当前位置:文档之家 › AD域认证配置集成数字证书(iTrusCA)

AD域认证配置集成数字证书(iTrusCA)

  • 格式:doc
  • 大小:2.91 MB
  • 文档页数:59

下载文档原格式

  / 59

合集下载

AD域控制器的配置PPT演示

AD域控制器的配置PPT演示
使用PING命令在虚拟机之间进 行测试或者查看数据包的收发状态, 如果发送和收到均有数据包,表示 已经畅通,如果只有发送没有收到 说明网络不通,可以使用更改虚拟 机的MAC地址的方式解决。
信息处理控制工程系《网络管理与维护》
二.在Server01上建立AD域控制器的DNS域
1、首先在Server01上安装DNS服务:在下图窗口中选择添加或删除 角色。
信息处理控制工程系《网络管理与维护》
1.在Server01上安装DNS服务
在虚拟机菜单的“虚拟机”下的“可移动设备”下的“CD/DVD” 下选择“连接”自动进行安装:
信息处理控制工程系《网络管理与维护》
2.配置DNS服务器上的AD域
在下图中点击“下一步”继续:
信息处理控制工程系《网络管理与维护》
3
在Server02上建立AD域控制器并连接至Server01 的DNS域上
4
用PC1和PC2加入到AD域中
5
配置PC1和PC2的用户类型为漫游和强制
6
在Server03上建立委派域控制器
信息处理控制工程系《网络管理与维护》
一.准备工作
在虚拟机上准备Server01(DNS)、Server02(AD域控制器)、 Server03(委派域控制器)、PC1(域成员)、PC2(域成员)。
2.配置DNS服务器上的AD域
在下图窗口依次打开“”域,再建立SRV记录,在第 二项“名称服务器(NS)”上双击:
信息处理控制工程系《网络管理与维护》
2.配置DNS服务器上的AD域
在下图窗口选择“server01.”点下面的编辑,再在后图窗口输入 相应的域名及IP地址点添加,最后点击“确定”。
AD域控制器的配置

4麒麟开源堡垒机LDAP及AD集成认证使用方式

4麒麟开源堡垒机LDAP及AD集成认证使用方式

麒麟开源堡‎垒机AD及‎L D AP集‎成说明
麒麟堡垒机‎支持使用外‎接的AD、LDAP进‎行认证,并且支持从‎A D、LDAP中‎导入帐号到‎堡垒机中,设置步骤如‎下:
1.在系统配置‎-参数配置-认证配置中‎点击“添加条目”按钮
2.在弹出的菜‎单中添加新‎的条目,如果是AD‎,需要在下拉‎中选择AD‎
LDAP截‎图:
AD截图:
3.如果需要手‎工导入帐号‎,点击后面的‎添加LDA‎P/AD帐号按‎钮,输入管理员‎帐号后进行‎导入,也可以自己‎用E XCE‎L方式或在‎W E B上手‎添加帐号,注:在进行认证‎前,堡垒机上必‎须存在有这‎个帐号才能‎进行AD/LDAP认‎证
4.编辑相应的‎帐号,在认证方式‎部分,勾上AD或‎L DAP认‎证,优先登录试‎,可以选择刚‎才设置的A‎D或LDA‎P认证
5.登录时,左侧选中相‎应的登录试‎,输入AD/LDAP密‎码即可以进‎行登录
注:目前AD/LDAP只‎支持WEB‎方式,不支持透明‎登录试,因此,如果非要用‎户登录,可以做如下‎设置:
1.在启用AD‎/LDAP登‎录时,将认证(使用本地密‎码认证)勾除,让用户在W‎E B登录时‎必须用LD‎AP/AD进行认‎证
2.勾上WEB‎PORTA‎L,如果勾上W‎E BPOR‎T AL,用户在进行‎透明登录时‎,必须要WE‎B在线,即用户必须‎使用WEB‎通过AD/LDAP登‎录后才能用‎透明登录。

AD域的安装和ssl证书站点的架设

AD域的安装和ssl证书站点的架设

一、安装条件∙∙安装者必须具‎有本地管理员‎权限∙操作系统版本‎必须满足条件‎(window‎s server‎2003 除WEB版外‎都满足)∙本地磁盘至少‎有一个NTF‎S文件系统∙有TCP/IP设置(IP地址、子网掩码等)∙有相应的DN‎S服务器支持‎∙有足够的可用‎空间二、安装安装活动目录‎:1、插入系统光盘‎。

2、打开【开始】菜单,单击【运行】命令,键入“Dcprom‎o”后单击【确定】按钮。

3、在出现的AD‎安装向导窗口‎中,单击【下一步】按钮。

4、出现操作系统‎兼容窗口,单击【下一步】按钮。

5、出现域控制器‎类型窗口,选中【新域的域控制‎器】,单击【下一步】按钮。

6、出现选择创建‎域的类型窗口‎,选中【在新林中的域‎】,单击【下一步】按钮。

7、出现新建域名‎窗口,键入要创建的‎域的域名,单击【下一步】按钮。

8、出现域Net‎B IOS名窗‎口,键入域的Ne‎t BIOS名‎,单击【下一步】按钮,向导会自动创‎建。

9、出现数据库和‎日志文件窗口‎,保持默认位置‎即可,单击【下一步】按钮。

10、出现共享的系‎统卷窗口,注意,文件夹所在分‎区必须是NT‎F S分区,保持默认位置‎即可,单击【下一步】按钮。

11、如果当前设置‎的DNS无法‎解析的话,会出现一个D‎N S注册诊断‎的窗口,可以选择第二‎项,把本机装成D‎N S服务器,单击【下一步】按钮。

12、在弹出的权限‎窗口中,保持默认选项‎即可,单击【下一步】按钮。

13、出现要输入目‎录还原模式的‎管理员密码,此密码用于【目录服务还原‎模式】下,单击【下一步】按钮。

14、向导会显示摘‎要,单击【下一步】按钮。

15、向导开始安装‎活动目录。

16、出现安装完成‎窗口,单击【完成】按钮,重新启动计算‎机即可。

卸载活动目录‎:1、打开【开始】菜单,单击【运行】命令,键入“Dcprom‎o”后单击【确定】按钮。

2、在出现的AD‎安装向导窗口‎中,单击【下一步】按钮。

AD域认证

AD域认证

AD域认证操作一、验证域类编写一个域用户验证的类LdapAuthentication【类的名称自己可以定义,这里我们就用LdapAuthentication】引用命名空间:using System.DirectoryServices;public class LdapAuthentication{private string _path;private string _filterAttribute;public LdapAuthentication(string path){_path = path;}public bool IsAuthenticated(string domain, string username, string pwd){string domainAndUsername = domain + @"\" + username;DirectoryEntry entry = new DirectoryEntry(_path, domainAndUsername, pwd);try{//Bind to the native AdsObject to force authentication.object obj = entry.NativeObject;DirectorySearcher search = new DirectorySearcher(entry);search.Filter = "(SAMAccountName=" + username + ")";search.PropertiesToLoad.Add("cn");SearchResult result = search.FindOne();if (null == result){return false;}//Update the new path to the user in the directory._path = result.Path;_filterAttribute = (string)result.Properties["cn"][0];}catch (Exception ex){throw new Exception( ex.Message);}}return true;}二、配置web.Config文件在Web.config文件中找到相应的节修改如下【如果没有找到直接复制粘贴到</system.web><system.web>之间】:<authentication mode="Forms"><forms loginUrl="login.aspx"name="adAuthCookie"timeout="10"path="/"></forms></authentication><authorization><deny users="?"/><allow users="*"/></authorization><identity impersonate="true"/>备注:login.aspx是登录界面,根据自己系统的页面而定三、配置域信息在标签<appSettings>中添加如下的两个配置信息<appSettings><add key ="ADPath"value ="LDAP://DC=adventure-works【填写您的机子的域名】,DC=com【域名后缀】"/><add key ="Domain"value ="adventure-works【填写您的机子的域名】"/></appSettings>四、编写Global.asax文件给您的程序添加Global.asax文件,在其protected void Application_AuthenticateRequest(object sender, EventArgs e){}事件中添加如下的代码:string cookieName = FormsAuthentication.FormsCookieName;HttpCookie authCookie = Context.Request.Cookies[cookieName];if (null == authCookie){//There is no authentication cookie.return;}FormsAuthenticationTicket authTicket = null;try{authTicket = FormsAuthentication.Decrypt(authCookie.Value);}catch (Exception ex){//Write the exception to the Event Log.return;}if (null == authTicket){//Cookie failed to decrypt.return;}//When the ticket was created, the UserData property was assigned a//pipe-delimited string of group names.string[] groups = erData.Split(new char[] { '|' });//Create an Identity.GenericIdentity id = new GenericIdentity(, "LdapAuthentication");//This principal flows throughout the request.GenericPrincipal principal = new GenericPrincipal(id, groups);er = principal;备注: LdapAuthentication跟你编写的验证类一样的名称五、设置登录验证在登录的Click事件中添加如下的代码就行:string adPath = ConfigurationManager.AppSettings["ADPath"].ToString();string domain = ConfigurationManager.AppSettings["Domain"].ToString();LdapAuthentication adAuth = new LdapAuthentication(adPath);try{string LoginName = txtUserName.Text;string Password = txtPassword.Text;//AD认证if (true == adAuth.IsAuthenticated(domain, LoginName,Password)){//string groups = adAuth.GetGroups();//Create the ticket, and add the groups.bool isCookiePersistent = chkPersist.Checked;FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(1, model.LoginName, DateTime.Now, DateTime.Now.AddMinutes(60), isCookiePersistent, "");//Encrypt the ticket.string encryptedTicket = FormsAuthentication.Encrypt(authTicket);//Create a cookie, and then add the encrypted ticket to the cookie as data.HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);if (true == isCookiePersistent){authCookie.Expires = authTicket.Expiration;}Response.Cookies.Add(authCookie); //Add the cookie to the outgoing cookies collection.//权限认证//权限认证根据自己系统的设定而定,通过后跳转到相关的页面即可}else{Lberro.Text = "登录失败.";}。

ad域认证原理

ad域认证原理

ad域认证原理
Active Directory(AD)是一种Microsoft广泛使用的LDAP(轻量目录访问协议)目录服务,它在Windows Server操作系统上构建,并
用于存储和组织Windows域中的用户,计算机和其他组件。

在AD域中进行身份验证的主要原理是使用基于密码的身份验证。

这种验证是指用户需要使用他们在特定域中的凭据(用户名和密码)作
为验证机制。

当用户登录到Windows域,他们的电脑系统向域控制器(也称为DC)发出带有用户名和密码的验证请求。

域控制器根据用户
提供的凭据检查Windows域中用户账户的凭据,并确保它们匹配。


果凭证匹配,则用户被授权访问域。

否则,他们将被拒绝。

AD域控制器也可以使用其他身份验证机制,例如在外部身份提供
者之间进行单一登录(SSO)。

然而,这里只讨论基于密码的验证机制。

当用户更改他们的凭证时,这些更改将被写入域控制器作为配置
更新。

如果域控制器已配置为使用密码策略,则它将强制规定密码复
杂性要求,例如密码必须包含大小写字母,数字和符号等。

此外,密
码执行策略还可以定义密码最短长度,密码过期和密码重置要求。

一个AD域可以包含多个域控制器,这些域控制器一起处理基于密
码的验证请求。

这些域控制器定期进行复制,以确保它们之间的所有
数据同步,以便在发生故障的情况下缓解风险。

总的来说,AD域控制器提供了一种安全,强大的身份验证机制,以确保安全和保密数据的访问。

了解AD域认证原理可以帮助管理员更好地了解和管理组织中的身份验证和访问控制机制。

ad域证书详解-概述说明以及解释

ad域证书详解-概述说明以及解释

ad域证书详解-概述说明以及解释1.引言1.1 概述概述部分的内容如下:在当今网络安全环境日趋复杂的背景下,AD域证书作为一种关键的安全技术,发挥着至关重要的作用。

随着企业规模的不断扩大和网络拓扑结构的不断复杂化,传统的身份验证方式已经无法满足对安全性和可管理性的需求。

AD域证书作为一种基于公钥基础设施(PKI)的安全解决方案,通过数字签名和加密技术,确保了用户身份、数据传输和通信的安全性。

本文将深入探讨AD域证书的定义、作用、生成和管理等方面,帮助读者全面了解这一重要的安全技术。

1.2 文章结构文章结构部分的内容如下:文章结构部分旨在介绍本文的结构安排,包括各个章节的主要内容和逻辑关系,为读者提供一个整体概览。

本文按照引言、正文和结论三个部分组织。

在引言部分,将介绍AD域证书的概述、文章结构和目的。

在正文部分,将详细介绍什么是AD域证书、AD域证书的作用以及AD域证书的生成和管理。

最后在结论部分,将总结AD域证书的重要性,探讨未来AD域证书的发展趋势,并进行结束语的总结。

整体结构清晰明了,有助于读者快速了解本文内容。

1.3 目的本文的目的是深入探讨AD域证书的概念、作用以及生成和管理方法,以帮助读者全面了解AD域证书的重要性和实际应用。

通过对AD域证书的详细解释和分析,读者可以更好地理解如何有效地配置和管理公司的域环境,增强网络安全性和管理效率。

此外,本文旨在对AD域证书的发展趋势进行展望,帮助读者了解未来AD域证书技术的变化和发展方向,为读者的职业发展和技术选型提供参考依据。

通过本文的阐述,读者可以更深入地了解AD域证书的重要性,并为未来的技术规划和决策提供帮助和指导。

2.正文2.1 什么是AD域证书AD域证书是用于在Microsoft Active Directory(AD)环境下进行身份验证和加密通信的数字证书。

在AD域中,证书被用来验证用户、计算机或服务的身份,并确保在网络上的通信是安全的和私密的。

网康AD认证

更改认证方式后用户会在下次认证的时候按照新认证方式认证上网也就意味着更改认证方式后丌一定会立刻就按新设置的认证方式认证原因是用户在更改本次认证乊前已经正常认证过了可以在系统监控上线用户中查看认证结该选项可选混合认证网康设备支持多种认证方式混合使用即某些ip使用一种认证方式某些ip使用另一种认证方式
AD认证
1 单击激活 2
其它AD结合方式
前面讲的是跟网康客户端配合使用的AD认证方式,当然也可以不在PC机上安装客户 端,这种方式是“透明用户识别”方式,但是需要在AD上安装嗅探器,嗅探AD登陆 信息,同时要下发登陆脚本。在本文不做详细介绍。AD嗅探器及登陆脚本在网康设备 上就可以下载,软件包里有详细设置说明。 下载位置,见下图
2 3
ห้องสมุดไป่ตู้
5
1
4
认证配置修改完毕图
安装客户端
网康客户端的安装有2种方式:手动安装;域推送。 1. 在上面2步都实现之后,这时候理论上来说用户上网的时候就需要客户端的认证了, 在用户打开任意网页的时候,会看到提示页面提示要求安装客户端,下载并一路默 认安装,安装完成后重启并用域用户登录即可。 2. 域推送的话,则可以将在上面下载的客户端程序放到域控服务器上,做个域控推送 即可。当然也可以到网康的管理界面的“用户管理”-”认证管理“-”认证配置 “-”高级配置“手动下载客户端程序,也可以设置客户端程序托盘不显示等属性。 注意事项: 1. 更改认证方式后,用户会在下次认证的时候按照新认证方式认证上网,也就意味着 更改认证方式后,不一定会立刻就按新设置的认证方式认证,原因是用户在更改本 次认证之前已经正常认证过了,可以在“系统监控”-“上线用户”中查看认证结 果。
实现步骤
1. 用户管理-用户导入-LDAP导入下,添加AD域控服务器,导入域账户。 2. 用户管理-认证管理-认证配置下,添加AD认证服务器,并将默认认证方式改为 “AD认证” 3. 给PC机安装网康的客户端软件(可单机安装也可AD推送) 注意事项: 1. 为了保证所有用户的每次登陆都能准确的被识别,最好是在网络拓扑上把AD服务 器放在网康设备的前端,即用户跟域控的认证数据会过网康设备。(当然,这只是 个建议,非必须) 2. 另:因为AD用户会在本地缓存登陆信息,所以建议在域控上将缓存本地登陆取消, AD认证可能因为缓存登陆而无法识别的情况。

AD域集成讲解


这是确认画面,请仔细检查刚刚输入的信息是否有误, 尤其是域名书写是否正确,如果确认无误的话,那么点 “下一步”就正式开安装了:
几分钟后,安装完成。
点完成 点“立即重新启动”。 这样就把普通一台2003Server升级成DC(主域控制器)
加入AD域

在“我的电脑”上击右键,选“属性”,点“计算机名”。
第一次部署时总会出现上面那个DNS注册诊断出错的画 面,主要是因为虽然安装了DNS,但由于并没有配置它, 网络上还没有可用的DNS服务器,所以才会出现响应超 时的现像,所以在这里要选择:“在这台计算机上安装并 配置DNS,并将这台DNS服务器设为这台计算机的首选 DNS服务器”。
“这是一个权限的选择项,在这里,我选择第二项:“只与 Windows 2000或Window 2003操作系统兼容的权限”,
ad域安装开始设置控制面板添加删除程序然后再点击添加删除windows组件默认情况下所有的网络服务都会被添加可以点击下面的详细信息进行自定义安装由于在这里只需要dns所以把其它的全都去掉了以后需要的时候再安装
AD域

AD域概念 AD域搭建 加入AD域 AD域与项目集成



AD域概念


ቤተ መጻሕፍቲ ባይዱ




“域”的真正含义指的是服务器控制网络上的计算机能否 加入的计算机组合。在“域”模式下,至少有一台服务器负责 每一台联入网络的电脑和用户的验证工作,相当于一个单位的 门卫一样,称 为“域控制器(Domain Controller,简写为DC)”。 域控制器中包含了由这个域的账户、密码、属于这个域的 计算机等信息构成的数据库。当电脑联入网络时,域控制器首 先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号 是否存在、密码是否正确。如果以上信息有一样不正确, 那么域控制器就会拒绝这个用户从这台电脑登录。不能登录, 用户就不能访问服务器上有权限保护的资源,他只能以对 等网用户的方式访问Windows共享出来的资源,这样就在一定 程度上保护了网络上的资源。

iMC与AD配合做域统一认证的典型配置

iMC 与AD 配合做域统一认证的典型配置一、组网需求:支持802.1X 的交换机;iMC 服务器;Microsoft Active Directory ;iNode 客户端。

二、组网图:设备说明:NAS :S3652 iMC V3.2 E0401P05 Microsoft Active Directory 5.2 iNode V2.4-R0213三、配置步骤:前提条件是iMC ,AD ,NAS ,User 均路由可达。

NAS 可以采用802.1X 认证或者Portal 认证,这里已 802.1X 认证为例。

1.配置NAS# 配置Radius 服务器[H3C]radius scheme h3cLANWANNASUSER/iNode AD iMC192.168.1.99/24 192.168.0.1/24192.168.1.11192.168.1.12192.168.0.X/24[H3C -radius-h3c]server-type extended[H3C -radius-h3c]primary authentication 192.168.1.12 1812[H3C -radius-h3c]primary accounting 192.168.1.12 1813[H3C -radius-h3c]key authentication h3c[H3C -radius-h3c]key accounting h3c[H3C -radius-h3c]user-name-format without-domain# 配置认证域[H3C]domain h3c //此处域名必须与AD中的域名一致。

[H3C -domain-h3c]radius-scheme h3c[H3C]domain default enable h3c# 配置VLAN[H3C]Vlan 2[H3C-vlan2]Port interface GigabitEthernet1/1/1 to GigabitEthernet1/1/4[H3C]Interface vlan 2 \管理Vlan[H3C -Interface-vlan-2]ip add 192.168.1.99 255.255.255.0[H3C]Interface vlan 1 \用户Vlan[H3C -Interface-vlan-1]ip add 192.168.0.1 255.255.255.0# 启动802.1X认证[H3C] dot1x[H3C] dot1x authentication-method pap //域统一认证时必须启用PAP认证[S3952] dot1x interface Ethernet 1/0/1 to Ethernet 1/0/48注:这里只是列出了802.1X的所有必须的配置,还有一些高级选项可以自行配置,如version check,accounting on等。

AD域的安装和ssl证书站点的架设

一、安装条件∙∙安装者必须具有本地管理员权限∙操作系统版本必须满足条件(windows server 2003 除WEB版外都满足)∙本地磁盘至少有一个NTFS文件系统∙有TCP/IP设置(IP地址、子网掩码等)∙有相应的DNS服务器支持∙有足够的可用空间二、安装安装活动目录:1、插入系统光盘。

2、打开【开始】菜单,单击【运行】命令,键入“Dcpromo”后单击【确定】按钮。

3、在出现的AD安装向导窗口中,单击【下一步】按钮。

4、出现操作系统兼容窗口,单击【下一步】按钮。

5、出现域控制器类型窗口,选中【新域的域控制器】,单击【下一步】按钮。

6、出现选择创建域的类型窗口,选中【在新林中的域】,单击【下一步】按钮。

7、出现新建域名窗口,键入要创建的域的域名,单击【下一步】按钮。

8、出现域NetBIOS名窗口,键入域的NetBIOS名,单击【下一步】按钮,向导会自动创建。

9、出现数据库和日志文件窗口,保持默认位置即可,单击【下一步】按钮。

10、出现共享的系统卷窗口,注意,文件夹所在分区必须是NTFS分区,保持默认位置即可,单击【下一步】按钮。

11、如果当前设置的DNS无法解析的话,会出现一个DNS注册诊断的窗口,可以选择第二项,把本机装成DNS服务器,单击【下一步】按钮。

12、在弹出的权限窗口中,保持默认选项即可,单击【下一步】按钮。

13、出现要输入目录还原模式的管理员密码,此密码用于【目录服务还原模式】下,单击【下一步】按钮。

14、向导会显示摘要,单击【下一步】按钮。

15、向导开始安装活动目录。

16、出现安装完成窗口,单击【完成】按钮,重新启动计算机即可。

卸载活动目录:1、打开【开始】菜单,单击【运行】命令,键入“Dcpromo”后单击【确定】按钮。

2、在出现的AD安装向导窗口中,单击【下一步】按钮。

3、向导会询问此服务器是否是域中最后一个域控制器。

如果域中没有其他的域控制器,选中它,单击【下一步】按钮。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基于Windows 2008 R2搭建域控、域认证、智能卡登录部署说明北京天威诚信电子商务服务有限公司2011年8月文档属性文档变更目录一、安装DNS服务和安装IIS服务 (4)二、配置活动目录 (6)三、安装证书服务 (17)四、配置证书服务 (25)五、申请注册代理证书 (29)六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey (38)七、配置活动目录信任iTrusCA2.4集成项说明 (39)八、添加第三方CA到活动目录的NTAuth store (40)九、分发根证书到所有域成员 (44)十、配置组策略 (47)十一、控制台本地计算机证书管理中导入信任根CA和中级CA (54)一、安装DNS服务和安装IIS服务点击“开始”->“所有程序”->“管理工具”->“服务器管理器”,在“服务器管理器”里面选择“角色”,并在右边点击“添加角色”。

选择“DNS服务器”和Web服务器(IIS)点击“下一步”,所有选项默认选择直至到达“安装页面”;安装完成,查看“DNS服务器”和“IIS服务”是否安装成功,点击“关闭”按钮二、配置活动目录返回“服务器管理”的“角色”页面点击“添加角色”,选择“Active Directory域服务”。

点击“安装”!安装完成,查看安装是否成功,点击“关闭”按钮!返回“服务器管理”页面,选择“Active Directory域服务”点击“运行Active Diretory域服务安装向导(dcpromo.exe)”不选择“使用高级模式安装”,点击“下一步”!选择“在新林中新建域”,点击“下一步”!在“目录林根级域的FQDN”处添加域名(可自定义填写),点击“下一步”在“林功能级别”处选择“Windows Server 2003”,点击“下一步”!在“域功能级别”处选择“Windows Server 2003”点击“下一步”点击“下一步”!在“Active Directory域服务安装向导”对话框点击“是”继续!默认路径无需更改点击“下一步”输入密码:Ab123456(可自定义,但要按照域的对密码的规格:大小写字母加数字!!)点击“下一步”!选择本服务器上安装配置DNS服务器,并设为本机首选DNS服务器,点击“下一步”;AD域服务安装完成,选择“完成后重新启动”选项,重启计算机;三、安装证书服务开机自动显示“初始配置任务”窗口,或是在“运行”里面输入“oobe”开启该窗口点击“添加角色”!点击“下一步”按钮!选择“Active Directory 证书服务”点击“下一步”!点击“下一步”!选择“证书颁发机构”和“证书颁发机构Web注册”两项,点击“下一步”!在弹出的“添加角色向导”对话框里面,点击“添加必需的角色服务”!选择“企业”,点击“下一步”选择“根CA”,点击“下一步”!选择“新建私钥”,点击“下一步”!此页面的选项默认选择。

点击“下一步”!在“此CA的公用名称”处填写,可自定义填写,“可分辨名称后缀”不建议修改,点击“下一步”默认选择,可根据用户的实际需求自定义修改,点击“下一步”!默认选择,可自定义路径修改,点击“下一步”!点击“安装”!直至安装完成!四、配置证书服务开始->程序->管理工具->证书颁发机构展开域根CA(itrus),右击证书模板,在弹出的菜单上选择,新建->要颁发的证书模板在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机)四项。

如下图所示:为域用户设置智能卡用户证书的注册权限。

右击证书模板,选择管理,打开证书模板对话框。

如下图所示:在证书模板控制台右边的模板列表中,右击“智能卡用户”选择“属性”,弹出智能卡用户的属性对话框。

切换到安全面板,在“组或用户名称”中添加Domain Users,并为其添加读取、写入、注册的权限,如下图所示:五、申请注册代理证书Windows Server 2008 为了安全起见,要求颁发智能卡证书必须通过注册代理站来颁发,不允许随意颁发智能卡证书,注册代理站需要使用注册代理证书,所以必须先申请注册代理证书,我们下面来申请注册代理证书申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。

任意域成员计算机上均可以申请注册代理证书,并帮助用户申请智能卡用户证书。

不过在默认情况下,注册代理证书只允许域管理员申请,如果出于安全考虑不希望使用域管理员进行申请证书操作,则需要为指定用户设置注册代理证书的权限,具体办法请参考按照配置证书服务设置智能卡用户注册权限。

下图可作参考:点击开始—〉程序—〉管理工具—〉Active Directory用户和计算机填写相应的信息,并点击“第一步”填写密码:Ab123456,勾选“密码永不过期”!点击“下一步”直至完成!回到“证书颁发机构”窗口,右键“注册代理”选择“属性”切换到安全面板,在“组或用户名称”中添加Users,并为其添加读取、写入、注册的权限,如下图所示:通过管理用户证书的MMC控制台申请注册代理证书:开始->运行->键入mmc后回车->打开MMC控制台单击菜单“控制台”,选择“添加/删除管理单元”,选择“证书”,然后添加,选择“我的用户账户”,点击“完成”。

操作过程请参考下列图示:选择“证书”点击“添加”展开“证书–当前用户”,右键单击“个人”文件夹,在弹出的菜单上选择“所有任务”->“申请新证书”,弹出证书申请向导。

点击“下一步”!在“证书类型”中选择“注册代理”,键入好记名称后,完成申请。

六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey➢定制用户证书模板中添加智能卡域登录证书功能<!--BEGIN 智能卡域用户证书必需内容--><Ext_Item Choice="Fixed"><Name>extendedKeyUsage</Name><Value> clientAuth,msSmartcardLogin</Value></Ext_Item><Ext_Item Choice="Fixed"><Name>1.3.6.1.4.1.311.20.2</Name><Value>DER:1E1A0053006D00610072007400630061007200640055007300650072</Value></Ext_Item><Ext_Item Choice="Mandatory"><Name>subjectAltName</Name><Value>OTHERNAME:msUPN:UTF8STRING:$$USER_ADDTIONAL_FIELD5$$</Value><!--添加证书项备注5为域用户登录名全称--></Ext_Item><!--END 智能卡域用户证书必需内容-->➢配置用户页面http://ip:port/user-enroll/console应用配置→定制注册项,添加<备注5>,对应信息为域用户登录名(如:******************.cn)证书设置→私钥产生方式,设置为“申请时产生私钥”;➢将证书下载模式改为AA自动审批模式修改itrusca\ra\iTrusCA.xml中,审批模式为“<Mode>AA</Mode>”➢申请智能卡域用户证书到USBKEY用户数字证书服务中心http://ip:port/user-enroll“申请:用户证书”→输入CN(姓名)、Email(邮箱)、备注5(域用户登录名)、用户口令(AA模式默认密码:itrusyes)、选择USBKEY的加密服务提供者→下载证书完成;七、配置活动目录信任iTrusCA2.4集成项说明上面已经安装了Windows的证书服务拥有了域控制器证书,下面我们需要完成集成第三方CA到活动目录需要对活动目录和域控制器做以下两项设置:●必需的:添加第三方的CA到活动目录的NTAuth store中,用来认证活动目录的用户登录。

●可选的:通过使用组策略,配置活动目录分发第三方根CA到所有域成员的受信任的根证书中去。

第二项虽然是可选的,但是手动发布根CA到每一台域成员计算机中显然是不可取的,所以也要做。

八、添加第三方CA到活动目录的NTAuth store开始->运行->键入mmc后回车->打开MMC控制台单击菜单“控制台”,选择“添加/删除管理单元”,选择“企业PKI”,添加后关闭。

单击完成。

右击“企业PKI”,选择“管理AD容器”;切换到NTAuthCertificates面板,点击Add按钮;找到iTrusCA的根CA文件root.cer,选择打开。

这样,iTrusCA的根CA就被导入到NTAuth store中去了。

因为iTrusCA签发的用户证书是四级证书链结构,所以我们要同时添加iTrusCA的中级CA文件mid1.cer和mid2.cer,将iTrusCA的中级CA也导入到NTAuth store中去。

方法二:使用Certutil.exe命令导入证书。

Certuil命令支持两种证书格式,DER encoded binary X.509 (.cer)和Base-64 encoded X.509 (.cer),在命令行下输入:certutil -dspublish -f filename NTAuthCA然后回车。

九、分发根证书到所有域成员在域控制器上执行开始->所有程序->管理工具->组策略管理在左边的树形目录上,右键单击“default Domain policy”,在弹出的菜单上选择“编辑”在“Default Domain Policy”的组策略编辑器中,依次展开计算机配置->策略->Windows 设置->安全设置->公钥策略;在“受信任的根证书颁发机构”单击右键,在弹出的菜单上选择所有任务->导入root证书;在“受信任的中级证书办法机构”单击右键,在弹出的菜单上选择所有任务->导入user证书选择iTrusCA的根证书root.cer文件。

同时导入中级CA证书mid1.cer和mid2.cer;十、配置组策略出入安全方面的考虑,需要PC端在智能卡移除后,PC端的状态需要为锁定状态,所以我们要在域策略里面配置相应的智能卡移除策略。