Влизане в Windows и криптиране на имейли S/MIME с Active Directory¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
Моля, имайте предвид, че този драйвер все още е в процес на разработка/тестване. Моля, споделете ни вашия опит! Вижте нашата страница за контакти.
Предварителни условия¶
Това ръководство предполага, че на сървъра е инсталиран и работи сървър на Active Directory с роля „Active Directory Certificate Services“. Тези инструкции се основават само на Nitrokey Storage 2 и Nitrokey Pro 2.
Инсталиране на OpenPGP-CSP¶
Тази стъпка е необходима, за да могат клиентите да използват драйвера OpenPGP-CSP. Изтеглете и инсталирайте най-новата версия на инсталационния файл ‚SetupOpenPGPCsp‘ за вашата системна архитектура, за ‚SetupOpenPGPCsp_x64.msi‘ за 64-битови системи.
Може да искате да инсталирате драйвера и на сървъра, за да можете да наложите използването на този драйвер в шаблона (вж. по-долу).
Създаване на шаблон на сертификат от страна на сървъра¶
В Active Directory Server отворете certsrv.msc, за да управлявате шаблоните на сертификати. Щракнете с десния бутон на мишката върху „Шаблони на сертификати“ и изберете „Управление“.
Сега щракнете с десния бутон на мишката върху шаблона „Smartcard Logon“ и щракнете върху „Duplicate“, за да създадете нов шаблон въз основа на този стандартен шаблон. Преименувайте шаблона на „OpenPGP Card Logon and Email“ (Вход и електронна поща с карта OpenPGP) или подобен.
В раздел „Обработка на заявки“ можете да изберете OpenPGP-CSP като единствен доставчик на криптографски услуги (щракнете върху бутона, обозначен като „CSPs…“). За да работи това, трябва да инсталирате драйвера и на сървъра, като преди това трябва да поставите Nitrokey. Това не е задължително. Можете да оставите потребителя да избере кой CSP да използва.
За да активирате S/MIME криптирането на имейли, отидете на „Име на тема“. Поставете отметка в квадратчето „Име на електронна поща“ (забележка: трябва да запазите пощенските адреси на вашите потребители в съответното поле на Active Directory!).
След това отидете в „Разширения“, там редактирайте насоките за приложения и добавете „Сигурна електронна поща“.
Заявяване на сертификат на клиент (член на домейна)¶
За да заявите сертификат за член на домейна, трябва да отворите certmgr.msc. Щракнете с десния бутон на мишката върху папката „Personal->Certificates“ (Лични сертификати) и щракнете върху „All Tasks->Request New Certificate“ (Всички задачи) и изберете шаблона, който сте създали в AD.
Ако не сте наложили използването на OpenPGP-CSP, сега трябва да го изберете тук.
След това избирате слота за удостоверяване за сертификата.
Вече сте готови да влезете в компютъра с Nitrokey вместо с паролата си и можете да използвате S/MIME криптиране/подписване на имейли с Nitrokey. Драйверът трябва да се инсталира на всеки компютър, на който искате да използвате сертификата.
