1. Берем свежий сервер. Windows 2003 Enterprise SP2. Нужен именно Enterprise, Standart не подойдет (или подойдет?)
Он будет единственным в домене, на нем будет жить контроллер Active Directory и все остальное. Сервер зовут DC.
2. Первый логин.
Add or remove a role
Typical configuration for a first server
Active directory domain name: sc.local
DNS domain name: sc.local
NetBIOS domain name: SC
Do not forward DNS queries
Дальше оно ставится и перегружается. Типа круто, у меня есть AD. Могу зайти администратором домена.
Затем мне нужен IIS, чтоб енролить ключи через веб.
Add or remove a role
Application server (IIS, ASP.NET)
Ставлю галку "Enable ASP .NET"
Затем служба сертификатов.
Start => Settings => Control Panel => Add or Remove Programs => Add/Remove Windows Components => Certification Services. Ругается, что имя домена и компа поменять больше нельзя будет поменять (the machine name and domain membership may not be changed), ну и не надо. Выбираю ставить Enterprise root CA. Спрашивает Common name for this CA, говорю ей scca. Ругается "Ща остановлю IIS". Ругается: "ASP must be enabled ... enable ASP now?" - говорю Yes.
Уфф. Перегружусь для профилактики.
Start => Programs => Administrative Tools => Certification Authority => scca => клик правой кнопкой на Certificate Templates => New => Certificate Template to Issue => Enrollment Agent и затем Smartcard User.
Запускаю эксплорер. Захожу на http://dc/certsrv, логинюсь как Administrator@SC. Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Enrollment Agent.
Submit => Install certificate.
Крута, что-то поставилось.
Ставлю (eToken RTE 3.65) (драйвер ruToken rtDrivers.exe).
Перегружаюсь.
У меня сервер был установлен под VMware. Если вы тоже используете VMware, не пытайтесь использовать ключ с виртуальной машиной через виртуальный USB: это может закончится повреждением ключа. Вместо этого нужно установить драйвер (eToken)(ruToken) на хост-систему.
Запускаю на хост-системе (eToken Properties) (rtCert). Ключ виден, сертификатов в ключе нет.
Запускаю интернетэксплорер. Захожу на http://ip-адрес-сервера/certsrv, логинюсь как Administrator@SC, Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Smartcard user
CSP: (eToken Base Cryptographic Provider) (Aktiv ruToken CSP v1.0)
Submit => Install certificate.
Спрашивает PIN на токен (по умолчанию, PIN для ruToken 12345678). Предупреждает, что центр сертификации неизвестен. Чего-то ставит. "Your new certificate has been successfully installed." (eToken Properties) (rtCert) видит сертификат Administrator@sc.local на ключе!
Запускаю на хост-системе штатный клиент службы терминалов mstsc.exe, ставлю галку Local Resources => Smart cards. Подключаюсь к серверу, и вместо пароля оно спрашивает PIN. Ввожу PIN, и меня пускает на сервер. БЕЗ пароля. Ура, товарищи!
Авторизация по смарт-карте ruToken и eToken
-
- Разработчик
- Сообщения: 11851
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Авторизация по смарт-карте ruToken и eToken
Up: Windows 2008 server ругается, когда я пытаюсь получить сертификат:
Download unsigned ActiveX controls: Enable
Initialize and script ActiveX controls not marked as safe for scripting: Enable
Это потенциальная дыра в безопасности, правильнее было бы научить certsrv работать по HTTPS. Как?
Up2: в Windows 2008R2 у меня не получилось залогиниться по токену со встроенного аккаунта Administrator. Создал другого пользователя, и оно заработало.
Простое решение: internet explorer -> Tools -> Internet Options -> Security -> Custom Level.in order to complete certificate enrollment, the web site for the CA must be configured to use https authentification
Download unsigned ActiveX controls: Enable
Initialize and script ActiveX controls not marked as safe for scripting: Enable
Это потенциальная дыра в безопасности, правильнее было бы научить certsrv работать по HTTPS. Как?
Up2: в Windows 2008R2 у меня не получилось залогиниться по токену со встроенного аккаунта Administrator. Создал другого пользователя, и оно заработало.
-
- Разработчик
- Сообщения: 11851
- Зарегистрирован: Ср окт 01, 2003 12:06 am
- Откуда: Роcсия, Тольятти
- Контактная информация:
Re: Авторизация по смарт-карте ruToken и eToken
Чтобы Windows 2008 согласился отключать терминалы при извлечении смарт-карты, надо запустить специальную службу Smart Card Removal Policy service. По умолчанию после установки эта служба автоматически не запускается.
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Interactive logon: Smart card removal behavior
Политика, управляющая поведением сессии после удаления карты:Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Interactive logon: Smart card removal behavior