《使用USBKEY实现智能卡域登录的说明》由会员分享,可在线阅读,更多相关《使用USBKEY实现智能卡域登录的说明(17页珍藏版)》请在金锄头文库上搜索。
1、使用SBKE实现OWS智能卡登录的说明007年1月1日 / 目 录一、前言1二、安装Atie Direcory1三、安装IS3四、安装idows证书服务4.1安装证书颁发机构542添加证书模板7五、申请注册代理证书8六、安装USBKEY的软件及硬件0七、申请智能卡证书1071更改I安全设置1072申请智能卡证书11八、使用USEY登录13九、使用USBK的安全配置1使用USBKEY实现Windos智能卡登录的说明一、前言身份认证是系统安全的基本方面,被用来确认任何试图访问网络资源的用户的身份。但目前在企业内部所使用indows网络中,用户名加密码仍然是普遍使用的身份认证方式,这种身份认证方式已
2、经暴露出越来越多的问题:l 密码易被泄露:密码经常在无意之间被泄露出去.l 密码易被窃取:密码被各种层出不穷的黑客和木马工具窃取。l 密码易被猜测:由于密码长度有限,可能被猜测或穷举。针对这个问题,微软从Wndws200开始就支持智能卡登录。通过智能卡登录到网络提供了很强的身份认证方式。在智能卡中存放了用户的个人信息和数字证书,用户在登录时必须插入智能卡并同时输入对应的个人识别码(PN)才能通过身份认证。相对于口令验证,智能卡具有更强的安全性。因为口令比较容易被不怀好意的人得到,而智能卡就像一把无法复制的钥匙,只有拿在手里才能打开大门。SBEY是结合S技术和智能卡技术而开发的一种便携式安全产品
3、,体积小巧,便于携带和使用。下面以Winws 03ervr为例,来描述使用USKY实现Winows 智能卡登录的整个配置过程:l 安装Active irectoryl 安装IISl 安装Wiow证书服务l 申请注册代理证书l 安装USBKEY的软件及硬件l 申请智能卡证书l 使用SY登录二、安装Atie recory在Winodws的带域网络环境中,对用户进行身份认证及授权是通过域控制器来实现的。要使服务器成为域控制器则必须在服务器上安装活动目录服务(ActiveDirector)。Wiws的活动目录服务对网络上所有对象的信息进行分类,包括用户、计算机以及打印机等,并且通过网络发布信息。有了
4、Acive Directory,只需要登录一次就可以很容易地找到并且使用网络上任何地方的资源。安装及配置步骤如下:第一步:启动“管理您的服务器”,点击“添加或删除角色”,出现“配置您的服务器向导”对话框,如下图所示:第二步:在“服务器角色”中选择“域控制器(Active Dtor),然后点击下一步”按钮。将出现“Acive Diretory 安装向导”,请根据此安装向导的界面提示完成域控制器的安装与配置。第三步:点击”下一步”,进入属性配置页,在接下来的配置中分别点选“新域的域控制器和“在新林中的域”。第四步:点击下一步”,为新域键入NS全名“”,第一个点号“” 之前的名字将作为网络标识名(N
5、BIS),即新建域的名字为“BCATST”。第五步:点击下一步”,在“DS注册诊断”中,选择“在这台机器上安装并配置DS服务器,并将这台DN服务器设为这台计算机首选S服务器”。第六步:点击”下一步”,出现“摘要对话框,显示配置信息如下图所示:第七步:点击”下一步,开始安装和配置te rtor过程。三、安装IIS由于将使用Winws提供的基于We的证书注册服务来申请智能卡登录证书,因此需要在服务器上安装IS(Internet Informtion Srice)服务。 安装及配置步骤如下:第一步:启动“管理您的服务器”,点击“添加或删除角色”,出现如下图所示的界面。在“服务器角色”中选择“应用程序
6、服务器(II)”,然后点击“下一步按钮。第二步:在“应用程序服务器选项”中,如下图所示,选中所有的工具选项,然后点击“下一步按钮.此后,Winws将自动安装并配置II服务.第三步:启动“IIS管理器”,选择“Web 服务扩展 .检查“ActiveSerer Paes”是否是被允许的,如果不是,请点击“允许”按钮.如下图所示:由于ndw提供的Wb证书申请是基于SP(Active Serer Paes)而开发的,因此要确保在IIS中ASPWe服务扩展是被允许的。第四步:启动“IIS管理器”,选择“网站中的“默认网站”。在其“属性”对话框中选择“目录安全性”的“编辑”按钮,设置身份验证方法为:启用匿
7、名访问,如下图所示:四、安装Wos证书服务因为使用Winws提供的证书服务来申请智能卡登录证书,所以需在服务器上安装Wiows证书服务.4。安装证书颁发机构证书颁发机构亦即通常所说的CA中心。Wndow 200 Seer的安装程序在缺省设置下并不会自动安装证书服务.安装及配置步骤如下:第一步:从控制面板的“添加或删除程序中选择“添加/删除Window组件”,将出现“indo 组件向导”对话框,如下图所示: 第二步:从中选择“证书服务”,然后点击”下一步”按钮,将出现“CA类型选择界面,如下图所示:关于各CA的类型描述如下:l 企业根CA :它是证书层次结构中的最高级A,并且需要Ac Direr
8、目录服务。它自我签发自己的CA 证书,并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中。l 企业从属CA:它必须从另一C 获得它的C证书,并要求有Active rtr目录服务. l 独立根A:它是证书层次结构中的最高级CA。它既可以是域的成员也可以不是,因此它不需要 Acti Dicor。但是,如果存在 AciveDrectry 用于发布证书和证书吊销列表,则会使用AivDirectr。l 独立从属C:它必须从另一CA获得它的CA 证书。独立从属CA可以是域的成员也可以不是,因此它不需要 ActieDictr。但是,如果存在 ActivDirery 用于发布
9、证书和证书吊销列表,则会使用 ctive ireory。对于企业内部的网络,一般选择“企业根C”类型.在接下来的过程中,请根据界面提示创建CA的自签名证书.4。2添加证书模板从Wndws证书颁发机构申请证书时,根据其访问权限,证书申请者可从基于证书模板的各种证书类型中进行选择.证书模板包括如何颁发证书和它们所包含的内容,它使用户省去了对于他们所需要的证书类型的配置细节。对于智能卡登录来说,需要“注册代理”和“智能卡登录”等证书模板。这些证书模板在缺省设置中并没有加入到证书颁发机构中,因此需要手工添加.安装及配置步骤如下:第一步:从管理工具中启动“证书颁发机构。选择左边目录树中的“证书模板”,然
10、后右键单击,从弹出的右键菜单中选择“新建”下的“要颁发的证书模板”菜单项,如下图所示:第二步:在弹出的“启用证书模板”对话框中,选择“智能卡登录”和“注册代理等模板,然后点击“确定”按钮.五、申请注册代理证书从安全方面考虑,Winws要求智能卡证书的申请是一个受控制的过程。域用户无法申请“智能卡登录”证书,申请智能卡证书必须通过智能卡注册站来进行。在安装inows证书颁发机构时,已安装了智能卡注册站。这允许管理员代表用户申请智能卡登录证书。但在使用智能卡注册站之前,管理员必须获得基于注册代理证书模板的签名证书。安装及配置步骤如下:第一步:启动浏览器,在地址栏中输入,将出现Windws证书服务页
11、面,在页面中选择“申请一个证书链接,如下图所示:第二步:在申请一个证书页面中,选择“高级证书申请”链接,如下图所示:第三步:在高级证书申请页面中选择“创建并向此A提交一个申请链接,如下图所示:第四步:在高级证书申请页面中,证书模板选择“注册代理”,其余参数配置如下图所示,点击“提交”按钮申请证书。第五步:在证书申请成功后,将出现如下图所示页面。点击“安装此证书”链接来安装刚刚申请的注册代理证书。六、安装SKEY的软件及硬件系统管理员为域用户申请智能卡登录证书以及域用户进行智能卡登录前必须安装USBEY的软件和硬件。USBEY的软件包含P/S驱动及CP安全模块,运行USKY的软件安装程序,根据提
12、示安装即可。软件安装完毕后,将USBKEY插入到计算机中的空闲USB接口上,系统将会提示找到新硬件,当系统提示硬件已正确安装后,就可使用USBKEY了。七、申请智能卡证书.1更改IE安全设置从Winws证书服务Wb页面上为用户申请智能卡证书时,将会下载一些ActivX控件,为确保这些AtiveX控件能下载成功,需更改I的一些安全设置.安装及配置步骤如下:第一步:启动IE浏览器,打开“nteet选项对话框,如下图所示:第二步:在“安全”页面中,选择“nternet”区域,然后点击“自定义级别按钮,将弹出“安全设置”对话框,如下图所示:第三步:将“对没有标记为安全的Actve控件进行初始化和脚本运
13、行”及“下载未签名的AtiveX控件项设为提示,然后点击“确定按钮。2申请智能卡证书 打开Wind证书服务Web页面,申请并下载用户智能卡证书。 安装及配置步骤如下:第一步:启动IE浏览器,在地址栏中输入,将出现Wido证书服务页面,在页面中选择“申请一个证书链接,如下图所示:第二步:在申请一个证书页面中,选择“高级证书申请”链接,如下图所示:第三步:在高级证书申请页面中选择“通过使用智能卡证书注册站来为另一用户申请一个智能卡证书”链接,如下图所示:第四步:在智能卡证书注册站页面中,证书模板选择“智能卡登录”,加密服务提供程序选择相应的USBKEY驱动程序.点击“选择用户”按钮选择欲申请证书的
14、用户名称,如:minitrato。如下图所示:第五步:插入USBY,然后点击“注册”按钮,将出现如下图所示的“PI码校验”对话框。请输入用户PI,然后点击“确定”按钮。第六步:当出现如下图所示的页面时,表明用户的智能卡证书已申请成功。八、使用USEY登录当为用户申请智能卡登录证书后,用户就可以使用USEY来进行Wndws域登录了.登录步骤如下:第一步:当系统启动出现如下图所示的界面时,插入UBKEY。第二步:弹出如下图所示的对话框,请输入用户PI。如果PIN输入正确,将成功进入Window操作系统并可访问网络中许可访问的资源。当计算机被锁定时,也可插入SBEY来解除锁定的计算机。九、使用USBKEY的安全配置当用户拔除USKEY时,操作系统将自动锁定计算机或强制注销。 安全配置步骤如下:第一步:从控制面板的管理工具中打开“域安全策略”程序,如下图所示:第二步:选择“本地策略”下“安全选项”中的“交互式登录:智能卡移除操作,如下图所示:第三步:右键单击,从弹出的菜单中选择“属性”,将弹出如下对话框:从“本地策略设置”列表中选择“锁定工作站”或“
