1、基于 Windows 2008 R2 搭建域控、域认证、智能卡登录部署说明XXXXXXXXX 公司2012 年 8 月目 录一、安装 DNS 服务和安装 IIS 服务 .4二、配置活动目录 6三、安装证书服务 17四、配置证书服务 25五、申请注册代理证书 29六、在 iTrusCA2.4 下配置、申请智能卡域用户证书到 USBKey .38七、配置活动目录信任 iTrusCA2.4 集成项说明 39八、添加第三方 CA 到活动目录的 NTAuth store 40九、分发根证书到所有域成员 43十、配置组策略 45十一、控制台本地计算机证书管理中导入信任根 CA 和中级 CA.48一、安装
2、DNS 服务和安装 IIS 服务点击“开始”-“所有程序”-“管理工具”-“服务器管理器” ,在“服务器管理器”里面选择“角色” ,并在右边点击“添加角色” 。选择“DNS 服务器”和 Web 服务器(IIS)点击“下一步” ,所有选项默认选择直至到达“安装页面” ;安装完成,查看“DNS 服务器”和“IIS 服务”是否安装成功,点击“关闭”按钮二、配置活动目录返回“服务器管理”的“角色”页面点击“添加角色” ,选择“Active Directory 域服务” 。点击“安装”!安装完成,查看安装是否成功,点击“关闭”按钮!返回“服务器管理”页面,选择“Active Directory 域服务”
3、点击“运行 Active Diretory 域服务安装向导(dcpromo.exe) ”不选择“使用高级模式安装” ,点击“下一步”!选择“在新林中新建域” ,点击“下一步”!在“目录林根级域的 FQDN”处添加域名(可自定义填写) ,点击“下一步”在“林功能级别”处选择“Windows Server 2003”,点击“下一步”!在“域功能级别 ”处选择“Windows Server 2003”点击“下一步”点击“下一步”!在“Active Directory 域服务安装向导”对话框点击“是”继续!默认路径无需更改点击“下一步”输入密码:Ab123456 (可自定义,但要按照域的对密码的规格:
4、大小写字母加数字!)点击“下一步”!选择本服务器上安装配置 DNS 服务器,并设为本机首选 DNS 服务器,点击“下一步” ;AD 域服务安装完成,选择“完成后重新启动”选项,重启计算机;三、安装证书服务开机自动显示“初始配置任务”窗口,或是在“运行”里面输入“oobe”开启该窗口点击“添加角色”!点击“下一步”按钮!选择“Active Directory 证书服务”点击“下一步”!点击“下一步”!选择“证书颁发机构”和“证书颁发机构 Web 注册”两项,点击“下一步”!在弹出的“添加角色向导”对话框里面,点击“添加必需的角色服务”!选择“企业” ,点击“下一步”选择“根 CA”,点击 “下一
5、步 ”!选择“新建私钥” ,点击“下一步”!此页面的选项默认选择。点击“下一步”!在“此 CA 的公用名称 ”处填写,可自定义填写, “可分辨名称后缀”不建议修改,点击“下一步”默认选择,可根据用户的实际需求自定义修改,点击“下一步”!默认选择,可自定义路径修改,点击“下一步”!点击“安装”!直至安装完成!四、配置证书服务开始-程序-管理工具-证书颁发机构展开域根 CA( itrus) ,右击证书模板,在弹出的菜单上选择,新建-要颁发的证书模板在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机) 四项。如下图所示:为域用户设置智能卡用户证书的注册权限。右击证书模板,选
6、择管理,打开证书模板对话框。如下图所示:在证书模板控制台右边的模板列表中,右击“智能卡用户”选择“属性” ,弹出智能卡用户的属性对话框。切换到安全面板,在“组或用户名称”中添加 Domain Users,并为其添加读取、写入、注册的权限,如下图所示:五、申请注册代理证书Windows Server 2008 为了安全起见,要求颁发智能卡证书必须通过注册代理站来颁发,不允许随意颁发智能卡证书,注册代理站需要使用注册代理证书,所以必须先申请注册代理证书,我们下面来申请注册代理证书申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。任意域成员计算机上均可以申请注册代理证书,并帮助用户申请智能卡用户证书。不过在默认情况下,注册代理证书只允许域管理员申请,如果出于安全考虑不希望使用域管理员进行申请证书操作,则需要为指定用户设置注册代理证书的权限,具体办法请参考按照配置证书服务设置智能卡用户注册权限。下图可作参考:点击开始程序管理工具Active Directory 用户和计算机填写相应的信息,并点击“第一步”填写密码:Ab123456 ,勾选“ 密码永不过期”!点击“下一步”直至完成!回到“证书颁发机构”窗口,右键“注册代理”选择“属性”切换到安全面板,在“组或用户名称”中添加 Users,并为其添加读取、写入、注册的权限,如下图所示:
