智能卡域登录测试配置指南域控制器系统WinServer+Sp10927.docx
《智能卡域登录测试配置指南域控制器系统WinServer+Sp10927.docx》由会员分享,可在线阅读,更多相关《智能卡域登录测试配置指南域控制器系统WinServer+Sp10927.docx(41页珍藏版)》请在冰豆网上搜索。
智能卡域登录测试配置指南域控制器系统WinServer+Sp10927
智能卡域登录测试配置指南
——Windows2003版
吉大正元信息技术股份有限公司
JilinUniversityInformationTechnologiesCo.,Ltd.
目录
1引言2
2准备工作2
3安装活动目录2
4配置域控制器8
5配置域工作站13
6获取GUID14
7签发及获取证书14
8添加CA根证书到AD组策略对象15
9导入域控制器证书16
10导入CA根证书到NTAuthStore20
11智能卡登录20
12注意事项21
13常见问题及解决方式21
14附录一21
引言
本文档主要介绍使用智能卡(存储由SRQ05CA5.0签发的证书),通过域工作站登录Win2003Server系统域的配置过程。
适用于CA5.0.2.1及以后版本。
准备工作
1、准备一台安装Windows2003Server+sp1的机器A做为域控制器。
2、准备一台安装WindowsXP或Windows2000或Windows2003的机器B作为工作站。
说明:
以上两台机器建议用全新的操作系统环境,且系统盘为NTFS格式,安装完成后建议做镜像。
3、配置WebServer或LDAP用于发布CRL,并在初始化CA前正确配置CRL的发布路径。
CRL配置方法见附录一。
安装活动目录
安装活动目录前先确定本机已配置网络,其中DNS服务器可以配置为本机IP。
1、在要做域控制器的A机器运行dcpromo命令:
2、点击“确定”后开始AD的安装向导:
3、点击“下一步”,显示操作系统兼容性信息:
4、点击“下一步”,选择“新域的域控制器”:
5、点击“下一步”,选择创建“在新林中的域”:
6、点击“下一步”,设置新域的DNS全名,如:
(因为是测试,所以此域名并不是在Internat命名颁发机构注册的DNS名称,自己命名一个就行):
7、点击“下一步”,NetBIOS域名设置中接受默认显出的域名srq100即可:
8、点击“下一步”,设置数据库和日志文件位置,按默认设置不做修改:
9、点击“下一步”,设置共享的系统卷,按默认设置不做修改:
10、点击“下一步”,出现DNS诊断提示,选择第二项“在这台计算机上安装并配置DNS服务器.....”:
11、点“下一步”,选择“与Windows2000服务器之前的版本相兼容的权限”:
12、点“下一步”,设置服务器管理员帐户密码,默认为空即可:
13、点“下一步”,显示摘要信息:
14、点“下一步”后,开始安装AD。
安装过程中系统自动安装DNS,需要系统安装盘。
安装完成后重启机器。
在登录界面,按Ctrl+Alt+Del后,点“选项”可展开看到已经创建的域srq100。
选择这个域,输入超级管理员Administrator的密码(该密码仍然是未创建域前超级管理员的密码)即可登录域控制器。
配置域控制器
1、在域控制器(A机器)上,点击开始->程序->管理工具->DNS,打开DNS工具。
在左侧树展开节点至DNS-机器名-正向搜索区域-,选中节点,点击右键选择“新建主机”:
2、在弹出的设置窗口内输入B机器的机器名称及IP地址,点击“添加主机”即可将远程主机加入DNS服务器内:
3、在域控制器(A机器)上,点击开始->程序->管理工具->ActiveDirectory用户和计算机,打开该工具,在左侧树展开节点至-Computers。
选中Computers节点,点击右键选择“新建-计算机”:
4、在弹出的设置窗口输入B机器的机器名称:
5、点击“下一步”,出现如下图窗口,按默认不做选择:
6、点击“下一步”,显示将被创建的计算机名称信息:
7、点击“完成”,完成计算机的创建。
8、在域控制器(A机器)上,点击开始->程序->管理工具->ActiveDirectory用户和计算机,打开该工具,在左侧树展开节点至-Users。
选中Users节点,点击右键选择“新建-用户”:
9、在弹出的设置窗口输入用户的姓(L)及用户登录名,如user1:
10、点击“下一步”,设定用户密码(Win2003的密码策略默认用户密码至少7位,且要包含字母、数字、特殊字符三种,但此密码跟智能卡登录时需要的PIN码没有关系):
11、点击“下一步”进入确认页面,点击“完成”即可创建用户成功。
12、在命令行执行gpupdate/force刷新策略信息。
配置域工作站
确认B机器当前用户是Administrator,如果不是,建议退出当前用户并用Administrator登录。
1、在B机器,设置本地连接属性中首选DNS服务器IP为域控制器(A机器)的IP。
2、在B机器,我的电脑->属性->计算机名标签页中,单击“更改”,在弹出的窗口中更改B机器隶属域,输入域名:
3、确定后,返回提示:
4、输入域控制器超级管理员名称administrator及其密码后点击“确定”,一段时间后返回成功加入域的提示,B机器成为工作站。
5、重启工作站(B机器),在登录界面,按Ctrl+Alt+Del后,点“选项”可展开看到已经加入的域srq100。
选择这个域,输入超级管理员Administrator的密码(该密码是域控制器的超级管理员密码)即可登录。
6、安装支持域登录的智能卡CSP(PCSC)。
获取GUID
在域控制器(A机器)上,点击开始->程序->管理工具->DNS,打开DNS工具。
在左侧树展开节点至DNS-机器名-正向搜索区域-—_msdcs,右侧名称中如下图红色标示出的一串序号,去掉其中的-符号后即是域控制器的GUID:
签发及获取证书
前提是CA部署成功,并确认能在域控制器和域工作站通过IE访问证书中的CRL发布路径。
否则请重新部署CA。
1、在CA客户端使用“智能卡登录-域用户证书模板”申请并下载域用户证书到智能卡(申请并下载时注意选择智能卡对应的CSP)-设置cn项必须和在域控制器中添加的用户名一致,如之前我们添加的用户是user1,那么设置cn=user1。
在扩展域中输入其它名称为user1@。
2、在CA客户端使用“智能卡登录-域控制器模板”申请并签发域控制器证书安装到IE证书容器(申请并下载时使用默认的微软CSP)-设置cn项必须和域控制器机器名一致,如域控制器机器名为controller,那么设置cn=controller。
在扩展域中输入域名为,其它名称中输入第6节中获取的GUID。
3、从IE中连同私钥导出域控制器证书(.pfx)备用。
4、导出CA根证保存为DER或Base64编码二进制x.509的证书文件(.cer)备用。
如果用于签发证书的CA是二级CA或多级CA,请将根CA根证书以及各下级子CA的签名证书(DER或Base64编码二进制x.509的文件(.cer))导出备用。
添加CA根证书到AD组策略对象
1、在域控制器点击“开始”->“程序”->“管理工具”->“ActiveDirectory用户和计算机”。
在左侧的树中,右键选中域名,弹出的列表中选择“属性”:
2、在弹出的窗口中编辑“DefaultDomainPolicy”:
3、在弹出的窗口中,选择“计算机配置->Windows设置->安全设置->公钥策略->受信任的根证书颁发机构”,右键选择“所有任务”->“导入…..”,然后按向导,导入CA根证书:
导入域控制器证书
1、在域控制器运行“mmc”:
2、点击“确定”后启动控制台。
在控制台主菜单,选择“添加/删除管理单元…..”:
3、在弹出的窗口中选择“添加”:
4、再在弹出的窗口中选择“证书”:
5、点击“添加”,在弹出的窗口中选择“计算机账户”:
6、点击“下一步”,选择“本地计算机(运行这个控制台的计算机)”:
7、点击“完成”返回步骤4中图片页面。
点击“关闭”可看到管理单元中多了“证书(本地计算机)”项:
8、点击“确定”关闭窗口后可以看到“证书(本机计算机)”已在控制台根结点下。
选择“证书(本机计算机)”->“个人”,右键选择“所有任务”->“导入”,然后按向导导入域控制器的证书(pfx格式):
9、选择“证书(本机计算机)”->“第三方根证书颁发机构”,右键选择“所有任务”->“导入”,然后按向导导入CA根证:
如果用于签发证书的CA是二级CA或多级CA,请将根CA根证书以及各下级子CA的签名证书依次在此导入。
10、关闭控制台,提示保存,按默认保存即可。
注:
完成8、9节的两个导入操作后,请在域控制器系统命令行执行gpupdate/force刷新策略。
导入CA根证书到NTAuthStore
1、在域控制器(A机器)命令行运行如下命令即可将CA根证书导入NTAuthStore:
certutil–dspublish–ffileNTAuthCA
其中file处设置根证书路径名称
如果用于签发证书的CA是二级CA或多级CA,请将根CA根证书以及各下级子CA的签名证书依次用该命令导入。
2、在域控制器系统命令行执行gpupdate/force刷新策略。
智能卡登录
1、在以上所有操作完成后,重新启动域控制器并登录。
2、重启域工作站机器,依旧使用域超级管理员和密码登陆域。
插入存储域用户证书的智能卡确认能正常驱动,并查看证书信息确认证书受信任。
注销当前登陆的超级管理员,在域工作站出现登录界面时,插入存有域用户证书的智能卡后就会进入验证PIN码界面。
3、正确输入智能卡的PIN码即可登录到域。
注意事项
1、CA的CRL发布间隔时间应该尽可能短(比如10分钟),因为使用较短的CRL生存时间会明显地使智能卡登录证书吊销快速生效。
2、确认在域控制器和域工作站都能通过证书(根证、域控制器证书、域用户证书)中的CRL发布地址下载CRL。
3、确认域控制器和域工作站系统时间处于CRL的上次发布时间和下次发布时间期间,否则请重新发布CRL。
4、如果有其它机器要加入域中,执行第4节步骤1-7及第12步以及第5节。
5、如果需要在域中加入新的用户并签发相应的智能卡证书,执行第4节步骤8-12以及第7节步骤1。
常见问题及解决方式
1、使用智能卡登录时,返回提示:
系统无法让您登录。
对您进行身份验证的服务器报告了一个错误(0xC00000BB)。
您可以在事件日志中查找到详细信息……此情况下到域控制器的事件查看器中查看“系统”日志,存在一个来源是“KDC”的错误日志,描述:
该事件标明试图使用智能卡登录,但是KDC无法使用PKINIT协议因为缺少合适的证书。
检查要求导入CA根证书的各步,确认都已正确导入,尤其确认第9节中的第9步已执行;还可以尝试重新启动一下系统服务中的KerberosKeyDistributionCenter服务。
2、使用智能卡登录时,返回提示:
您无法登录系统。
无法验证您的凭证。
检查要求导入CA根证书的各步,确认都已正确导入。
检查域控制器证书和域登录用户证书信息,确认信任链正常。
3、使用智能卡登录时,返回提示:
系统无法让您登录。
用于授权的智能卡证书不被信任。
在域控制器
升级会员 