使用USBKEY实现智能卡域登录的说明

使用USBKEY实现WINDOWS智能卡登录的说明

2007年1月18日

目录

一、前言.............................. 错误!未定义书签。

二、安装Active Directory .............. 错误!未定义书签。

三、安装IIS .......................... 错误!未定义书签。

四、安装Windows证书服务.............. 错误!未定义书签。

安装证书颁发机构................... 错误!未定义书签。

添加证书模板....................... 错误!未定义书签。

五、申请注册代理证书.................. 错误!未定义书签。

六、安装USBKEY的软件及硬件........... 错误!未定义书签。

七、申请智能卡证书.................... 错误!未定义书签。

更改IE安全设置.................... 错误!未定义书签。

申请智能卡证书..................... 错误!未定义书签。

八、使用USBKEY登录................... 错误!未定义书签。

九、使用USBKEY的安全配置............. 错误!未定义书签。

使用USBKEY实现Windows智能卡登录的说明一、前言

身份认证是系统安全的基本方面，被用来确认任何试图访问网络资源的用户的身份。但目前在企业内部所使用Windows网络中，用户名加密码仍然是普遍使用的身份认证方式，这种身份认证方式已经暴露出越来越多的问题：密码易被泄露：密码经常在无意之间被泄露出去。

密码易被窃取：密码被各种层出不穷的黑客和木马工具窃取。

密码易被猜测：由于密码长度有限，可能被猜测或穷举。

针对这个问题，微软从Windows 2000开始就支持智能卡登录。通过智能卡登录到网络提供了很强的身份认证方式。在智能卡中存放了用户的个人信息和数字证书，用户在登录时必须插入智能卡并同时输入对应的个人识别码（PIN）才能通过身份认证。相对于口令验证，智能卡具有更强的安全性。因为口令比较容易被不怀好意的人得到，而智能卡就像一把无法复制的钥匙，只有拿在手里才能打开大门。

USBKEY是结合USB技术和智能卡技术而开发的一种便携式安全产品，体积小巧，便于携带和使用。下面以Windows 2003 Server为例，来描述使用USBKEY 实现Windows 智能卡登录的整个配置过程：

安装Active Directory

安装IIS

安装Windows证书服务

申请注册代理证书

安装USBKEY的软件及硬件

申请智能卡证书

使用USBKEY登录

二、安装Active Directory

在Winodws的带域网络环境中，对用户进行身份认证及授权是通过域控制器来实现的。要使服务器成为域控制器则必须在服务器上安装活动目录服务（Active Directory）。

Windows的活动目录服务对网络上所有对象的信息进行分类，包括用户、计算机以及打印机等，并且通过网络发布信息。有了 Active Directory，只需要登录一次就可以很容易地找到并且使用网络上任何地方的资源。

安装及配置步骤如下：

第一步：启动“管理您的服务器”，点击“添加或删除角色”，出现“配置您的服务器向导”对话框，如下图所示：

第二步：在“服务器角色”中选择“域控制器（Active Directory）”，然后点击”下一步”按钮。将出现“Active Directory 安装向导”，请根据此安装向导的界面提示完成域控制器的安装与配置。

第三步：点击”下一步”，进入属性配置页，在接下来的配置中分别点选“新域的域控制器”和“在新林中的域”。

第四步：点击”下一步”，为新域键入DNS全名“”，第一个点号“.”之前的名字将作为网络标识名（NetBIOS），即新建域的名字为“HBCATEST”。

第五步：点击”下一步”，在“DNS注册诊断”中，选择“在这台机器上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机首选DNS服务器”。

第六步：点击”下一步”，出现“摘要”对话框，显示配置信息如下图所示：

第七步：点击”下一步”，开始安装和配置Active Directory过程。三、安装IIS

由于将使用Windows提供的基于Web的证书注册服务来申请智能卡登录证书，因此需要在服务器上安装IIS（Internet Information Service）服务。

安装及配置步骤如下：

第一步：启动“管理您的服务器”，点击“添加或删除角色”，出现如下图所示的界面。在“服务器角色”中选择“应用程序服务器（IIS，）”，然后点击“下一步”按钮。

第二步：在“应用程序服务器选项”中，如下图所示，选中所有的工具选

项，然后点击“下一步”按钮。此后，Windows将自动安装并配置IIS服务。

第三步：启动“IIS管理器”，选择“Web 服务扩展”。检查“Active Server Pages”是否是被允许的，如果不是，请点击“允许”按钮。如下图所示：

由于Windows提供的Web证书申请是基于ASP（Active Server Pages）而开发的，因此要确保在IIS中ASP Web服务扩展是被允许的。

第四步：启动“IIS管理器”，选择“网站”中的“默认网站”。在其“属性”对话框中选择“目录安全性”的“编辑”按钮，设置身份验证方法为：启用匿名访问，如下图所示：

四、安装Windows证书服务

因为使用Windows提供的证书服务来申请智能卡登录证书，所以需在服务器上安装Windows证书服务。

安装证书颁发机构

证书颁发机构亦即通常所说的CA中心。Windows 2003 Server的安装程序在缺省设置下并不会自动安装证书服务。

安装及配置步骤如下：

第一步：从控制面板的“添加或删除程序”中选择“添加/删除Windows组件”，将出现“Windows 组件向导”对话框，如下图所示：

第二步：从中选择“证书服务”，然后点击”下一步”按钮，将出现“CA类型”选择界面，如下图所示：

关于各CA的类型描述如下：

企业根CA ：

它是证书层次结构中的最高级CA，并且需要Active Directory目录服

务。它自我签发自己的CA 证书，并使用组策略将该证书发布到域中的

所有服务器和工作站的受信任的根证书颁发机构的存储区中。

企业从属CA：

它必须从另一CA 获得它的CA 证书，并要求有 Active Directory目

录服务。

独立根CA：

它是证书层次结构中的最高级CA。它既可以是域的成员也可以不是，

因此它不需要 Active Directory。但是，如果存在 Active Directory

用于发布证书和证书吊销列表，则会使用 Active Directory。

独立从属CA：

它必须从另一CA获得它的CA 证书。独立从属CA 可以是域的成员也

可以不是，因此它不需要 Active Directory。但是，如果存在 Active

Directory 用于发布证书和证书吊销列表，则会使用Active

Directory。

对于企业内部的网络，一般选择“企业根CA”类型。在接下来的过程中，请根据界面提示创建CA的自签名证书。

添加证书模板

从Windows证书颁发机构申请证书时，根据其访问权限，证书申请者可从基于证书模板的各种证书类型中进行选择。证书模板包括如何颁发证书和它们所包含的内容，它使用户省去了对于他们所需要的证书类型的配置细节。

对于智能卡登录来说，需要“注册代理”和“智能卡登录”等证书模板。这些证书模板在缺省设置中并没有加入到证书颁发机构中，因此需要手工添加。

安装及配置步骤如下：

第一步：从管理工具中启动“证书颁发机构”。选择左边目录树中的“证书模板”，然后右键单击，从弹出的右键菜单中选择“新建”下的“要颁发的证书模板”菜单项，如下图所示：

第二步：在弹出的“启用证书模板”对话框中，选择“智能卡登录”和“注册代理”等模板，然后点击“确定”按钮。

五、申请注册代理证书

从安全方面考虑，Windows要求智能卡证书的申请是一个受控制的过程。域用户无法申请“智能卡登录”证书，申请智能卡证书必须通过智能卡注册站来进行。

在安装Windows证书颁发机构时，已安装了智能卡注册站。这允许管理员代表用户申请智能卡登录证书。但在使用智能卡注册站之前，管理员必须获得基于注册代理证书模板的签名证书。

安装及配置步骤如下：

第一步：启动IE浏览器，在地址栏中输入，将出现Windows证书服务页面，在页面中选择“申请一个证书”链接，如下图所示：

第二步：在申请一个证书页面中，选择“高级证书申请”链接，如下图所示：

第三步：在高级证书申请页面中选择“创建并向此CA提交一个申请”链接，如下图所示：

第四步：在高级证书申请页面中，证书模板选择“注册代理”，其余参数配置如下图所示，点击“提交”按钮申请证书。

第五步：在证书申请成功后，将出现如下图所示页面。点击“安装此证书”链接来安装刚刚申请的注册代理证书。

六、安装USBKEY的软件及硬件

系统管理员为域用户申请智能卡登录证书以及域用户进行智能卡登录前必须安装USBKEY的软件和硬件。

USBKEY的软件包含PC/SC驱动及CSP安全模块，运行USBKEY的软件安装程序，根据提示安装即可。

软件安装完毕后，将USBKEY插入到计算机中的空闲USB接口上，系统将会提示找到新硬件，当系统提示硬件已正确安装后，就可使用USBKEY了。七、申请智能卡证书

更改IE安全设置

从Windows证书服务Web页面上为用户申请智能卡证书时，将会下载一些ActiveX控件，为确保这些ActiveX控件能下载成功，需更改IE的一些安全设置。

安装及配置步骤如下：

第一步：启动IE浏览器，打开“Internet 选项”对话框，如下图所示：

第二步：在“安全”页面中，选择“Internet”区域，然后点击“自定义级别”按钮，将弹出“安全设置”对话框，如下图所示：

第三步：将“对没有标记为安全的ActiveX控件进行初始化和脚本运行”及“下载未签名的ActiveX控件”项设为提示，然后点击“确定”按钮。

申请智能卡证书

打开Windows证书服务Web页面，申请并下载用户智能卡证书。

安装及配置步骤如下：

第一步：启动IE浏览器，在地址栏中输入，将出现Windows证书服务页面，在页面中选择“申请一个证书”链接，如下图所示：

第二步：在申请一个证书页面中，选择“高级证书申请”链接，如下图所示：

第三步：在高级证书申请页面中选择“通过使用智能卡证书注册站来为另一用户申请一个智能卡证书”链接，如下图所示：

第四步：在智能卡证书注册站页面中，证书模板选择“智能卡登录”，加密服务提供程序选择相应的USBKEY驱动程序。点击“选择用户…”按钮选择欲申请证书的用户名称，如：administrator。如下图所示：

第五步：插入USBKEY，然后点击“注册”按钮，将出现如下图所示的“PIN 码校验”对话框。请输入用户PIN，然后点击“确定”按钮。

第六步：当出现如下图所示的页面时，表明用户的智能卡证书已申请成功。

八、使用USBKEY登录

当为用户申请智能卡登录证书后，用户就可以使用USBKEY来进行Windows 域登录了。

登录步骤如下：

第一步：当系统启动出现如下图所示的界面时，插入USBKEY。

第二步：弹出如下图所示的对话框，请输入用户PIN。如果PIN输入正确，将成功进入Windows操作系统并可访问网络中许可访问的资源。

当计算机被锁定时，也可插入USBKEY来解除锁定的计算机。

九、使用USBKEY的安全配置

当用户拔除USBKEY时，操作系统将自动锁定计算机或强制注销。

安全配置步骤如下：

第一步：从控制面板的管理工具中打开“域安全策略”程序，如下图所示：

第二步：选择“本地策略”下“安全选项”中的“交互式登录：智能卡移除操作”，如下图所示：

第三步：右键单击，从弹出的菜单中选择“属性”，将弹出如下对话框：

从“本地策略设置”列表中选择“锁定工作站”或“强制注销”后，点击“确定”按钮。该安全策略只有在重新启动计算机后才会生效。