共用方式為

開始使用虛擬智慧卡:逐步解說指南

警告

Windows Hello 企業版 和 FIDO2 安全性金鑰是適用於 Windows 的新式雙因素驗證方法。 建議使用虛擬智慧卡的客戶移至 Windows Hello 企業版 或 FIDO2。 針對新的 Windows 安裝,建議您 Windows Hello 企業版 或 FIDO2 安全性密鑰。

本主題適用於 IT 專業人員,說明如何設定使用 TPM 虛擬智慧卡的基本測試環境。

虛擬智慧卡是來自Microsoft的技術,可在雙因素驗證與實體智慧卡中提供類似的安全性優點。 它們也會為使用者提供更便利的功能,併為組織提供較低的部署成本。 藉由使用信賴平臺模組 (TPM) 提供與實體智慧卡相同密碼編譯功能的裝置,虛擬智慧卡可完成智慧卡所需的三個主要屬性:不可導出、隔離的密碼編譯和反哈希。

本逐步解說說明如何設定使用 TPM 虛擬智慧卡的基本測試環境。 完成本逐步解說之後,您會在 Windows 電腦上安裝功能虛擬智慧卡。

您應該能夠在一小時內完成此逐步解說,但不包括安裝軟體和設定測試網域。

逐步解說步驟

重要

此基本組態僅供測試之用。 它不適合用於生產環境。

必要條件

您將需要:

  • 執行 Windows 10 且已安裝且功能完整的 TPM (1.2 版或 2.0 版的電腦)
  • 可加入上述計算機的測試網域
  • 使用完整安裝和執行的證書頒發機構單位存取該網域中的伺服器, (CA)

步驟 1:建立證書範本

在網域伺服器上,您必須為您要求虛擬智慧卡的憑證建立範本。

建立證書範本

  1. 在您的伺服器上,開啟 Microsoft Management Console (MMC) 。 其中一個方法是從 [開始] 功能表輸入 mmc.exe,以滑鼠右鍵按兩下 [mmc.exe],然後選取 [以系統管理員身分執行]
  2. 取檔案>新增/移除嵌入式管理單元
  3. 在可用的嵌入式管理單元清單中,選取 [ 證書範本],然後選取 [ 新增]
  4. 證書範本現在位於 MMC 的控制台根 目錄底下。 按兩下以檢視所有可用的證書範本
  5. 以滑鼠右鍵按兩下 [智慧卡登入 ] 範本,然後選取 [ 複製範本]
  6. 在 [ 兼容性] 索 引卷標的 [ 證書頒發機構單位] 下,檢閱選取專案,並視需要加以變更
  7. 在 [ 一般] 索引 標籤上:
    1. 指定名稱,例如 TPM 虛擬智慧卡登入
    2. 將有效期間設定為所需的值
  8. 在 [ 要求處理] 索引 標籤上:
    1. 將 [ 目的] 設定為 [簽章] 和 [智慧卡登入]
    2. 取 [註冊期間提示使用者]
  9. 在 [ 密碼編譯] 索引 標籤上:
    1. 將金鑰大小下限設定為 2048
    2. 取 [要求必須使用下列其中一個提供者],然後選 取 [Microsoft Base Smart Card Crypto Provider]
  10. 在 [ 安全性] 索引標籤上,新增您想要授與 註冊 存取權的安全組。 例如,如果您想要授與所有使用者的存取權,請選取 [已驗證的使用者 ] 群組,然後選取 [ 註冊 其許可權]
  11. 選取 [確定 ] 以完成您的變更並建立新的範本。 您的新範本現在應該會出現在證書範本清單中
  12. 取 [檔案],然後選取 [新增/移除嵌入式 管理單元],將證書頒發機構單位嵌入式管理單元新增至您的 MMC 控制台。 當系統詢問您想要管理哪部計算機時,請選取 CA 所在的計算機,可能是 本機計算機
  13. 在 MMC 的左窗格中,展開 [ 證書頒發機構單位] ([本機) ],然後在 [證書頒發機構單位] 清單中展開您的 CA
  14. 以滑鼠右鍵按兩下 [ 證書範本],選取 [ 新增],然後選取 [要發出的證書範本]
  15. 從清單中,選取您 (TPM 虛擬智慧卡登 入) 建立的新範本,然後選取 [ 確定]

注意

範本可能需要一些時間才能復寫到所有伺服器,並可在此清單中使用。

  1. 在範本複寫之後,在 MMC 中,以滑鼠右鍵按兩下 [證書頒發機構單位] 清單,選取 [ 所有工作],然後選取 [ 停止服務]。 然後,再次以滑鼠右鍵按兩下 CA 的名稱,選取 [ 所有工作],然後選取 [ 啟動服務]

步驟 2:建立 TPM 虛擬智慧卡

在此步驟中,您會使用命令列工具在用戶端電腦上建立虛擬智慧卡, Tpmvscmgr.exe

建立 TPM 虛擬智慧卡

  1. 在已加入網域的計算機上,使用系統管理認證開啟 [命令提示字元] 視窗。
  2. 在命令提示字元中輸入下列命令,然後按 ENTER:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

這會建立名稱為 TestVSC 的虛擬智慧卡、省略解除鎖定密鑰,並在卡片上產生文件系統。 PIN 會設定為預設值,12345678。

  1. 等候數秒,讓程式完成。 完成時,Tpmvscmgr.exe 會為您提供 TPM 虛擬智慧卡的裝置實例識別碼。 儲存此標識碼以供稍後參考,因為您需要它來管理或移除虛擬智慧卡。 若要提示輸入 PIN,您可以輸入 /pin 提示,而不是 /pin 預設值。

如需 Tpmvscmgr 命令行工具的詳細資訊,請 參閱使用虛擬智慧卡Tpmvscmgr

步驟 3:在 TPM 虛擬智慧卡上註冊憑證

虛擬智慧卡必須使用登入憑證布建,才能完全正常運作。

註冊憑證

  1. 在 [開始] 功能表上輸入 certmgr.msc 以開啟憑證控制台
  2. 以滑鼠右鍵按兩下 [個人],選取 [ 所有工作],然後選取 [要求新憑證]
  3. 遵循提示,並在提供範本清單時,選取 [ TPM 虛擬智慧卡登 入] 複選框 (或您在步驟 1 中命名範本的任何專案)
  4. 如果系統提示您輸入裝置,請選取Microsoft虛擬智慧卡,其對應於您在上一節中建立的虛擬智慧卡。 它會顯示為 身分識別裝置 (Microsoft 設定檔)
  5. 輸入您建立 TPM 虛擬智慧卡時所建立的 PIN,然後選取 [ 確定]
  6. 等候註冊完成,然後選取 [ 完成]

虛擬智慧卡現在可用來作為登入網域的替代認證。 若要確認虛擬智慧卡設定和憑證註冊是否成功,請註銷目前的會話,然後登入。 當您登入時,您會在安全桌面 (登入) 畫面上看到新 TPM 虛擬智慧卡的圖示,或是自動導向至 [TPM 智慧卡登入] 對話框。 選取圖示,視需要輸入 PIN () ,然後選取 [ 確定]。 您應該登入您的網域帳戶。

請參閱