Win2008r2 AD域控+第三方CA USBKey智能卡登录实验

 

关于AD域控服务器的搭建和如何使用第三方CA证书做USBKey(智能卡)登录的配置请见下列参考地址：

http://www2.openxpki.org/docs/guide/html_chunked/ch08s03.html

https://support.microsoft.com/zh-cn/kb/281245

http://blog.csdn.net/jinhill/article/details/7200498

http://wenku.baidu.com/link?url=AaU3KcrjXYR3E0GfhXSDtbl4NCd7R5Gah__VP6xikkqSeH_YCZv9QyJStO5sQ6Ced9nYdLthaakSqKNjzbOU97SzPXTrhi-WyGqxnM5dPpS

 

大概过程是：

一、安装前准备：为域控服务器配置一个固定IP，最好把机器名改成简单好记的，如AD。

二、AD域安装过程：

1. 安装DSN服务和web服务器IIS服务。

2.安装AD 域服务，运行dcpromo配置域服务。添加一个域用户，比如叫 enrollAgent （用于后面的注册代理配置），顺便再添加两个测试域用户，比如test2,test3。

3.安装AD 证书服务（证书颁发机构+证书颁发机构web注册）。(2018/08/30补充,如果是win2012环境, 安装完后还需要一个配置过程)

4. certsvr.msc->证书模板，新建要颁发的证书模板（智能卡登录，智能卡用户，注册代理，注册代理（计算机））。

5.certsvr.msc->证书模板，管理，修改智能卡用户模板的属性，赋予Domain User用户读写注册权限。

6.certsvr.msc->证书模板，管理，修改注册代理用户模板的属性，赋予enrollAgent用户读写注册权限。

7. mmc，添加删除管理单元，我的用户，申请一个注册代理证书。

三、第三方CA集成过程：

1.修改证书模板，保证扩展密钥算法包含：clientAuth,smartcardlogon；增加一个备用名称扩展项subject alternative name，UPN主体名称=域用户名@域名，比如[email protected]

2.mmc，添加删除管理单元，企业PKI，将证书链（根，子CA）添加到NTAuthCertificate。

3.gpmc.msc，编辑默认组策略，添加证书链到根、子证书颁发机构（计算机配置-策略-windows设置-安全设置-公钥策略）。

   （可选）如果要实现客户端拔掉Key后自动锁屏，还需要：

       修改交互式登录：智能卡移除行为-锁定工作站；

       保证客户端默认自动开启三个服务：smart card，smart card removal policy，user profile service （计算机配置-策略-windows设置，安全设置-系统服务），设置服务启动模式为：自动，并编辑安全设置，赋予Domain Users用户完全控制权限。

   

4. mmc，添加删除管理单元，本地计算机，将证书链（根，子CA）添加到对应区域。

四、测试：

1.申请证书到Key里。

2.客户端安装Key驱动，加入域，使用智能卡登录即可。（win7 + 飞天epass3000 测试通过。win8和win10 下好像因为Key驱动的问题无法登录）

2018/08/27

        使用新版key中间件测试,win10登陆成功.

 

2018/08/30

     在AD 域控上设置某个用户的帐户属性为: 交互式登陆必须使用智能卡时, 该用户的密码已经被自动重置为未知密码. 这可能是微软的一个安全策略. 但这会影响其他使用AD做用户认证的系统的使用,如exchange server . 解决办法: 重置用户密码!

 

2018/08/31

  签发大于2年的域控证书,注册代理证书的方法:

 1. 复制证书模板,修改有效期.添加这个证书模板到要签发的证书模板.

 2.改注册表: (参考:https://wenku.baidu.com/view/3bab89eb856a561252d36f8b.html)

 

3.重启证书服务后, 再签发域控,注册代理证书,有效期变成10年.

 

2018/08/31

飞天ePass 3000不支持mstsc远程桌面智能卡登陆. 如有远程桌面登陆需求,可考虑ePass2003 Key.