基于Windows2008r2智能卡域登陆部署说明(集成iTrusCA)

基于Windows2023R2搭建域控、域认证、智能卡登录部署说明XXXXXXXXX公司2023年8月目录一、安装DNS效劳和安装IIS效劳4二、配置活动目录6三、安装证书效劳17四、配置证书效劳25五、申请注册代理证书29六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey38七、配置活动目录信任iTrusCA2.4集成项说明39八、添加第三方CA到活动目录的NTAuthstore40九、分发根证书到所有域成员43十、配置组策略45十一、控制台本地计算机证书管理中导入信任根CA和中级CA48一、安装DNS效劳和安装IIS效劳点击“开始〞->“所有程序〞->“管理工具〞->“效劳器管理器〞，在“效劳器管理器〞里面选择“角色〞，并在右边点击“添加角色〞。选择“DNS效劳器〞和Web效劳器〔IIS〕点击“下一步〞，所有选项默认选择直至到达“安装页面〞；安装完成，查看“DNS效劳器〞和“IIS效劳〞是否安装成功，点击“关闭〞按钮二、配置活动目录返回“效劳器管理〞的“角色〞页面点击“添加角色〞，选择“ActiveDirectory域效劳〞。点击“安装〞！安装完成，查看安装是否成功，点击“关闭〞按钮！返回“效劳器管理〞页面，选择“ActiveDirectory域效劳〞点击“运行ActiveDiretory域效劳安装向导〔dcpromo.exe〕〞不选择“使用高级模式安装〞，点击“下一步〞！选择“在新林中新建域〞，点击“下一步〞！在“目录林根级域的FQDN〞处添加域名〔可自定义填写〕，点击“下一步〞在“林功能级别〞处选择“WindowsServer2003〞，点击“下一步〞！在“域功能级别〞处选择“WindowsServer2003〞点击“下一步〞点击“下一步〞！在“ActiveDirectory域效劳安装向导〞对话框点击“是〞继续！默认路径无需更改点击“下一步〞输入密码：Ab123456〔可自定义，但要按照域的对密码的规格：大小写字母加数字！！〕点击“下一步〞！选择本效劳器上安装配置DNS效劳器，并设为本机首选DNS效劳器，点击“下一步〞；AD域效劳安装完成，选择“完成后重新启动〞选项，重启计算机；三、安装证书效劳开机自动显示“初始配置任务〞窗口，或是在“运行〞里面输入“oobe〞开启该窗口点击“添加角色〞！点击“下一步〞按钮！选择“ActiveDirectory证书效劳〞点击“下一步〞！点击“下一步〞！选择“证书颁发机构〞和“证书颁发机构Web注册〞两项，点击“下一步〞！在弹出的“添加角色向导〞对话框里面，点击“添加必需的角色效劳〞！选择“企业〞，点击“下一步〞选择“根CA〞，点击“下一步〞！选择“新建私钥〞，点击“下一步〞！此页面的选项默认选择。点击“下一步〞！在“此CA的公用名称〞处填写，可自定义填写，“可分辨名称后缀〞不建议修改，点击“下一步〞默认选择，可根据用户的实际需求自定义修改，点击“下一步〞！默认选择，可自定义路径修改，点击“下一步〞！点击“安装〞！直至安装完成！四、配置证书效劳开始->程序->管理工具->证书颁发机构展开域根CA〔itrus〕，右击证书模板，在弹出的菜单上选择，新建->要颁发的证书模板在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机)四项。如以下图所示：为域用户设置智能卡用户证书的注册权限。右击证书模板，选择管理，翻开证书模板对话框。如以下图所示：在证书模板控制台右边的模板列表中，右击“智能卡用户〞选择“属性〞，弹出智能卡用户的属性对话框。切换到平安面板，在“组或用户名称〞中添加DomainUsers，并为其添加读取、写入、注册的权限，如以下图所示：五、申请注册代理证书WindowsServer2023为了平安起见，要求颁发智能卡证书必须通过注册代理站来颁发，不允许随意颁发智能卡证书，注册代理站需要使用注册代理证书，所以必须先申请注册代理证书，我们下面来申请注册代理证书申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。任意域成员计算机上均可以申请注册代理证书，并帮助用户申请智能卡用户证书。不过在默认情况下，注册代理证书只允许域管理员申请，如果出于平安考虑不希望使用域管理员进行申请证书操作，那么需要为指定用户设置注册代理证书的权限，具体方法请参考按照配置证书效劳设置智能卡用户注册权限。以下图可作参考：点击开始—〉程序—〉管理工具—〉ActiveDirectory用户和计算机填写相应的信息，并点击“第一步〞填写密码：Ab123456，勾选“密码永不过期〞！点击“下一步〞直至完成！回到“证书颁发机构〞窗口，右键“注册代理〞选择“属性〞切换到平安面板，在“组或用户名称〞中添加Users，并为其添加读取、写入、注册的权限，如以下图所示：通过管理用户证书的MMC控制台申请注册代理证书：开始->运行->键入mmc后回车->翻开MMC控制台单击菜单“控制台〞，选择“添加/删除管理单元〞，选择“证书〞，然后添加，选择“我的用户账户〞，点击“完成〞。操作过程请参考以下图示：选择“证书〞点击“添加〞展开“证书–当前用户〞，右键单击“个人〞文件夹，在弹出的菜单上选择“所有任务〞->“申请新证书〞，弹出证书申请向导。点击“下一步〞！在“证书类型〞中选择“注册代理〞，键入好记名称后，完成申请。六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey定制用户证书模板中添加智能卡域登录证书功能<!--BEGIN智能卡域用户证书必需内容--><Ext_ItemChoice="Fixed"><Name>extendedKeyUsage</Name><Value>clientAuth,msSmartcardLogin</Value></Ext_Item><Ext_ItemChoice="Fixed"><Name>1.3.6.1.4.1.311.20.2</Name><Value>DER:1E1A0053006D00610072007400630061007200640055007300650072</Value></Ext_Item><Ext_ItemChoice="Mandatory"><Name>subjectAltName</Name><Value>OTHERNAME:msUPN:UTF8STRING:$$USER_ADDTIONAL_FIELD5$$</Value><!--添加证书项备注5为域用户登录名全称--></Ext_Item><!--END智能卡域用户证书必需内容-->配置用户页面://ip:port/user-enroll/console应用配置定制注册项，添加<备注5>，对应信息为域用户登录名〔如：chen_yue@itrus〕证书设置私钥产生方式，设置为“申请时产生私钥〞；将证书下载模式改为AA自动审批模式修改itrusca\ra\iTrusCA.xml中，审批模式为“<Mode>AA</Mode>〞申请智能卡域用户证书到USBKEY用户数字证书效劳中心://ip:port/user-enroll“申请：用户证书〞输入CN〔姓名〕、Email〔邮箱〕、备注5〔域用户登录名〕、用户口令〔AA模式默认密码：itrusyes〕、选择USBKEY的加密效劳提供者下载证书完成；七、配置活动目录信任iTrusCA2.4集成项说明上面已经安装了Windows的证书效劳拥有了域控制器证书，下面我们需要完成集成第三方CA到活动目录需要对活动目录和域控制器做以下两项设置：必需的：添加第三方的CA到活动目录的NTAuthstore中，用来认证活动目录的用户登录。可选的：通过使用组策略，配置活动目录分发第三方根CA到所有域成员的受信任的根证书中去。第二项虽然是可选的，但是手动发布根CA到每一台域成员计算机中显然是不可取的，所以也要做。八、添加第三方CA到活动目录的NTAuthstore开始->运行->键入mmc后回车->翻开MMC控制台单击菜单“控制台〞，选择“添加/删除管理单元〞，选择“企业PKI〞，添加后关闭。单击完成。右击“企业PKI〞，选择“管理AD容器〞；切换到NTAuthCertificates面板，点击Add按钮；找到iTrusCA的根CA文件root.cer，选择翻开。这样，iTrusCA的根CA就被导入到NTAuthstore中去了。因为iTrusCA签发的用户证书是四级证书链结构，所以我们要同时添加iTrusCA的中级CA文件mid1.cer和mid2.cer，将iTrusCA的中级CA也导入到NTAuthstore中去。方法二：使用Certutil.exe命令导入证书。Certuil命令支持两种证书格式，DERencodedbinaryX.509(.cer)和Base-64encodedX.509(.cer)，在命令行下输入：certutil-dspublish-ffilenameNTAuthCA然后回车。九、分发根证书到所有域成员在域控制器上执行开始->所有程序->管理工具->组策略管理在左边的树形目录上，右键单击“defaultDomainpolicy〞，在弹出的菜单上选择“编辑〞在“DefaultDomainPolicy〞的组策略编辑器中，依次展开计算机配置->策略->Windows设置->平安设置->公钥策略；在“受信任的根证书颁发机构〞单击右键，在弹出的菜单上选择所有任务->导入root证书；在“受信任的中级证书方法机构〞单击右键，在弹出的菜单上选择所有任务->导入user证书选择iTrusCA的根证书root.cer文件。同时导入中级CA证书mid1.cer和mid2.cer；十、配置组策略出入平安方面的考虑，需要PC端在智能卡移除后，PC端的状态需要为锁定状态，所以我们要在域策略里面配置相应的智能卡移除策略。计算机配置->策略->Windows设置->平安设置->本地策略->平安选项；选择“交互式登录：智能卡移除操作〞，如以下图配置智能卡移除时锁定工作站操作；为配合智能卡移除的策略生效，必须确保PC端的效劳〔smartcard、smartcardremovalpolicy、userprofileservice〕已经正常启动，但在windows7〔含〕以上的操作系统默认该三个效劳是不启动的，如果每台终端手动修改将大大增加工作量，所以我们需要配置相应的域策略使之在PC端启动进入目录：计算机配置->策略->Windows设置->平安设置->本地策略->系统效劳；找到smartcard效劳，双击该效劳选择“定义这个策略设置〞，在“选择效劳启动模式〞里面勾选“自动〞。点击“编辑平安设置〞按钮，进入“平安设置〞窗口点击“添加〞按钮，添加“组或用户名〞输入“domainusers〞点击“检查名称〞按钮，再点击“确定〞为domainuser设置该效劳的权限，点击确定查看该效劳启动和权限是否已经配置成功按照配置“smartcard〞效劳的方法，继续配置“smartcardremovalpolicy〞和“userprofileservice〞效劳配置完成之后，参加域里面的PC端，都用默认执行这4项效劳之前参加域的PC端，我们可以在PC端，执行“gpupdate〞命令来更新域策略十一、控制台本地计算机证书管理中导入信任根CA和中级CA开始->运行->键入mmc后回车->翻开MMC控制台单击菜单“控制台〞，选择“添加/删除管理单元〞；点击“添加〞，