基于Windows2008r2智能卡域登陆部署说明(集成iTrusCA)
更新时间:2024-05-31 03:03:01 阅读量: 综合文库 文档下载
基于Windows 2008 R2搭建域控、域认证、智能卡登录部署说明
XXXXXXXXX公司
2012年8月
目录
一、安装DNS服务和安装IIS服务 ............................................................................................... 3 二、配置活动目录 ........................................................................................................................... 5 三、安装证书服务 ......................................................................................................................... 16 四、配置证书服务 ......................................................................................................................... 25 五、申请注册代理证书 ................................................................................................................. 29 六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey .............................................. 38 七、配置活动目录信任iTrusCA2.4集成项说明 ........................................................................ 39 八、添加第三方CA到活动目录的NTAuth store ....................................................................... 40 九、分发根证书到所有域成员 ..................................................................................................... 44 十、配置组策略 ............................................................................................................................. 47 十一、控制台本地计算机证书管理中导入信任根CA和中级CA............................................. 54
一、安装DNS服务和安装IIS服务
点击“开始”->“所有程序”->“管理工具”->“服务器管理器”,在“服务器管理器”里面选择“角色”,并在右边点击“添加角色”。
选择“DNS服务器”和Web服务器(IIS)点击“下一步”,所有选项默认选择直至到达“安装页面”;
安装完成,查看“DNS服务器”和“IIS服务”是否安装成功,点击“关闭”按钮
二、配置活动目录
返回“服务器管理”的“角色”页面
点击“添加角色”,选择“Active Directory域服务”。
点击“安装”!
安装完成,查看安装是否成功,点击“关闭”按钮!
返回“服务器管理”页面,选择“Active Directory域服务”点击“运行Active Diretory域服务安装向导(dcpromo.exe)”
不选择“使用高级模式安装”,点击“下一步”!
选择“在新林中新建域”,点击“下一步”!
在“目录林根级域的FQDN”处添加域名(可自定义填写),点击“下一步”
在“林功能级别”处选择“Windows Server 2003”,点击“下一步”!
在“域功能级别”处选择“Windows Server 2003”点击“下一步”
点击“下一步”!
在“Active Directory域服务安装向导”对话框点击“是”继续!
默认路径无需更改点击“下一步”
输入密码:Ab123456(可自定义,但要按照域的对密码的规格:大小写字母加数字!!)点击“下一步”!
选择本服务器上安装配置DNS服务器,并设为本机首选DNS服务器,点击“下一步”;
AD域服务安装完成,选择“完成后重新启动”选项,重启计算机;
三、安装证书服务
开机自动显示“初始配置任务”窗口,或是在“运行”里面输入“oobe”开启该窗口
点击“添加角色”!
点击“下一步”按钮!
选择“Active Directory 证书服务”点击“下一步”!
点击“下一步”!
选择“证书颁发机构”和“证书颁发机构Web注册”两项,点击“下一步”!
在弹出的“添加角色向导”对话框里面,点击“添加必需的角色服务”!
选择“企业”,点击“下一步”
选择“根CA”,点击“下一步”!
选择“新建私钥”,点击“下一步”!
此页面的选项默认选择。点击“下一步”!
在“此CA的公用名称”处填写,可自定义填写,“可分辨名称后缀”不建议修改,点击“下一步”
默认选择,可根据用户的实际需求自定义修改,点击“下一步”!
默认选择,可自定义路径修改,点击“下一步”!
点击“安装”!直至安装完成!
四、配置证书服务
开始->程序->管理工具->证书颁发机构
展开域根CA(itrus),右击证书模板,在弹出的菜单上选择,新建->要颁发的证书模板
在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机)四项。如下图所示:
为域用户设置智能卡用户证书的注册权限。右击证书模板,选择管理,打开证书模板对话框。如下图所示:
在证书模板控制台右边的模板列表中,右击“智能卡用户”选择“属性”,弹出智能卡用户的属性对话框。
切换到安全面板,在“组或用户名称”中添加Domain Users,并为其添加读取、写入、注册的权限,如下图所示:
五、申请注册代理证书
Windows Server 2008为了安全起见,要求颁发智能卡证书必须通过注册代理站来颁发,不允许随意颁发智能卡证书,注册代理站需要使用注册代理证书,所以必须先申请注册代理证书,我们下面来申请注册代理证书
申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。任意域成员计算机上均可以申请注册代理证书,并帮助用户申请智能卡用户证书。不过在默认情况下,注册代理证书只允许域管理员申请,如果出于安全考虑不希望使用域管理员进行申请证书操作,则需要为指定用户设置注册代理证书的权限,具体办法请参考按照配置证书服务设置智能卡用户注册权限。下图可作参考:
点击开始—〉程序—〉管理工具—〉Active Directory用户和计算机
填写相应的信息,并点击“第一步”
填写密码:Ab123456,勾选“密码永不过期”!点击“下一步”直至完成!
回到“证书颁发机构”窗口,右键“注册代理”选择“属性”
切换到安全面板,在“组或用户名称”中添加Users,并为其添加读取、写入、注册的权限,如下图所示:
通过管理用户证书的MMC控制台申请注册代理证书: 开始->运行->键入mmc后回车->打开MMC控制台 单击菜单“控制台”,选择“添加/删除管理单元”,选择“证书”,然后添加,选择“我的用户账户”,点击“完成”。
操作过程请参考下列图示:
选择“证书”点击“添加”
展开“证书–当前用户”,右键单击“个人”文件夹,在弹出的菜单上选择“所有任务”->“申请新证书”,弹出证书申请向导。
点击“下一步”!
在“证书类型”中选择“注册代理”,键入好记名称后,完成申请。
六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey
? 定制用户证书模板中添加智能卡域登录证书功能
? 配置用户页面http://ip:port/user-enroll/console
应用配置?定制注册项,添加<备注5>,对应信息为域用户登录名(如:chen_yue@itrus.com.cn)
证书设置?私钥产生方式,设置为“申请时产生私钥”; ? 将证书下载模式改为AA自动审批模式
修改itrusca\\ra\\iTrusCA.xml中,审批模式为“
用户数字证书服务中心http://ip:port/user-enroll “申请:用户证书”?输入CN(姓名)、Email(邮箱)、备注5(域用户登录名)、用户口令(AA模式默认密码:itrusyes)、选择USBKEY的加密服务提供者?下载证书完成;
七、配置活动目录信任iTrusCA2.4集成项说明
上面已经安装了Windows的证书服务拥有了域控制器证书,下面我们需要完成集成第三方CA到活动目录需要对活动目录和域控制器做以下两项设置:
? 必需的:添加第三方的CA到活动目录的NTAuth store中,用来认证活动目录的用
户登录。
? 可选的:通过使用组策略,配置活动目录分发第三方根CA到所有域成员的受信任
的根证书中去。
第二项虽然是可选的,但是手动发布根CA到每一台域成员计算机中显然是不可取的,所以也要做。
八、添加第三方CA到活动目录的NTAuth store
开始->运行->键入mmc后回车->打开MMC控制台 单击菜单“控制台”,选择“添加/删除管理单元”,选择“企业PKI”,添加后关闭。单击完成。
右击“企业 PKI”,选择“管理AD容器”;
正在阅读:
基于Windows2008r2智能卡域登陆部署说明(集成iTrusCA)05-31
英语语言文学考研该如何复习02-23
天津大学 第五版 物理化学上册习题答案04-18
成本会计练习题-完整版03-16
江苏省苏州市苏苑中学2011-2012学年高一10月月考 历史07-18
2022届北京市东城区高三高考4月一模考试数学试卷及解析04-19
中国地质大学-公共经济学-平时作业11-07
连锁超市精品培训系列-商品陈列培训1005-12
新托福考前3天必看词汇总结07-17
- 1windows server 2008 r2优化
- 2Windows Server 2008 R2 中的安全事件的说明
- 3基于Windows Server 2008 R2的Failover Cluster(故障转移群集)部署Sql Server 2008 AA(主主) 模式群集
- 4基于Windows Server 2008 R2的Failover Cluster(故障转移群集)部署Sql Server 2008 AA(主主) 模式群集
- 5Windows Server 2008 R2 中的安全事件的说明
- 6Windows Server 2012R2 域与活动目录
- 7Windows_Server_2008_R2_AD_DS架构-第03部分_OU、组策略规划及部署
- 810. Windows系统登陆密码破解
- 9智能卡技术实验报告(四)
- 102015年智能卡行业分析报告
- Win7 安装MySql图示
- 计算器课程设计报告
- 部编版八年下语文第三单元第六单元古诗文理解默写练习及答案
- 13质量通病防治方案和施工措施
- 土力学试题~~~~
- 公务员打印资料
- 传热膜系数测定实验报告 - 图文
- 新时期煤矿协管安全工作的创新与实践
- 第五章 习题及参考答案
- 220kV架空线路强条执行记录表
- 音乐欣赏读后感
- 高炉
- 劳动教育需要新的时代内涵
- 10建筑地面工程施工质量验收规范GB50209-20021
- 银行会计练习题2答案
- 2013年七年级地理上册知识点复习提纲湘教版
- 人教版三年级语文上册第四单元测试题(A卷)(有答案)
- 营养师第九章练习题
- 湖北省武汉市2018届高三毕业生二月调研 理综化学
- 行业分析2018-2023年中国男性护肤品行业市场发展分析及投资前景
- 智能卡
- Windows2008r2
- 部署
- 基于
- 集成
- iTrusCA
- 登陆
- 说明
- 复合开关核心技术开发介绍
- 晶闸管投切电容器
- OFM用户操作手册(中英文)
- 煤矿围岩控制与监测
- 自主招生个人陈述范文
- 简答题建筑类。
- 口号标语之ssh端口号登录
- PLC复习资料
- 原村土布营销策划
- 新广告法试卷
- 2010年理财规划师考试《基础知识》考前预测试卷(4)-中大网校
- 体育论文 湖南科技大学学生课外锻炼现状及锻炼动机研究
- 酒店网络安全解决方案-(网络拓扑及设计)
- 知识扶贫比经济扶贫更重要一辩稿
- PLC实训报告
- 新北师大版一年级数学上册第三单元 加与减(一)教学设计教学反思
- 东北师范大学数学发展简史17秋在线作业1-1
- 舌尖上的中国------兰溪篇
- 2017年宁夏省混凝土工:施工配合比考试试卷
- 涤纶短纤维后加工操作要点和故障处理