Надежное решение для инфраструктуры PKI может получиться, если предоставить пользователям возможность аутентификации с помощью смарт-карт. Смарт-карты - это компактные устройства со встроенным микропроцессором, который позволяет хранить информацию, уникальную для каждой смарт-карты. Регистрационная информация пользователя (имя, пароль), а также сертификаты, установленные с сервера CA, также могут быть занесены на смарт-карту. Когда пользователю нужно войти в систему, он помещает смарт-карту в устройство считывания или просто проводит ею возле него. Сертификат считывается и у пользователя запрашивается только персональный идентификационный номер (PIN), который присвоен каждому пользователю. После того, как PIN-код и сертификат сверены, пользователь может войти в домен.

 Смарт-карты также могут применяться в качестве дополнений к паролям. Например, строгие пароли могут использоваться в дополнение к PIN-кодам, если политика безопасности на предприятии предъявляет очень жесткие требования к аутентификации. 

Смарт-карты имеют очевидные преимущества перед традиционными способами аутентификации. Теперь уже невозможно просто подсмотреть или угадать чей-то пароль и имя пользователя, поскольку это имя может быть введено только с помощью уникальной смарт-карты. Если смарт-карта украдена или утеряна, ее можно немедленно деактивизировать, а сертификат отменить. Но даже если действующая смарт-карта попадает в чужие руки, все равно для входа в систему потребуется вводить PIN-код. Смарт-карты быстро становятся более приемлемым способом интеграции сертификатов и PIN-кодов в организациях.
Регистрация сертификатов
Прежде чем пользователи смогут подписывать и шифровать сообщения, они должны получить сертификаты. Каким образом пользователи их получают, зависит от принятой в организации политики, процедур и инфраструктуры, ориентированной на поддержку служб сертификации. Если предприятие использует службы сертификации Windows Server 2003, пользователь может получать сертификаты следующими способами:
• Авто-регистрация.
• Применение смарт-карт.
• Использование Web-формы регистрации.
• Использование консоли MMC.

При использовании служб сертификации Windows Server 2003 (PKI), открытые ключи хранятся в Active Directory, что позволяет пользователям AD шифровать сообщения, предназначенные для других пользователей AD. С другой стороны, секретные ключи обычно хранятся на пользовательском компьютере или на смарт-карте.

Для запроса сертификата с помощью консоли MMC необходимо выполнить перечисленные ниже шаги.
1. Введите certmgr.msc в окне запуска программ, которое доступно через пункт Run (Выполнить) меню Start.
2. В диалоговом окне оснастки Certificate Manager (Диспетчер сертификатов) консоли MMC разверните ветвь Certificates - Current User (Сертификаты - Текущий пользователь).
3. Щелкните правой кнопкой мыши на папке Personal (Персональная) и выберите в контекстном меню пункт All Tasks (Все задачи), а затем пункт Request New Certificate (Запрос нового сертификата) .
4. Щелкните на кнопке Next в мастере запроса нового сертификата Certificate Request Wizard и на следующем экране мастера выберите сертификат User (Пользователь). Важно заметить, что эти сертификаты должны быть сделаны доступными для пользователей. Исчерпывающую информацию по этому поводу можно получить в разделе "Настройка шаблонов сертификатов" данной главы.
5. Щелкните на кнопке Next и введите описательное имя сертификата.
6. Щелкните на кнопке Next, а затем на ккнопке Finish. 
В диалоговом окне оснастки Certificate Manager консоли MMC щелкните на папке Certificates (Сертификаты), расположенной в папке Personal, чтобы отобразить сертификаты, выданные текущему пользователю, как показано на рис. 13.6.
Смарт-карты в инфраструктуре PKI
Для просмотра сертификатов, которые были выданы пользователю, можно применять и ос­настку Active Directory Users and Computers (Пользователи и компьютеры Active Directory) консоли MMC. Выберите пункт Advanced Features (Дополнительные возможности) в меню View (Вид) этой оснастки и затем выполните двойной щелчок на конкретном пользователе. Сертификаты отображаются на вкладке Published Certificates (Опубликованные сертификаты), как можно видеть на рис. 13.7.