组建使用“智能卡”进行身份验证的***服务器WIN2008R2

资源：AD域服务器+×××服务器+智能卡（智能卡驱动）

1、AD域服务器上搭建数字证书服务。（搭建教程 见百度）

2、×××服务器，搭建×××服务（搭建教程 见百度）

3、客户端安装智能卡驱动（硬件驱动安装方式都不一样，找你的硬件厂商）

4、关键的来了：数字证书是配套需要IIS的支持，很多人碰到数字证书网站需要HTTPS。

IIS打开---网站服务点击---右边（服务器证书）--再右边（创建数字证书）

TXT生成了，别退出，直接右键--打开TXT 

全部复制TXT内的内容。

打开数字证书网站：本地网卡IP地址（http://127.0.0.1/certsrv）个人建议记住，背熟。  

网站申请前：个人建议IE内配置下：

把证书网站添加信任，然后配置安全级别，然后高级内那个选项必须勾选。

上图选择别弄错了哦。

选择Base64编码。

导入证书。

绑定网站。开启SSL应用到证书网站。https到此结束。

5、我们到×××服务器上搭建服务。

到这里我就不讲了，×××服务器搭建百度一搜一堆。包括×××配置都随意。

6、×××服务器数字证书申请。比较麻烦详细看好了。

首先去数字证书服务器

下图：如果单独有组，你需要把你的组加入到相应的模板里。（比如web服务器模板，智能卡用户）

上图权限需要注意，你打算用什么用户去申请数字证书是个关键。（勾选注册）。

我是拿管理员账号操作的。

点击确定后，记得一点。左边的颁发机构需要“重启服务”哦。你问我如何重启，抱歉右键就能重启的。

好了。再回到×××服务器，可以申请证书了。

在这里个人建议务必把×××服务加入域控内。（重要重要重要）

打开申请网站，最好用域管理员来申请吧。

姓名内你可以吧×××服务的名称复制进去。

其他位置不填。

提交。

安装起来了，别急。

上图好长吧。一个一个去点。

上图左上角是以前导出的。

窗口全部关闭。

开始--运行--mmc

导入呗。还用想。

看到了没。刚才导入的。

到此处。数字证书服务器和×××服务器都搭建完成。环境也完成了。

来到客户端，我们刷证书到UKEY

刷证书原材料必须有啊。

继续申请证书。

客户端必须安装UKEY智能卡驱动，然后插上智能卡。

点击提交。如果在没问题情况下智能卡驱动会提示你已经证书已经添加到智能卡内。

当然我们要检查下。

开始你的×××拨号吧。

到此智能卡拨号成功。大神勿喷哈。希望朋友们多多交流！

以上实验多谢，王春海老师的指导。