通过

虚拟智能卡入门:演练指南

警告

Windows Hello 企业版和 FIDO2 安全密钥是适用于 Windows 的新式双因素身份验证方法。 建议使用虚拟智能卡的客户迁移到 Windows Hello 企业版 或 FIDO2。 对于新的 Windows 安装,建议Windows Hello 企业版或 FIDO2 安全密钥。

本主题面向 IT 专业人员介绍如何设置使用 TPM 虚拟智能卡的基本测试环境。

虚拟智能卡是Microsoft的一项技术,在双因素身份验证和物理智能卡方面提供类似的安全优势。 它们还为用户提供了更多便利,并降低了组织部署成本。 通过使用受信任的平台模块 (TPM) 提供与物理智能卡相同的加密功能的设备,虚拟智能卡可实现智能卡所需的三个关键属性:不可移植性、隔离加密和反锤击。

本分步演练演示如何设置使用 TPM 虚拟智能卡的基本测试环境。 完成本演练后,你将在 Windows 计算机上安装一个功能正常的虚拟智能卡。

你应该能够在不到一小时(不包括安装软件和设置测试域)内完成本演练。

演练步骤

重要提示

此基本配置仅用于测试目的。 它不适用于生产环境。

必备条件

你需要有:

  • 运行具有已安装且功能齐全的 TPM Windows 10 的计算机, (版本 1.2 或版本 2.0)
  • 可以加入上面列出的计算机的测试域
  • 使用完全安装并运行的证书颁发机构访问该域中的服务器 (CA)

步骤 1:创建证书模板

在域服务器上,需要为虚拟智能卡请求的证书创建模板。

创建证书模板

  1. 在服务器上,打开 MICROSOFT 管理控制台 (MMC) 。 执行此操作的一种方法是从“开始”菜单中键入 mmc.exe,右键单击“mmc.exe”,然后选择“以管理员身份运行
  2. 选择“文件>添加/删除管理单元
  3. 在可用的管理单元列表中,选择“证书模板”,然后选择“添加
  4. 证书模板现在位于 MMC 的 控制台根 目录下。 双击它可查看所有可用的证书模板
  5. 右键单击“智能卡登录”模板,然后选择“复制模板
  6. 在“ 兼容性 ”选项卡上的“ 证书颁发机构”下,查看所选内容,并根据需要进行更改
  7. 在“ 常规 ”选项卡上:
    1. 指定名称,例如 TPM 虚拟智能卡登录
    2. 将有效期设置为所需值
  8. 在“ 请求处理 ”选项卡上:
    1. “用途 ”设置为 “签名”和“智能卡登录”
    2. 选择“ 在注册期间提示用户”
  9. 在“ 加密 ”选项卡上:
    1. 将最小密钥大小设置为 2048
    2. 选择“请求必须使用以下提供程序之一”,然后选择“Microsoft基本智能卡加密提供程序
  10. 在“ 安全性 ”选项卡上,添加要授予 注册 访问权限的安全组。 例如,如果要向所有用户授予访问权限,请选择“ 经过身份验证的用户组 ”,然后选择“ 为其注册 权限”
  11. 选择“ 确定” 以完成更改并创建新模板。 新模板现在应显示在证书模板列表中
  12. 选择“ 文件”,然后选择“ 添加/删除管理单元 ”,将证书颁发机构管理单元添加到 MMC 控制台。 当被问及要管理的计算机时,请选择 CA 所在的计算机,可能是 本地计算机
  13. 在 MMC 的左窗格中,展开 “证书颁发机构 (本地) ”,然后在“证书颁发机构”列表中展开 CA
  14. 右键单击“证书模板”,选择“新建”,然后选择“要颁发的证书模板
  15. 从列表中,选择 (TPM 虚拟智能卡登录) 创建的新模板,然后选择“ 确定”

注意

模板复制到所有服务器并在此列表中可用可能需要一些时间。

  1. 模板复制后,在 MMC 中,右键单击“证书颁发机构”列表,选择“ 所有任务”,然后选择“ 停止服务”。 然后,再次右键单击 CA 的名称,选择“ 所有任务”,然后选择“ 启动服务”。

步骤 2:创建 TPM 虚拟智能卡

在此步骤中,将使用命令行工具Tpmvscmgr.exe在客户端计算机上创建虚拟智能

创建 TPM 虚拟智能卡

  1. 在已加入域的计算机上,使用管理凭据打开命令提示符窗口。
  2. 在命令提示符处,键入以下内容,然后按 Enter:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

这会创建名为 TestVSC 的虚拟智能卡,省略解锁密钥,并在卡上生成文件系统。 PIN 设置为默认值,12345678。

  1. 等待几秒钟以完成该过程。 完成后,Tpmvscmgr.exe 会提供 TPM 虚拟智能卡的设备实例 ID。 存储此 ID 以供以后参考,因为需要它来管理或删除虚拟智能卡。 若要提示输入 PIN,可以键入 /pin 提示符,而不是 /pin 默认值

有关 Tpmvscmgr 命令行工具的详细信息,请参阅 使用虚拟智能卡Tpmvscmgr

步骤 3:在 TPM 虚拟智能卡上注册证书

虚拟智能卡必须使用登录证书进行预配,才能使其完全正常运行。

注册证书

  1. 通过在“开始”菜单上键入 certmgr.msc 打开“证书”控制台
  2. 右键单击“个人”,选择“所有任务”,然后选择“请求新证书
  3. 按照提示操作,在提供模板列表时,选择“TPM 虚拟智能卡登录检查”框, (或在步骤 1)
  4. 如果系统提示输入设备,请选择与在上一部分中创建的虚拟智能卡对应的Microsoft。 它显示为 标识设备 (Microsoft 配置文件)
  5. 输入创建 TPM 虚拟智能卡时建立的 PIN,然后选择“确定”
  6. 等待注册完成,然后选择“完成

虚拟智能卡现在可用作登录域的替代凭据。 若要验证虚拟智能卡配置和证书注册是否成功,请注销当前会话,然后登录。 登录时,你将在“安全桌面 (登录) ”屏幕上看到新的 TPM 虚拟智能卡图标,或者会自动定向到“TPM 智能卡登录”对话框。 选择图标,根据需要) 输入 PIN (,然后选择“ 确定”。 应已登录到域帐户。

另请参阅