Windows-терминалы WTware

1. Берем свежий сервер. Windows 2003 Enterprise SP2. Нужен именно Enterprise, Standart не подойдет (или подойдет?)
Он будет единственным в домене, на нем будет жить контроллер Active Directory и все остальное. Сервер зовут DC.

2. Первый логин.
Add or remove a role
Typical configuration for a first server
Active directory domain name: sc.local
DNS domain name: sc.local
NetBIOS domain name: SC
Do not forward DNS queries

Дальше оно ставится и перегружается. Типа круто, у меня есть AD. Могу зайти администратором домена.

Затем мне нужен IIS, чтоб енролить ключи через веб.
Add or remove a role
Application server (IIS, ASP.NET)
Ставлю галку "Enable ASP .NET"

Затем служба сертификатов.
Start => Settings => Control Panel => Add or Remove Programs => Add/Remove Windows Components => Certification Services. Ругается, что имя домена и компа поменять больше нельзя будет поменять (the machine name and domain membership may not be changed), ну и не надо. Выбираю ставить Enterprise root CA. Спрашивает Common name for this CA, говорю ей scca. Ругается "Ща остановлю IIS". Ругается: "ASP must be enabled ... enable ASP now?" - говорю Yes.

Уфф. Перегружусь для профилактики.

Start => Programs => Administrative Tools => Certification Authority => scca => клик правой кнопкой на Certificate Templates => New => Certificate Template to Issue => Enrollment Agent и затем Smartcard User.

Запускаю эксплорер. Захожу на http://dc/certsrv, логинюсь как Administrator@SC. Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Enrollment Agent.
Submit => Install certificate.
Крута, что-то поставилось.

Ставлю (eToken RTE 3.65) (драйвер ruToken rtDrivers.exe).
Перегружаюсь.

У меня сервер был установлен под VMware. Если вы тоже используете VMware, не пытайтесь использовать ключ с виртуальной машиной через виртуальный USB: это может закончится повреждением ключа. Вместо этого нужно установить драйвер (eToken)(ruToken) на хост-систему.

Запускаю на хост-системе (eToken Properties) (rtCert). Ключ виден, сертификатов в ключе нет.

Запускаю интернетэксплорер. Захожу на http://ip-адрес-сервера/certsrv, логинюсь как Administrator@SC, Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Smartcard user
CSP: (eToken Base Cryptographic Provider) (Aktiv ruToken CSP v1.0)
Submit => Install certificate.
Спрашивает PIN на токен (по умолчанию, PIN для ruToken 12345678). Предупреждает, что центр сертификации неизвестен. Чего-то ставит. "Your new certificate has been successfully installed." (eToken Properties) (rtCert) видит сертификат Administrator@sc.local на ключе!

Запускаю на хост-системе штатный клиент службы терминалов mstsc.exe, ставлю галку Local Resources => Smart cards. Подключаюсь к серверу, и вместо пароля оно спрашивает PIN. Ввожу PIN, и меня пускает на сервер. БЕЗ пароля. Ура, товарищи!

Up: Windows 2008 server ругается, когда я пытаюсь получить сертификат:

Простое решение: internet explorer -> Tools -> Internet Options -> Security -> Custom Level.
Download unsigned ActiveX controls: Enable
Initialize and script ActiveX controls not marked as safe for scripting: Enable

Это потенциальная дыра в безопасности, правильнее было бы научить certsrv работать по HTTPS. Как?

Up2: в Windows 2008R2 у меня не получилось залогиниться по токену со встроенного аккаунта Administrator. Создал другого пользователя, и оно заработало.