无盘域控智能卡安装操作基础手册

域控智能卡操作手册西安联友电子有限责任公司目录一、配备网络（服务器端） -3-二、配备域控制器（ActiveDirectory） -5-三、配备IIS服务器 -13-四、安装CA -16-五、颁发证书 -20-六、申请注册代理证书 -22-七、在服务器端安装ePass驱动程序及硬件 -29-八、添加域顾客 -31-九、申请智能卡证书 -33-十、配备客户端 -43-十一、配备客户端安全选项。 -51-十二、客户端安装ePass驱动程序及硬件 -53-十三、智能卡登录 -55-1. 安装锐起无盘 -56-2. 硬盘配备： -81-3. 硬盘备份 -87-

一、配备网络（服务器端）打开“网上邻居”>查看网络连接然后按照下图操作和设立二、配备域控制器（ActiveDirectory）由于智能卡是基于PKI体系,而PKI体系核心是CA中心,而要建立CA中心颁发智能卡证书,需要安装公司根CA,而安装公司CA中心,规定必要安装域控制器(ActiveDirectory),下面咱们来配备域控制器：点击开始>管理工具>管理您服务器，打开‘管理您服务器’界面，从管理您服务器界面上选取“添加或删除角色”选项,点击“下一步（N）”进入到“配备您服务器向导”对话框在配备您服务器向导对话框中选取“域控制器(ActiveDirectory)”,选取“下一步(N)”按钮,按界面操作来配备域控制器,设立服务器类型,DNS,NetBIOS等,完毕域控制器配备安装完毕后，提示“需要重新启动“，选取”及时重启”。点击“完毕”，返回到“管理您服务器界面”。此时不要关闭该界面。三、配备IIS服务器由于咱们从web上来申请智能卡证书，而windowsServer自带证书系统需要通过IIS来发布证书，因而咱们需要安装IIS服务器，其服务器程序是基于asp，因此咱们必要配备activeserverpage为容许，咱们下面来配备IIS服务器。点击开始>管理工具>管理您计算机，打开‘管理您服务器’界面。从管理您服务器界面上选取“添加或删除角色”选项，进入配备服务器角色界面,选取“应用程序服务器(IIS,ASP.NET)”选取“下一步(N)”按钮,按系统提供完毕IIS其他配备。安装完毕IIS后，启动IIS,浮现Web服务扩展界面,将ActiveServerPages服务设立为容许。完毕Internet信息服务(IIS)管理器配备提示：”请插入WindowsServerSP2第二张光盘”,请插入serverWindowsServerSP2第二张光盘,点击拟定，继续安装，找到提示选中详细文献,点击拟定继续安装。四、安装CA要颁发智能卡证书，必要要配备证书服务器，咱们下面来配备证书服务器。在控制面板中选取“添加或删除程序”>“添加/删除Windows组件，浮现添加删除windows组件界面（图1-1）选取“证书服务”选项后浮现，选取“下一步（N）>”按钮,依照系统提示进行操作，浮现选取CA类型界面此处选取“是”。提示：“请插入WindowsServerSP2第二张光盘”,请插入serverWindowsServerSP2第二张光盘,点击拟定，继续安装，找到提示选中详细文献,点击拟定继续安装。此处选取“是”。五、颁发证书启动“证书颁发机构”，启动证书模板对话框选取：智能卡顾客，智能卡登录，注册代理，注册代理（计算机）等方略，后选取“拟定”按钮，返回到证书颁发机构咱们看到咱们新增长证书模板，已经位于证书模板中了，完毕CA中心配备六、申请注册代理证书点击开始菜单，点击运营，输入mmc进入控制台管理，如下图。点击“文献”,”添加/删除管理单元(M)”,启动添加独立管理单元对话对话框点“添加”,进入“添加独立管理单元”选取“证书”，选取“添加（A）”按钮,进入下一步。选取“我顾客帐户（M）”，点击“完毕”按钮，进入下一步“添加独立管理单元”对话框上，点“关闭”按钮。返回“添加/删除管理单元”点选“拟定”。在控制台管理界面，选取“证书-当前顾客”，选取“个人”，点击鼠标右键，选取“所有任务（K）”，选取“申请新证书…”，进行证书类别选取选取“注册代理”，选取“下一步（N）>”按钮，进入如下界面输入好记名称，依照系统提示填写浮现证书名称和描述等信息完毕注册代理证书申请。更改域安全方略有关安全设立：如下图。选取“安全设立”——>“账户方略”——>“密码方略”，此处密码必要符合复杂性规定设为已禁用；密码长度最小值默认设立是7个字符，为以便起见咱们设为0。如下图：如下配备“自动注册设立”选项。选取“公钥方略”——>“自动注册设立”勾选上自动注册证书下面两项，拟定。七、在服务器端安装ePass驱动程序及硬件要在计算机上使用ePass，必要要安装ePass驱动程序，才可以访问ePass，下面咱们来安装ePass驱动程序。找到飞天诚信厂家配备“eps3k_stdSimpChinese.exe”驱动程序按下图安装运营eps1k_full.exe程序，依照系统提示完毕驱动程序安装。注意：此处一定要选取“支持智能卡登陆操作系统或者VPN”选项。注意：在安装驱动时不要将ePass插在计算机USB接口上。驱动安装完毕后需要重新启动计算机。八、添加域顾客为以便起见咱们在桌面设个AD快捷方式，程序-管理工具-ActiveDirectory顾客和计算机，右键-发送到-桌面快捷方式打开AD,选取“user”——>“新建”——>“顾客”,如下图操作添加顾客此处咱们加入四个顾客：财务1，财务2，人事1，人事2。九、申请智能卡证书运营InternetExplorer，在地址中输入(http://localhost/certsrv，)浮现证书服务页面（图3-1）选取申请一种证书选取选取“高档证书申请”，进行高档证书申请选取“通过使用智能卡证书注册站来为另一种顾客申请一种智能卡证书”，浮现智能卡证书注册站如果此处浮现如上图所示对话框。解决办法是：点击“拟定”在浏览器工具选项中选取“Internet选项（O）”如图操作。然后刷新一次页面显示正常页面。(修改了两个ActiveX控件安全级别：1：“对未标记为可安全执行脚本ActiveX控件初始化并执行脚本”由“禁用”改为“启用”；2、“下载未签名ActiveX控件”由“禁用”改为“启用”。)进入智能卡证书注册站,选取证书模板为“智能卡登陆”，选取加密服务提供程序为：“FEITIANePassNGRSACryptographicServiceProvider”，选取证书，弹出选取证书对话框。选取已注册过注册代理证书”test111”，点击“选取顾客…”按钮，弹出选取顾客对话框，点“高档(A)…”按钮,进入如下界面。点“及时查找(N)”,进入如下界面。选中”caiwu1”,点拟定按钮,浮现如下界面。点击拟定按钮,返回到智能卡注册站。把智能卡插入到电脑上，点击“注册”按钮，浮现输入顾客PIN码对话框。输入顾客PIN码(PIN码默以为1234)输入顾客PIN码后，选取“拟定（O）”按钮，显示如下界面，顾客正在被注册。如下是注册完毕后显示界面。如需新建顾客，点击“新建顾客”按钮，重新进入智能卡注册站选取顾客界面，如下图。通过“选取顾客”，插入智能卡，点击“注册按钮”，完毕智能卡证书申请。如果不需要再注册顾客，请关闭浏览器。至此已完毕了智能卡证书申请。十、配备客户端用administrator账号登陆客户机，打开“网上邻居”>查看网络连,接然后按照下图操作和设立注意：DNS配备为服务器IP地址。至此，客户端网络已配备完毕。开始配备客户端证书。打开浏览器，输入,进入如下界面。（注意：如此时无法打开页面，请检查服务器IIS服务与否未启动）输入域顾客顾客名和密码(如：caiwu1),显示如下界面。登陆成功后，显示如下界面。点击“下载一种CA证书，证书链或CRL”链接，进入如下界面。点击“下载CA证书”链接，进入如下界面。点击“保存”按钮，进入如下界面。选取桌面,点击保存，把证书保存到桌面上。选中“certnew.car”证书，右键选取“安装证书”，进入如下界面。点“打开”按钮，进入下一步。点击“下一部”按钮，进入“证书导入向导”。选取“将所有证书放入下列存储”，弹出“选取证书存储”对话框，勾选“显示物理存储区”，显示如下界面。点击树构造，选取“受信任根证书颁发机构”，选取“本机计算机或localcomputer”,点击拟定按钮，显示如下界面。点击“下一步”按钮，显示如下界面。点击“完毕”按钮。提示“导入成功”，点击“拟定”。此时，已完毕了客户端证书安装。十一、配备客户端安全选项。点击开始--运营点击运营，输入gpedit.msc,点击“拟定”按钮，进入“组方略”界面。选计算机设立—Windows设立--安全设立--本地方略--安全选项选取交互式登录：智能卡移除操作，双击进入属性页面。选取锁定工作站,点击“拟定”按钮。注释:当移除智能卡时自动锁定当前计算机。至此已完毕客户端组方略配备。十二、客户端安装ePass驱动程序及硬件找到飞天诚信厂家配备“eps3k_stdSimpChinese.exe”驱动程序按下图安装运营eps1k_full.exe程序，依照系统提示完毕驱动程序安装。牢记：此处一定要选取“支持智能卡登陆操作系统或者VPN”选项。注意：在安装驱动时不要将ePass插在计算机USB接口上。驱动安装完毕后需要重新启动计算机。十三、智能卡登录当前咱们已经将证书存储在ePass中了，咱们开始使用ePass来进行智能卡登录插入智能卡，显示如下界面。当插入ePass时，系统提示要输入硬件PIN码(默以为1234)。校验PIN码对的后就可进入Windows系统。至此智能卡登陆系统已完毕。注:无盘方案中客户端加入域时，必要使用锐起自带加域工具否则会浮现客户端掉域问题。安装锐起无盘3.1.1磁盘分区设立A.先将作为读盘使用磁盘进行分区：操作系统：C:\盘（普通为30G；可依照实际需求进行调节）；别的空间分区：D:\盘，卷标VLD；在D:\盘根目录建立两个子目录（DISKS和RESTOR）：DISKS，用于存储IMG磁盘镜像文献；RESTORE，用于存储为磁盘镜像设立还原点文献；B.再将别的作为写盘磁盘各自独立划分为一种分区：E、F、G，卷标分别为WKS1、WKS2、WKS3，作为工作站回写目录（存储工作站运营时产生暂时文献）；处，咱们将工作站产生暂时文献直接写在根目录内，不必再建立子目录。注：在Windows平台下，需保证磁盘分区格式为NTFS（所有分区均为NTFS）。配备完毕后，其显示应如下图所示：在上图中，BSD系统读盘为D；写盘为E、F、G，读写分离、实现了分盘回写，这样设立可提高工作站运营速度。3.1.2服务器系统设立安装锐起BSD系统服务端前，需要注意如下几点：A.保证服务器有足够硬盘空间，以存储镜像文献及工作站运行时产生暂时文献；B.为BSD服务器指定一种静态IP地址，请将其连接在网络主干上，并要保证其千兆出口带宽；C.关闭系统防火墙服务；D.预先创立disks（磁盘镜像）、wks（工作站暂时回写）和restore（还原点）三个目录；目录名称可自定义，同步建议将disks和wks两个目录分别放在两块不同硬盘中，这样可以提高工作站运营速度。在本手册中，咱们将wks目录直接指定为写盘根目录。综上所述，要使锐起BSD系统运营具备良好效果，硬件配备、操作系统和有关软件设立都要符合规定。3.1.3安装锐起商业原则桌面软件主服务端A.服务器端操作系统配备好后，运营锐起BSD系统安装光盘中MasterServer目录下SETUP.EXE。安装程序会先自动安装加密锁驱动程序，并启动锐起BSD系统服务端软件安装程序界面；

B.依照提示完毕锐起BSD服务端安装（建议使用默认选项）；如下图所示：C.安装完毕，在【开始】→【程序】菜单中生成【锐起BSD系统服务端】程序组；在桌面生成【锐起BSD系统管理器】图标；如下图所示：3.1.4配备锐起商业原则桌面软件主服务端A.将加密锁插入服务器USB接口，运营【锐起BSD系统管理器】，打开管理器界面，该界面重要分为左、右两个操作区域：左侧是编辑区域，右侧区域用来显示BSD工作站有关信息（如：工作站名称、工作站IP地址等）；如下图所示：B.选取【配备】→【磁盘管理】菜单项，打开【磁盘管理】对话框；C.点击【新增】，打开【新增磁盘】界面，设立好磁盘名称、磁容量大小以及映像文献存储途径（此处选取前面预先创立D:\DISKS目录），单击【拟定】→【退出】，完毕磁盘镜像创立；如下图所示：注：如勾选【使用稀疏文献】选项，则新建镜像文献只占用很少（64K）物理磁盘空间，随着写入数据增长，其占用物理磁盘空间也会随之增长；如不勾选则为实体格式，镜像文献就会占用【磁盘容量】栏指定物理磁盘空间。D.在锐起BSD管理器界面右侧区域工具栏中单击【新增】按钮，打开【新增工作站】窗口。依次在【名称】、【MAC地址】、【IP地址】、【子网掩码】等栏中填入模板工作站相应参数；注：1、模板工作站：即首台布置锐起BSD系统客户端工作站，它配有本地硬盘及本地操作系统。2、在“IP地址”栏填入模板工作站IP地址，必要能服务器正常通信。【启动网卡】栏中选取【自动选取】；【硬件配备】栏中选取【默认配备】；【工作站目录】栏中指定回写途径（本手册中指定为E:\、F:\或G:\目录均可）。E.在【磁盘】选项界面中点击【编辑磁盘】按钮，将所要使用磁盘镜像从【所有可用磁盘】移动到【工作站磁盘】列表中。依次点击【拟定】→【应用】，完毕模板工作站添加。至此，锐起BSD系统主服务端配备基本完毕。3.2客户端安装及配备锐起BSD系统客户端支持操作系统有：Win/XP/win/win7、Fedora系列/红旗Linux/Ubuntu等，本手册以WindowsXP为例。3.2.1客户端操作系统配备关于正版WindowsXPProfessional安装过程，本手册就不做阐明了。布置锐起BSD系统客户端前需要注意事项：A.请使用正版WindowsXP系统光盘（如原装专业版、上海市政府版、联想OEM版等），以光盘引导方式，依照系统提示，手动逐渐安装操作系统；禁止使用精简版操作系统或者以GHOST方式安装操作系统。B.请使用官方驱动，按照合理顺序和规定安装驱动；普通采用主板→显卡→网卡顺序，安装完一种硬件驱动后，请重启一次操作系统；C.指定静态IP地址，并保证能和服务端正常通信；D.关闭系统防火墙服务；在【计算机管理】→【服务】中将“WindowsFirewall/InternetConnectionSharing(ICS)”服务禁用。关闭自动更新、系统还原、屏幕保护；电源使用方案设立为：“始终开着”及“从不关闭显示屏”；E.必要删除本地连接属性中“QOS数据包筹划程序”；如下图所示：F.上传操作系统之前，不要安装应用软件以及对系统进行优化设立。G.用交叉线将模板工作站与服务器直连，再上传操作系统。3.2.2布置锐起商业原则桌面软件客户端客户端操作系统配备完毕后，运营锐起BSD系统安装光盘中Client目录下SETUP.EXE，进入客户端安装界面；依照提示选取安装目录，按默认设立安装即可；如下图所示：安装完毕后会自动打开【配备系统】对话框，如下图所示：在【服务器IP地址】栏输入锐起BSD服务器IP地址，点击【拟定】退出。安装完毕后，在工作站【开始】→【程序】菜单中会生成【锐起BSD系统客户端】程序组。至此，锐起BSD系统客户端安装完毕。3.3上传模板操作系统A.在服务端【锐起BSD系统管理器】中选中工作站；选取【超级】选项，在弹出窗口中勾选好磁盘；点击【拟定】按钮，如下图所示：此时工作站前面状态图标会由暗绿色变成暗红色，工作站进入“超级顾客”模式。B.重启模板工作站，系统会提示找到新硬件并规定再次重启。（此处需要重启两次）C.在模板工作站上选取【计算机管理】→【磁盘管理】，系统提示发现新磁盘；如下图所示：单击“下一步”，在打开界面中选取需要初始化磁盘，按照默认设立，初始化为基本磁盘模式；在上图界面中，注意不要勾选磁盘进行动态磁盘转换。注：请将新磁盘格式化成主磁盘分区模式，文献系统格式为NTFS；D.完毕后退出【计算机管理】界面，依次选取【开始】→【程序】→【锐起BSD系统客户端】→【系统上传】，打开【锐起BSD系统上传工具】对话框，如下图所示：锐起BSD客户端会自动辨认本地硬盘和网络磁盘，确认源盘和目的盘无误后，单击【开始】上传系统；注：依照网络带宽状况，上传过程预测需要5—10分钟。E.上传结束后，关闭模板工作站，移除本地硬盘，在COMS中将启动方式设为网络启动。确认模板工作站可以正常启动后，将其设回【普通】顾客模式。至此，锐起BSD系统搭建完毕。3.4添加工作站及安装应用软件应用软件安装及对操作系统有关设立都需要在工作站上进行，其安装和设立办法与在有盘系统中无任何差别。安装应用软件之前需要将相应工作站设为“超级顾客”模式。普通顾客模式下所有操作都是暂时，系统重启后，即复原到初始状态。超级顾客模式下所做更改会永久保存到磁盘镜像中，重启后不会被复原。A.超级顾客是直接对磁盘镜像进行读写操作，请务必小心操作。切换【超级顾客】模式之前请采用复制镜像方式进行备份