La autenticación de tarjeta inteligente para hacer
https://www.cnblogs.com/AlexanderYao/p/4307304.html
1, el entorno de red para construir:
1 máquina con tres conjuntos de máquinas virtuales realice una sola red física test de segmentos: 172.16.188.x, como sigue:
| nombre de la máquina | IP | sistema operativo | efecto |
| juicio | 172.16.188.1 | servidor victoria 2008 R2 / VM | servidor de dominio de AD, certificado de servidor de anuncios, el servidor IIS |
| tener | 172.16.188.10 | servidor victoria 2008 R2 / VM | servidor de escritorio remoto (servidor también ex Terminal) |
| win7 | 172.16.188.100 | Win7 / VM | analógico cliente Win7 |
| XP | 172.16.188.101 | / máquinas físicas Win XP SP3 | analógico cliente XP |
2, configurar un servidor de certificados
1) en el DOM, primero agregar los servicios de Active Directory Domain, Web Server (IIS) y, a continuación, añadir el Directorio de Servicios de certificados de Active, que establecerá un sitio web CertSrv en IIS para la solicitud de certificado y emisión. Al agregar un certificado en los servicios, se generará un certificado raíz de CA, tales como secreta-DOM-CA, todos los certificados posteriores promulgadas por este certificado.
2) plantillas de certificado de gestión: Para abrir Herramientas administrativas -> Autoridad de Certificación -> Plantillas de certificado, haga clic en "gestión". En la ventana emergente "Certificado de plantillas de consola", modificar el "inicio de sesión de tarjeta inteligente" y "usuarios de tarjetas inteligentes" Propiedades derecho -> pestaña Seguridad -> Agregar usuarios de dominio pueden leer + registro. También puede crear una nueva plantilla de certificado copiando una plantilla existente.
3) una plantilla de certificado: Abra Herramientas administrativas -> Autoridad de Certificación -> Plantillas de certificado, haga clic en el "Nuevo" -> Plantilla de certificado para emitir, seleccionar "Inicio de sesión de tarjeta inteligente" y "usuarios de tarjetas inteligentes," OK.
4) Modificar el atributo de CA: Para abrir Herramientas administrativas -> Autoridad de Certificación -> nombre de CA (como secreta-DOM-CA), Right Properties -> Seguridad, agregue los usuarios del dominio pueden leer + solicitar un certificado.
3, Configuración del servidor IIS
1) el apoyo complemento https: "Modificar enlaces" Abrir herramientas administrativas - -> Internet Information Server (IIS)> Por defecto sitio web-> botón derecho del ratón El valor por defecto es apoyar tanto http https +, si no, añadir manualmente https, certificados SSL pueden elegir una, por ejemplo dom.secret.company.com.
2) Añadir autenticación CertSrv: Debido a que un usuario inicie sesión en CertSrv y presentar su solicitud, que va a generar las credenciales del usuario, por lo que deshacerse de la autenticación anónima, y añadir la autenticación básica + Digest. Haga clic CertSrv web -> Autenticación, en consecuencia desactivar / activar la misma.
3) Si no se unen SSL, se informará "con el fin de completar el certificado de registro, la CA debe estar configurado para utilizar la autenticación de sitios https".
4, el medio ambiente de dominio de configuración
1) y el dominio: 3 máquina adicional fue sustituido por el nombre de dominio y secret.company.com añadido, el reinicio después del dominio. En esta herramienta de gestión del tiempo -> Usuarios y equipos de Active Directory -> Computadoras aparecerán en máquinas unidos a un dominio, es decir, ter, win7, XP.
2) Añadir el usuario de dominio: Herramientas administrativas -> Usuarios y equipos de Active Directory -> Usuarios para agregar usuarios en la prueba.
3) ePass3000 instalación: todas las máquinas están instaladas en coche ePass3000, prestar atención para comprobar el "sistema operativo para apoyar el inicio de sesión de tarjeta inteligente o VPN", se dice que sólo se puede instalar en la máquina de presentación de solicitudes.
5, solicitar un certificado
1) el registro de CertSrv: Cualquiera de la máquina accionada está montado en ePass, abierto de entrada IE https://dom.secret.company.com/certsrv (Nota: Si la entrada directa en la dirección de IP 172.16.188.1 y por encima se IE8 Noticias "certificado de seguridad del sitio tiene un problema," porque se identifica el certificado del nombre de dominio, no IP, IP para generar un certificado de identidad si es vinculante, a continuación, la dirección IP de salida no se informó), utilizando un inicio de sesión de usuario de prueba .
2) solicitud de certificado: En el caso de la inserción ePass3000, haga clic en la solicitud de certificado -> Certificado aplicaciones avanzadas -> Crear y enviar una solicitud a esta CA, por primera vez para instalar el plug-CertEnrollCtrl. En esta caja desplegable Plantilla de certificado debe tener un "usuarios de tarjeta inteligente" y "Smart Card Logon" Estos dos, y EFS básicos sólo el usuario por defecto +, aunque sólo estos dos, o simplemente no tiene uno, y el periódico "no se pudo encontrar ningún certificado de plantilla. Usted no tiene error de permiso de la CA solicita un certificado o cuando se accede a Active Directory "consulte" 2, configurar un servidor de certificados. " caja desplegable CSP debe ser "Proveedor Feitian ePassNG de servicios de cifrado RSA", si no, explicar ePass en este los problemas de instalación del controlador de la máquina, tales como la forma en que no puedo salir de éste en el servidor 2008 R2.
3) Instalar certificado: clic en Enviar, ePass comienzan a generar el par de claves. En la siguiente página, haga clic en "Instalar certificado", ePass comenzar a generar los certificados X.509. Usar herramientas de administración ePass ePassNgMgr.exe, se puede ver claramente USB se ha almacenado en el certificado de prueba del usuario y un par de claves.
6, ventanas de inicio de sesión de tarjeta inteligente
En las ventanas de pantalla de acceso de inserción de la tarjeta inteligente, introduzca el código PIN que los usuarios del dominio pueden iniciar sesión en la prueba. Hay dos pequeños problemas:
1) Si se introduce el informe de verificación del código PIN no es válido, intenta instalar el certificado de entidad emisora raíz de que el certificado raíz de la CA para unirse a la máquina actual "raíz de confianza Autoridades de Certificación."
2) Si el dispositivo USB que hay más de un certificado, se llevará a la ventana de inicio de sesión por primera vez, y el navegador (Internet Explorer 8 +, Chrome, Firefox, etc.) por lo general le pide que seleccione una de ellas.
7, la tarjeta inteligente de sesión de escritorio remoto
1) En primer lugar insertar la tarjeta inteligente, si ni siquiera eso XP, cuando la salida es buena IP, haga clic en el enlace te deja directamente código pin perder, si es incluso win7 +, habrá tres maneras que usted elija, seleccione los tres primeros tarjeta inteligente para iniciar la sesión.
2) puede informar de un "error de tarjeta inteligente: no se requiere tarjeta de sistema de tracción": Esta pregunta no ha sido resuelto por completo, sin embargo, incluso XP está bien, pero incluso win7 + Server 2008 R2 han informado de este mal. Entiendo debe ser ePass en un controlador remoto de la máquina no está correctamente instalado, pero después del descubrimiento de inicio de sesión normal de escritorio remoto con tarjetas inteligentes es en realidad mapeado pasan correctamente.
- Sin embargo, durante una visita CertSrv-> Solicitud de certificado avanzada, CSP en realidad no hay "Proveedor Feitian ePassNG de servicios de cifrado RSA".
- Este " Cómo CSP Valora esta página instalada la Búsqueda del ordenador en un " indica la ubicación de la máquina todo el CSP en el registro, si el manual de entradas de registro del Feitian CSP XP en el equipo de destino, vuelva a encenderla CertSrv-> Solicitud de certificado avanzada cuando la página, CSP desplegable caja con Feitian, pero seleccione Noticias "Es posible que haya seleccionado un tipo de clave no soportada de CSP define plantilla. por favor cambia las categorías clave en la plantilla, o escoger el proveedor diferente o plantilla de certificado.", parece todavía no es capaz de conducir el registro correctamente instalado +, Oh, esto es dudoso!
3) problemas de instalación ePass: Es posible instalar el periódico "Inicializar biblioteca PKCS # 11 falló, 0x0000 0030", encontró la llave para abrir el servicio services.msc ngSlotD no creó o no ha empezado. Puede crear usted mismo:
1 pb crear ngslotd binPath = "% ProgramFiles% \ ngsrv \ ngslotd.exe" start = auto dependerá = SCardSvr ngslotd inicio 2 pb
4) Permitir escritorio remoto: La directiva de dominio predeterminada parece permitir el escritorio remoto. Servidor de Dominio -> Herramientas administrativas -> Administración de directivas de grupo -> Objeto de directiva de grupo -> dominio predeterminado PolÃtica> botón derecho del editor, abra el Editor de administración de directivas de grupo.
- Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Directivas locales -> Asignación de derechos de usuario -> Permitir inicio de sesión a través de Servicios de escritorio remoto, los usuarios del dominio agregar, Usuarios de escritorio remoto y otros grupos relacionados.
- Configuración del equipo -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Servicios de escritorio remoto -> Host de sesión de escritorio remoto -> Conexión -> Servicios de Escritorio remoto permite a los usuarios conectarse de forma remota en vez activados.
- Si estos ajustes no están disponibles, puede orientar la máquina - derecho en Mi PC> -> Propiedades -> a distancia -> seleccione el usuario en ... Añadir usuarios del dominio, Usuarios de escritorio remoto y otros grupos relacionados.
8, la referencia
1) " Smart Card de inicio de sesión y autenticación "
2) " USB eToken para el usuario de dominio de Windows autenticación RDP "
3) " ¿Cómo encontrar CSP actualmente instalado en un equipo "
============= Fin