Microsoft Windows 2000操作系统的一个新特征是可以支持智能卡和智能卡阅读器。智能卡可以增强只有软件才可以解决的任务，例如客户验证、登录、代码签名和安全电子邮件，因为私有密钥操作在智能卡上进行，而不是在主机上。

内容

介绍

安装智能卡阅读器

智能卡证书注册

通过智能卡登录

相关链接

简介

返回页首

智能卡登录是一种强大的鉴别形式，因为当用户登录到域中时，它使用基于密码学的鉴别手段和权限验证。如果怀有恶意的用户得到了某人的口令，就可以使用这个口令来伪装这个人在网络上的身份。许多用户选择他们容易记住的口令，但是这样使得口令比较脆弱并且容易受到攻击。

当使用了智能卡时，怀有恶意的人就必须获得那个用户的智能卡和个人身份证号码（Personal Identification Number ，简称PIN）来伪装用户。这种方法使得攻击比较困难，因为要伪装用户就必须获得额外的信息。更加安全的保证是如果PIN在数次（例如，三次）失败后会自动锁住智能卡。这使得用字典攻击的方法变得极端困难。

总之，智能卡可以提供下列功能：

有抵御功能的保护私有密钥和其他形式的个人信息。

安全保证包括身份验证、数字签名和密钥交换，这样可以保证本系统的安全措施不被其他的不需要的人使用。

信任证书和其他私人信息的可移植性。

需求和先决条件

本指南假设您已经运行了Windows 2000 Server配置的公共基础结构的指南。

公共基础结构文档指定了特定的硬件和软件配置。如果您不使用公共基础结构，那么当使用这个文档时，您就需要加以考虑。最新的有关硬件需求和服务器、客户端和外设兼容性的信息可以在Windows 2000 产品兼容性网站上获得。

本指南假设您已经完成了：

设置证书授权指南

设置域证书授权信任关系指南

管理证书服务指南

高级证书管理指南

端用户证书管理指南

如果您没有完成那些指南，您仍然必须按照文档描述的步骤创造如下环境：

安装了带有活动目录服务的Windows 2000 Server域控制器。域必须支持Microsoft Windows NT LAN Manager (NTLM) 和 Kerberos口令验证协议，以及公共密钥（智能卡）验证。

您已经在一个Windows 2000域中安装Windows 2000 Professional操作系统。

本文档的步骤细化了连接到Windows 2000域控制器中的Windows 2000 Professional计算机的安装和使用智能卡阅读器的过程。

支持的智能卡阅读器

在您可以使用智能卡之前，必须在计算机上安装智能卡阅读器。在Microsoft? Windows? 2000操作系统中，包括下面列出的智能卡阅读器设备驱动程序，但是只有在检测到相应的即插即用兼容式的智能卡硬件时，才进行安装。

制造商	智能卡阅读器	接口	设备驱动程序
Bull CP8	Smart TLP3	RS-232	bulltlp3.sys
Gemplus	GCR410P	RS-232	gcr410p.sys
Gemplus	GPR400	PCMCIA	gpr400.sys
Litronic	220P	RS-232	lit220p.sys
Rainbow Technologies	3531	RS-232	rnbo3531.sys
SCM Microsystems	SwapSmart	RS-232	scmstcs.sys
SCM Microsystems	SwapSmart	PCMCIA	pscr.sys

这篇文档仅仅描述了即插即用兼容式的智能卡阅读器的安装和使用。非即插即用智能卡阅读器在 Windows 2000平台上不推荐使用。如果您正在使用一个非即插即用阅读器，就必须获得安装指导，包括相关的设备驱动程序软件，这应该直接从智能卡阅读器制造商得到。Microsoft不支持也不推荐使用非即插即用智能卡阅读器。

icrosoft已经为智能卡阅读器开发了徽标程序，就象Microsoft以前为其他硬件设备（网卡、声卡等等）所做的，这样可以保证一个制造商提供的智能卡阅读器可以和其他厂商的兼容，以便为用户提供最好的使用。这个标志性程序是基于个人计算机/智能卡（personal computer/smart card ，简称PC/SC）规范，以确保智能卡阅读器可以在Windows平台上互操作。要获得Windows兼容的智能卡阅读器的信息，请参考Windows兼容硬件列表。

注意：强烈推荐在运行Windows 2000操作系统的计算机上使用被Microsoft Windows硬件质量实验室（Microsoft Windows Hardware Quality Lab ，简称WHQL）验证过并且已经接受了Windows兼容标志的智能卡阅读器。在市场上有许多智能卡阅读器，但是他们不能很好的互操作，尽管其中的许多声称是PC/SC兼容的。PC/SC兼容这个术语是没有意义的，因为没有相应的正规测试来检测PC/SC规范的功能性。

支持的智能卡

当安装了Windows 2000操作系统时，支持Gemplus GemSAFE 和Schlumberger Cryptoflex加密的智能卡包括在缺省安装中了。在客户或服务器端您不必配置任何信息。加密智能卡只可以直接从相应的公司来得到，而不是从Microsoft公司得到。

下表列出了用户提出的不同卡之间的差别：

智能卡	缺省 PIN	触点形状	CSP
Gemplus GemSAFE	1234	椭圆形状	Gemplus GemaSAFE Card CSP v1.0
Schlumberger Cryptoflex	00000000	矩形	Schlumberger Cryptographic Service Provider

注意1：在Windows 2000中已经包括了对上述卡的支持，但是对于其他基于Rivest-Shamir-Adleman (基于RSA) 加密的智能卡也可以与Windows 2000 PKI合作，只要卡的提供商已经使用Microsoft 开发者网络（Microsoft Developer Network ，简称MSDN）的CryptoAPI 和Smart Card SDK为卡开发了加密服务提供者（Cryptographic Service Provider简称，CSP)。

注意2：如果公共密钥PIN对话框被GSP显示，则卡的PIN可以随时改变。管理PIN是卡CSP和用户的职责。Windows 2000不管理PIN。

安装智能卡阅读器

返回页首

安装智能卡阅读器一般需要知道如何连接任何必须的电缆。如果您没有指导，请使用下列的步骤。智能卡阅读器应该安装在Windows 2000 Professional工作站上。

要连接一个智能卡阅读器

1. 关闭计算机，切断电源。
2. 将阅读器连接到可用的串行端口，或将PC卡阅读器插入到可用的PCMCIA类型II插槽。
3. 如果您的串行阅读器有一个辅助的PS/2电缆/连接器，将键盘或鼠标连接器与它连接，然后将它插入到计算机键盘或鼠标端口。许多新的智能卡阅读器从键盘或鼠标端口获得电源，因为RS-232端口有时候不提供电源，如果需要一个单独的电源支持是很贵并且也是十分麻烦的。
4. 启动计算机，并且以管理员权限登录。

安装智能卡阅读器设备驱动程序

如果检测到和安装了智能卡阅读器，Windows登录屏幕的欢迎画面将会标识出来。如果不是：

1. 按照屏幕指导安装设备驱动程序软件。这将会需要Windows 2000 CD或包括适当设备驱动程序的介质，而这是直接从智能卡阅读器的制造商得到的。（或者，您的系统管理员可以为您提供相应的设备驱动程序。）
2. 右击桌面上的“我的电脑”图标，单击子菜单上的“管理”。
3. 扩展“服务和应用”节点，单击“服务”。
4. 在右边的窗格中右击“智能卡”。单击子菜单上的“属性”。
5. 在“一般”选项卡中，在“启动类型”下拉列表中选择“自动”。单击“确定”。
6. 如果硬件向导指导您重新启动计算机，就这样去做。

如果硬件向导不自动启动，那么您的智能卡阅读器就不是即插即用的设备。我们强烈的建议您使用Windows 2000即插即用智能卡阅读器。

智能卡证书注册

返回页首

域用户不能为智能卡登录（验证）或智能卡用户（验证和电子邮件）证书提供注册，除非系统管理员授权给用户访问存储在Microsoft? Windows? 2000操作系统活动目录服务中的证书模板的权限。这样做的原因是因为注册智能卡证书必须是一个可控制的步骤，就象控制员工的身份标记以便进行确认和物理访问目的。注册基于智能卡的用户证书和密钥的推荐 方法是通过与Windows? 2000 Server和Windows? 2000 Advanced Server中证书服务集成的负责注册的工作站。

当安装了企业证书授权（Certification Authority ，简称CA），安装就包括了负责注册的计算机。这个计算机允许管理员以特殊用户的身份为用户智能卡请求和安装智能卡登录或智能卡用户证书。注册工作站不提供任何个人化的卡功能，例如创建一个文件结构或设置个人鉴别号（personal identification number ，简称PIN），因为那些是卡特定的功能，并且只可以使用有智能卡制造商提供的特定的软件来进行操作。

这个向导应该由管理员来执行。

注册智能卡证书

这些步骤说明为了注册特定用户的智能卡登录或智能卡用户证书管理员所必须做的工作。

1. 双击桌面上的“Microsoft Internet Explorer”图标。
2. 连接到一个证书机构，在Microsoft Internet Explorer中键入（其中机器名用运行证书发行机构的计算机名取代）。
3. 显示“Microsoft证书服务欢迎”页面。选择“请求一个证书”，单击“下一步”。
4. 显示“选择请求类型”页面。选择“高级请求”，单击“下一步”。
5. 显示“高级证书请求”页面。选择“为另一个使用智能卡注册的计算机请求一个证书”，单击“下一步”。
6. 当初次使用智能卡注册工作站时，会从证书机构服务器上自动下载一个数字签名Microsoft? ActiveX?控件，并且安装在注册计算机上。要使用注册工作站，在“安全警告”对话框中选择“是”来安装控件。
7. 显示“智能卡注册工作站”页面，您必须在提交证书请求之前做下列事情：
   1. 或者选择“智能卡登录”或“智能卡用户” 证书模板。
   2. 选择一个证书机构。
   3. 选择一个加密服务提供者。
   4. 选择一个管理员签字证书。
   5. 选择“用户注册”。
   6. 通过从“智能卡注册工作站”页面下拉列表框中选择相应的条目来完成前三个选项。
8. 当选择了证书模板、证书机构和加密服务提供者后，通过单击“选择证书”选择“管理员签字证书”。将会显示一个对话框，显示可以使用的所有证书列表。从列表中只选择一个证书（如果显示了多个证书），单击“确定”。同时您还可以通过单击“查看证书”来查看证书。单击“取消”表明没有选择任何证书。
9. 选择要注册证书的用户。单击“选择用户”。单击“确定”来完成。
10. 这时您就可以提交证书请求了。单击“注册”。
11. 如果目标智能卡不在智能卡阅读器中，将会显示一个对话框，提醒您插入所请求的智能卡。一旦智能卡插入到智能卡阅读器中，单击“重试”按纽。
12. 作为证书注册步骤的一部分，请求必须是用私有密钥进行数字签名，同时这个私有密钥要与证书请求中包括的公共密钥对应。因为私有密钥安装在智能卡上，数字签名就需要请求的签字者验证卡以确保签字者是智能卡的拥有者（广义上就是私有密钥的拥有者）。键入卡的PIN，单击“确定”。

同时，用户可以通过单击“更改”改变他或她的 PIN。这样会打开一个新的对话框，在这个对话框中用户可以输入新的既包括数字又包括字母的PIN。改变PIN需要用户首先提供旧的PIN以便证实卡的所有权。如果证书机构成功的处理了证书请求，智能卡注册工作站就通知您已经完成了注册，智能卡准备好了。您可以通过单击“查看证书”来查看证书或通过单击“新用户”来指定一个新的用户。

通过智能卡登录

返回页首

一旦客户端正确的配置了一个智能卡阅读器，Windows欢迎对话框就会自动打开。当登录时，用户可以选择插入智能卡，而不是输入用户的用户名和口令。

基于口令的登录要求用户同时按下“Ctrl+Alt+Del”键，以便通知安全注意序列进程（ Secure Attention Sequence ，简称SAS）。对于智能卡登录，用户仅仅需要将智能卡插入到智能卡阅读器中。安全登录进程提示用户输入个人身份号码（PIN），而不是输入典型的用户名、口令和域。

登录到一个已经配置成支持智能卡登录的Windows 2000域

1. 插入Gemplus GemSAFE 或Schlumberger Cryptoflex智能卡，它们包括一个公共密钥证书，这个证书是企业证书机构发布的。（有关公共密钥证书的详细信息，参阅CA指导。）
2. 输入您的个人身份号码（PIN），单击“确定”。

Gemplus GemSAFE（用椭圆形的金属触点表示）的缺省PIN是1234。

Schlumberger Cryptoflex（用方形的金属触点表示）的缺省PIN是00000000。

注意：如果域控制器出现了故障，那么智能卡登录也会 失败，尽管用户先前使用智能卡已经登录到计算机上。如果域控制器仍然可以运行，但是没有正确的证书撤回表（Certificate Revocation List ，简称CRL），那么登录仍然会失败。上面两种情况下的出错信息是一样的：

系统不能让您登录。您的证书不能被验证。

使用智能卡上锁和解锁

锁住计算机（而不是注销）

同时按住“Ctrl+Alt+Del”键，选择“锁住计算机”。

使用智能卡解锁计算机

将智能卡插入到智能卡阅读器中，键入您的PIN。（解锁和用智能卡登录的工作方式一样。）