六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey
? 定制用户证书模板中添加智能卡域登录证书功能
? 配置用户页面http://ip:port/user-enroll/console
应用配置?定制注册项,添加<备注5>,对应信息为域用户登录名(如:chen_yue@itrus.com.cn)
证书设置?私钥产生方式,设置为“申请时产生私钥”; ? 将证书下载模式改为AA自动审批模式
修改itrusca\\ra\\iTrusCA.xml中,审批模式为“
用户数字证书服务中心http://ip:port/user-enroll “申请:用户证书”?输入CN(姓名)、Email(邮箱)、备注5(域用户登录名)、用户口令(AA模式默认密码:itrusyes)、选择USBKEY的加密服务提供者?下载证书完成;
七、配置活动目录信任iTrusCA2.4集成项说明
上面已经安装了Windows的证书服务拥有了域控制器证书,下面我们需要完成集成第三方CA到活动目录需要对活动目录和域控制器做以下两项设置:
? 必需的:添加第三方的CA到活动目录的NTAuth store中,用来认证活动目录的用
户登录。
? 可选的:通过使用组策略,配置活动目录分发第三方根CA到所有域成员的受信任
的根证书中去。
第二项虽然是可选的,但是手动发布根CA到每一台域成员计算机中显然是不可取的,所以也要做。
八、添加第三方CA到活动目录的NTAuth store
开始->运行->键入mmc后回车->打开MMC控制台 单击菜单“控制台”,选择“添加/删除管理单元”,选择“企业PKI”,添加后关闭。单击完成。
右击“企业 PKI”,选择“管理AD容器”;