基于Windows2008r2智能卡域登陆部署说明(集成iTrusCA)

基于Windows 2008 R2搭建域控、域认证、智能卡登录部署说明

XXXXXXXXX公司

2012年8月

目录

一、安装DNS服务和安装IIS服务 ............................................................................................... 3 二、配置活动目录 ........................................................................................................................... 5 三、安装证书服务 ......................................................................................................................... 16 四、配置证书服务 ......................................................................................................................... 25 五、申请注册代理证书 ................................................................................................................. 29 六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey .............................................. 38 七、配置活动目录信任iTrusCA2.4集成项说明 ........................................................................ 39 八、添加第三方CA到活动目录的NTAuth store ....................................................................... 40 九、分发根证书到所有域成员 ..................................................................................................... 44 十、配置组策略 ............................................................................................................................. 47 十一、控制台本地计算机证书管理中导入信任根CA和中级CA............................................. 54

一、安装DNS服务和安装IIS服务

点击“开始”->“所有程序”->“管理工具”->“服务器管理器”，在“服务器管理器”里面选择“角色”，并在右边点击“添加角色”。

选择“DNS服务器”和Web服务器（IIS）点击“下一步”，所有选项默认选择直至到达“安装页面”；

安装完成，查看“DNS服务器”和“IIS服务”是否安装成功，点击“关闭”按钮

二、配置活动目录

返回“服务器管理”的“角色”页面

点击“添加角色”，选择“Active Directory域服务”。

点击“安装”！

安装完成，查看安装是否成功，点击“关闭”按钮！

返回“服务器管理”页面，选择“Active Directory域服务”点击“运行Active Diretory域服务安装向导（dcpromo.exe）”

不选择“使用高级模式安装”，点击“下一步”！

选择“在新林中新建域”，点击“下一步”！

在“目录林根级域的FQDN”处添加域名（可自定义填写），点击“下一步”

在“林功能级别”处选择“Windows Server 2003”，点击“下一步”！

在“域功能级别”处选择“Windows Server 2003”点击“下一步”

点击“下一步”！

在“Active Directory域服务安装向导”对话框点击“是”继续！

默认路径无需更改点击“下一步”

输入密码：Ab123456（可自定义，但要按照域的对密码的规格：大小写字母加数字！！）点击“下一步”！

选择本服务器上安装配置DNS服务器，并设为本机首选DNS服务器，点击“下一步”；

AD域服务安装完成，选择“完成后重新启动”选项，重启计算机；

三、安装证书服务

开机自动显示“初始配置任务”窗口，或是在“运行”里面输入“oobe”开启该窗口

点击“添加角色”！

点击“下一步”按钮！

选择“Active Directory 证书服务”点击“下一步”！

点击“下一步”！

选择“证书颁发机构”和“证书颁发机构Web注册”两项，点击“下一步”！

在弹出的“添加角色向导”对话框里面，点击“添加必需的角色服务”！

选择“企业”，点击“下一步”

选择“根CA”，点击“下一步”！

选择“新建私钥”，点击“下一步”！

此页面的选项默认选择。点击“下一步”！

在“此CA的公用名称”处填写，可自定义填写，“可分辨名称后缀”不建议修改，点击“下一步”

默认选择，可根据用户的实际需求自定义修改，点击“下一步”！

默认选择，可自定义路径修改，点击“下一步”！

点击“安装”！直至安装完成！

四、配置证书服务

开始->程序->管理工具->证书颁发机构

展开域根CA（itrus），右击证书模板，在弹出的菜单上选择，新建->要颁发的证书模板

在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机)四项。如下图所示：

为域用户设置智能卡用户证书的注册权限。右击证书模板，选择管理，打开证书模板对话框。如下图所示：

在证书模板控制台右边的模板列表中，右击“智能卡用户”选择“属性”，弹出智能卡用户的属性对话框。

切换到安全面板，在“组或用户名称”中添加Domain Users，并为其添加读取、写入、注册的权限，如下图所示：

五、申请注册代理证书

Windows Server 2008为了安全起见，要求颁发智能卡证书必须通过注册代理站来颁发，不允许随意颁发智能卡证书，注册代理站需要使用注册代理证书，所以必须先申请注册代理证书，我们下面来申请注册代理证书

申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。任意域成员计算机上均可以申请注册代理证书，并帮助用户申请智能卡用户证书。不过在默认情况下，注册代理证书只允许域管理员申请，如果出于安全考虑不希望使用域管理员进行申请证书操作，则需要为指定用户设置注册代理证书的权限，具体办法请参考按照配置证书服务设置智能卡用户注册权限。下图可作参考：

点击开始—〉程序—〉管理工具—〉Active Directory用户和计算机

填写相应的信息，并点击“第一步”

填写密码：Ab123456，勾选“密码永不过期”！点击“下一步”直至完成！

回到“证书颁发机构”窗口，右键“注册代理”选择“属性”

切换到安全面板，在“组或用户名称”中添加Users，并为其添加读取、写入、注册的权限，如下图所示：

通过管理用户证书的MMC控制台申请注册代理证书： 开始->运行->键入mmc后回车->打开MMC控制台 单击菜单“控制台”，选择“添加/删除管理单元”，选择“证书”，然后添加，选择“我的用户账户”，点击“完成”。

操作过程请参考下列图示：

选择“证书”点击“添加”

展开“证书–当前用户”，右键单击“个人”文件夹，在弹出的菜单上选择“所有任务”->“申请新证书”，弹出证书申请向导。

点击“下一步”！

在“证书类型”中选择“注册代理”，键入好记名称后，完成申请。

六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey

? 定制用户证书模板中添加智能卡域登录证书功能

extendedKeyUsage

clientAuth,msSmartcardLogin

1.3.6.1.4.1.311.20.2

DER:1E1A0053006D00610072007400630061007200640055007300650072

subjectAltName

OTHERNAME:msUPN:UTF8STRING:$$USER_ADDTIONAL_FIELD5$$

? 配置用户页面http://ip:port/user-enroll/console

应用配置?定制注册项，添加<备注5>，对应信息为域用户登录名（如：chen_yue@itrus.com.cn）

证书设置?私钥产生方式，设置为“申请时产生私钥”； ? 将证书下载模式改为AA自动审批模式

修改itrusca\\ra\\iTrusCA.xml中，审批模式为“AA” ? 申请智能卡域用户证书到USBKEY

用户数字证书服务中心http://ip:port/user-enroll “申请：用户证书”?输入CN（姓名）、Email（邮箱）、备注5（域用户登录名）、用户口令（AA模式默认密码：itrusyes）、选择USBKEY的加密服务提供者?下载证书完成；

七、配置活动目录信任iTrusCA2.4集成项说明

上面已经安装了Windows的证书服务拥有了域控制器证书，下面我们需要完成集成第三方CA到活动目录需要对活动目录和域控制器做以下两项设置：

? 必需的：添加第三方的CA到活动目录的NTAuth store中，用来认证活动目录的用

户登录。

? 可选的：通过使用组策略，配置活动目录分发第三方根CA到所有域成员的受信任

的根证书中去。

第二项虽然是可选的，但是手动发布根CA到每一台域成员计算机中显然是不可取的，所以也要做。

八、添加第三方CA到活动目录的NTAuth store

开始->运行->键入mmc后回车->打开MMC控制台 单击菜单“控制台”，选择“添加/删除管理单元”，选择“企业PKI”，添加后关闭。单击完成。

右击“企业 PKI”，选择“管理AD容器”；

本文来源：https://www.bwwdw.com/article/naz6.html