为 Web Studio 设置智能卡身份验证

June 2, 2026

投稿者:

本文概述了为 Web Studio 设置和启用智能卡身份验证所需的步骤：

步骤 1：安装智能卡驱动程序

步骤 2：为智能卡用户颁发证书

步骤 3：为智能卡用户注册证书

Step 4: Configure Web Studio IIS servers

步骤 5（可选）：为 Web Studio 配置身份验证委派

步骤 6：为 Web Studio 启用智能卡身份验证

注意：

智能卡身份验证仅支持与 Web Studio 服务器位于同一 Active Directory 域中的用户。

步骤 1：安装智能卡驱动程序

在以下计算机上安装智能卡驱动程序：

在其中安装了证书服务的域控制器。
网络工作室服务器
最终用户用于访问 Web Studio 的计算机
用于为智能卡用户注册证书的计算机

智能卡驱动程序因供应商而异。例如，如果使用 ITS 提供的智能卡硬件，请从 https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers 下载 SaftNet 驱动程序。

步骤 2：为智能卡用户颁发证书

注意：

以下步骤作为示例提供，旨在指导您完成此过程。

在您的域控制器上，按照以下步骤完成任务：

访问您的域控制器并打开 证书颁发机构。
复制 注册代理 模板。详细步骤如下：
1. 右键单击 证书模板 并选择管理。
2. 右键单击 注册代理 并选择 复制模板。
3. 在 使用者名称 选项卡上，确保未选中 在使用者名称中包含电子邮件。
4. 在加密选项卡上，选择 Microsoft Base Smart Card Crypto Provider，然后单击确定。名为 注册代理副本 的模板将显示在 证书模板 列表中。
为智能卡进行证书颁发。详细步骤如下所示：
1. 右键单击 证书模板，然后选择 新建 > 要颁发的模板。
2. 选择 注册代理副本 和 智能卡用户。
3. 单击确定。

步骤 3：为智能卡用户注册证书

注意：

以下步骤仅作为示例提供，以指导您完成整个过程。

在已加入域的物理 Windows 计算机上，按照以下步骤为每张智能卡注册证书：

准备一台用于注册的已加入域的物理 Windows 计算机：
1. 确保已安装智能卡驱动程序。
2. 将智能卡插入计算机。
3. 使用要分配给智能卡的用户帐户登录到计算机。
将证书管理单元添加到在步骤 1 中准备的计算机上。详细步骤如下：
1. 打开 mmc。
2. 点击“文件”，然后点击“添加/删除管理单元”。
3. 在出现的“添加或删除管理单元”窗口中，选择“证书”，然后点击“添加 >”。
4. 在出现的对话框中，选择“我的用户帐户”，然后点击“完成”。
5. 点击“确定”。
为“证书”管理单元请求新证书。详细步骤如下：
1. 转到“证书 - 当前用户 > 个人”，右键点击“证书”，然后选择“所有任务 > 请求新证书”。
2. 在出现的“请求证书”对话框中，选择“注册代理副本”和“智能卡用户”。
3. 在上述对话框中，点击“智能卡用户”的“详细信息”，然后点击“属性”。此时将显示“证书属性”对话框。
4. 在“私钥”选项卡上，展开“加密服务提供程序”，清除“Microsoft 强加密服务提供程序(加密)”，仅选择“Microsoft 基本智能卡加密服务提供程序(加密)”，然后点击“确定”。
5. 点击“注册”。
6. 在出现的“Windows 安全”对话框中，输入智能卡 PIN 码，然后点击“确定”。注册完成后，点击“完成”。

成功注册后，两个证书将显示在 证书 - 当前用户 -> 个人 -> 证书 下，如下图所示。管理证书模板

步骤 4：配置网络工作室 IIS 服务器

在每个 Web Studio 服务器上，按照以下步骤配置 IIS 以进行智能卡身份验证：

为 Web Studio 计算机启用 客户端证书映射身份验证。

在 IIS 7 及更高版本的默认安装中，<clientCertificateMappingAuthentication> 元素不可用。有关安装和启用的更多信息，请参阅这篇 Microsoft 文章。
在 Web Studio 计算机上启动 IIS 管理器。
为计算机启用 Active Directory 客户端证书身份验证。详细步骤如下：
1. 在左侧窗格中选择计算机，然后双击 Authentication。
2. 启用 Active Directory 客户端证书身份验证。
为 Web Studio 后端模块配置更安全的 HTTPS 协议以及客户端证书身份验证：
1. 转到 站点 > 默认网站 > Studio > 后端 > 智能卡，然后双击 IIS 部分中的 SSL 设置。
2. 选择要求用于客户端证书。
3. 返回到站点 > 默认网站 > Studio > 后端 > 智能卡，然后双击IIS部分中的配置编辑器。
4. 请确保 客户端证书映射身份验证 已启用。
(仅限 Windows 2022) 禁用通过 TCP 的 TLS 3.1。详细步骤如下：
1. 转到站点 > 默认网站。
2. 单击编辑站点 > 绑定。
3. 在出现的站点绑定对话框中，选择https记录，然后单击编辑。
4. 在出现的编辑站点绑定对话框中，选择禁用通过 TCP 的 TLS 1.3，然后单击确定。

须知：

Web Studio 后端是 Web Studio 中的一个模块，提供以下功能：

智能卡身份验证。
使用集成 Windows 身份验证从编排服务检索 FMA 持有者令牌。

步骤 5（可选）为 Web Studio 配置身份验证委派

当 Web Studio 和交付控制器安装在不同的服务器上时，您必须为每个 Web Studio 服务器配置到交付控制器的委派，以用于 HOST 和 HTTPS 服务。

请按照以下步骤为每个 Web Studio 服务器完成此任务：

导入交付控制器编排 HTTPS 证书
为 Web Studio 服务器配置委派
（可选）为 Web Studio IIS 服务器的服务帐户配置委派

导入交付控制器编排 HTTPS 证书

在 Web Studio 服务器上，将 Delivery Controller 编排 HTTPS 证书导入到受信任的根证书颁发机构。详细步骤如下：

启动 设置 > 管理计算机证书。
右键单击受信任的根证书颁发机构 > 证书，然后选择所有任务 > 导入。
按照屏幕上的说明导入 交付控制器编排 HTTPS 证书。

为 Web Studio 服务器配置委派

在域控制器上，为 Web Studio 服务器配置到 Delivery Controller 的 HOST 和 HTTP 服务委派。请按照以下步骤完成此任务：

在域控制器上，启动 Active Directory 管理中心。
找到您要为其配置委派的 Web Studio 服务器的计算机帐户（例如，Dan002）。
右键单击该帐户，选择属性，然后完成以下步骤：
1. 转到委派选项卡。
2. 选择只信任此用户，以便委派给指定服务 > 使用任何身份验证协议。
3. 单击添加以指定此计算机帐户可以委派给哪些服务。
4. 在出现的添加服务对话框中，单击添加用户或计算机以查找 Delivery Controller 的计算机名称（例如，Dan001）。
5. 选择 HOST 和 HTTP 服务，然后单击确定。

配置结果显示在以下屏幕截图中。管理证书模板

（可选）为 Web Studio IIS 服务器的服务帐户配置委派

如果您已为 Web Studio IIS 服务器配置了服务帐户，则还需要为此服务帐户配置到 Delivery Controller 的 HOST 和 HTTP 服务委派。建立此委派后，Web Studio 服务器可以使用其服务帐户模拟当前智能卡用户，以访问 Delivery Controller 的 HOST 和 HTTP 服务。请按照以下步骤完成配置：

在域控制器上，启动 Active Directory 管理中心。
找到您要为其配置委派的 Web Studio IIS 服务器（服务帐户）的用户帐户（例如，svr-stud-002）。
右键单击该帐户并选择属性。
按照为 Web Studio 服务器配置委派的第 3 步中描述的步骤，将 Web Studio IIS 服务器的服务帐户委派给 Delivery Controller，用于 HOST 和 HTTP 服务。

配置的结果被展示在以下屏幕截图中。

管理证书模板