关于AD域控服务器的搭建和如何使用第三方CA证书做USBKey(智能卡)登录的配置请见下列参考地址:
http://www2.openxpki.org/docs/guide/html_chunked/ch08s03.html
https://support.microsoft.com/zh-cn/kb/281245
http://blog.csdn.net/jinhill/article/details/7200498
http://wenku.baidu.com/link?url=AaU3KcrjXYR3E0GfhXSDtbl4NCd7R5Gah__VP6xikkqSeH_YCZv9QyJStO5sQ6Ced9nYdLthaakSqKNjzbOU97SzPXTrhi-WyGqxnM5dPpS
大概过程是:
一、安装前准备:为域控服务器配置一个固定IP,最好把机器名改成简单好记的,如AD。
二、AD域安装过程:
1. 安装DSN服务和web服务器IIS服务。
2.安装AD 域服务,运行dcpromo配置域服务。添加一个域用户,比如叫 enrollAgent (用于后面的注册代理配置),顺便再添加两个测试域用户,比如test2,test3。
3.安装AD 证书服务(证书颁发机构+证书颁发机构web注册)。
4. certsvr.msc->证书模板,新建要颁发的证书模板(智能卡登录,智能卡用户,注册代理,注册代理(计算机))。
5.certsvr.msc->证书模板,管理,修改智能卡用户模板的属性,赋予Domain User用户读写注册权限。
6.certsvr.msc->证书模板,管理,修改注册代理用户模板的属性,赋予enrollAgent用户读写注册权限。
7. mmc,添加删除管理单元,我的用户,申请一个注册代理证书。
三、第三方CA集成过程:
1.修改证书模板,保证扩展密钥算法包含:clientAuth,smartcardlogon;增加一个备用名称扩展项subject alternative name,UPN主体名称=域用户名@域名 ,比如[email protected]
2.mmc,添加删除管理单元,企业PKI,将证书链(根,子CA)添加到NTAuthCertificate。
3.gpmc.msc,编辑默认组策略,添加证书链到根、子证书颁发机构(计算机配置-策略-windows设置-安全设置-公钥策略)。
(可选)如果要实现客户端拔掉Key后自动锁屏,还需要:
修改交互式登录:智能卡移除行为-锁定工作站;
保证客户端默认自动开启三个服务:smart card,smart card removal policy,user profile service (计算机配置-策略-windows设置,安全设置-系统服务),设置服务启动模式为:自动,并编辑安全设置,赋予Domain Users用户完全控制权限。
4. mmc,添加删除管理单元,本地计算机,将证书链(根,子CA)添加到对应区域。
四、测试:
1.申请证书到Key里。
2.客户端安装Key驱动,加入域,使用智能卡登录即可。(win7 + 飞天epass3000 测试通过。win8和win10 下好像因为Key驱动的问题无法登录)