证书模板
Windows Server 2003 提供特定的证书模板来颁发数字证书与智能卡解决方案配合使用。 智能卡使用的三种证书模板是:
•注册代理,允许经授权的用户为其他用户请求证书。
•智能卡用户,允许用户使用智能卡登录并对电子邮件签名。 此外,该证书还提供客户端身份验证。
•智能卡登录,使用户能够使用智能卡登录并提供客户端身份验证,但并不启用签名的电子邮件。
注意 Microsoft 强烈建议您将当前 Windows Server 2003 PKI 升级到带 Service Pack 1 (SP1) 的 Windows Server 2003 PKI 以利用增强的安全功能。
VPN 解决方案将至少需要一名拥有注册代理证书的管理员将证书分派给智能卡。 此外,您的客户端的智能卡上还将需要有智能卡登录证书。
有关证书模板的详细信息,请参阅 TechNet 上的“证书模板”主题(可能为英文),网址为 http://technet2.microsoft.com/WindowsServer/en/[url=http://whatis.ctocio.com.cn/searchwhatis/165/5948665.shtml]Library/7d82b420-10ef-4f20-a56f-17ee7ee352d21033.mspx?mfr=true[/url]。
Active Directory
Active Directory 提供管理构成网络环境的标识和关系的方法,并且是实施智能卡解决方案的关键组件。 Windows Server 2003 中的 Active Directory 包含对强制智能卡登录和将帐户映射到证书的能力的内置支持。 将用户帐户映射到证书的这个功能可将智能卡上的私钥与存储在 Active Directory 中的证书连接在一起。
当注册代理为特定用户的智能卡分派证书时,此过程将此证书映射到 Active Directory 中的用户帐户。 登录时显示智能卡凭据要求 Active Directory 将此特定卡与用户帐户相匹配,从而为用户提供网络上的相关权限和功能。
有关证书映射的更多信息,请参阅 Microsoft TechNet 上的“将证书映射到用户帐户”主题(可能为英文),网址为 www.microsoft.com/resources/docu ... /dssch_pki_cyek.asp。
有关 Active Directory 的更多信息,请参阅“Windows Server 2003 Active Directory”页面(可能为英文),网址为 www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx。
安全组
如果在 Active Directory 内使用安全组来组织用户,则智能卡部署和管理过程就极其简单。 例如,典型的智能卡部署可能需要您创建以下安全组:
•智能卡注册代理。 智能卡注册代理负责分发智能卡给用户。
•智能卡过渡。 智能卡过渡组包含接收智能卡的所有用户,但尚未为这些用户登记注册代理并激活他们的卡。
•智能卡用户。 智能卡用户组包含已完成注册过程并具有激活的智能卡的所有用户。 注册代理将用户从智能卡过渡组移到智能卡用户组。
