无盘域控智能卡安装操作手册样本.doc

1、资料内容仅供您学习参考，如有不当之处，请联系改正或者删除。 域控智能卡 操 作 手 册 西安联友电子有限责任公司 目 录 一、 配置网络( 服务器端) - 3 - 二、 配置域控制器( Active Directory) - 5 - 三、 配置IIS服务器 - 13 - 四、 安装CA - 16 - 五、 颁发证书 - 20 - 六、 申请注册代理证书 - 22 - 七、 在服务器端安装 ePass 的驱动程序及硬件 - 29 - 八、 添加域用户 - 31 - 九、 申请智能卡证书 - 33 - 十

2、 配置客户端 - 43 - 十一、 配置客户端安全选项。 - 51 - 十二、 客户端安装 ePass 的驱动程序及硬件 - 53 - 十三、 智能卡登录 - 55 - 1. 安装锐起无盘 - 56 - 2. 硬盘配置: - 81 - 3. 硬盘备份 - 87 - 一、 配置网络( 服务器端) 打开”网上邻居”>查看网络连接然后按照下图操作和设置 二、 配置域控制器( Active Directory) 由于智能卡是基于PKI体系的,而 PKI 体系的核心是CA 中心,而要建立 CA 中心颁发智能卡证书,需要安装企业根 CA,而

3、安装企业CA 中心,要求必须安装域控制器(Active Directory ),下面我们来配置域控制器: 点击开始>管理工具>管理您的服务器, 打开‘管理您的服务器’界面, 从管理您的服务器界面上选择”添加或删除角色”选项,点击”下一步( N) ”进入到”配置您的服务器向导”对话框 在配置您的服务器向导对话框中选择”域控制器(Active Directory)” ,选择”下一步(N)”按钮,按界面操作来配置域控制器,设置服务器类型,DNS,NetBIOS 等,完成域控制器的配置 安装完毕后, 提示”需要重新启动”, 选择”立即重启”。 点击”完成”, 返回到”管理您的

4、服务器界面”。此时不要关闭该界面。 三、 配置IIS服务器 因为我们从web上来申请智能卡证书, 而windows Server自带的证书系统需要经过IIS 来发布证书, 因此我们需要安装 IIS 服务器, 其服务器程序是基于 asp, 因此我们必须配置active server page为允许, 我们下面来配置 IIS 服务器。 点击开始>管理工具>管理您的计算机, 打开‘管理您的服务器’界面。从管理您的服务器界面上选择”添加或删除角色”选项, 进入配置服务器角色的界面,选择”应用程序服务器(IIS,ASP.NET)”选择”下一步(N)”按钮,按系统提供完成 IIS 的其它配置。

5、 安装完成IIS后, 启动 IIS,出现 Web 服务扩展界面,将 Active Server Pages 服务设置为允许。完成 Internet 信息服务(IIS)管理器的配置 提示: ”请插入Windows Server SP2 的第二张光盘”,请插入server Windows Server SP2 的第二张光盘,点击确定, 继续安装, 找到提示选中具体的文件,点击确定继续安装。 四、 安装CA 要颁发智能卡证书, 必须要配置证书服务器, 我们下面来配置证书服务器。在控制面板中选择”添加或删除程序”>”添加/删除Windows 组件, 出现添加删除windows 组

6、件的界面( 图1-1) 选择”证书服务”选项后出现, 选择”下一步( N) >”按钮,根据系统提示进行操作, 出现选择CA 类型界面 此处选择”是”。 提示: ”请插入Windows Server SP2 的第二张光盘”,请插入server Windows Server SP2 的第二张光盘,点击确定, 继续安装, 找到提示选中具体的文件,点击确定继续安装。 此处选择”是”。 五、 颁发证书 启动”证书颁发机构”, 启动证书模板对话框 选择: 智能卡用户, 智能卡登录, 注册代理, 注册代理( 计算机) 等策略, 后选择”确定”按钮, 返回

7、到证书颁发机构 我们看到我们新增加的证书模板, 已经位于证书模板中了, 完成CA 中心的配置 六、 申请注册代理证书 点击开始菜单, 点击运行, 输入mmc进入控制台管理, 如下图。 点击”文件”,”添加/删除管理单元(M)”,启动添加独立管理单元对话对话框 点”添加”,进入”添加独立管理单元” 选择”证书”, 选择”添加( A) ”按钮,进入下一步。 选择”我的用户帐户( M) ”, 点击”完成”按钮, 进入下一步 ”添加独立管理单元”对话框上, 点”关闭”按钮。 返回”添加/删除管理单元”点选”确定”。

8、在控制台管理界面, 选择”证书-当前用户”, 选择”个人”, 点击鼠标右键, 选择”所有任务( K) ”, 选择”申请新证书…”, 进行证书类别选择 选择”注册代理”, 选择”下一步( N) >”按钮, 进入以下界面 输入好记的名称, 根据系统提示填写出现证书的名称和描述等信息完成注册代理证书的申请。 更改域安全策略的相关安全设置: 如下图。 选择”安全设置”——>”账户策略”——>”密码策略”, 此处密码必须符合复杂性要求设为已禁用; 密码长度最小值默认设置是7个字符, 为方便起见我们设为0。如下图: 以下配置”自动注册设置”选项

9、 选择”公钥策略”——>”自动注册设置” 勾选上自动注册证书下面两项, 确定。 七、 在服务器端安装 ePass 的驱动程序及硬件 要在计算机上使用 ePass, 必须要安装 ePass 的驱动程序, 才能够访问 ePass, 下面我们来安装ePass的驱动程序。 找到飞天诚信厂家配置的”eps3k_stdSimpChinese.exe”驱动程序按下图安装 运行eps1k_full.exe程序, 根据系统提示完成驱动程序的安装。 注意: 此处一定要选择”支持智能卡登陆操作系统或者VPN”选项。 注意: 在安装驱动时不要将ePass插在计算机的

10、USB接口上。驱动安装完成后需要重新启动计算机。 八、 添加域用户 为方便起见我们在桌面设个AD的快捷方式, 程序-管理工具-Active Directory 用户和计算机, 右键-发送到-桌面快捷方式 打开AD,选择”user”——>”新建”——>”用户”,如下图操作添加用户 此处我们加入四个用户: 财务1, 财务2, 人事1, 人事2。 九、 申请智能卡证书 运行Internet Explorer, 在地址中输入(http://localhost/certsrv, )

11、出现证书服务页面( 图3-1) 选择申请一个证书 选择选择”高级证书申请”, 进行高级证书申请 选择”经过使用智能卡证书注册站来为另一个用户申请一个智能卡证书”, 出现智能卡证书注册站 如果此处出现如上图所示的对话框。解决的办法是: 点击”确定”在浏览器工具选项中选择”Internet选项( O) ”如图操作。 然后刷新一次页面显示正常页面。(修改了两个ActiveX控件的安全级别: 1: ”对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”由”禁用”改为”启用”; 2、 ”下载未签名的ActiveX控件”由”禁用”改为”启用”

12、) 进入智能卡证书注册站,选择证书模板为”智能卡登陆”, 选择加密服务提供程序为: ”FEITIAN ePassNG RSA Cryptographic Service Provider”, 选择证书, 弹出选择证书对话框。 选择已注册过的注册代理证书”test111”, 点击”选择用户…”按钮, 弹出选择用户的对话框, 点”高级(A)…”按钮,进入以下界面。 点”立即查找(N)”,进入以下界面。 选中”caiwu1”,点确定按钮,出现以下界面。 点击确定按钮,返回到智能卡注册站。 把智能卡插入到电脑上, 点击”注册”按钮, 出现输入用户PIN 码

13、的对话框。 输入用户PIN 码(PIN码默认为1234) 输入用户PIN 码后, 选择”确定( O) ”按钮, 显示以下界面, 用户正在被注册。 以下是注册完毕后的显示界面。 如需新建用户, 点击”新建用户”按钮, 重新进入智能卡注册站选择用户界面, 如下图。 经过”选择用户”, 插入智能卡, 点击”注册按钮”, 完成智能卡证书的申请。如果不需要再注册用户, 请关闭浏览器。 至此已完成了智能卡证书的申请。 十、 配置客户端 用administrator账号登陆客户机, 打开”网上邻居”>查看网络连,接然后按照下

14、图操作和设置 注意: DNS配置为服务器的IP地址。至此, 客户端网络已配置完毕。 开始配置客户端的证书。 打开浏览器, 输入,进入以下界面。 ( 注意: 如此时无法打开页面, 请检查服务器IIS服务是否未启动) 输入域用户的用户名和密码(如: caiwu1),显示以下界面。 登陆成功后, 显示以下界面。 点击”下载一个CA证书, 证书链或CRL”链接, 进入以下界面。 点击”下载CA证书”链接, 进入以下界面。 点击”保存”按钮, 进入以下界面。 选择桌面,点击保存, 把证书保存到桌面上。 选中”certnew.ca

15、r”证书, 右键选择”安装证书”, 进入以下界面。 点”打开”按钮, 进入下一步。 点击”下一部”按钮, 进入”证书导入向导”。 选择”将所有的证书放入下列存储”, 弹出”选择证书存储”对话框, 勾选”显示物理存储区”, 显示以下界面。 点击树结构, 选择”受信任的根证书颁发机构”, 选择”本机计算机或local computer”,点击确定按钮, 显示以下界面。 点击”下一步”按钮, 显示以下界面。 点击”完成”按钮。 提示”导入成功”, 点击”确定”。 此时, 已完成了客户端证书的安装。 十一、 配置客户端安全选项。 点击开始--运行

16、 点击运行, 输入gpedit.msc, 点击”确定”按钮, 进入”组策略”界面。 选计算机设置—Windows设置--安全设置--本地策略--安全选项 选择交互式登录: 智能卡移除操作, 双击进入属性页面。 选择锁定工作站,点击”确定”按钮。注释:当移除智能卡时自动锁定当前计算机。 至此已完成客户端组策略的配置。 十二、 客户端安装 ePass 的驱动程序及硬件 找到飞天诚信厂家配置的”eps3k_stdSimpChinese.exe”驱动程序按下图安装 运行eps1k_full.exe程序, 根据系统提示完成驱

17、动程序的安装。 切记: 此处一定要选择”支持智能卡登陆操作系统或者VPN”选项。 注意: 在安装驱动时不要将ePass插在计算机的USB接口上。驱动安装完成后需要重新启动计算机。 十三、 智能卡登录  现在我们已经将证书存储在ePass中了, 我们开始使用ePass来进行智能卡登录 插入智能卡, 显示以下界面。 当插入 ePass 时, 系统提示要输入硬件的 PIN 码(默认为1234)。校验 PIN 码正确后就可进入Windows系统。 至此智能卡登陆系统已完成。 注:无盘方案中客户端加入域时, 必须使用锐

18、起自带的加域工具否则会出现客户端掉域问题。 1. 安装锐起无盘 3.1.1 磁盘分区设置 A. 先将作为读盘使用的磁盘进行分区: 操作系统: C:\盘( 一般为30G; 可根据实际需求进行调整) ; 其余空间分区: D:\盘, 卷标 VLD; 在 D:\盘根目录建立两个子目录( DISKS 和 RESTOR) : DISKS, 用于存放 IMG磁盘镜像文件; RESTORE, 用于存放为磁盘镜像设置的还原点文件; B. 再将其余作为写盘的磁盘各自独立划分为一个分区: E、 F、 G, 卷标分别为 WKS1、 WKS2、 WKS3

19、 作为工作站的回写目录( 存放工作站运行时产生的临时文件) ; 处, 我们将工作站产生的临时文件直接写在根目录内, 不必再建立子目录。 注: 在 Windows平台下, 需确保磁盘分区格式为 NTFS( 所有分区均为NTFS) 。 配置完成后, 其显示应如下图所示: 在上图中, BSD系统读盘为 D; 写盘为 E、 F、 G, 读写分离、 实现了分盘回写, 这样设置可提高工作站运行的速度。 3.1.2 服务器系统设置 安装锐起 BSD系统服务端前, 需要注意以下几点: A. 确保服务器有足够的硬盘空间, 以存放镜像文件及工作站运 行时产生的临时文件;

20、 B. 为 BSD服务器指定一个静态 IP地址, 请将其连接在网络主 干上, 并要保证其千兆出口带宽; C. 关闭系统防火墙服务; D. 预先创立 disks( 磁盘镜像) 、 wks( 工作站临时回写) 和restore( 还原点) 三个目录; 目录名称可自定义, 同时建议将 disks 和wks 两个目录分别放在两块不同的硬盘中, 这样能够提高工作站运行的速度。 在本手册中, 我们将 wks 目录直接指定为写盘的根目录。 综上所述, 要使锐起 BSD系统运行具有良好效果, 硬件配置、 操作系统和相关软件的设置都要符合要求。 3.1.3 安装锐起商

21、业标准桌面软件主服务端 A. 服务器端操作系统配置好后, 运行锐起 BSD系统安装光盘中Master Server 目录下的 SETUP.EXE。安装程序会先自动安装加密锁驱动程序, 并启动锐起 BSD系统服务端的软件安装程序界面;     B. 根据提示完成锐起 BSD 服务端安装( 建议使用默认选项) ; 如下图所示: C. 安装完毕, 在【开始】→【程序】菜单中生成【锐起 BSD系统服务端】程序组; 在桌面生成【锐起 BSD系统管理器】图标; 如下图所示: 3.1.4 配置锐起商业标准桌面软件主服务端 A.

22、将加密锁插入服务器的 USB 接口, 运行【锐起 BSD 系统管理器】 , 打开管理器界面, 该界面主要分为左、 右两个操作区域: 左侧是编辑区域, 右侧区域用来显示 BSD工作站的相关信息( 如: 工作站名称、 工作站 IP地址等) ; 如下图所示: B. 选择【配置】→【磁盘管理】菜单项, 打开【磁盘管理】对话框; C. 点击【新增】 , 打开【新增磁盘】界面, 设置好磁盘名称、 磁容量大小以及映像文件的存放路径( 此处选择前面预先创立的 D:\DISKS 目录) , 单击【确定】→【退出】 , 完成磁盘镜像的创立; 如下图所示: 注: 如勾选

23、使用稀疏文件】选项, 则新建的镜像文件只占用很少( 64K) 物理磁盘空间, 随着写入数据的增加, 其占用的物理磁盘空间也会随之增加; 如不勾选则为实体格式, 镜像文件就会占用【磁盘容量】栏指定的物理磁盘空间。 D. 在锐起 BSD管理器界面右侧区域工具栏中单击 【新增】 按钮, 打开【新增工作站】窗口。 依次在【名称】 、 【MAC地址】 、 【IP地址】 、 【子网掩码】等栏中填入模板工作站的相应参数; 注: 1、 模板工作站: 即首台部署锐起 BSD系统客户端的工 作站, 它配有本地硬盘及本地操作系统。 2、 在”IP 地址”栏填入模板工作站的 IP 地址,

24、 必须能服务器正常通信。 【启动网卡】栏中选择【自动选择】 ; 【硬件配置】栏中选择【默认配置】 ; 【工作站目录】 栏中指定回写路径 ( 本手册中指定为 E:\、 F:\或 G:\目录均可) 。 E. 在【磁盘】选项界面中点击【编辑磁盘】按钮, 将所要使用磁盘镜像从【全部可用磁盘】移动到【工作站磁盘】列表中。 依次点击【确定】→【应用】 , 完成模板工作站的添加。 至此, 锐起 BSD 系统主服务端的配置基本完成。 3.2 客户端安装及配置 锐起 BSD系统客户端支持的操作系统有: Win / XP/ win /win7、 Fedora 系列/

25、 红旗 Linux/ Ubuntu 等, 本手册以Windows XP为例。 3.2.1 客户端操作系统的配置 关于正版 Windows XP Professional 的安装过程, 本手册就不做说明了。 部署锐起BSD 系统客户端前需要注意的事项: A. 请使用正版 Windows XP 系统光盘( 如原装专业版、 上海市政府版、 联想 OEM版等) , 以光盘引导方式, 根据系统提示, 手动逐步安装操作系统; 禁止使用精简版操作系统或者以 GHOST 方式安装操作系统。 B. 请使用官方驱动, 按照合理的顺序和要求安装驱动; 一般采用主板→显卡→网卡的顺序

26、 安装完一个硬件驱动后, 请重启一次操作系统; C. 指定静态 IP地址, 并确保能和服务端正常通信; D. 关闭系统防火墙服务; 在 【计算机管理】 → 【服务】 中将 ”Windows Firewall/Internet Connection Sharing (ICS)”服务禁用。 关闭自动更新、 系统还原、 屏幕保护; 电源使用方案设置为: ”一直开着”及”从不关闭显示器” ; E. 必须删除本地连接属性中的”QOS数据包计划程序” ; 如下图所示: F. 上传操作系统之前, 不要安装应用软件以及对系统进行优化设置。 G. 用交叉线将

27、模板工作站与服务器直连, 再上传操作系统。 3.2.2 部署锐起商业标准桌面软件客户端 客户端操作系统配置完成后, 运行锐起 BSD系统安装光盘中Client 目录下的 SETUP.EXE, 进入客户端安装界面; 根据提示选择安装目录, 按默认设置安装即可; 如下图所示: 安装完成后会自动打开【配置系统】对话框, 如下图所示: 在【服务器 IP 地址】栏输入锐起 BSD服务器的 IP地址, 点击【确定】退出。安装完成后, 在工作站的【开始】→【程序】菜单中会生成【锐起 BSD系统客户端】程序组。 至此, 锐起 BSD系统客户端安装完毕。 3.3

28、上传模板操作系统 A. 在服务端【锐起 BSD系统管理器】中选中工作站; 选择【超级】选项, 在弹出的窗口中勾选好磁盘; 点击【确定】按钮 , 如下图所示: 此时工作站前面的状态图标会由暗绿色变成暗红色, 工作站进入”超级用户”模式。 B. 重启模板工作站, 系统会提示找到新硬件并要求再次重启。( 此处需要重启两次) C. 在模板工作站上选择【计算机管理】→【磁盘管理】 , 系统提示发现新磁盘; 如下图所示: 单击”下一步” , 在打开的界面中选择需要初始化的磁盘, 按照默认设置, 初始化为基本磁盘模式; 在上图界面中, 注意不要勾

29、选磁盘进行动态磁盘转换。 注: 请将新磁盘格式化成主磁盘分区模式, 文件系统格式为 NTFS; D. 完成后退出【计算机管理】界面, 依次选择【开始】→【程序】→【锐起 BSD 系统客户端】→【系统上传】 , 打开【锐起 BSD系统上传工具】对话框, 如下图所示: 锐起 BSD客户端会自动识别本地硬盘和网络磁盘, 确认源盘和目标盘无误后, 单击【开始】上传系统; 注: 根据网络带宽情况, 上传过程预计需要 5—10分钟。 E. 上传结束后, 关闭模板工作站, 移除本地硬盘, 在 COMS中将启动方式设为网络启动。 确认模板工作站能够正常启动后, 将其设回【

30、普通】用户模式。 至此, 锐起 BSD系统搭建完成。 3.4 添加工作站及安装应用软件 应用软件的安装及对操作系统的相关设置都需要在工作站上进行, 其安装和设置的方法与在有盘系统中无任何差别。安装应用软件之前需要将对应的工作站设为”超级用户”模式。 普通用户模式下的所有操作都是临时的, 系统重启后, 即复 原到初始状态。 超级用户模式下所做的更改会永久保存到磁盘镜像中, 重启后不会被复原。 A. 超级用户是直接对磁盘镜像进行读写操作, 请务必小心操作。切换【超级用户】模式之前请采用复制镜像的方式进行备份; B. 确保要切换 【超级用户】 模式的工作站是从主服务器

31、启动的, 否则超级用户不会生效。当工作站非法关机时, 应先重启一次”锐起 BSD 数据服务” 。 3.4.1 添加工作站 在【锐起 BSD 系统管理器】中采用”手动加入工作站”的方式添加其它工作站信息。 最后, 批量选中工作站, 均匀分配其工作站目录所在的路径; 如下图所示: 3.4.2 安装应用软件 锐起 BSD系统对于工作站使用的软件没有任何要求和限制, 您能够任意安装各种软件, 如办公类、 设计类和安全管理软件等。可是有个别特殊软件需要对其进行个性化设置后, 方可在锐起 BSD系统环境下运行。 ( 例如: PRO E、 3DMAX、 ANSYS、 outlook

32、 VMware) 判断软件是否需要个性化及如何进行个性化设置, 能够向锐起公司行业事业部进行咨询。 注: 在修改镜像之前, 一定要做好镜像文件的备份工作。 3.5 部署锐起商业标准桌面软件副服务端 A. 选择 Sub Server目录下的 SETUP.EXE, 安装方式同安装主服务端步骤一致。安装完毕后, 会在【开始】→【程序】菜单中生成 【锐起 BSD系统副服务端】 程序组, 在桌面生成 【锐起 BSD系统副管理器】图标; B. 插入副加密锁, 运行【锐起 BSD 系统副管理器】 , 打开管理器界面; C. 回到主服务器, 在【选项配置】中勾选【允

33、许副服务器从本机同步数据】 , 如下图所示: D. 在”副服务器设置”界面填写主服务器的 IP 地址, 点击【应 用】 : E. 在【同步磁盘】页面中点击【刷新磁盘列表】 , 勾选需要同步的磁盘镜像, 点击【应用】 , 副服务器会自动从主服务器同步工作站信息和磁盘镜像; 设置完成后, 每当主服务器上的磁盘镜像更新后, 副服务器就会自动进行同步更新。 2. 硬盘配置: 客户端配置 经过上述方法, 依次建立属于个人共享、 组共享和所有人共享的文件夹, 设置权限依次为个人, 该组成员, 和所有人, 完成后, 更改备注名称, 如下图所示。 3. 硬盘备份 双击日期 还原数据