红帽全球峰会3.5. 管理智能卡
您可以使用 Manage Smart Cards 页面执行许多可应用到令牌中存储的加密密钥的操作。
您可以使用此页面格式化令牌,设置和重置卡的密码,并显示卡信息。另外,也可以通过 管理智能卡 页面访问其他两个操作,即注册令牌和查看诊断日志。这些操作在其它部分中解决。
图 3.3. 管理智能卡页面
3.5.1. 格式化智能卡
复制链接链接已复制到粘贴板!
当您格式化智能卡时,它会重置为未初始化的状态。这会删除所有之前生成的用户密钥对,并在注册过程中清除智能卡上设置的密码。
可将 TPS 服务器配置为将 applet 和 symmetric 密钥的新版本加载到卡中。TPS 支持 Red Hat Enterprise Linux 7.9 附带的 CoolKey 小程序。
格式化智能卡:
- 在计算机上插入受支持的智能卡。确定在 Active Smart Cards 表中列出了该卡。
- 在 Manage Smart Cards 屏幕的 Smart Card Function 部分中,单击 。
- 如果为用户身份验证配置了 TPS,请在身份验证对话框中输入用户凭据,然后单击 。
- 在格式化过程中,卡的状态将变为 BUSY,并显示进度条。格式化过程完成后会显示成功信息。单击 以关闭消息框。
- 格式化过程完成后,活动目录智能卡 表会显示卡状态为 UNINITIALIZED。
3.5.2. 重置智能卡密码
复制链接链接已复制到粘贴板!
如果用户在注册卡后忘记智能卡的密码,则可以重置密码。在智能卡中重置密码:
- 在计算机上插入受支持的智能卡。确定在 Active Smart Cards 表中列出了该卡。
- 在 Manage Smart Cards 屏幕的 Smart Card Function 部分中,单击 以显示 Password 对话框。
- 在 Enter new password 字段中输入 一个新的智能卡密码。
- 确认 Re-Enter password 字段中的新的智能卡密码,然后单击 。
- 如果为用户身份验证配置了 TPS,请在身份验证对话框中输入用户凭据,然后单击 。
- 等待密码完成重置。
3.5.3. 查看证书
复制链接链接已复制到粘贴板!
智能卡管理器 可以显示所选智能卡的基本信息,包括存储的密钥和证书。查看证书信息:
- 在计算机上插入受支持的智能卡。确定在 Active Smart Cards 表中列出了该卡。
- 从列表中选择卡,然后单击 。这将显示保存在卡中的证书的基本信息,包括序列号、证书别名和有效期日期。
- 要查看证书的更多详细信息,请从列表中选择证书,然后单击 。
3.5.4. 导入 CA 证书
复制链接链接已复制到粘贴板!
Xulrunner Gecko 引擎实现了对哪些基于 SSL 的 URL (如浏览器或企业安全客户端)访问的严格控制。如果企业安全客户端(通过 Xulrunner 框架)不信任 URL,则无法访问 URL。
信任基于 SSL 的 URL 的一种方法是导入并信任为站点发布证书的 CA 的 CA 证书链。(另一个是为站点创建一个信任 安全例外,如 第 3.5.5 节 “为服务器添加例外” 中所示)。
任何发布智能卡证书的 CA 必须可以被企业安全客户端应用程序信任,这意味着其 CA 证书必须导入到企业安全客户端中。
- 在 Web 浏览器中打开 CA 的最终用户页面。
https://server.example.com:9444/ca/ee/ca/
https://server.example.com:9444/ca/ee/ca/Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 点顶部的 Retrieval 选项卡。
- 在左侧菜单中,单击 Import CA Certificate Chain 链接。
- 选择单选按钮将链下载为文件,并记住下载文件的位置和名称。
- 打开企业安全客户端。
- 单击 按钮。
- 点 Authorities 选项卡。
- 点 Import。
- 浏览到 CA 证书链文件,然后选择它。
- 出现提示时,确认您要信任 CA。
3.5.5. 为服务器添加例外
复制链接链接已复制到粘贴板!
Xulrunner Gecko 引擎实现了对哪些基于 SSL 的 URL (如浏览器或企业安全客户端)访问的严格控制。如果企业安全客户端(通过 Xulrunner 框架)不信任 URL,则无法访问 URL。
信任基于 SSL 的 URL 的一种方法是为站点创建一个信任 安全例外,它会导入站点的证书并强制企业安全客户端识别它。(另一个选项是为站点导入 CA 证书链并自动信任它,如 第 3.5.4 节 “导入 CA 证书” 中所示)。
智能卡可用于通过需要特殊安全例外的 SSL 访问服务或网站;这些例外可通过企业安全客户端配置,类似于在 Mozilla Firefox 等浏览器中为网站配置例外。
- 打开企业安全客户端。
- 单击 按钮。
- 单击 Servers 选项卡。
- 单击 Add Exception。
- 输入 URL,包括用来访问智能卡的站点或服务的端口号。然后单击 按钮,以下载站点的服务器证书。
- 点 将站点添加到允许的站点列表中。
3.5.6. 注册智能卡
复制链接链接已复制到粘贴板!
大多数智能卡都将使用自动注册过程自动注册。您还可以使用 管理智能卡 工具手动注册智能卡。
如果您使用用户密钥对注册令牌,则令牌可用于基于证书的操作,如 SSL 客户端身份验证和 S/MIME。
注意
可将 TPS 服务器配置为在服务器上生成用户密钥对,然后在 DRM 子系统中归档,以便在令牌丢失时进行恢复。
手动注册智能卡:
- 将受支持的、未注册的智能卡插入到计算机中。确定在 Active Smart Cards 表中列出了该卡。
- 单击 以显示 密码 对话框。
- 在 Enter a password 字段中输入一个新密钥密码。在 Re-Enter a password 字段中确认新密码。
- 单击 以开始注册。
- 如果为用户身份验证配置了 TPS,请在身份验证对话框中输入用户凭据,然后单击 。如果 TPS 已配置为将密钥归档到 DRM,注册过程将开始生成和归档密钥。
注册完成后,智能卡的状态会显示为 ENROLLED。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}