桌面云支持瘦客户机使用KEY进行认证，包括飞天KEY和第三方KEY。其中飞天KEY分两种，一种是ePass1001ND型号，由于该型号KEY驱动不支持ARM瘦客户机平台，因此瘦客户机使用KEY认证映射登录方式；另一种是ePass3003型号，该型号KEY驱动支持ARM瘦客户机平台，瘦客户机已经安装该型号KEY驱动，因此ePass3003型号KEY使用非映射KEY登录。第三方KEY都使用映射方式认证。

常见Key外观如下表所示

KEY型号	KEY外观
飞天诚信 ePass1001ND型号
飞天诚信 ePass3003型号
其他第三方KEY	\

前提条件

VDC已启用内置CA或对接外置CA；
用户已创建并关联了证书。

注意事项

第三方USB-KEY设置

①如果不配置，Windows可以登录，但不支持拔KEY注销。aDesk不可以登录。

②如果配置但状态为禁用，Windows和aDesk都可以登录，但不支持拔KEY注销。

③如果配置且状态为启用，Windows和aDesk都可以登录，并支持拔KEY注销。

更改USB-KEY设置

更改USB-KEY设置，需要重启VDI Client客户端才生效。例如增加新的第三方KEY，需要关闭VDI Client重新运行才生效。

ARM瘦客户机的OTG不支持KEY认证登录

ARM瘦客户机有一个名为OTG的USB口，此口无法使用KEY认证登录。

瘦客户级修改USB-KEY的PIN码

瘦客户机修改USB-KEY的PIN码只支持飞天ePass3003型号的USB-KEY。

飞天ePass3003型号导入证书

飞天ePass3003型号KEY暂不支持从VDC控制台导入用户证书，只能从控制台把证书下载到本地，再使用飞天提供的管理工具导入证书。

操作步骤

• 飞天ePass1001ND型号KEY和第三方KEY认证场景

登录方式

瘦客户机：无须安装KEY驱动，KEY认证代理服务器需安装KEY驱动。

PC客户端：PC客户端使用本地安装驱动方式认证，无须KEY认证代理服务器。

支持的功能

①支持拔KEY注销功能。在控制台可配置是否启用拔KEY注销。

②支持映射KEY认证并发登录。aDesk使用映射KEY认证登录，认证时用户随机分配其中一台KEY认证代理服务器进行认证。

推荐配置：KEY认证代理服务器数 = KEY认证并发数×20%

即100个并发用户，推荐20台KEY认证代理服务器。如果有200个用户，但KEY认证并发数有20个，则只需配置4台服务器。（注：飞天ePass30003型号KEY登录无须申请KEY认证代理服务器，该型号KEY并发登录不受KEY认证代理服务器个数影响，建议使用飞天ePass30003型号。）

③KEY认证代理服务器支持win7 x86、win7 x64系统。

推荐配置：KEY认证代理服务器推荐使用Win7 x86系统（双核+15G硬盘+1G内存）

④支持KEY认证代理服务器定时开关机。

⑤KEY认证代理服务器Agent与VDI连接后，会自动登录服务器系统。

⑥aDesk支持修改飞天ePass30003型号KEY的PIN码（Personal Identification Number）。

配置部署

代理认证服务器部署

①HCI控制台新建KEY认证代理服务器模板（需使用桌面应用类型），推荐使用Win7（x86）系统双核+15G硬盘+1G内存。具体部署方式同“虚拟机模板部署”章节。模板需要安装Agent（同独享桌面Agent）和KEY驱动。

KEY驱动获取路径：[业务中心→认证管理→证书与USB-KEY认证]界面，在“通用USB-KEY设置”处点击<下载安装USB-KEY驱动>即可获取。

②登录VDC控制台，进入[业务中心→认证管理→证书与USB-KEY认证]界面，在“通用USB-KEY设置”处点击<代理认证服务器设置>，进入【第三方USB-KEY认证代理服务器设置】配置页面；

③在“基本设置”处选择在HCI平台上创建好的KEY代理认证服务器模板；

④在“认证服务器位置与数量”处，点击<新建>，弹出【新建服务器】指引窗口，按实际业务场景，按顺序完成“集群”、“基础配置”和“配置与网络”三部分配置工作，完成认证服务器创建。

⑤在“其他设置”处，管理员可根据业务需求为KEY代理认证服务器配置开关机计划。

配置USB-KEY的Vid&Pid。

①登录VDC控制台，进入[业务中心→认证管理→证书与USB-KEY认证]界面，在“通用USB-KEY设置”处点击<添加>，进入【USB-KEY设置】配置窗口；

②依据实际情况，填写USB-KEY的名称、型号（Vid_xxx&Pid_xxx格式）并设置是否启用拔KEY注销。

• 说明：

获取USB-KEY的Vid&Pid方法：

Windows系统PC插入USB-KEY，打开工具ChipGenius_v4_00_0027_pre2.exe（或其他工具）选中USB-KEY，从详细信息栏可以获取Vid&Pid。再把该ID以Vid_xxx&Pid_xxx格式配置到控制台。

创建USB-KEY。

①将USB-KEY接入管理员电脑；

②登录VDC控制台，进入[业务中心→用户管理]界面，找到需要创建USB-KEY的用户账户条目，点击对应的<编辑>按钮，进入【编辑用户】配置页面；

③在“基本属性”的“数字证书”处，点击<创建USB-KEY >，进入【创建USB-KEY】配置窗口，根据实际情况，按引导完成USB-KEY创建即可。

• 内置CA场景

选择“内置CA生成的数字证书”后，确认内置CA自动生成的证书信息是否需要修改，确认无误后配置KEY的PIN码并点击<开始创建>即可。

• 外置CA场景

选择“外部CA签发的数字证书”后，选择外置CA为用户签发的证书、填写证书密码并选择签发的CA后，配置KEY的PIN码并点击<开始创建>即可。

• 飞天ePass3003ND型号KEY认证场景

飞天ePass3003ND型号KEY不需要使用代理模式，只需要将用户证书导入用户的USB-KEY里即可，导入步骤如下：

Windows电脑驱动安装。

• 说明：

烧KEY的电脑需要安装USB-KEY驱动，才能将证书烧写进KEY。

烧KEY压缩包文件说明（社区下载）

压缩包：epass3003SDK.zip

中间件安装程序(中文)：PKI\Redist\cn\ePass3003-SimpChinese.exe

中间件安装程序(英文)：PKI\Redist\en\ePass3003-English.exe

管理员管理工具：PKI\Utilities\ePassManagerAdm_3003.exe

安装KEY驱动：

将证书导入KEY。

①获取用户证书；

②安装好驱动的PC插入ePass3003型号的KEY。

③运行KEY管理工具。

④登录。出厂USER PIN：1234。

⑤导入用户证书。

⑥选择用户证书，并输入证书密码（创建证书时配置的密码）。

⑦导入成功。

⑧完成并登出。

• 删除证书场景

同样，安装好驱动的PC插入ePass3003型号的KEY，运行KEY管理工具并登录。

①选择证书节点

②点击删除并确认

③删除成功

• 替换证书场景

在删除证书之后，按导入证书步骤重新导入新的证书即可。