使用智慧卡憑證註冊

文章翻譯 文章翻譯
文章編號: 257480 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

在 Windows 2000 中設定智慧卡登入所需的程序分成四個基本工作:
  • 設定 [憑證授權單位 (CA) 發出適當的憑證。
  • 指定原則,規定哪些使用者可以註冊這些憑證。
  • 設定註冊代理程式帳戶。
  • 註冊智慧卡的使用者。
本文將告訴您,詳細步驟執行。

注意: Windows 2000 智慧卡登入需要 Microsoft 憑證授權單位 (CA) 以企業原則模組設定。不支援獨立 CA 或協力廠商 CA。

如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
281245啟用智慧卡登入與協力廠商憑證授權單位的方針

其他相關資訊

設定 CA 以發出適當的憑證

  1. 啟動 [憑證授權單位 Microsoft 管理主控台 (MMC) 嵌入式管理單元企業 CA 上的 [系統管理工具] 資料夾。
  2. 開啟原則設定] 資料夾。這個資料夾包含所有類型的 CA 可發行的憑證。
  3. 在右手邊的窗格上按一下滑鼠右鍵,按一下 [新增],然後再按一下 [要發行的憑證
  4. 在範本清單按一下 [下列項目:
    • 註冊代理程式
    • 智慧卡登入或智慧卡使用者或兩者
    注意: 按住 CTRL 鍵以選取一個以上的範本。

  5. 按一下 [確定]
現在正在設定 CA,以註冊代理程式的發行憑證和實際的智慧卡憑證發行給使用者。

指定註冊原則

由 CA 所發行的憑證是以儲存在 Active Directory 中的憑證範本為基礎。[存取控制清單 (ACL) 在這些範本上設定會規定哪些使用者和電腦帳戶可以要求哪些憑證的 CA。若要在這些範本上設定 ACL,請使用下列步驟:
  1. 啟動 [Active Directory 站台及服務 MMC] 嵌入式管理單元。
  2. 如果看不到 [服務] 節點,請按一下 [檢視] 功能表上的 [顯示服務節點]。
  3. 按一下 [服務],按一下 [公開金鑰服務,然後再按一下 [憑證範本
  4. 以滑鼠右鍵按一下 EnrollmentAgent] 範本,然後按一下 [內容]
  5. 在 [安全性] 索引標籤上請確定使用者或群組指定註冊代理程式為您組織所擁有之範本讀取] 和 [註冊權限,然後再按一下 [確定]
  6. 以滑鼠右鍵按一下 MachineEnrollmentAgent] 範本,然後按一下 [內容]
  7. 在 [安全性] 索引標籤上請確定電腦或群組指定為註冊站由您的組織上將範本中有讀取] 和 [註冊的權限,然後再按一下 [確定]
  8. 以滑鼠右鍵按一下 SmartcardUser 及/或 SmartcardLogon] 範本,然後按一下 [內容]
  9. 在 [安全性] 索引標籤上,請確定使用者或群組也就是指定為是註冊代理程式在範本上有 讀取] 和 [註冊 的權限,然後按一下 [確定]

設定智慧卡註冊站] 和 [註冊代理程式帳戶

若要註冊智慧卡憑證的人的身份,使用者必須註冊代理憑證。智慧卡註冊代理程式可以建立智慧卡,包括企業系統管理員的任何使用者的身份。智慧卡建立之後您可以使用它登入網域與它建立在使用者的認證。因此,是非常機密的角色。智慧卡註冊代理憑證可以讓系統管理員控制哪些使用者帳戶可以建立註冊。如此,搭配適當的實體安全性會產生極大的信心智慧卡產生程序。

若要進行智慧卡註冊代理請依照下列步驟執行:
  1. 登入具有相同的帳戶網域。這個帳戶不需要任何特殊權限,並且可以是簡單的網域使用者。
  2. 設定 憑證] MMC 嵌入式管理單元中的上述步驟所述。
  3. 開啟 [個人] 資料夾、 在右手邊的窗格上按一下滑鼠右鍵,然後按一下 [所有工作]
  4. 按一下 [要求新憑證]
  5. 完成 憑證要求精靈],並要求註冊代理憑證。
註冊代理程式已準備好開始註冊智慧卡憑證的使用者。

註冊智慧卡的使用者

CA 設定、 設定註冊原則並註冊代理和註冊站已設定之後,您可以註冊智慧卡的使用者。發出每個智慧卡,您必須使用下列步驟執行:
  1. 在 [註冊] 工作站上啟動 Microsoft Internet Explorer],然後瀏覽器指向 http:// CAServer / certsrv (CAServer 是 CA)。
  2. 在歡迎使用頁面上按一下 [要求憑證,然後按一下 [下一步]。
  3. 按一下 [進階要求,然後按一下 [下一步]。
  4. 按一下 [要求智慧卡憑證,然後按一下 [下一步]。
  5. 第一次載入 智慧卡註冊站 頁面 ActiveX 控制項是從下載安裝 CA 出現提示時,此控制項。
  6. 使用方塊來設計您的要求。按一下 [智慧卡登入] 或 [智慧卡使用者,為憑證範本。
  7. 如果組織中有多個 CA,選取 [設定發行智慧卡憑證授權單位]。如果在組織中只有一個 CA,它應該自動選取。從 Active Directory 被提取 CA 名稱。
  8. 選取 [密碼編譯服務提供者。這應該符合您所使用的智慧卡的品牌。Windows 2000 隨附的兩個最受歡迎的智慧卡製造商 (GemPlus 和 Schlumberger) 提供者。
  9. 系統管理員簽章憑證應該已經設定。這是註冊代理憑證要求前一節。
  10. 選取要註冊的使用者。這個使用者必須擁有智慧卡] 範本的註冊權限,個別或透過群組成員資格。
  11. 將空白的智慧卡插入讀取器附加到註冊] 電台,然後按一下 [註冊]。
  12. 提示,輸入智慧卡 PIN。GemPlus 卡的 PIN 碼預設為 1234年。Schlumberger 卡的預設值是 00000000 (八個零)。使用選項來強制使用者變更 PIN 碼第一次使用智慧卡時。
  13. 處理程序完成時按一下 [檢視憑證],以檢查該憑證,或按一下 [新增使用者,以註冊另一位使用者。
取得更多資訊有關公用金鑰安裝按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
231881如何安裝/解除安裝公開金鑰為 Windows 2000 憑證授權單位

PKINIT 是 「 公用密碼金鑰編譯對於初始驗證 」 在 Kerberos 」 的 IETF 網際網路草稿。為互動式登入使用智慧卡時,Windows 2000 會使用此通訊協定。Windows 2000 的 「 公用密碼金鑰編譯對於初始驗證 」 在 Kerberos"實作 IETF 網際網路草稿的草稿 9。當這個網際網路草稿變成一種標準,Microsoft 會修訂實作。

IETF 網際網路草稿,請參閱 http://www.ietf.org。在過期在發行後的六個月。 Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。此連絡人資訊若有變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。

屬性

文章編號: 257480 - 上次校閱: 2007年10月12日 - 版次: 4.4
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbmt kbcertservices kbenv kbhowto kbppkey KB257480 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:257480
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com