使用飞天epass3000登录XD55虚拟桌面的配置步骤 v20.docx

使用飞天epass3000登录XD55虚拟桌面的配置步骤 v20.docx

《使用飞天epass3000登录XD55虚拟桌面的配置步骤 v20.docx》由会员分享，可在线阅读，更多相关《使用飞天epass3000登录XD55虚拟桌面的配置步骤 v20.docx（36页珍藏版）》请在冰点文库上搜索。

使用飞天epass3000登录XD55虚拟桌面的配置步骤v20

测试环境：

1.AD+CA：

Windows2003R2X86

2.DDC+WI：

Windows2008R2X64安装版本为5.5

3.虚拟桌面：

WindowsXPSP3

4.客户端：

WindowsXPSP3

备注：

测试环境中的各VM在创建完成后，需提前加入域，此步以后不再赘述

目录

一．域控的配置3

1.1安装域控3

1.2配置IIS服务器3

1.3配置CA服务器4

1.4申请注册代理证书9

二．客户端配置13

2.1安装epass3000的驱动13

2.2初始化epass300013

三．申请智能卡证书（给智能卡写入用户）13

四．尝试使用智能卡登录客户端16

五．DDC的配置16

5.1安装XenDesktop5.516

5.2发布桌面16

5.3启用USB策略16

5.4设置信任XML服务17

5.5证书安装与绑定17

5.5.1Win2008的配置方法（WI）17

5.5.2Win2003的配置方法（WI）20

六．VDA的配置22

6.1安装VDA22

6.2安装epass3000驱动22

6.3修改注册表22

七．尝试使用智能卡登录虚拟桌面22

7.1导入.adm并设置22

7.2WI站点修改为SmartCard24

7.3尝试使用智能卡登录虚拟桌面24

一．域控的配置

1.1安装域控

详细步骤<略>

1.2配置IIS服务器

第一步，打开添加或删除程序，单击添加/删除Windows组件

第二步，选择‘应用程序服务器’后单击‘详细信息’，选择‘ASP.NET’、‘Internet信息服务（IIS）’与‘启用网络COM+访问’后单击‘确定’，依次单击‘下一步’完成应用程序服务器的添加

第三步，打开‘Internet信息服务（IIS）管理器’，选中‘Web服务扩展’后，在右侧选中‘ActiveServerPages’后右键选择‘允许’，将‘ActiveServerPages’设置为允许。

1.3配置CA服务器

第一步，打开添加或删除程序，单击添加/删除Windows组件

第二步，选择‘证书服务’后，单击‘下一步’

第三步，在CA类型界面，选择‘企业根CA’后，单击‘下一步’

第四步，在CA识别信息界面，输入此CA的公用名称后，单击‘下一步’

第五步，在证书数据库设置界面，单击‘下一步’

在弹出的对话框中，单击‘是’后继续配置组件

第八步，打开证书颁发机构，选中‘证书模板’后右键选择‘新建—要颁发的证书模板’，打开‘启用证书模板界面’

第九步，选中‘智能卡用户’、‘智能卡登录’、‘注册代理’、及‘注册代理（计算机）’后点击确定，返回证书颁发机构界面

1.4申请注册代理证书

第一步，运行mmc程序进入控制台管理，单击‘文件—添加/删除管理单元’

第二步，如下图，添加证书后单击确定

第三步，点击确定后返回

第四步，选中‘个人’，右键选择‘所有任务—申请新证书’

第五步，在证书申请向导界面，单击下一步

第六步，选中‘注册代理’后单击下一步

第七步，输入名称后单击下一步

第八步，单击完成，完成证书申请

二．客户端配置

2.1安装epass3000的驱动

<略>

2.2初始化epass3000

第一步，执行PKIInit.exe，依据提示输入y完成

第二步，执行ePassNgMgr.exe，单击‘初始化令牌’进行初始化

备注：

Epass2000的用户PIN码：

12345678，管理员PIN码：

entersafe

Epass3000的用户PIN码：

1234，管理员PIN码：

rockey

三．申请智能卡证书（给智能卡写入用户）

第一步，运行IE，在地址栏输入http:

//ADIP/certsrv，输入账号密码后出现证书服务界面，单击‘申请一个证书’

第二步，单击‘高级证书申请’

第三步，单击‘通过使用智能卡证书注册站来为另一个用户申请一个智能卡证书’

第四步，选择如下图，先选择一个用户，然后单击注册

第五步，输入用户PIN码后，单击确定

第六步，注册成功如下图，可关闭IE

四．尝试使用智能卡登录客户端

准备一台加入域的PC，在PC上安装UKEY的驱动程序，勾选启用登陆系统的选项。

重启PC，在登录的时候选择使用智能卡登陆，插入智能卡，系统应该会给出输入PIN码的框，测试确认此UKEY可以用来登陆PC的操作系统。

五．DDC的配置

5.1安装XenDesktop5.5

详细步骤<略>

5.2发布桌面

<略>

5.3启用USB策略

策略一：

用户—USB设备—客户端USB设备重定向—允许

策略二：

用户—USB设备—客户端USB设备重定向规则

新建内容为：

ALLOW:

class=00subclass=00

ALLOW:

VID=096EPID=0401

备注：

class、subclass、VID、PID通过usbview查看

5.4设置信任XML服务

打开powershell，执行如下命令：

Asnpcitrix.*

Set-BrokerSite–TrustRequestsSentToTheXmlServicePort$True

5.5证书安装与绑定

5.5.1Win2008的配置方法（WI）

第一步，Web服务器IIS添加角色服务：

‘客户端证书映射身份验证’

第二步，在IIS中，选中‘服务器名称’，双击‘身份验证’

启用‘ActiveDirectory客户端证书身份验证’

第三步，在IIS中，双击‘服务器证书’

在右侧操作下单击‘创建域证书’

通用名称出输入服务器的FQDN，其他随意，单击下一步

选择企业根证书后，输入名称，单击完成

第四步，如下图进行添加网站绑定

验证：

在测试机上使用类似https:

//xd56.xen.local/网址的https协议网址访问WI，确保用户名密码能够正常登录WI，确保能够正常登录虚拟桌面。

5.5.2Win2003的配置方法（WI）

第一步，打开IE，输入http:

//ADIP/certsrv，输入账号密码后出现证书服务界面，依次选择‘申请一个证书’--‘高级证书申请’--‘创建并向此CA提交一个申请’

第二步，

证书模板：

Web服务器

用于脱机模板的失败信息中的姓名：

WI的FQDN

密钥选项：

选择‘将证书保存在本地计算机存储中’

其他选项中的好记的名称：

WI的FQDN

其他空白

然后点击提交—安装证书，关闭IE

第三步，启用‘EnabletheWindowsdirectoryservicemapper’

第四步，配置默认站点使用SSL

第五步，单击服务器证书—Next—Assignanexistingcertificate—选择上面操作的证书

根据提示完成后续。

5.6配置WI的WebInterface.conf

WebInterface.conf文件默认位置为WI服务器C:

\Inetpub\wwwroot\Citrix\DesktopWeb\Conf下.

配置参数：

ShowDesktopViewer=Off

此种方式连接虚拟桌面，GINA出现后，需要重新拔插UKey，才能弹出PIN码输入框。

验证：

点击虚拟桌面的图标后，DesktopViewer会全屏方式打开，接着会出现如下的登录对话框。

注意那个圆圈的地方，这表明USB映射和识别是成功的。

在此屏幕等几秒钟，如果Pin码输入框没有出现，拔插一下UKEY，拼吗输入框应该在几秒钟后出现。

5.7WI站点修改为SmartCard方式登录

这里最好能够新建立一个站点，让这个站点只有SmartCard登陆这一种方式，留着默认的站点，这样可以方便的做显示登陆测试，显示登陆测试应该成功的把终端设备的Ukey带过去，在VDA里面应该能够正常的看到Ukey上的数字证书。

新站点建议域名为，例如：

https:

//xd56.xen.local/sc/

验证：

在终端设备插入UKEY，在浏览器里面访问https:

//xd56.xen.local/sc/，页面应该会弹出证书选择的对话框，选中Ukey中的证书，再输入Ukey的用户Pin码，这时候WI应该能够识别Ukey中的用户并且登陆成功。

六．VDA的配置

6.1安装VDA

使用Administrator安装，详细步骤<略>

验证：

使用用户名和密码验证方式能登陆虚拟桌面。

6.2安装epass3000驱动

使用Administrator安装，详细步骤<略>

验证：

UKEY的守护服务应该能够正常启动，如下图所示：

6.3修改注册表

1.首先保证VDA和本地客户端PC都装有U盾的驱动；

2.先用USBDeview工具把U盾的VID、PID、Class、subclass记下来，如：

Class=03，SubClass=00，VID=096e，PID=0801

3.在VDA里修改注册表，定位到此路径（HKLM\SOFTWARE\Citrix\PortICA\GenericUSB）找到USBPolicyRules修改里面的内容，把VID、PID、Class和subclass加进去允许访问，如：

ALLOW:

Class=00SubClass=00

ALLOW:

VID=096ePID=0401

4.在VDA里把HKLM\SOFTWARE\Citrix\CtxHook\Appinit_DLLs\SmartCardHook\里的FilePathName删除；

5.重启VDA，重启后一定要看到智能卡的图标出现在WindowsXp的登陆提示框。

验证：

使用RDP登陆一下VDA的虚拟机操作系统桌面。

如下图所示：

VDA所安装的虚拟机应该能被RDP通过数字证书正常登陆。

保证虚拟机的UKEY驱动是安装正常，能够被操纵系统的登陆过程正常调用。

七．使用智能卡登录虚拟桌面

7.1在PC终端机上导入.adm并设置

备注：

.adm的位置：

C:

\ProgramFiles\Citrix\ICAClient\Configuration\icaclient.adm

第一步，打开组策略编辑器，用户配置—管理模板，右键选择‘添加/删除模板’，打开‘添加/删除模板’界面

第二步，在‘添加/删除模板’界面，单击添加，浏览到icaclient.adm后单击‘打开’，返回‘添加/删除模板’后单击‘关闭’

第三步，打开组策略编辑器，用户配置—管理模板—CitrixComponents—CitrixReceiver—Userauthentication，右键Smartcardauthentication选择属性，选择已启用，并勾选‘Allowsmartcardauthentication’和‘Usepass-throughauthenticationforPIN’

7.3尝试使用智能卡登录虚拟桌面

详细步骤<略>

在全屏模式下如果登陆两种情况：

1.直接弹出PIN码输入框，输入Pin码登陆成功

2.停止在Window登陆对话框，这时可以拔插Ukey，稍微等几秒钟，Pin码登陆框就会出现。

八.IGEL瘦客户机登陆虚拟桌面配置

安装UKEY驱动

使用操作系统管理员登陆，安装Ukey驱动。

安装完毕之后能看到证书的守护进程，插入Ukey之后，能够看到Ukey里面的证书信息。

配置浏览器

把WI的网站加入信任站点，如：

https:

//xd56.xen.local

配置瘦机的ICA会话属性

打开IGEL配置工具，选中到下图，启用USB重定向，并且加入下面的设备类型和规则策略。

登陆WI

输入WI的专供UKEY访问的网址，如：

https:

//xd56.xen.local/sc/输入pin码登陆WI

在ShowDesktopViewer=On的情况下有时候也是可以成功登陆虚拟桌面的。

保证在上面的登陆画面中能看到智能卡的图标。

点击DesktopViewer的工具栏，这时候应该能够看到USB这个选项，点击箭头，应该能够看到FSUSBTOKEN3000的字样，这时等，等几秒钟，TC会探出一个USBERROR说，这个设备正在被使用，点击OK；再次拔插UKEY，登陆系统的PIN码提示框正常弹出，输入pin码，虚拟桌面应该能够被顺利登陆。

在ShowDesktopViewer=Off的情况下，拔插UKEY后，pin码输入框应该可以正常弹出，虚拟桌面应该能够顺利登陆。