基于Windows2008r2智能卡域登陆部署说明(集成iTrusCA).docxVIP

基于Windows 2023 R2搭建域控、域认证、智能卡登录部署说明 XXXXXXXXX公司 2023年8月 目录 TOC \o 1-3 \h \z \u 一、安装DNS效劳和安装IIS效劳 4 二、配置活动目录 6 三、安装证书效劳 17 四、配置证书效劳 25 五、申请注册代理证书 29 六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey 38 七、配置活动目录信任iTrusCA2.4集成项说明 39 八、添加第三方CA到活动目录的NTAuth store 40 九、分发根证书到所有域成员 43 十、配置组策略 45 十一、控制台本地计算机证书管理中导入信任根CA和中级CA 48 一、安装DNS效劳和安装IIS效劳 点击“开始〞-“所有程序〞-“管理工具〞-“效劳器管理器〞，在“效劳器管理器〞里面选择“角色〞，并在右边点击“添加角色〞。 选择“DNS效劳器〞和Web效劳器〔IIS〕点击“下一步〞，所有选项默认选择直至到达“安装页面〞； 安装完成，查看“DNS效劳器〞和“IIS效劳〞是否安装成功，点击“关闭〞按钮 二、配置活动目录 返回“效劳器管理〞的“角色〞页面 点击“添加角色〞，选择“Active Directory域效劳〞。 点击“安装〞！ 安装完成，查看安装是否成功，点击“关闭〞按钮！ 返回“效劳器管理〞页面，选择“Active Directory域效劳〞点击“运行Active Diretory域效劳安装向导〔dcpromo.exe〕〞 不选择“使用高级模式安装〞，点击“下一步〞！ 选择“在新林中新建域〞，点击“下一步〞！ 在“目录林根级域的FQDN〞处添加域名〔可自定义填写〕，点击“下一步〞 在“林功能级别〞处选择“Windows Server 2003〞，点击“下一步〞！ 在“域功能级别〞处选择“Windows Server 2003〞点击“下一步〞 点击“下一步〞！ 在“Active Directory域效劳安装向导〞对话框点击“是〞继续！ 默认路径无需更改点击“下一步〞 输入密码：Ab123456〔可自定义，但要按照域的对密码的规格：大小写字母加数字！！〕点击“下一步〞！ 选择本效劳器上安装配置DNS效劳器，并设为本机首选DNS效劳器，点击“下一步〞； AD域效劳安装完成，选择“完成后重新启动〞选项，重启计算机； 三、安装证书效劳 开机自动显示“初始配置任务〞窗口，或是在“运行〞里面输入“oobe〞开启该窗口 点击“添加角色〞！ 点击“下一步〞按钮！ 选择“Active Directory 证书效劳〞点击“下一步〞！ 点击“下一步〞！ 选择“证书颁发机构〞和“证书颁发机构Web注册〞两项，点击“下一步〞！ 在弹出的“添加角色向导〞对话框里面，点击“添加必需的角色效劳〞！ 选择“企业〞，点击“下一步〞 选择“根CA〞，点击“下一步〞！ 选择“新建私钥〞，点击“下一步〞！ 此页面的选项默认选择。点击“下一步〞！ 在“此CA的公用名称〞处填写，可自定义填写，“可分辨名称后缀〞不建议修改，点击“下一步〞 默认选择，可根据用户的实际需求自定义修改，点击“下一步〞！ 默认选择，可自定义路径修改，点击“下一步〞！ 点击“安装〞！直至安装完成！ 四、配置证书效劳 开始-程序-管理工具-证书颁发机构 展开域根CA〔itrus〕，右击证书模板，在弹出的菜单上选择，新建-要颁发的证书模板 在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机)四项。如以下图所示： 为域用户设置智能卡用户证书的注册权限。右击证书模板，选择管理，翻开证书模板对话框。如以下图所示： 在证书模板控制台右边的模板列表中，右击“智能卡用户〞选择“属性〞，弹出智能卡用户的属性对话框。 切换到平安面板，在“组或用户名称〞中添加Domain Users，并为其添加读取、写入、注册的权限，如以下图所示： 五、申请注册代理证书 Windows Server 2023为了平安起见，要求颁发智能卡证书必须通过注册代理站来颁发，不允许随意颁发智能卡证书，注册代理站需要使用注册代理证书，所以必须先申请注册代理证书，我们下面来申请注册代理证书 申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。任意域成员计算机上均可以申请注册代理证书，并帮助用户申请智能卡用户证书。不过在默认情况下，注册代理证书只允许域管理员申请，如果出于平安考虑不希望使用域管理员进行申请证书操作，那么需要为指定用户设置注册代理证书的权限，具体方法请参考按照配置证书效劳设置智能卡用户注册权限。以下图可作参考： 点击开始—〉程序—〉管理工具—〉Active Directory用户和计算机 填写相应的信息，并