lark.com

火鸟乐园——生活在.net时代
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

iKey1000身份认证令牌(智能卡)使用手记

Posted on 2004-10-08 16:58  火鸟  阅读(3644)  评论(1编辑  收藏  举报

首先安装iKey1000 SDK,安装过程会同时安装iKey驱动程序,提示插入iKey时,将iKey插入USB口,完成安装。

一、X.509证书管理:iKey Token Utility =〉用户工具 =〉导入

该工具可以导入*.p12和*.pfx格式的证书到iKey中。默认情况下,当iKey接入计算机时,iKey中的证书会自动注册到当前用户的“My”证书存储区,当拔掉iKey是,自动从证书存储区中反注册,相当安全。

二、登录Windows 2000:具体过程参考Windows2000帮助:mk:@MSITStore:C:\WINNT\Help\sc.chm::/sag_SC_Checklist.htm

关键步骤:

一)设置安全权限以及委派证书模板的控制

  1. 以管理员身份登录到系统。
  2. 打开 Active Directory 站点和服务
  3. 在控制台树中,单击“Active Directory 站点和服务”。
  4. 在“查看”菜单上,单击“显示服务节点”。
  5. 在控制台树中,单击“证书模板”。
  6. 对于您想为其设置安全权限的每个证书模板
    1. 单击详细信息窗格中的证书模板,并单击“操作”菜单中的“属性”。
    2. 单击“安全”,并相应地设置安全权限。

二)使证书颁发机构准备发行智能卡证书

  1. 请确认在智能卡登录、智能卡用户和注册代理等证书模板上设置了正确的安全权限。详细信息,请参阅相关主题。
  2. 用管理员权限登录到您将用来颁发智能卡证书证书颁发机构 (CA)
  3. 打开 证书颁发机构
  4. 如果要颁发只能用于通过智能卡进行 Windows 登录的证书:
    1. 在控制台树中,单击“策略设置”。
    2. 在“操作”菜单上,指向“新建”,然后单击“颁发证书”。
    3. 单击“智能卡登录”证书模板,再单击“确定”。
  5. 如果要颁发可用于安全电子邮件和通过智能卡的 Windows 登录的证书:
    1. 在控制台树中,单击“策略设置”。
    2. 在“操作”菜单上,指向“新建”,然后单击“颁发证书”。
    3. 单击“智能卡用户”证书模板,再单击“确定”。
  6. (进行此步骤之前请参看“注意”)在控制台树中,单击“策略设置”。
  7. 在“操作”菜单上,指向“新建”,然后单击“颁发证书”。
  8. 单击“注册代理”证书模板,然后单击“确定”。

三)准备智能卡证书注册站

  1. 在将用于设置智能卡的计算机上,按照厂商的说明安装智能卡读取器
  2. 登录为将在智能卡上安装证书的用户或管理员。
  3. 单击“开始”,单击“运行”,并键入“mmc”。
  4. 在“控制台”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
  5. 在“管理单元”中,请双击“证书”。如果作为用户登录,证书管理单元将自动加载。
    • 如果作为管理员登录,请单击“我的用户帐户”,然后单击“完成”。
  6. 单击“关闭”。
  7. 双击“证书 - 当前用户”。
  8. 在控制台树中,单击“个人”。
  9. 在“操作”菜单上,指向“所有任务”,然后单击“申请新证书”。
  10. 在证书申请向导中,选择“注册表代理”证书模板。系统还会要求您提供友好名称和对证书的描述。
  11. 当证书申请向导作出提示时,请单击“安装证书”。您现在有了代表用户申请智能卡证书所需的证书。

四)设置用于用户登录的智能卡

  1. 登录为有用户帐户的域的注册代理。
  2. 打开 Internet Explorer
  3. 在 Internet Explorer“地址”中,键入颁发智能卡登录证书证书颁发机构 (CA) 的地址,然后按下 ENTER。
  4. 单击“申请证书”,然后单击“下一步”。单击“高级申请”,再单击“下一步”。
  5. 单击“代表另一个使用智能卡注册站的用户申请智能卡证书”,然后单击“下一步”。如果系统提示接受智能卡签名证书,请单击“是”。
  6. 在“证书模板”中“智能卡注册站”Web 页上执行以下操作:
    • 如果您只想使用智能卡登录到 Windows,请单击“智能卡登录”。
    • 如果您想使用智能卡登录到 Windows 还要发送安全电子邮件,请单击“智能卡用户”。
  7. 在“证书颁发机构”中,请单击要让其颁发智能卡证书的 CA 的名称。
  8. 在“加密服务提供程序”中,请选择智能卡制造商的加密服务提供程序 (CSP)。(Rainbow iKey 1000 RSA Cryptographic Service Provider)
  9. 在“管理员签名证书”中,请单击将签署注册申请的注册代理证书。
  10. 在“输入用户名”中,单击适当的用户帐户,然后单击“提交证书申请”。
  11. 当系统提示时,将智能卡插入计算机上的智能卡读取器中,单击“确定”,然后在系统提示时,输入智能卡的个人身份号 (PIN)。
  12. (可选)如果您正在设置的智能卡上有以前安装的证书,将显示一条信息,询问您是否想要替换卡上现有的证书。请单击“是”。
  13. 当在智能卡上安装好证书后,CA Web 页将向您提供刚安装证书的查看选项,或者开始新的智能卡证书申请。