解决方案 Solutions
联系方式 Contact

新安信科技(深圳)有限公司

电话:13510263530

地址:广东省深圳市沙头街道福强路4001号文化创意园A座五层

网址:www.safechn.com

QQ客服:点击这里给我发消息

淘宝客服:点这里给我发消息

搜索 Search
你的位置:首页 > 解决方案 > 身份认证解决方案

Windows智能卡域登录方案

2016-4-27 17:36:49点击:

Windows2000操作系统以及微软后续的操作系统都内置了对智能卡用户认证的支持,计算机用户可以选择使用传统的用户名、口令验证方式进行域用户身份验证,也可以使用智能卡来自动完成用户身份验证。智能卡用户身份验证的优势是更加安全和易于使用。用户只需记住智能卡的用户PIN码就可利用智能卡自动进行安全身份认证。
方案主要讲述如何配置智能卡证书管理、申请智能卡证书、使用ePass2003进行本地和远程智能卡登录。

    颁发智能卡证书管理
 申请智能卡证书
 使用ePass2003进行本地智能卡登录
 使用ePass2003进行远程智能卡登录
 锁定工作站


1.1 颁发智能卡证书管理
要在Windows的工作站上进行智能卡用户登录,首先工作站需要颁发智能卡证书给用户。智能卡证书是存储在用户智能卡内的数字证书。设置为用户颁发智能卡证书的具体步骤如下:
1. 使用管理员身份登录到用来颁发智能卡证书的证书颁发机构(CA),并打开证书颁发机构管理工具,如下图:


2. 在控制台的证书颁发机构树图中选择:证书颁发机构(计算机名)->CA名称->证书模板。右边的列表显示了当前可颁发证书的类型模板。
3. 在“操作”菜单上选择“新建”菜单的子菜单“要颁发的证书模板”,接下来将显示下面的窗口:


4. 选择“注册代理”,然后按“确定”按钮。接下来重复前面的步骤,将“智能卡用户”和“智能卡登录”两个证书模板类型也加入到证书模板中。完成后,如下图所示:

另外,注册代理证书可以由不同于颁发智能卡证书的CA颁发,前提条件是颁发注册代理证书的CA必须是域内被信任的企业CA。
有了注册代理证书就可以开始建立智能卡证书注册站点了。
5. 以管理员身份登录Windows Server 2003,单击“开始”菜单并选择“运行”,键入“mmc”然后回车。
6. 在弹出的控制台“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
7. 在“添加独立管理单元”的对话框中,双击“证书”。如果以用户身份登录,证书管理单元将自动加载。如果作为管理员登录,则应当选择“我的用户帐户”,如下图所示:

8. 关闭“添加/删除独立管理单元”对话框。双击“证书 – 当前用户”,在控制台树中选择“个人”。然后鼠标右键单击,在弹出菜单中选择“所有任务”下的“申请新证书”,如下图:

9. 单击“下一步”按钮,选择证书模板“注册代理”,如下图:

10. 单击“下一步”按钮,在编辑框中输入证书的好记的名称。输入完毕后,继续单击“下一步”完成智能卡代理注册证书的申请。

在为域内用户申请智能卡登录证书之前,智能卡管理员必须有可用的注册代理证书,用来代表域用户生成智能卡证书申请。这就是上述操作的目的。要执行这一操作,必须拥有访问注册代理证书模板的安全权限。有关注册代理证书和注册智能卡证书的详细信息,请参阅相关的Windows在线帮助。



1.2 申请智能卡证书
完成1.1的步骤之后,就可以正式进行智能卡证书的申请操作了。
1. 以管理员身份登录Windows。
2. 打开Internet Explorer,在地址栏中输入用来颁发智能卡证书的证书颁发中心的地址,然后按Enter键。
3. 在显示的网页中选择“申请一个证书”。
4. 在显示的网页中选择“高级证书申请”。
5. 插入ePass2003(也可提前插入,但必须是初始化过的ePass2003)。
6. 选择“通过使用智能卡证书注册站来为另一用户申请一个智能卡证书”,然后单击“下一步”。(如果是第一次申请证书,浏览器会自动下载两个ActiveX控件)。新的页面显示效果如下图所示:



7. 选择证书模板为“智能卡用户”。
8. 在“加密服务提供程序”中选择“EnterSafe ePass2003 CSP v1.0”。
9. 在“管理员签署证书”中选择我们先前申请的注册代理证书。
10. 在“要注册的用户”中,选择适当的域用户。
11. 在接下来弹出的验证用户PIN码对话框中输入正确的ePass2003用户PIN码,然后等待证书生成。
当证书下载完成之后,可以选择查看证书或者申请新的智能卡证书。用户智能卡证书申请完成之后,就可以使用智能卡进行域用户登录了。



使用ePass2003进行本地智能卡登录之前,您需要将计算机加入到域(本文档以Windows XP为例说明将计算机加入到域的方法,如果您的计算机已经加入到域,您可以省去步骤1和步骤2)。
1. 右键单击“我的电脑”,在弹出的菜单中选择“属性”,然后选择“计算机名”选项卡,点击“更改”按钮,弹出“计算机名称更改”对话框,如下图所示:


2. 在“隶属于”栏中选择域,并在文本框中写入要加入的域名称,点击“确定”按钮,在弹出的对话框中输入域用户的用户名和密码,根据提示重新启动。
3. 再次进入登录界面时,插入申请过智能卡证书的ePass2003,登录界面如下图所示:


4. 输入ePass2003的PIN码即可登录到系统。