Win2008r2 AD域控+第三方CA USBKey智能卡登录实验

最新推荐文章于 2024-05-10 16:37:28 发布
最新推荐文章于 2024-05-10 16:37:28 发布
阅读量833 收藏
点赞数
原文链接:https://my.oschina.net/u/1584895/blog/878373
版权


关于AD域控服务器的搭建和如何使用第三方CA证书做USBKey(智能卡)登录的配置请见下列参考地址:

http://www2.openxpki.org/docs/guide/html_chunked/ch08s03.html

https://support.microsoft.com/zh-cn/kb/281245

http://blog.csdn.net/jinhill/article/details/7200498

http://wenku.baidu.com/link?url=AaU3KcrjXYR3E0GfhXSDtbl4NCd7R5Gah__VP6xikkqSeH_YCZv9QyJStO5sQ6Ced9nYdLthaakSqKNjzbOU97SzPXTrhi-WyGqxnM5dPpS


大概过程是:

一、安装前准备:为域控服务器配置一个固定IP,最好把机器名改成简单好记的,如AD。

二、AD域安装过程:

1. 安装DSN服务和web服务器IIS服务。

2.安装AD 域服务,运行dcpromo配置域服务。添加一个域用户,比如叫 enrollAgent (用于后面的注册代理配置),顺便再添加两个测试域用户,比如test2,test3。

3.安装AD 证书服务(证书颁发机构+证书颁发机构web注册)。

4. certsvr.msc->证书模板,新建要颁发的证书模板(智能卡登录,智能卡用户,注册代理,注册代理(计算机))。

5.certsvr.msc->证书模板,管理,修改智能卡用户模板的属性,赋予Domain User用户读写注册权限。

6.certsvr.msc->证书模板,管理,修改注册代理用户模板的属性,赋予enrollAgent用户读写注册权限。

7. mmc,添加删除管理单元,我的用户,申请一个注册代理证书。

三、第三方CA集成过程:

1.修改证书模板,保证扩展密钥算法包含:clientAuth,smartcardlogon;增加一个备用名称扩展项subject alternative name,UPN主体名称=域用户名@域名 ,比如test2@test.com

2.mmc,添加删除管理单元,企业PKI,将证书链(根,子CA)添加到NTAuthCertificate。

3.gpmc.msc,编辑默认组策略,添加证书链到根、子证书颁发机构(计算机配置-策略-windows设置-安全设置-公钥策略)。

   (可选)如果要实现客户端拔掉Key后自动锁屏,还需要:

       修改交互式登录:智能卡移除行为-锁定工作站;

       保证客户端默认自动开启三个服务:smart card,smart card removal policy,user profile service (计算机配置-策略-windows设置,安全设置-系统服务),设置服务启动模式为:自动,并编辑安全设置,赋予Domain Users用户完全控制权限。

   

4. mmc,添加删除管理单元,本地计算机将证书链(根,子CA)添加到对应区域。

四、测试:

1.申请证书到Key里。

2.客户端安装Key驱动,加入域,使用智能卡登录即可。(win7 + 飞天epass3000 测试通过。win8和win10 下好像因为Key驱动的问题无法登录)


转载于:https://my.oschina.net/u/1584895/blog/878373

choukai4333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win Server 2008 R2主域控灾难恢复
12-12
Windows Server 2008 R2主域控灾难恢复,AD预控服务器宕机恢复 数据恢复
《略说USB Key》之前言概述
wsdx的专栏
03-04 1121
作者:王永龙 前言: 我在USB Key行业待了有6年之久。从最初的高级程序员到软件架构师,再到UKey产品研发的软件项目经理,最后到UKey产品部门的研发经理,管理UKey研发的方方面面,包括软件、硬件、COS、中间件以及测试、甚至各项资质的获取等等工作。其间还部分参与了国家密码管理局的一些标准的制定工作、CFCA的预置证接口设计工作。为了将这些个人经验更好的与大家分享,
usb-key登录windows+远程桌面
weixin_34161032的博客
01-24 2068
准备工作1.1 部署AD1.1.1 参考AD部署步骤文档1.2 部署CA1.2.1 参考CA部署步骤文档1.3 配置CA1.3.1 配置证书颁发机构打开【证书颁发机构】--【属性】 找到【安全】选项卡添加【Domain Users】勾选【读取】-【请求证书】 选择【Authenticated Users】勾选【读取】-【请求证书】 1.3.2 配置证书模板选择【证书模板】-【管理】 ...
使用USBKey登录Windows的解决方案
最新发布
www.andang.cn
05-10 894
安当SLA提供USB Key本地认证和远程认证两种解决方案,方便用户灵活选择。安当选用具有国密商密认证的USB Key硬件令牌,提升安全可靠性。
如何使用智能卡登录VMware Horizon View之一--前期准备
weixin_34376986的博客
05-21 314
在使用虚拟桌面系统的时候,最常用的就是输入用户名和密码,看到分配给自己的桌面,然后登陆进去。但对于人员流动性大,不适合放置全键盘,又需要迅速使用自己的虚拟桌面的工作岗位,例如超市收银,餐厅点菜,保险中介等,使用智能卡登陆自己的虚拟桌面就变得非常安全高效了。而且在这些工作岗位,平时就需要刷工卡来考勤 —— 早上到了单位,在入口刷卡签到,信步走到自己的工位上,继续...
UKey用户智能卡验证安装流程
李荣权的专栏--OS--Soft--Life
01-19 2510
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
Active Directory 05 - 初识 AD CS 证书服务
0pr
02-26 1199
这篇文章简单讲述了一下证书服务的基本概念。接下来,我会继续深入,在 Lab 中配置 AD CS 服务,通过实践的方式,带出更多的证书相关的内容。这包括自证书白皮书发布以来,已经被发现的证书利用的漏洞(CVE-2022–26923),以及证书利用的其他手法(Shadow Credentials)。
AD域控CA证书、NPS(radius)超级详细安装
杜颐的博客
10-08 7156
外部域控CA证书、Radius服务器的详细配置及服务器加
Win 2008 R2 AD组策略案例
10-10
组策略在Windows 2008 R2活动目录(AD)环境中扮演着核心角色,用于集中管理和配置系统、用户和应用程序设置。微软在Windows 2008中引入了组策略管理控制台(Group Policy Management Console,GPMC),提供了一个...
win2008r2集群搭建+安装oracle.pdf
12-29
win2008r2集群搭建
-基于Windows2008r2智能卡登陆部署说明
07-25
Windows2008r2智能卡登陆部署
WIN2008部署服务WDS实验微软官方手册
06-18
WIN2008部署服务WDS实验微软官方手册
win2008 R2 下 IIS7.5+PHP5.2.17+Mysql5.5.16+Zend3.3.3
09-30
windows Server 2008 R2 下面IIS7.5已经对fastcgi的支持有了很大改进,还在使用PHP-ISAPi模式的朋友可以试一下
win2008 r2 服务器php+mysql+sqlserver2008运行环境配置(从安装、优化、安全等)
09-30
主要介绍了win2008 r2 服务器php+mysql+sqlserver2008运行环境配置(从安装、优化、安全等),需要的朋友可以参考下
一种基于智能卡登录Windows系统的实现方式
huatech的专栏
04-24 1万+
A Kind of Method of Implementing Windows Logon Based on Smart Card LIANG Hao (Third Research Institute of Ministry of Public Security, Shanghai 200031) Abstract: Design a smart card logon with Windows
【逗老师带你学IT】Windows Server NPS服务构建基于AD域控的radius认证
热门推荐
逗老师的博客
03-09 1万+
本文介绍使用Windows NPS服务构建radius认证服务器 NPS相比较使用linux freeradius构建认证服务器主要有以下优点: 1、无缝集成微软身份认证,证书认证,PEAP Windows登录凭据身份认证。 2、无缝集成微软AD域控认证 3、图形化配置,比较形象和直观 4、集成SQL Server记账数据库,后期审计更轻松。 一、Windows Server Network P...
基于数字证书的windows安全登录
08-12 5775
基于数字证书的UKEY安全登录与身份认证技术研究      摘  要 本文在研究身份认证技术、uKey技术及Windows系统登录原理基础上,提出了基于数字证书的uKey身份认证与安全登录方案,设计了自定义登录模块,从而实现了使用uKey进行主机安全登录的功能。    关键词 uKey;安全登录;身份认证  1  引言    用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控模块,系统根据用户身份和授权情况决定用户是否能够访问某个资源。因此系统安全登录与身份认证是安全系统中的第一道关卡,也是
Windows Server 2008 R2 域控安装与DNS配置实战
"域控安装实现,包括AD域控和DNS服务器的配置,涉及主域控制器和辅域控制器的搭建过程。" 在企业环境中,域控制(Domain Controller,简称DC)的安装是构建集中式管理的基础,它使得组织能够有效地管理和控制用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值