智能卡通常用于受信的 Web 访问、*** 访问、Windows 登录和数字签名。智能卡是一种防篡改的小型计算机,它包含一个 CPU 和一定容量的非易失性存储,可用作公钥证书与关联密钥的结合点。实现智能卡身份验证需要的组件包括:
- 证书
- 中间件
- 智能卡或 USB 智能卡令牌
- 智能卡读卡器
智能卡提供一种不同于一般密码的用户身份验证方式。采用智能卡身份验证方式时,您需要将智能卡插入智能卡读卡器中,然后输入一个 PIN 码(通常为四到八位)。客户端计算机使用证书来接受 Active Directory 的身份验证。这种类型的身份验证既验证用户持有的凭证(智能卡),又验证用户知晓的信息(智能卡 PIN 码),以此确认用户的身份。这种验证方式称作“二元身份验证”。
当您将智能卡插入到与 Windows 计算机连接的读卡器中时,智能卡中的证书便会注册到客户端计算机上的本地证书存储中。用户计算机上运行的所有应用程序(包括 View Client)均可使用该计算机上存储的所有证书。
若要查看证书列表,请转到“开始”>“设置”>“控制面板”>“Internet 选项”>“内容”>“证书”,然后查看“个人”选项卡下的内容。或者,在 Internet Explorer 中,转到“工具”>“Internet 选项”>“内容”>“证书”。这些证书具有很多复杂的属性。若要查看这些属性,请选择一个证书,然后单击“查看”。
智能卡概述
若要在任意一台 Windows 计算机上使用智能卡,您首先需要安装智能卡中间件,以使 Windows 能够与智能卡交互。这些模块会安装一些加密库,用作操作系统与智能卡之间的中介。
您需要为 Windows 安装一个修补程序,该修补程序用来提供 Microsoft Base Smart Card Cryptographic Service Provider (
http://support.microsoft.com/kb/909520)。
有一个可选的软件组件通常会有所帮助,那就是 ActivIdentity 开发的 ActivClient 软件套件 (
http://www.actividentity.com)。这是一款商业产品,提供一些有助于与智能卡交互的工具,以及用于 ActivIdentity 智能卡的另一种加密服务提供程序 (CSP)。
使用 CSP,您可以选择使用 Microsoft 或第三方加密提供程序来处理加密和证书管理工作。最常用的加密提供程序有:
- Microsoft 加密服务提供程序
- 第三方加密提供程序
智能卡芯片就如同嵌入在卡中的一个微型计算机一样,自身带有内存。这些加密卡实现了公钥基础架构 (PKI) 证书及密钥的安全存储。各家制造商共提供一千多种智能卡,每一种都有自己的中间件或应用程序。
使用智能卡接受 Windows 的身份验证
Windows 登录屏幕内置智能卡支持,不过,即使读卡器中已有智能卡存在,它也会等待用户重新插卡。Windows 会等待智能卡读卡器在发生特定事件时(即插入智能卡时)向它发出通知。插卡后,会显示一个要求输入 PIN 码的对话框。用户输入 PIN 码后,Windows 便让用户登录系统。
获取和管理证书
在将新证书存入智能卡之前,您可以检查该卡是否已有任何证书。例如,如果您有 Gemalto 读卡器和 Gemalto 智能卡,请转到
https://www.netsolutions.gemalto.com/CertManagement.aspx,使用这个基于 Web 的应用程序查看有关现有证书的信息。对于 ActivClient 支持的卡和读卡器,请使用 ActivClient 软件对卡进行检查。
搭建注册站
为了将证书安装到智能卡中,首先必须设置一台 Windows 计算机(或虚拟机)作为注册站。为此,您需要以管理员的身份授权此计算机为任意用户颁发智能卡。此计算机必须是作为证书颁发对象的域的成员。
Microsoft 证书注册
您需要满足以下前提条件才能将证书安装到智能卡中:
- 在主域控制器上安装 Microsoft 企业证书管理中心 (CA)
- 在主域控制器上安装并启用 Microsoft Internet Information Server
- 为智能卡登录启用 Microsoft CA 证书模板
- 在注册工作站上安装智能卡中间件
- 在注册工作站上的 Internet Explorer Web 浏览器中启用 ActiveX
- 用于申请证书的用户帐户有权向 CA 提出申请
以上前提条件满足后,请按以下步骤进行注册。
- 访问 https://<域_服务器_IP 地址>/certsrv 进行证书注册。
- 输入用于访问网页的用户名和密码。
- 单击“申请一个证书”。
- 单击“高级证书申请”。
- 单击“创建并向此 CA 提交一个申请”。
- 在“证书模板”下拉菜单中,选择“智能卡登录”。
如果“智能卡登录”模板没有列出,则说明您尚未将“智能卡登录”模板作为一个选项添加到您的 CA 中,或者您无权颁发“智能卡登录”证书。
- 在“CSP”下拉菜单中,选择与您已安装的智能卡中间件对应的 CSP。
- 所有其他选项均是可选的。若是首次测试,这些选项均设置为最上方的默认值,请保留勿动。
- 将智能卡插入到智能卡读卡器中,然后单击“提交”以将申请发送至 CA,CA 将生成密钥和证书。
- 系统提示输入智能卡的 PIN 码时,请予以输入。
- 当您看到新证书已成功安装的通知时,请单击“完成”。
在客户端计算机上测试和使用智能卡前,您必须先在此客户端上安装根证书和证书链的一份副本。您可以从以下地址下载根证书和证书链:https://<域_服务器_IP 地址>/certsrv。该步骤不需要使用智能卡。
请按以下步骤下载 CA 根证书和证书链。
- 访问 https://<域_服务器_IP 地址>/certsrv 进行证书注册。
- 输入用于访问网页的用户名和密码。
- 单击“下载 CA 证书、证书链或 CRL”(CRL 代表“证书吊销列表”)。
- 单击右上方的“安装此 CA 证书链”链接。
- 单击“确定”确认下载证书。
下载根证书和证书链之后,您就可以开始使用智能卡了。
上述步骤的目的是使用 Microsoft CA 进行评估和测试。您可以使用其他 CA 实现同样目的,但具体步骤各异。有关其他证书注册步骤,请参见《VMware View Manager 管理指南》。
VMware View 中的证书身份验证
您可以不将根证书保存到 Microsoft 证书存储中,而是保存到一个文件中,之后可以使用 keytool 命令将该文件导入到 View Connection Server 中。keytool 命令是 Java runtime (JRE) 库的组成部分,为要在 View Connection Server 中使用的根证书创建信任存储区。
下一步是在 View Administrator(https://<View Manager 的 IP 地址>/admin)中启用智能卡身份验证。有关更多配置详细信息,请参见《VMware View Manager 管理指南》。
为启用智能卡身份验证,请在“View Servers”(View 服务器)区域中选择 View 服务器实例,并将“Smart card authentication”(智能卡身份验证)下拉菜单设置为“Required”(必需)或“Optional”(可选)。
- Required (必需) — 用户只有在采用智能卡身份验证的情况下才能进行连接。如果未检测到智能卡,View Client 将退出。
- Optional (可选) — 用户可以使用智能卡身份验证进行连接,但也可以采用密码身份验证。如果用户使用智能卡身份验证方式未能通过验证,则可改用密码身份验证。
客户端系统需要以下硬件和软件:
- View Client
- 智能卡中间件
- 具有有效证书的智能卡
- 智能卡读卡器
使用智能卡接受 View Connection Server 的身份验证之后,用户必须输入 View 桌面的用户名和密码登录凭据才能连接到该桌面。
将证书存储在本地系统中
将证书安装到本地计算机上要远比使用智能卡简单,但在安全性方面却不如后者。请按照
第 3 页上的“Microsoft 证书注册”中的同样步骤,访问 https://<域_服务器_IP 地址>/certsrv 并申请一个证书。完成后,请单击“安装此证书”。证书随即便会安装到您的计算机上,并且您可以转到“开始”>“设置”>“控制面板”>“Internet 选项”>“内容”>“证书”,然后在“个人”选项卡下查看此证书。
View Client for Windows 中的证书身份验证行为
View Client 3.x for Windows 的默认行为是使用计算机上第一个有效的证书而不进行提示,即使存在多个有效证书也不例外。若要将 View Client for Windows 配置为提示用户选择证书,必须将 ShowCertificateSelectDialog 组策略对象设置为 True。不过,进行更改后,即使计算机上仅有一个证书,Windows 也会提示用户选择证书。
View 3.x 中的身份验证选项
您可以根据需要的安全性强度,在 VMware View 中以下各种身份验证方法之间进行选择:
- 密码身份验证
- 证书身份验证
- RSA Secure ID(一次性密码)
- View 3.x 目前尚不支持 RADIUS 身份验证。
密码身份验证
此默认登录方法使用标准的域用户名和密码。为登录 View Connection Server,用户需要在出现登录提示时输入 Microsoft Windows 凭据以验证身份,这样他们才能访问虚拟桌面。
证书身份验证
若要使用智能卡或采用 USB 密钥形式的智能卡令牌但客户端系统在默认情况下不支持此方法,则必须在客户端系统上安装相应的中间件。当用户使用 RDP 协议进行连接时,系统会将智能卡读卡器重定向到 View 桌面,但用户必须再次输入 PIN 码以接受 View 桌面的身份验证。
VMware View 3.x 与同 Windows PC/SC 兼容的智能卡读卡器兼容。View Client 检测到智能卡读卡器和卡后,会提示用户输入 PIN 码。
Connection Server 会列出用户有权使用的桌面。用户需单击“Connect” (连接),然后键入桌面凭据以登录相应桌面。
RSA Secure ID
RSA Secure ID 是一次性密码 (OTP) 令牌的一种形式。本文不提供有关使用 OTP 令牌的详细信息。有关如何配置 RSA 令牌的详细信息,请参见 RSA 网站上的《RSA SecurID Ready Implementation Guide for VMware View Manager 3》(适用于 VMware View Manager 3 的 RSA SecurID 快速实施指南)。
总结
- 证书身份验证是一种常用的安全控制措施,用以进行访问控制、执行安全策略、实施网络隔离、施加设备限制和保障数据安全。
- 证书可以 PVC 智能卡或 USB 密钥为载体,也可存放于本地系统中。在 Windows 上,View Client 会访问一个列表,该列表中包含计算机上安装的所有证书以及智能卡提供的证书。
- VMware View 3 是一种企业级连接代理,可在远程客户端与集中式虚拟桌面之间实现安全连接。View Manager 3 需要且支持 SSL 加密连接。它支持单点登录。此外,它支持采用证书身份验证和 RSA Secure ID 身份验证。这两种方法提供二元身份验证,通过 ADAM 与 Active Directory 完全集成,可对笔记本电脑或桌面 PC 实施严格的安全策略。
©著作权归作者所有:来自51CTO博客作者中国云梦的原创作品,如需转载,请注明出处,否则将追究法律责任
推荐专栏
扫一扫,领取大礼包
478
到【灌水乐园】发言
Ctrl+Enter 发布
发布
取消