AD域认证配置集成数字证书(iTrusCA)

六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey

? 定制用户证书模板中添加智能卡域登录证书功能

extendedKeyUsage

clientAuth,msSmartcardLogin

1.3.6.1.4.1.311.20.2

DER:1E1A0053006D00610072007400630061007200640055007300650072

subjectAltName

OTHERNAME:msUPN:UTF8STRING:$$USER_ADDTIONAL_FIELD5$$

? 配置用户页面http://ip:port/user-enroll/console

应用配置?定制注册项，添加<备注5>，对应信息为域用户登录名（如：chen_yue@itrus.com.cn）

证书设置?私钥产生方式，设置为“申请时产生私钥”； ? 将证书下载模式改为AA自动审批模式

修改itrusca\\ra\\iTrusCA.xml中，审批模式为“AA” ? 申请智能卡域用户证书到USBKEY

用户数字证书服务中心http://ip:port/user-enroll “申请：用户证书”?输入CN（姓名）、Email（邮箱）、备注5（域用户登录名）、用户口令（AA模式默认密码：itrusyes）、选择USBKEY的加密服务提供者?下载证书完成；

七、配置活动目录信任iTrusCA2.4集成项说明

上面已经安装了Windows的证书服务拥有了域控制器证书，下面我们需要完成集成第三方CA到活动目录需要对活动目录和域控制器做以下两项设置：

? 必需的：添加第三方的CA到活动目录的NTAuth store中，用来认证活动目录的用

户登录。

? 可选的：通过使用组策略，配置活动目录分发第三方根CA到所有域成员的受信任

的根证书中去。

第二项虽然是可选的，但是手动发布根CA到每一台域成员计算机中显然是不可取的，所以也要做。

八、添加第三方CA到活动目录的NTAuth store

开始->运行->键入mmc后回车->打开MMC控制台 单击菜单“控制台”，选择“添加/删除管理单元”，选择“企业PKI”，添加后关闭。单击完成。

右击“企业 PKI”，选择“管理AD容器”；