使用CAC和智能卡读卡器配置VCS

简介

本文档介绍安装和使用智能卡读卡器和通用访问卡登录以与思科视频通信服务器(VCS)配合使用的分步指南，适用于需要对VCS环境进行双因素身份验证的组织，如银行、医院或拥有安全设施的政府。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Expressway管理员(X14.0.2)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

CAC提供所需的身份验证，以便“系统”了解谁获得了对其环境的访问权限，以及基础设施的物理或电子部分。在政府机密环境和其他安全网络中，“最不特权访问”或“需要知道”的规则占上风。任何人都可以使用登录，身份验证需要用户拥有的东西，然后CAC（也称为通用访问卡）于2006年问世，这样个人就无需拥有多个设备，无论他们是窝点、身份证还是连接器，就可以访问其工作地点或系统。

什么是智能卡？

智能卡是Microsoft用于集成到Windows平台的公钥基础设施(PKI)的关键组件，因为智能卡增强了仅软件解决方案，如客户端身份验证、登录和安全电子邮件。智能卡是公钥证书和关联密钥的融合点，因为它们：

• 提供防篡改存储，以保护私钥和其他形式的个人信息。
• 隔离安全关键型计算，包括身份验证、数字签名和密钥交换，与系统中不需要知道的其他部分。
• 在工作、家庭或旅途中的计算机之间实现凭证和其他私有信息的可移植性。

智能卡已成为Windows平台不可或缺的一部分，因为智能卡提供了新的、可取的功能，与鼠标或CD-ROM的引入一样，对计算机行业具有革命性的意义。  如果您目前没有内部PKI基础设施，则需要确保您先执行此操作。本文档不涉及在本特定文章中安装此角色，但有关如何实施此角色的信息，请参阅：http://technet.microsoft.com/en-us/library/hh831740.aspx。

配置

本实验假定您已将LDAP与VCS集成，并且拥有可以使用LDAP凭证登录的用户。

1. 实验设备
2. 安装智能卡
3. 配置证书颁发机构模板
4. 注册注册代理证书
5. 代表……注册
6. 配置VCS以使用通用接入卡

需要的设备:

Windows 2012R2域服务器，具有以下角色/已安装软件：

• 认证中心
• Active Directory
• DNS
• 连接了智能卡的Windows PC
• vSEC:CMS K系列管理软件，用于管理您的智能卡：

Versa读卡器软件

安装智能卡

智能卡读卡器通常随附有关如何连接任何必要电缆的说明。以下是此配置的安装示例。

如何安装智能卡读卡器设备驱动程序

如果检测到并安装了智能卡读卡器，“欢迎使用Windows”登录屏幕会确认这一点。否则：

1. 将智能卡连接到Windows PC上的USB端口
2. 按照屏幕上的说明安装设备驱动程序软件。这需要在Windows中发现制造智能卡或驱动程序的驱动程序介质。在我的案例中，我使用了下载站点中的制造商驱动程序。不要信任WINDOWS。
3. 右键单击桌面上的“My Computer(我的电脑)”图标，然后单击子菜单上的“Manage（管理）”。
4. 展开“服务和应用程序”节点，然后单击“服务”。
5. 在右窗格中，右键单击智能卡。单击子菜单上的“属性”。
6. 在“常规”选项卡上，在“启动类型”下拉列表中选择“自动”。Click OK.
7. 如果硬件向导指示您重新启动计算机，请重新启动计算机。

配置证书颁发机构模板

1. 从管理工具启动证书颁发机构MMC。
2. 单击或选择“证书模板”节点，然后选择Manage。
3. 右键单击或选择“Smartcard User Certificate Template(智能卡用户证书模板)” ，然后选择“Duplicate（复制）” ，如图所示。
   
   

域控制器证书模板

4.在“兼容性”选项卡的“证书颁发机构”下，查看选择并根据需要进行更改。

智能卡兼容性设置

5.在“一般信息”选项卡上：

a.指定名称，如Smartcard User_VCS。

b.将有效期设置为所需值。单击 Apply。

智能卡一般时间开始到期

6.在“请求处理”选项卡上：

a.设置“Purpose to Signature and smartcard logon”。

b.单击Prompt the user during enrollment。单击 Apply。

智能卡请求处理

7.在“加密”选项卡上，将最小密钥大小设置为2048。

     a.单击Requests must use of the following providers，然后选择Microsoft Base智能卡加密提供程序。

     b.单击“应用”。

证书加密设置

8.  在Security选项卡上，添加要授予Enroll访问权限的安全组。例如，如果要授予所有用户访问权限，请选择“已验证”用户组，然后为其选择“注册权限”。

模板安全

9.单击“确定”以完成更改并创建新模板。您的新模板现在必须显示在证书模板列表中。

在域控制中看到的模板

10.  在MMC的左窗格中，展开Certification Authority(Local)，然后在Certification Authority列表中展开CA。 

右键单击Certificate Templates，单击New，然后单击Certificate Template to Issue。然后选择新创建的智能卡模板。

发布新模板

11.模板复制后，在MMC中，右键单击或选择“证书颁发机构”列表，单击“所有任务”，然后单击“停止服务”。然后，再次右键单击CA的名称，单击“All Tasks(所有任务)”，然后单击“Start Service(启动服务)”。

停止然后启动证书服务

注册代理证书

建议您在客户端（IT管理员桌面）上执行此操作。

1. 启动MMC选择证书，单击添加，然后单击“我的用户帐户”。
   
   

添加证书

2.  右键单击或选择“个人节点”，选择“所有任务”，然后选择“请求新证书”。

请求新证书

3.在向导上单击“下一步”，然后选择“Active Directory注册策略”。然后再次单击“下一步”。

Active Directory注册元素

4.选择Enrollment Agent Certificate(注册代理证书)，在本例中为Smartcard User_VCS，然后单击Enroll。

注册证书代理

您的IT管理员桌面现在设置为注册站，这使您能够代表其他用户注册新智能卡。

代表……注册

为了现在为员工提供智能卡进行身份验证，您需要注册这些智能卡并生成证书，然后将其导入智能卡。

代表注册

1.启动MMC并导入“证书模块和管理器”的“我的用户帐户”证书。

2.右键单击或选择“个人”>“证书”，然后选择“所有任务”>“高级操作”，然后单击“代表……登记”。

3.在向导上，选择Active Directory注册策略，然后单击“下一步”。

代表高级注册

4.选择“证书注册策略”，然后单击“下一步”。

注册策略

5.现在要求您选择签名证书。这是您之前请求的注册证书。

选择签名证书

6.在下一个屏幕上，您需要浏览到要请求的证书，在此例中，它是您之前创建的模板Smartcard User_VCS。

选择VCS智能卡

7.接下来，您需要选择您希望代表登记的用户。单击browse并键入要注册的员工的用户名。在本例中，使用Scott Lang 'antman@jajanson.local帐户'。

选择用户

8.  在下一个屏幕中，单击“注册”继续注册。现在，将智能卡插入读卡器中。 

注册

9.  插入智能卡后，将检测到它：

插入智能卡

10.  然后要求您键入智能卡PIN码(默认PIN码：0000)。

输入引脚

11.最后，在看到Enrollment Successful屏幕后，您可以使用此智能卡登录到加入域的服务器，如仅带卡和已知PIN的VCS。但是，不能执行是，您仍需要准备VCS以将身份验证请求重定向到智能卡，并使用通用访问卡释放智能卡上存储的智能卡证书以进行身份验证。

注册成功

配置VCS以使用通用接入卡

导航至Maintenance > Security > Trusted CA Certificate，将根CA上传到VCS中的Trusted CA Certificate列表。

2.将根CA签名的证书撤销列表上传到VCS。导航至Maintenance > Security > CRL Management。

3.根据正则表达式测试客户端证书，该正则表达式从证书中提取用户名，用于针对LDAP或本地用户进行身份验证。正则表达式将与证书的Subject匹配。这可以是您的UPN、电子邮件等。在本实验中，使用了与客户端证书的客户端证书匹配的电子邮件。

客户端证书的使用者

4.  导航至维护>安全>客户端证书测试。选择要测试的客户端证书，在“我的实验”中它是antman.pem，将其上传到测试区域。在Regex下的Certificate-based authentication pattern部分，以与证书进行匹配，将regex粘贴到要测试的。请勿更改“用户名格式”字段。

 My Regex:  /Subject:.*emailAddress=(?.*)@jajanson.local/m

在VCS中测试正则表达式

测试结果

5.如果测试为您提供了所需的结果，则可以单击“使这些更改永久生效”按钮。这将更改服务器基于证书的身份验证配置的正则表达式。要验证更改，请导航至该配置，即Maintenace > Security > Certificate-based authentication configuration。

6.  通过导航到System > Administrator，然后单击或选择下拉框以选择Client certificate-based security = Client-Based Authentication，启用基于客户端的身份验证。使用此设置，用户在浏览器中键入VCS服务器的FQDN，系统会提示用户选择其客户端帐户并输入分配给其公共访问卡的PIN。然后，证书将被释放，并返回VCS服务器的Web GUI，他只需单击或选择Administrator按钮。然后他被允许进入服务器。如果选中了Client certificate-based security = Client-Based Validation选项，则进程与用户单击Administrator按钮时的例外情况相同，他再次提示输入管理员密码。通常，后者不是组织尝试通过CAC实现的目标。

启用基于客户端的身份验证

救命！我被锁了！!!

如果启用基于客户端的身份验证，而VCS出于任何原因拒绝证书，您将无法再以传统方式登录Web GUI。但是，不要担心有办法回到你的系统。附加文档可在思科网站上找到，并提供有关如何从根访问禁用基于客户端的身份验证的信息。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。