.” 之前的名字將作為網(wǎng)絡(luò)標(biāo)識(shí)名（NetBIOS），即新建域的

8、名字為“HBCATEST”。第五步：點(diǎn)擊(din j)”下一步(y b)”，在“DNS注冊(cè)(zhc)診斷”中，選擇“在這臺(tái)機(jī)器上安裝并配置DNS服務(wù)器，并將這臺(tái)DNS服務(wù)器設(shè)為這臺(tái)計(jì)算機(jī)首選DNS服務(wù)器”。第六步：點(diǎn)擊”下一步”，出現(xiàn)“摘要”對(duì)話(huà)框，顯示配置信息如下圖所示：第七步：點(diǎn)擊”下一步”，開(kāi)始安裝和配置Active Directory過(guò)程。三、安裝IIS由于將使用Windows提供的基于Web的證書(shū)注冊(cè)服務(wù)來(lái)申請(qǐng)智能卡登錄證書(shū)，因此需要在服務(wù)器上安裝IIS（Internet Information Service）服務(wù)。 安裝及配置步驟如下：第一步：?jiǎn)?dòng)“管理您的服務(wù)器”，點(diǎn)擊“添加或

9、刪除角色”，出現(xiàn)如下圖所示的界面。在“服務(wù)器角色”中選擇“應(yīng)用程序服務(wù)器（IIS，ASP.NET）”，然后點(diǎn)擊“下一步”按鈕。第二步：在“應(yīng)用程序服務(wù)器選項(xiàng)”中，如下圖所示，選中所有的工具(gngj)選項(xiàng)，然后點(diǎn)擊“下一步(y b)”按鈕。此后(c hu)，Windows將自動(dòng)安裝并配置IIS服務(wù)。第三步：?jiǎn)?dòng)“IIS管理器”，選擇“Web 服務(wù)擴(kuò)展” 。檢查“Active Server Pages”是否是被允許的，如果不是，請(qǐng)點(diǎn)擊“允許”按鈕。如下圖所示：由于Windows提供的Web證書(shū)申請(qǐng)是基于ASP（Active Server Pages）而開(kāi)發(fā)(kif)的，因此要確保在IIS中ASP

10、 Web服務(wù)擴(kuò)展是被允許的。第四步：?jiǎn)?dòng)(qdng)“IIS管理器”，選擇(xunz)“網(wǎng)站”中的“默認(rèn)網(wǎng)站”。在其“屬性”對(duì)話(huà)框中選擇“目錄安全性”的“編輯”按鈕，設(shè)置身份驗(yàn)證方法為：?jiǎn)⒂媚涿L問(wèn)，如下圖所示：四、安裝Windows證書(shū)服務(wù)因?yàn)槭褂肳indows提供的證書(shū)服務(wù)來(lái)申請(qǐng)智能卡登錄證書(shū)，所以需在服務(wù)器上安裝Windows證書(shū)服務(wù)。4.1安裝(nzhung)證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)頒發(fā)機(jī)構(gòu)亦即通常所說(shuō)(su shu)的CA中心。Windows 2003 Server的安裝程序在缺省設(shè)置下并不會(huì)自動(dòng)安裝證書(shū)服務(wù)。安裝及配置(pizh)步驟如下：第一步：從控制面板的“添加或刪除程序”中選擇“添加

11、/刪除Windows組件”，將出現(xiàn)“Windows 組件向?qū)А睂?duì)話(huà)框，如下圖所示： 第二步：從中選擇“證書(shū)服務(wù)”，然后點(diǎn)擊”下一步”按鈕，將出現(xiàn)“CA類(lèi)型”選擇界面，如下圖所示：關(guān)于各CA的類(lèi)型描述如下：企業(yè)根CA ：它是證書(shū)(zhngsh)層次結(jié)構(gòu)中的最高級(jí)CA，并且(bngqi)需要Active Directory目錄服務(wù)。它自我簽發(fā)自己的CA 證書(shū)，并使用組策略將該證書(shū)發(fā)布(fb)到域中的所有服務(wù)器和工作站的受信任的根證書(shū)頒發(fā)機(jī)構(gòu)的存儲(chǔ)區(qū)中。企業(yè)從屬CA： 它必須從另一CA 獲得它的CA 證書(shū)，并要求有 Active Directory目錄服務(wù)。 獨(dú)立根CA：它是證書(shū)層次結(jié)構(gòu)中的最高級(jí)C

12、A。它既可以是域的成員也可以不是，因此它不需要 Active Directory。但是，如果存在 Active Directory 用于發(fā)布證書(shū)和證書(shū)吊銷(xiāo)列表，則會(huì)使用 Active Directory。獨(dú)立從屬CA：它必須從另一CA獲得它的CA 證書(shū)。獨(dú)立從屬CA 可以是域的成員也可以不是，因此它不需要 Active Directory。但是，如果存在 Active Directory 用于發(fā)布證書(shū)和證書(shū)吊銷(xiāo)列表，則會(huì)使用 Active Directory。對(duì)于企業(yè)內(nèi)部的網(wǎng)絡(luò)，一般選擇“企業(yè)根CA”類(lèi)型。在接下來(lái)的過(guò)程中，請(qǐng)根據(jù)界面提示創(chuàng)建CA的自簽名證書(shū)。4.2添加證書(shū)模板從Windows

13、證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)證書(shū)時(shí)，根據(jù)其訪問(wèn)權(quán)限，證書(shū)申請(qǐng)者可從基于證書(shū)模板的各種證書(shū)類(lèi)型中進(jìn)行選擇。證書(shū)模板包括如何頒發(fā)證書(shū)和它們所包含的內(nèi)容，它使用戶(hù)省去了對(duì)于他們所需要的證書(shū)類(lèi)型的配置細(xì)節(jié)。對(duì)于智能卡登錄來(lái)說(shuō)，需要“注冊(cè)代理”和“智能卡登錄”等證書(shū)模板。這些證書(shū)模板在缺省設(shè)置中并沒(méi)有加入到證書(shū)頒發(fā)機(jī)構(gòu)中，因此需要手工添加。安裝及配置步驟如下：第一步：從管理工具中啟動(dòng)“證書(shū)頒發(fā)機(jī)構(gòu)”。選擇左邊目錄樹(shù)中的“證書(shū)模板”，然后右鍵單擊，從彈出的右鍵菜單中選擇“新建”下的“要頒發(fā)的證書(shū)模板”菜單項(xiàng)，如下圖所示：第二步：在彈出的“啟用(qyng)證書(shū)模板”對(duì)話(huà)框中，選擇(xunz)“智能卡登錄(dn l)”和

14、“注冊(cè)代理”等模板，然后點(diǎn)擊“確定”按鈕。五、申請(qǐng)注冊(cè)代理證書(shū)從安全方面考慮，Windows要求智能卡證書(shū)的申請(qǐng)是一個(gè)受控制的過(guò)程。域用戶(hù)無(wú)法申請(qǐng)“智能卡登錄”證書(shū)，申請(qǐng)智能卡證書(shū)必須通過(guò)智能卡注冊(cè)站來(lái)進(jìn)行。在安裝Windows證書(shū)頒發(fā)機(jī)構(gòu)時(shí)，已安裝了智能卡注冊(cè)站。這允許管理員代表用戶(hù)申請(qǐng)智能卡登錄證書(shū)。但在使用智能卡注冊(cè)站之前，管理員必須獲得基于注冊(cè)代理證書(shū)模板的簽名證書(shū)。安裝及配置步驟如下：第一步：?jiǎn)?dòng)(qdng)IE瀏覽器，在地址欄中輸入 HYPERLINK http:/servername/CertSrv 2/CertSrv，將出現(xiàn)(chxin)Windows證書(shū)服務(wù)頁(yè)面，在頁(yè)面(y

15、min)中選擇“申請(qǐng)一個(gè)證書(shū)”鏈接，如下圖所示：第二步：在申請(qǐng)一個(gè)證書(shū)頁(yè)面中，選擇“高級(jí)證書(shū)申請(qǐng)”鏈接，如下圖所示：第三步：在高級(jí)證書(shū)申請(qǐng)頁(yè)面中選擇“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”鏈接，如下圖所示：第四步：在高級(jí)證書(shū)(zhngsh)申請(qǐng)頁(yè)面中，證書(shū)模板選擇“注冊(cè)(zhc)代理”，其余參數(shù)(cnsh)配置如下圖所示，點(diǎn)擊“提交”按鈕申請(qǐng)證書(shū)。第五步：在證書(shū)申請(qǐng)成功后，將出現(xiàn)如下圖所示頁(yè)面。點(diǎn)擊“安裝此證書(shū)”鏈接來(lái)安裝剛剛申請(qǐng)的注冊(cè)代理證書(shū)。六、安裝USBKEY的軟件及硬件系統(tǒng)管理員為域用戶(hù)申請(qǐng)智能卡登錄證書(shū)以及域用戶(hù)進(jìn)行智能卡登錄前必須安裝USBKEY的軟件和硬件。USBKEY的軟件包含PC/SC

16、驅(qū)動(dòng)及CSP安全模塊，運(yùn)行USBKEY的軟件安裝程序，根據(jù)提示安裝即可。軟件安裝完畢后，將USBKEY插入到計(jì)算機(jī)中的空閑USB接口上，系統(tǒng)將會(huì)提示找到新硬件，當(dāng)系統(tǒng)提示硬件已正確安裝后，就可使用USBKEY了。七、申請(qǐng)(shnqng)智能卡證書(shū)7.1更改(gnggi)IE安全設(shè)置從Windows證書(shū)(zhngsh)服務(wù)Web頁(yè)面上為用戶(hù)申請(qǐng)智能卡證書(shū)時(shí)，將會(huì)下載一些ActiveX控件，為確保這些ActiveX控件能下載成功，需更改IE的一些安全設(shè)置。安裝及配置步驟如下：第一步：?jiǎn)?dòng)IE瀏覽器，打開(kāi)“Internet 選項(xiàng)”對(duì)話(huà)框，如下圖所示：第二步：在“安全”頁(yè)面中，選擇“Internet”

17、區(qū)域，然后點(diǎn)擊“自定義級(jí)別”按鈕，將彈出“安全設(shè)置”對(duì)話(huà)框，如下圖所示： 第三步：將“對(duì)沒(méi)有標(biāo)記為安全的ActiveX控件進(jìn)行初始化和腳本運(yùn)行”及“下載未簽名的ActiveX控件”項(xiàng)設(shè)為提示，然后點(diǎn)擊“確定”按鈕。7.2申請(qǐng)智能卡證書(shū) 打開(kāi)Windows證書(shū)服務(wù)Web頁(yè)面，申請(qǐng)并下載用戶(hù)智能卡證書(shū)。 安裝及配置步驟如下：第一步：?jiǎn)?dòng)IE瀏覽器，在地址欄中輸入 HYPERLINK http:/servername/CertSrv 2/CertSrv，將出現(xiàn)Windows證書(shū)服務(wù)頁(yè)面，在頁(yè)面中選擇“申請(qǐng)一個(gè)證書(shū)”鏈接，如下圖所示：第二步：在申請(qǐng)(shnqng)一個(gè)證書(shū)頁(yè)面中，選擇“高級(jí)證書(shū)(zhn

18、gsh)申請(qǐng)”鏈接(lin ji)，如下圖所示：第三步：在高級(jí)證書(shū)申請(qǐng)頁(yè)面中選擇“通過(guò)使用智能卡證書(shū)注冊(cè)站來(lái)為另一用戶(hù)申請(qǐng)一個(gè)智能卡證書(shū)”鏈接，如下圖所示：第四步：在智能卡證書(shū)注冊(cè)站頁(yè)面中，證書(shū)模板選擇“智能卡登錄”，加密服務(wù)提供程序選擇相應(yīng)的USBKEY驅(qū)動(dòng)程序。點(diǎn)擊“選擇用戶(hù)”按鈕選擇欲申請(qǐng)證書(shū)的用戶(hù)名稱(chēng)，如：administrator。如下圖所示：第五步：插入(ch r)USBKEY，然后(rnhu)點(diǎn)擊“注冊(cè)(zhc)”按鈕，將出現(xiàn)如下圖所示的“PIN碼校驗(yàn)”對(duì)話(huà)框。請(qǐng)輸入用戶(hù)PIN，然后點(diǎn)擊“確定”按鈕。第六步：當(dāng)出現(xiàn)如下圖所示的頁(yè)面時(shí)，表明用戶(hù)的智能卡證書(shū)已申請(qǐng)成功。八、使用(shyng)USBKEY登錄(dn l)當(dāng)為用戶(hù)(yngh)申請(qǐng)智能卡登錄證書(shū)后，用戶(hù)就可以使用USBKEY來(lái)進(jìn)行Windows域登錄了。登錄步驟如下：第一步：當(dāng)系統(tǒng)啟動(dòng)出現(xiàn)如下圖所示的界面時(shí)，插入U(xiǎn)SBKEY。第二步：彈出如下圖所示的對(duì)話(huà)框，請(qǐng)輸入用戶(hù)PIN。如果PIN輸入正確，將成功進(jìn)入Windows操作系統(tǒng)并可訪問(wèn)網(wǎng)絡(luò)中許可訪問(wèn)的資源。當(dāng)計(jì)算機(jī)被鎖定時(shí)，也可插入U(xiǎn)SBKE