文档介绍：智能密码钥匙域登陆
一、安装DNS和安装IIS
控制面板->添加或删除程序->添加/删除Windows组件添加Windows组件勾选“网络服务”,点击“详细信息”;
选择“域名系统(DNS)”,点击“确定”;
添加Windows组件勾选“应用程序服务器”,点击“详细信息”;
选择“信息服务(IIS)”以及其相关联组件,如下图;
点击“确定”后,再点击“下一步”,完成DNS和IIS的安装。
二、配置活动目录
控制面板->管理工具->管理您的服务器
管理您的服务器角色,点击“添加或删除角色”
选择“域控制器(Active Directory)”,点击“下一步”
弹出“Active Directory安装向导”,点击“下一步”进行域控制器的配置;
域控制器类型选择“新域的域控制器”,点击“下一步”;
选择要创建的域的类型为“在新森林中的域”,点击“下一步”:
为新域输入一个DNS名,点击“下一步”;
BIOS名,点击“下一步”;
指定AD数据库和日志文件夹,点击“下一步”;
选择本服务器上安装配置DNS服务器,并设为本机首选DNS服务器,点击“下一步”;
输入“目录服务器还原密码”,点击“下一步”;
确认域控制器信息,点击“下一步”;
AD安装完成,根据提示“重启计算机”,重启后显示下图;
三、安装证书服务
控制面板->添加或删除程序->添加/删除Windows组件; 选择“证书服务”,点击“详细信息”;
勾选“证书服务CA”和“证书服务Web注册支持”,点击“确定”;
CA类型选择“企业根CA”,点击“下一步”;
键入CA名称,选择有效期限,点击“下一步”;
设置证书数据库位置:
弹出提示框,选择“是”,完成安装;
弹出提示框“IIS中启用ASP”,选择“是”:
四、配置证书服务
控制面板->管理工具->证书颁发机构
展开域根CA,右击证书模板,在弹出的菜单上选择新建->要颁发的证书模板
在启用证书模板对话框中选择智能卡用户、智能卡登陆、注册代理、注册代理(计算机)四项。如下图所示:
为域用户设置智能卡用户证书的注册权限。右击证书模板,选择管理,打开证书模板对话框。如下图所示:
在证书模板控制台右边的模板列表中,右击“智能卡用户”选择“属性”,弹出智能卡用户的属性对话框。
切换到安全面板,在“组或用户名称”中添加Domain Users,并为其添加读取、写入、注册的权限,如下图所示:
五、申请注册代理证书
Windows Server 2003 为了安全起见,要求颁发智能卡证书必须通过注册代理站来颁发,不允许随意颁发智能卡证书,注册代理站需要使用注册代理证书,所以必须先申请注册代理证书,我们下面来申请注册代理证书
申请注册代理证书的那台计算机就是为域用户代为注册智能卡用户证书的计算机。任意域成员计算机上均可以申请注册代理证书,并帮助用户申请智能卡用户证书。不过在默认情况下,注册代理证书只允许域管理员申请,如果出于安全考虑不希望使用域管理员进行申请证书操作,则需要为指定用户设置注册代理证书的权限,具体办法请参考按照配置证书服务设置智能卡用户注册权限。下图