HOW TO: Configure a Certificate Authority to Issue Smart Card Certificates in Windows 2000

本分步指南介绍了如何配置“证书颁发机构”以颁发智能卡证书。

您可以配置基于 Windows 2000 或基于 Microsoft Windows XP 的计算机来要求使用智能卡才能登录计算机或域。要使用智能卡，域用户必须具有智能卡证书；因此，您必须先使“证书颁发机构”(CA) 为颁发智能卡证书做好准备，CA 才能颁发智能卡证书。

CA 必须同时安装“智能卡登录”和“注册代理”证书模板。如果您希望 CA 颁发可用于安全电子邮件的智能卡证书，则还必须安装“智能卡用户”证书模板。

back to the top

配置企业 CA 以颁发智能卡证书

1.	使用域管理员帐户登录到企业 CA。
2.	单击开始，指向程序，指向管理工具，然后单击证书颁发机构。
3.	在“证书颁发机构”控制台中，展开您的域名，右键单击策略设置节点，指向新建，然后单击“要颁发的证书”。
4.	在选择证书模板对话框中，单击“智能卡登录”，然后单击确定。
5.	右键单击策略设置，指向新建，然后单击“要颁发的证书”。
6.	在选择证书模板对话框中，单击注册代理，然后单击确定。
7.	右键单击策略设置，指向新建，然后单击“要颁发的证书”。
8.	在选择证书模板对话框中，单击智能卡用户，然后单击确定。

有关其他信息，请单击下面的文章编号，查看 Microsoft 知识库中的文章： back to the top

设置安全权限

证书模板的安全权限表明了谁可以申请该类型的证书。您可以在“Active Directory 站点和服务”控制台中查看和修改这些安全权限。

1.	单击开始，指向程序，指向管理工具，然后单击“Active Directory 站点和服务”。
2.	在“Active Directory 站点和服务”控制台中，展开服务节点，然后展开公钥服务节点。
3.	单击证书模板。
4.	双击“SmartcardLogon 证书”模板，然后单击安全性选项卡。请注意已经过身份验证的用户、域管理员和企业管理员的安全设置。如有必要，您可以添加用户或组。备注：不需要从颁发智能卡证书的同一 CA 颁发“注册代理”证书。颁发“注册代理”证书的 CA 只需要被企业 CA 信任。

back to the top