使用USBKEY实现智能卡域登录的说明.doc

NurfürdenpersönlichenfürStudien,Forschung,、前言 1二、安装ActiveDirectory 1三、安装IIS 3四、安装Windows证书服务 7五、申请注册代理证书 8六、安装USBKEY的软件及硬件 10七、申请智能卡证书 11八、使用USBKEY登录 13九、使用USBKEY的安全配置 13使用USBKEY实现Windows智能卡登录的说明一、前言身份认证是系统安全的基本方面,被用来确认任何试图访问网络资源的用户的身份。但目前在企业内部所使用Windows网络中,用户名加密码仍然是普遍使用的身份认证方式,这种身份认证方式已经暴露出越来越多的问题:密码易被泄露:密码经常在无意之间被泄露出去。密码易被窃取:密码被各种层出不穷的黑客和木马工具窃取。密码易被猜测:由于密码长度有限,可能被猜测或穷举。针对这个问题,微软从Windows2000开始就支持智能卡登录。通过智能卡登录到网络提供了很强的身份认证方式。在智能卡中存放了用户的个人信息和数字证书,用户在登录时必须插入智能卡并同时输入对应的个人识别码(PIN)才能通过身份认证。相对于口令验证,智能卡具有更强的安全性。因为口令比较容易被不怀好意的人得到,而智能卡就像一把无法复制的钥匙,只有拿在手里才能打开大门。 USBKEY是结合USB技术和智能卡技术而开发的一种便携式安全产品,体积小巧,便于携带和使用。下面以Windows2003Server为例,来描述使用USBKEY实现Windows智能卡登录的整个配置过程:安装ActiveDirectory安装IIS安装Windows证书服务申请注册代理证书安装USBKEY的软件及硬件申请智能卡证书使用USBKEY登录二、安装ActiveDirectory 在Winodws的带域网络环境中,对用户进行身份认证及授权是通过域控制器来实现的。要使服务器成为域控制器则必须在服务器上安装活动目录服务(ActiveDirectory)。Windows的活动目录服务对网络上所有对象的信息进行分类,包括用户、计算机以及打印机等,并且通过网络发布信息。有了ActiveDirectory,只需要登录一次就可以很容易地找到并且使用网络上任何地方的资源。安装及配置步骤如下: 第一步:启动“管理您的服务器”,点击“添加或删除角色”,出现“配置您的服务器向导”对话框,如下图所示: 第二步:在“服务器角色”中选择“域控制器(ActiveDirectory)”,然后点击”下一步”按钮。将出现“ActiveDirectory安装向导”,请根据此安装向导的界面提示完成域控制器的安装与配置。第三步:点击”下一步”,进入属性配置页,在接下来的配置中分别点选“新域的域控制器”和“在新林中的域”。第四步:点击”下一步”,为新域键入DNS全名“”,第一个点号“.”BIOS),即新建域的名字为“HBCATEST”。第五步:点击”下一步”,在“DNS注册诊断”中,选择“在这台机器上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机首选DNS服务器”。第六步:点击”下一步”,出现“摘要”对话框,显示配置信息如下图所示:第七步:点击”下一步”,开始安装和配置ActiveDirectory过程。三、安装IIS 由于将使用Windows提供的基于Web的证书注册服务来申请智能卡登录证书,因此需要在服务器上安装IIS(InformationService)服务。安装及配置步骤如下: 第一步:启动“管理您的服务器”,点击“添加或删除角色”,出现如下图所示的界面。在“服务器角色”中选择“应用程序服务器(IIS,)”,然后点击“下一步”按钮。第二步:在“应用程序服务器选项”中,如下图所示,选中所有的工具选项,然后点击“下一步”按钮。此后,Windows将自动安装并配置IIS服务。 第三步:启动“IIS管理器”,选择“Web服务扩展”。检查“ActiveServerPages”是否是被允许的,如果不是,请点击“允许”按钮。如下图所示:由于Windows提供的Web证书申请是基于ASP(ActiveServerPages)而开发的,因此要确保在IIS中ASPWeb服务扩展是被允许的。第四步:启动“IIS管理器”,选择“网站”中的“默认网站”。在其“属性”对话框中选择“目录安全性”的“编辑”按钮,设置身份验证方法为:启用匿名访问,如下图所示:四、安装Windows证书服务因为使用Windows提供的证书服务来申