VMware View中智能卡和證書身份驗證

時間 2020-01-31

原文原文鏈接

智能卡一般用於受信的 Web 訪問、××× 訪問、Windows 登陸和數字簽名。智能卡是一種防篡改的小型計算機，它包含一個 CPU 和必定容量的非易失性存儲，可用做公鑰證書與關聯密鑰的結合點。實現智能卡身份驗證須要的組件包括：

證書
中間件
智能卡或 USB 智能卡令牌
智能卡讀卡器

智能卡提供一種不一樣於通常密碼的用戶身份驗證方式。採用智能卡身份驗證方式時，您須要將智能卡插入智能卡讀卡器中，而後輸入一個 PIN 碼（一般爲四到八位）。客戶端計算機使用證書來接受 Active Directory 的身份驗證。這種類型的身份驗證既驗證用戶持有的憑證（智能卡），又驗證用戶知曉的信息（智能卡 PIN 碼），以此確認用戶的身份。這種驗證方式稱做「二元身份驗證」。

當您將智能卡插入到與 Windows 計算機鏈接的讀卡器中時，智能卡中的證書便會註冊到客戶端計算機上的本地證書存儲中。用戶計算機上運行的全部應用程序（包括 View Client）都可使用該計算機上存儲的全部證書。

若要查看證書列表，請轉到「開始」>「設置」>「控制面板」>「Internet 選項」>「內容」>「證書」，而後查看「我的」選項卡下的內容。或者，在 Internet Explorer 中，轉到「工具」>「Internet 選項」>「內容」>「證書」。這些證書具備不少複雜的屬性。若要查看這些屬性，請選擇一個證書，而後單擊「查看」。

智能卡概述

若要在任意一臺 Windows 計算機上使用智能卡，您首先須要安裝智能卡中間件，以使 Windows 可以與智能卡交互。這些模塊會安裝一些加密庫，用做操做系統與智能卡之間的中介。

您須要爲 Windows 安裝一個修補程序，該修補程序用來提供 Microsoft Base Smart Card Cryptographic Service Provider ( http://support.microsoft.com/kb/909520)。

有一個可選的軟件組件一般會有所幫助，那就是 ActivIdentity 開發的 ActivClient 軟件套件 ( http://www.actividentity.com)。這是一款商業產品，提供一些有助於與智能卡交互的工具，以及用於 ActivIdentity 智能卡的另外一種加密服務提供程序 (CSP)。

使用 CSP，您能夠選擇使用 Microsoft 或第三方加密提供程序來處理加密和證書管理工做。最經常使用的加密提供程序有：

Microsoft 加密服務提供程序
第三方加密提供程序

智能卡芯片就如同嵌入在卡中的一個微型計算機同樣，自身帶有內存。這些加密卡實現了公鑰基礎架構 (PKI) 證書及密鑰的安全存儲。各家制造商共提供一千多種智能卡，每一種都有本身的中間件或應用程序。

使用智能卡接受 Windows 的身份驗證

Windows 登陸屏幕內置智能卡支持，不過，即便讀卡器中已有智能卡存在，它也會等待用戶從新插卡。Windows 會等待智能卡讀卡器在發生特定事件時（即插入智能卡時）向它發出通知。插卡後，會顯示一個要求輸入 PIN 碼的對話框。用戶輸入 PIN 碼後，Windows 便讓用戶登陸系統。

獲取和管理證書

在將新證書存入智能卡以前，您能夠檢查該卡是否已有任何證書。例如，若是您有 Gemalto 讀卡器和 Gemalto 智能卡，請轉到 https://www.netsolutions.gemalto.com/CertManagement.aspx，使用這個基於 Web 的應用程序查看有關現有證書的信息。對於 ActivClient 支持的卡和讀卡器，請使用 ActivClient 軟件對卡進行檢查。

搭建註冊站

爲了將證書安裝到智能卡中，首先必須設置一臺 Windows 計算機（或虛擬機）做爲註冊站。爲此，您須要以管理員的身份受權此計算機爲任意用戶頒發智能卡。此計算機必須是做爲證書頒發對象的域的成員。

Microsoft 證書註冊

您須要知足如下前提條件才能將證書安裝到智能卡中：

在主域控制器上安裝 Microsoft 企業證書管理中心 (CA)
在主域控制器上安裝並啓用 Microsoft Internet Information Server
爲智能卡登陸啓用 Microsoft CA 證書模板
在註冊工做站上安裝智能卡中間件
在註冊工做站上的 Internet Explorer Web 瀏覽器中啓用 ActiveX
用於申請證書的用戶賬戶有權向 CA 提出申請

以上前提條件知足後，請按如下步驟進行註冊。

訪問 https://<域_服務器_IP 地址>/certsrv 進行證書註冊。
輸入用於訪問網頁的用戶名和密碼。
單擊「申請一個證書」。
單擊「高級證書申請」。
單擊「建立並向此 CA 提交一個申請」。
在「證書模板」下拉菜單中，選擇「智能卡登陸」。

若是「智能卡登陸」模板沒有列出，則說明您還沒有將「智能卡登陸」模板做爲一個選項添加到您的 CA 中，或者您無權頒發「智能卡登陸」證書。

在「CSP」下拉菜單中，選擇與您已安裝的智能卡中間件對應的 CSP。
全部其餘選項均是可選的。如果首次測試，這些選項均設置爲最上方的默認值，請保留勿動。
將智能卡插入到智能卡讀卡器中，而後單擊「提交」以將申請發送至 CA，CA 將生成密鑰和證書。
系統提示輸入智能卡的 PIN 碼時，請予以輸入。
當您看到新證書已成功安裝的通知時，請單擊「完成」。

在客戶端計算機上測試和使用智能卡前，您必須先在此客戶端上安裝根證書和證書鏈的一份副本。您能夠從如下地址下載根證書和證書鏈：https://<域_服務器_IP 地址>/certsrv。該步驟不須要使用智能卡。

請按如下步驟下載 CA 根證書和證書鏈。

訪問 https://<域_服務器_IP 地址>/certsrv 進行證書註冊。
輸入用於訪問網頁的用戶名和密碼。
單擊「下載 CA 證書、證書鏈或 CRL」（CRL 表明「證書吊銷列表」）。
單擊右上方的「安裝此 CA 證書鏈」連接。
單擊「肯定」確認下載證書。

下載根證書和證書鏈以後，您就能夠開始使用智能卡了。

上述步驟的目的是使用 Microsoft CA 進行評估和測試。您可使用其餘 CA 實現一樣目的，但具體步驟各異。有關其餘證書註冊步驟，請參見《VMware View Manager 管理指南》。

VMware View 中的證書身份驗證

您能夠不將根證書保存到 Microsoft 證書存儲中，而是保存到一個文件中，以後可使用 keytool 命令將該文件導入到 View Connection Server 中。keytool 命令是 Java runtime (JRE) 庫的組成部分，爲要在 View Connection Server 中使用的根證書建立信任存儲區。

下一步是在 View Administrator（https://<View Manager 的 IP 地址>/admin）中啓用智能卡身份驗證。有關更多配置詳細信息，請參見《VMware View Manager 管理指南》。

爲啓用智能卡身份驗證，請在「View Servers」（View 服務器）區域中選擇 View 服務器實例，並將「Smart card authentication」（智能卡身份驗證）下拉菜單設置爲「Required」（必需）或「Optional」（可選）。

Required （必需） — 用戶只有在採用智能卡身份驗證的狀況下才能進行鏈接。若是未檢測到智能卡，View Client 將退出。
Optional （可選） — 用戶可使用智能卡身份驗證進行鏈接，但也能夠採用密碼身份驗證。若是用戶使用智能卡身份驗證方式未能經過驗證，則可改用密碼身份驗證。

客戶端系統須要如下硬件和軟件：

View Client
智能卡中間件
具備有效證書的智能卡
智能卡讀卡器

使用智能卡接受 View Connection Server 的身份驗證以後，用戶必須輸入 View 桌面的用戶名和密碼登陸憑據才能鏈接到該桌面。

將證書存儲在本地系統中

將證書安裝到本地計算機上要遠比使用智能卡簡單，但在安全性方面卻不如後者。請按照第 3 頁上的「Microsoft 證書註冊」中的一樣步驟，訪問 https://<域_服務器_IP 地址>/certsrv 並申請一個證書。完成後，請單擊「安裝此證書」。證書隨即使會安裝到您的計算機上，而且您能夠轉到「開始」>「設置」>「控制面板」>「Internet 選項」>「內容」>「證書」，而後在「我的」選項卡下查看此證書。

View Client for Windows 中的證書身份驗證行爲

View Client 3.x for Windows 的默認行爲是使用計算機上第一個有效的證書而不進行提示，即便存在多個有效證書也不例外。若要將 View Client for Windows 配置爲提示用戶選擇證書，必須將 ShowCertificateSelectDialog 組策略對象設置爲 True。不過，進行更改後，即便計算機上僅有一個證書，Windows 也會提示用戶選擇證書。

View 3.x 中的身份驗證選項

您能夠根據須要的安全性強度，在 VMware View 中如下各類身份驗證方法之間進行選擇：

密碼身份驗證
證書身份驗證
RSA Secure ID（一次性密碼）
View 3.x 目前尚不支持 RADIUS 身份驗證。

密碼身份驗證

此默認登陸方法使用標準的域用戶名和密碼。爲登陸 View Connection Server，用戶須要在出現登陸提示時輸入 Microsoft Windows 憑據以驗證身份，這樣他們才能訪問虛擬桌面。

證書身份驗證

若要使用智能卡或採用 USB 密鑰形式的智能卡令牌但客戶端系統在默認狀況下不支持此方法，則必須在客戶端系統上安裝相應的中間件。當用戶使用 RDP 協議進行鏈接時，系統會將智能卡讀卡器重定向到 View 桌面，但用戶必須再次輸入 PIN 碼以接受 View 桌面的身份驗證。

VMware View 3.x 與同 Windows PC/SC 兼容的智能卡讀卡器兼容。View Client 檢測到智能卡讀卡器和卡後，會提示用戶輸入 PIN 碼。

Connection Server 會列出用戶有權使用的桌面。用戶需單擊「Connect」 (鏈接），而後鍵入桌面憑據以登陸相應桌面。

RSA Secure ID

RSA Secure ID 是一次性密碼 (OTP) 令牌的一種形式。本文不提供有關使用 OTP 令牌的詳細信息。有關如何配置 RSA 令牌的詳細信息，請參見 RSA 網站上的《RSA SecurID Ready Implementation Guide for VMware View Manager 3》（適用於 VMware View Manager 3 的 RSA SecurID 快速實施指南）。

總結

證書身份驗證是一種經常使用的安全控制措施，用以進行訪問控制、執行安全策略、實施網絡隔離、施加設備限制和保障數據安全。
證書能夠 PVC 智能卡或 USB 密鑰爲載體，也可存放於本地系統中。在 Windows 上，View Client 會訪問一個列表，該列表中包含計算機上安裝的全部證書以及智能卡提供的證書。
VMware View 3 是一種企業級鏈接代理，可在遠程客戶端與集中式虛擬桌面之間實現安全鏈接。View Manager 3 須要且支持 SSL 加密鏈接。它支持單點登陸。此外，它支持採用證書身份驗證和 RSA Secure ID 身份驗證。這兩種方法提供二元身份驗證，經過 ADAM 與 Active Directory 徹底集成，可對筆記本電腦或桌面 PC 實施嚴格的安全策略。

©著做權歸做者全部：來自51CTO博客做者中國雲夢的原創做品，如需轉載，請註明出處，不然將追究法律責任