AD域认证配置集成数字证书(iTrusCA)

基于Windows2008R2搭建域控、域认证、智能卡登录部署说明北京天威诚信电子商务服务有限公司2011年8月文档属性属性内容企业名称北京天威诚信电子商务服务有限公司部门名称技术支持中心文档主题基于Windows2008r2域控、域认证、智能卡登录部署说明文档版本1.0文档日期2011年8月23日文档状态开启作者王浩文档变更版本修订日期修订人描述1.02011-07-04马聪磊根据马聪磊windows2008相应的文档修改此文档只适用于windows2008R2，与windowsserver2008版本存在少许的区别！目录一、安装DNS服务和安装IIS服务...............................................................................................4二、配置活动目录...........................................................................................................................6三、安装证书服务.........................................................................................................................17四、配置证书服务.........................................................................................................................25五、申请注册代理证书.................................................................................................................29六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey..............................................38七、配置活动目录信任iTrusCA2.4集成项说明........................................................................39八、添加第三方CA到活动目录的NTAuthstore.......................................................................40九、分发根证书到所有域成员.....................................................................................................44十、配置组策略.............................................................................................................................47十一、控制台本地计算机证书管理中导入信任根CA和中级CA.............................................54一、安装DNS服务和安装IIS服务点击“开始”-“所有程序”-“管理工具”-“服务器管理器”，在“服务器管理器”里面选择“角色”，并在右边点击“添加角色”。选择“DNS服务器”和Web服务器（IIS）点击“下一步”，所有选项默认选择直至到达“安装页面”；安装完成，查看“DNS服务器”和“IIS服务”是否安装成功，点击“关闭”按钮二、配置活动目录返回“服务器管理”的“角色”页面点击“添加角色”，选择“ActiveDirectory域服务”。点击“安装”！安装完成，查看安装是否成功，点击“关闭”按钮！返回“服务器管理”页面，选择“ActiveDirectory域服务”点击“运行ActiveDiretory域服务安装向导（dcpromo.exe）”不选择“使用高级模式安装”，点击“下一步”！选择“在新林中新建域”，点击“下一步”！在“目录林根级域的FQDN”处添加域名（可自定义填写），点击“下一步”在“林功能级别”处选择“WindowsServer2003”，点击“下一步”！在“域功能级别”处选择“WindowsServer2003”点击“下一步”点击“下一步”！在“ActiveDirectory域服务安装向导”对话框点击“是”继续！默认路径无需更改点击“下一步”输入密码：Ab123456（可自定义，但要按照域的对密码的规格：大小写字母加数字！！）点击“下一步”！选择本服务器上安装配置DNS服务器，并设为本机首选DNS服务器，点击“下一步”；AD域服务安装完成，选择“完成后重新启动”选项，重启计算机；三、安装证书服务开机自动显示“初始配置任务”窗口，或是在“运行”里面输入“oobe”开启该窗口点击“添加角色”！点击“下一步”按钮！选择“ActiveDirectory证书服务”点击“下一步”！点击“下一步”！选择“证书颁发机构”和“证书颁发机构Web注册”两项，点击“下一步”！在弹出的“添加角色向导”对话框里面，点击“添加必需的角色服务”！选择“企业”，点击“下一步”选择“根CA”，点击“下一步”！选择“新建私钥”，点击“下一步”！此页面的选项默认选择。点击“下一步”！在“此CA的公用名称”处填写，可自定义填写，“可分辨名称后缀”不建议修改，点击“下一步”默认选择，可根据用户的实际需求自定义修改，点击“下一步”！默认选择，可自定义路径修改，点击“下一步”！点击“安装”！直至安装完成！四、配置证书服务开始-程序-管理工具-证书颁发机构展开域根CA（itrus），右击证书模板，在弹出的菜单上选择，新建-要颁发的证书模板在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机)四项。如下图所示：为域用户设置智能卡用户证书的注册权限。右击证书模板，选择管理，打开证书模板对话框。如下图所示：在证书模板控制台右边的模板列表中，右击“智能卡用户”选择“属性”，弹出智能卡用户的属性对话框。切换到安全面板，在“组或用户名称”中添加DomainUsers，并为其添加读取、写入、注册的权限，如下图所示：五、申请注册代理证书WindowsServer2008为了安全起见，要求颁发智能卡证书必须通过注册代理站来颁发，不允许随意颁发智能卡证书，注册代理站需要使用注册代理证书，所以必须先申请注册代理证书，我们下面来申请注册代理证书申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。任意域成员计算机上均可以申请注册代理证书，并帮助用户申请智能卡用户证书。不过在默认情况下，注册代理证书只允许域管理员申请，如果出于安全考虑不希望使用域管理员进行申请证书操作，则需要为指定用户设置注册代理证书的权限，具体办法请参考按照配置证书服务设置智能卡用户注册权限。下图可作参考：点击开始—〉程序—〉管理工具—〉ActiveDirectory用户和计算机填写相应的信息，并点击“第一步”填写密码：Ab123456，勾选“密码永不过期”！点击“下一步”直至完成！回到“证书颁发机构”窗口，右键“注册代理”选择“属性”切换到安全面板，在“组或用户名称”中添加Users，并为其添加读取、写入、注册的权限，如下图所示：通过管理用户证书的MMC控制台申请注册代理证书：开始-运行-键入mmc后回车-打开MMC控制台单击菜单“控制台”，选择“添加/删除管理单元”，选择“证书”，然后添加，选择“我的用户账户”，点击“完成”。操作过程请参考下列图示：选择“证书”点击“添加”展开“证书–当前用户”，右键单击“个人”文件夹，在弹出的菜单上选择“所有任务”-“申请新证书”，弹出证书申请向导。点击“下一步”！在“证书类型”中选择“注册代理”，键入好记名称后，完成申请。六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey定制用户证书模板中添加智能卡域登录证书功能!--BEGIN智能卡域用户证书必需内容--Ext_ItemChoice=FixedNameextendedKeyUsage/NameValueclientAuth,msSmartcardLogin/Value/Ext_ItemExt_ItemChoice=FixedName1.3.6.1.4.1.311.20.2/NameValueDER:1E1A0053006D00610072007400630061007200640055007300650072/Value/Ext_ItemExt_ItemChoice=MandatoryNamesubjectAltName/NameValueOTHERNAME:msUPN:UTF8STRING:$$USER_ADDTIONAL_FIELD5$$/Value!--添加证书项备注5为域用户登录名全称--/Ext_Item!--END智能卡域用户证书必需内容--配置用户页面应用配置定制注册项，添加备注5，对应信息为域用户登录名（如：chen_yue@itrus.com.cn）证书设置私钥产生方式，设置为“申请时产生私钥”；将证书下载模式改为AA自动审批模式修改itrusca\ra\iTrusCA.xml中，审批模式为“ModeAA/Mode”申请智能卡域用户证书到USBKEY用户数字证书服务中心“申请：用户证书”输入CN（姓名）、Email（邮箱）、备注5（域用户登录名）、用户口令（AA模式默认密码：itrusyes）、选择USBKEY的加密服务提供者下载证书完成；七、配置活动目录信任iTrusCA2.4集成项说明上面已经安装了Windows的证书服务拥有了域控制器证书，下面我们需要完成集成第三方CA到活动目录需要对活动目录和域控制器做以下两项设置：必需的：添加第三方的CA到活动目录的NTAuthstore中，用来认证活动目录的用户登录。可选的：通过使用组策略，配置活动目录分发第三方根CA到所有域成员的受信任的根证书中去。第二项虽然是可选的，但是手动发布根CA到每一台域成员计算机中显然是不可取的，所以也要做。八、添加第三方CA到活动目录的NTAuthstore开始-运行-键入mmc后回车-打开MMC控制台单击菜单“控制台”，选择“添加/删除管理单元”，选择“企业PKI”，添加后关闭。单击完成。右击“企业PKI”，选择“管理AD容器”；切换到NTAuthCertificates面板，点击Add按钮；找到iTrusCA的根CA文件root.cer，选择打开。这样，iTrusCA的根CA就被导入到NTAuthstore中去了。因为iTrusCA签发的用户证书是四级证书链结构，所以我们要同时添加iTrusCA的中级CA文件mid1.cer和mid2.cer，将iTrusCA的中级CA也导入到NTAuthstore中去。方法二：使用Certutil.exe命令导入证书。Certuil命令支持两种证书格式，DERencodedbinaryX.509(.cer)和Base-64encodedX.509(.cer)，在命令行下输入：certutil-dspublish-ffilenameNTAuthCA然后回车。九、分发根证书到所有域成员在域控制器上执行开始-所有