PKI/CA: Win2012 R2标准版 分布式部署AD域控环境的智能卡登陆配置问题记录_20180919_七侠镇莫尛貝

最新推荐文章于 2022-10-08 13:42:35 发布
最新推荐文章于 2022-10-08 13:42:35 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: PKI/CA 虚拟机 PKI/CA技术研究 七侠镇网络安全总指挥部
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kimqcn4/article/details/82769203
版权

概述:

   PC1: DNS + IIS + AD, Win2012 R2标准版

   PC2: AD证书服务, Win2012 R2标准版,

   PC3: 智能卡(飞天ePass3000)登陆测试客户端.

 

1.PC1和PC2如果是克隆自同一个Win2012r2模板的虚拟机, PC2在加入AD时会提示系统ID与AD一样,导致无法加入域.

此时需要运行sysprep更新系统ID,如下图:

 

2. PC2要先加入AD,再安装AD证书服务.

3. PC2安装AD证书服务时要以AD管理员身份运行,如下图,输入AD域管理员的账号,再安装AD证书服务.

注意: 必须是AD域管理员的账号, PC2本机的管理员账号是不行滴.

 

4. PC1因为未安装AD证书服务,所以没有企业PKI 入口.导入第三方CA证书只能采用命令行方式:

certutil -dsPublish -f userca.cer NTAuthCA

gpupdate /force

查看PC2的企业PKI->管理AD容器,发现证书已经导入到  NTAuthCertificates里了.

但实际上,PC2是有企业PKI入口的, 在PC2上通过图形界面导入CA证书应该也是可以的. 但mmc要以域用户或域管理员权限运行,不能以本机账号权限运行.

注意: 证书此时有红叉,说明不受系统信任. 还需要把根证书和子CA证书导入相应的信任存储区才行.PC1和PC2都要导入.

 

5.此时PC1上会自动申请一个域控制器证书.

注意这个证书的有效期是一年. 可以考虑签发一个时间长一点的比如10年的域控制器证书替代他,省的将来证书更新麻烦.

(申请10年有效期域控证书后,客户端登陆报错. AD上手动申请一个KDC证书后,登陆正常. 原因暂时不清楚.)

6. 2018/9/26补充. 实现免KDC证书.

15:11 2018/9/26

第三方CA签发域控证书要求:
1.根CA的主题要符合CA名称,如: CN=CAname,DC=myad,DC=com (20180926补充确认: 不要求)

2.要有一个有效的CRL,可在DNS里添加A记录以解析crl中的域名.
3.包含证书模板名称:DomainController
4.包含使用者备用名称:DNS Name=ADname.myad.com        (必须有,必须正确,否则导入到AD后,AD会自动删除这个证书!?)
5.最后得到的pfx,要通过openssl更换csp为:微软SChannel -LMK型   (openssl v1.0以上版本才支持?) (20180926补充确认: 不要求?!)

#!/bin/bash

pfx=dc_myca_1234.pfx
pfx_schannel=dc_myca_1234_schannel.p12

openssl pkcs12 -in $pfx -clcerts -nokeys -out cert.cer
openssl pkcs12 -in $pfx -nocerts -out cert.key -nodes


openssl pkcs12 -name "RSA SChannel DC Cert" -export -inkey cert.key -in cert.cer -out $pfx_schannel -CSP 'Microsoft RSA SChannel Cryptographic Provider' -LMK


5.CA的根证书和crl要导入AD和CA的相应存储区.
6.CA的根证书要导入到AD的组策略相应存储区
7.CA的根证书要导入NTAuthCA
certutil -dsPublish -f root.cer NTAuthCA

gpupdate /force

 

7. openssl签发AD域控证书方法(20181019补充)

 

CONFIG=/root/openssl/dc_cert/openssl_dc.cnf

openssl ca -config ${CONFIG} -days 3650 -extensions sign_adcert_csr -out dc_openssl.cer -in csr.pem

 

openssl.cnf:

增加:

[ sign_adcert_csr ]
#1.3.6.1.4.1.311.20.2   = BMP:DomainController
1.3.6.1.4.1.311.20.2            = DER:1E200044006F006D00610069006E0043006F006E00740072006F006C006C00650072
subjectKeyIdentifier            = hash
authorityKeyIdentifier          = keyid,issuer:always
keyUsage                        = digitalSignature,keyEncipherment
extendedKeyUsage                = clientAuth,serverAuth

subjectAltName                  = @ad_guid_dnsname

[ ad_guid_dnsname ]

#otherName=1.3.6.1.4.1.311.25.1;DER:b64f74d2fc4c40608b560e802a1fc50e
DNS=AD2012.cnooc.com.cn

 

8. 待补充.

 

七侠镇莫尛貝大侠2023
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windows远程桌面无法访问智能卡/令牌卡/数字证书的限制
pjxxlpsj的专栏
04-20 1万+
<br />经过2-3周工作空闲时间,解决了windows7下面远程桌面中无法访问令牌卡/智能卡问题。<br /> 现象是:通过windows远程桌面,任何智能卡如:工商银行优盾/各行业数字证书等设备,无法找到,也就无法实现网上在线支付了。同时,使用智能管理/令牌卡管理程序,无法找到对应的读卡器。(例如:在本地桌面正常情况下,工商银行捷德优盾管理程序应该显示6个读卡器,在远程桌面上仅看到两个,且无论插卡与否均不能读出设备。)。<br /> 设置远程桌面将智能卡设备共享到远程,可以在管理程序中看
PKICA与数字证书技术大全
12-06
从网络上找到这PKICA与数字证书技术大全和PKI原理与技术两部分内容,汇总一下,供大家一起学习PKI相关知识
组建使用“智能卡”进行身份验证的***服务器WIN2008R2
weixin_33704234的博客
05-25 367
资源:AD域服务器+×××服务器+智能卡智能卡驱动)1、AD域服务器上搭建数字证书服务。(搭建教程 见百度)2、×××服务器,搭建×××服务(搭建教程 见百度)3、客户端安装智能卡驱动(硬件驱动安装方式都不一样,找你的硬件厂商)4、关键的来了:数字证书是配套需要IIS的支持,很多人碰到数字证书网站需要HTTPS。IIS打开---网站服务点击---右边(服务器证书)--再右边...
基于Winserver2016服务器的AD域单点登录
yolly
02-05 8744
基于AD域实现单点登录设计文档 版本说明: 服务器类型: WinServer2016 Eclipse版本: Version: Luna Service Release 2 (4.4.2) Build id: 20150219-0600 Jdk版本: 1.6 ...
如何使用智能卡登录VMware Horizon View之二--准备AD
weixin_34233856的博客
05-21 126
准备好View环境后,我们需要在活动目录中配置用户/证书,使得智能卡的证书可以和用户关联,同时能够得到正确的授权。为智能卡用户添加用户主名称 智能卡登录依赖于用户主名称(UPN),所以在活动目录中需要用智能卡登录的用户必须有一个有效的主名称。 如果智能卡用户所在的域和颁发根证书的域不一样,那么我们必须将用户的主名称设为其在信任CA的根证书中...
Win2008r2 AD域控+第三方CA USBKey智能卡登录实验
choukai4333的博客
04-13 805
关于AD域控服务器的搭建和如何使用第三方CA证书做USBKey(智能卡)登录配置请见下列参考地址: http://www2.openxpki.org/docs/guide/html_chunked/ch08s03.html https://support.microsoft.co...
windows server 2012 服务器,退域后不能登录问题解决
m0_54269300的博客
02-18 5558
因某种需求,需要退出已加的域,操作时使用域用户登录系统,并退出了域,重启电脑,登录界面默认是域用户,知道域用户密码也登录不了,关键还不能切换账号(系统上有Administrator管理员用户)。 广大网友提供了许多的方法,但大部分都不能尽全功,这里下总结,给后来者以参考。 方法一:按住Ctrl Alt键,然后连击Del键两次,会出现新的登录界面。---- fail 连击N次都没有新的登录界面,账号依然是域用户 方法二:重启按F8进入安全模式 ,选择“命令提示符的安全模式”回车,添加用户 ---- f
AD域控CA证书、NPS(radius)超级详细安装
杜颐的博客
10-08 6384
外部域控CA证书、Radius服务器的详细配置及服务器加域
AD域基础
a152115的博客
06-30 4742
文章目录AD域基础1.什么是AD域2.AD域和工作组的区别2.1 工作组特点及优缺点2.2 AD域特点及优缺点3.为什么要做AD域管理4.AD域可以做什么 AD域基础 1.什么是AD域 active directory 活动目录,指一组服务器和工作站的集合,域中的目录是始终呈激活可用,动态更新的状态 域将计算机、用户的账号密码集中放在一个数据库内,使得用户只使用一个账号和密码就能够访问网络中的...
AD域的详细介绍
顺其自然~专栏
08-24 9343
Domain:域(区域)是。
Java Card PKI Applet:JavaCard /智能卡实现ISO7816和PKI标准-开源
05-13
这是ISO7816和相关PKI标准的开源Java Card实现。 一个根据ISO7816规范[3]的第15部分存储PKI文件的ISO7816文件系统:私钥目录,证书目录,CA和用户证书等。下载所有文件,您可以访问:
windows 2012 AD&CA;
01-29
配制网域控控及证书服务 1.在配制管理器中,点击添加角色和功能按钮 2.之后几部默认选择下一步 3.选择 AD域服务 4.默认勾选,选择 添加功能 5.勾选 .net 3.5,然后都按下一步 6.最好更改PC的计算机名称,防止加域后无法更改了。 7.重启后,打开控制台, 在右上角有一个旗帜,旁边有个黄色感叹号,点击进入后,进行配制。 8.选择 添加新林 9.输入密码 10.默认都是下一步,提升成功后会自动重启。 CA证书服务安装配制 1.添加 证书服务 2.勾选如下选项,默认下一步进行安装,其余不需要改动。 3.弹出服务器管理器,进行配制 4.默认下一步
-基于Windows2008r2智能卡登陆部署说明
07-25
Windows2008r2智能卡登陆部署
基于PKI_CA分布式跨域信任平台研究与实现.pdf
08-10
#资源达人分享计划#
基于PKI/CA技术在矿区服务平台中安全管理的设计与实现
07-06
摘要由于矿区管理进程的加快和人民生活水平的提高,大力推进矿区信息化建设是提高矿区服务水平的重要物质基础和有效管理服务手段。由于矿区服务平台系统包含了大量驻区居民和单位的私密信息和重要联网信息,该系统能否...
play_pki_ca_with_ansible:与Ansible一起玩PKI CA
05-27
Ansible剧本,带有CA和RA的PKI 这个概念 这是在PKI中用作CA的示例。 那是由Ansible-Playbook创建的CA树: 作为4个VM的分段变化 并且随着7个VM的生产变化 阶段变化在库存目录生产,生产变化在库存目录 这就是认证...
Python: 实现pkcs7格式数字签名方法_20170407_七侠
七侠镇莫小贝的同福客栈
04-07 6248
需求:在python下实现pkcs7格式的数字签名。 环境:Python2.7, pyopenssl-16.2.0 , cryptography 1.8.1 。 实现方法:参考http://stackoverflow.com/questions/33634379/pkcs-7-detached-signature-with-python-and-pyopenssl 注意:这个办法只能默认
JAVA:JNA方式调用USBKey SKF接口实现SM2证书的PKCS1格式签名和验证 实验总结_20220111_七侠
七侠镇莫小贝的同福客栈
12-03 3966
JAVA:JNA方式调用USBKey SKF接口实现SM2证书的PKCS1格式签名和验证 实验总结
unable to load client CA file "/etc/kubernetes/pki/ca.crt": open /etc/kubernetes/pki/ca.crt: no such file or directory
最新发布
07-22
报错信息表明 kube-scheduler 无法加载客户端 CA 文件 `/etc/kubernetes/pki/ca.crt`,因为该文件不存在。这可能是由于文件路径不正确或缺少必要的证书文件。 要解决这个问题,您可以按照以下步骤进行操作: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值