基于Windows2008智能卡域登陆部署说明(集成iTrusCA)详解.docVIP

基于Windows 2008 server 搭建域控、域认证、智能卡登录 部署说明 北京天威诚信电子商务服务有限公司 2011年6月 文档属性 属性 内容 企业名称 北京天威诚信电子商务服务有限公司 部门名称 技术支持中心 文档主题 基于Windows 2008 server域控、域认证、智能卡登录部署说明 文档版本 1.0 文档日期 2011年7月4日 文档状态 开启 作者 马聪磊 目 录 一、安装DNS服务和安装IIS服务 1 二、配置活动目录 3 三、安装证书服务 14 四、配置证书服务 22 五、申请注册代理证书 26 六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey 35 七、配置活动目录信任iTrusCA2.4集成项说明 36 八、添加第三方CA到活动目录的NTAuth store 37 九、配置组策略，分发根证书到所有域成员 40 十、控制台本地计算机证书管理中导入信任根CA和中级CA 44 一、安装DNS服务和安装IIS服务 点击“开始”-“所有程序”-“管理工具”-“服务器管理器”，在“服务器管理器”里面选择“角色”，并在右边点击“添加角色”。 选择“DNS服务器”和Web服务器（IIS）点击“下一步”，所有选项默认选择直至到达“安装页面”； 安装完成，查看“DNS服务器”和“IIS服务”是否安装成功，点击“关闭”按钮 二、配置活动目录 返回“服务器管理”的“角色”页面 点击“添加角色”，选择“Active Directory域服务”。 点击“安装”！ 安装完成，查看安装是否成功，点击“关闭”按钮！ 返回“服务器管理”页面，选择“Active Directory域服务”点击“运行Active Diretory域服务安装向导（dcpromo.exe）” 不选择“使用高级模式安装”，点击“下一步”！ 选择“在新林中新建域”，点击“下一步”！ 在“目录林根级域的FQDN”处添加域名（可自定义填写），点击“下一步” 在“林功能级别”处选择“Windows Server 2003”，点击“下一步”！ 在“域功能级别”处选择“Windows Server 2003”点击“下一步”  点击“下一步”！ 在“Active Directory域服务安装向导”对话框点击“是”继续！ 默认路径无需更改点击“下一步” 输入密码：Ab123456（可自定义，但要按照域的对密码的规格：大小写字母加数字！！）点击“下一步”！ 选择本服务器上安装配置DNS服务器，并设为本机首选DNS服务器，点击“下一步”； AD域服务安装完成，选择“完成后重新启动”选项，重启计算机； 三、安装证书服务 开机自动显示“初始配置任务”窗口，或是在“运行”里面输入“oobe”开启该窗口 点击“添加角色”！ 点击“下一步”按钮！ 选择“Active Directory 证书服务”点击“下一步”！ 点击“下一步”！ 选择“证书颁发机构”和“证书颁发机构Web注册”两项，点击“下一步”！ 在弹出的“添加角色向导”对话框里面，点击“添加必需的角色服务”！ 选择“企业”，点击“下一步” 选择“根CA”，点击“下一步”！ 选择“新建私钥”，点击“下一步”！ 此页面的选项默认选择。点击“下一步”！ 在“此CA的公用名称”处填写，可自定义填写，“可分辨名称后缀”不建议修改，点击“下一步” 默认选择，可根据用户的实际需求自定义修改，点击“下一步”！ 默认选择，可自定义路径修改，点击“下一步”！ 点击“安装”！直至安装完成！ 四、配置证书服务 开始-程序-管理工具-Certfication authority 展开域根CA（itrus），右击证书模板，在弹出的菜单上选择，新建-要颁发的证书模板 在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机)四项。如下图所示： 为域用户设置智能卡用户证书的注册权限。右击证书模板，选择管理，打开证书模板对话框。如下图所示： 在证书模板控制台右边的模板列表中，右击“智能卡用户”选择“属性”，弹出智能卡用户的属性对话框。 切换到安全面板，在“组或用户名称”中添加Domain Users，并为其添加读取、写入、注册的权限，如下图所示： 五、申请注册代理证书 Windows Server 2008 为了安全起见，要求颁发智能卡证书必须通过注册代理站来颁发，不允许随意颁发智能卡证书，注册代理站需要使用注册代理证书，所以必须先申请注册代理证书，我们下面来申请注册代理证书 申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。任意域成员计算机上均可以申请注册代理证书，并帮助用户申请智能卡用户证书。不过在默认情况下，注册代理证书只允许域管理员申请，如果出