使用USBKEY实现智能卡域登录的说明

由天下分享时间：2025/1/13 8:27:29 加入收藏我要投稿点赞

使用USBKEY实现 WINDOWS智能卡登录的说明

2007年1月18日

一、前言 .............................. 错误!未定义书签。二、安装Active Directory .............. 错误!未定义书签。三、安装IIS .......................... 错误!未定义书签。四、安装Windows证书服务 .............. 错误!未定义书签。安装证书颁发机构 ................... 错误!未定义书签。添加证书模板 ....................... 错误!未定义书签。五、申请注册代理证书 .................. 错误!未定义书签。六、安装USBKEY的软件及硬件 ........... 错误!未定义书签。七、申请智能卡证书 .................... 错误!未定义书签。更改IE安全设置 .................... 错误!未定义书签。申请智能卡证书 ..................... 错误!未定义书签。八、使用USBKEY登录 ................... 错误!未定义书签。九、使用USBKEY的安全配置 ............. 错误!未定义书签。

使用USBKEY实现Windows智能卡登录的说明

一、前言

身份认证是系统安全的基本方面，被用来确认任何试图访问网络资源的用户的身份。但目前在企业内部所使用Windows网络中，用户名加密码仍然是普遍使用的身份认证方式，这种身份认证方式已经暴露出越来越多的问题：

密码易被泄露：密码经常在无意之间被泄露出去。

密码易被窃取：密码被各种层出不穷的黑客和木马工具窃取。密码易被猜测：由于密码长度有限，可能被猜测或穷举。

针对这个问题，微软从Windows 2000开始就支持智能卡登录。通过智能卡登录到网络提供了很强的身份认证方式。在智能卡中存放了用户的个人信息和数字证书，用户在登录时必须插入智能卡并同时输入对应的个人识别码（PIN）才能通过身份认证。相对于口令验证，智能卡具有更强的安全性。因为口令比较容易被不怀好意的人得到，而智能卡就像一把无法复制的钥匙，只有拿在手里才能打开大门。

USBKEY是结合USB技术和智能卡技术而开发的一种便携式安全产品，体积

小巧，便于携带和使用。下面以Windows 2003 Server为例，来描述使用USBKEY实现Windows 智能卡登录的整个配置过程：

安装Active Directory 安装IIS

安装Windows证书服务申请注册代理证书安装USBKEY的软件及硬件申请智能卡证书使用USBKEY登录

二、安装Active Directory

在Winodws的带域网络环境中，对用户进行身份认证及授权是通过域控制

器来实现的。要使服务器成为域控制器则必须在服务器上安装活动目录服务（Active Directory）。

Windows的活动目录服务对网络上所有对象的信息进行分类，包括用户、计算机以及打印机等，并且通过网络发布信息。有了 Active Directory，只需要登录一次就可以很容易地找到并且使用网络上任何地方的资源。

安装及配置步骤如下：

第一步：启动“管理您的服务器”，点击“添加或删除角色”，出现“配置

您的服务器向导”对话框，如下图所示：

第二步：在“服务器角色”中选择“域控制器（Active Directory）”，然后点击”下一步”按钮。将出现“Active Directory 安装向导”，请根据此安装向导的界面提示完成域控制器的安装与配置。