Windows 证书交互式登录
Windows certificate interactive logon
我正在尝试仅使用证书登录到已加入域的计算机,
我想知道这是否可能,我在智能卡和虚拟智能卡上阅读了分配,两者都需要 ping 代码。
据我了解,kerberos 允许使用 PKI 证书进行身份验证,因此基本问题是否可以仅使用证书将用户登录到域?
谢谢
是的。您需要部署一个可以为用户颁发证书的 CA,并配置 Active Directory 以支持证书身份验证。这涉及在每个域控制器上注册 KDC 证书并向用户颁发证书。用于交互式登录的证书可以存储在智能卡或 TPM 中以用于经典身份验证方案以及使用例如Windows 你好,更现代的场景。
基本流程是这样的:
- 启动证书颁发机构并生成 kerberos/user auth/smart 卡证书模板(Example steps
- 为每个 DC 请求证书以进行 KDC 身份验证
- 为给定用户申请证书(在智能卡上注册证书)
从那里您可以要求基于每个用户的交互式登录证书。有很多关于如何执行此操作的指南,例如上面链接的指南。
我正在尝试仅使用证书登录到已加入域的计算机, 我想知道这是否可能,我在智能卡和虚拟智能卡上阅读了分配,两者都需要 ping 代码。 据我了解,kerberos 允许使用 PKI 证书进行身份验证,因此基本问题是否可以仅使用证书将用户登录到域? 谢谢
是的。您需要部署一个可以为用户颁发证书的 CA,并配置 Active Directory 以支持证书身份验证。这涉及在每个域控制器上注册 KDC 证书并向用户颁发证书。用于交互式登录的证书可以存储在智能卡或 TPM 中以用于经典身份验证方案以及使用例如Windows 你好,更现代的场景。
基本流程是这样的:
- 启动证书颁发机构并生成 kerberos/user auth/smart 卡证书模板(Example steps
- 为每个 DC 请求证书以进行 KDC 身份验证
- 为给定用户申请证书(在智能卡上注册证书)
从那里您可以要求基于每个用户的交互式登录证书。有很多关于如何执行此操作的指南,例如上面链接的指南。