Přihlášení klienta pomocí služby Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV application of a Nitrokey 3 for smartcard logon with Active Directory. It is available as of firmware version 1.8 and higher.

V budoucnu může být toto ruční vytváření rezerv automatizováno pomocí ovladače MiniDriver systému Windows.

Předpoklady

Nastavení vyžaduje administrátorský přístup k počítačům se službami ADDS (Active Directory Directory Services) a ADCS (Active Directory Certificate Services). Na klientském počítači je vyžadován pouze přístup k příslušnému uživatelskému účtu používanému pro přihlášení.

  • Windows Server (podporované verze jsou Windows Server 2016, 2019, 2022 ve všech edicích)

    • Role ADDS je nainstalována a nakonfigurována.

    • Nainstalovaná role ADCS a Enterprise-CA s nakonfigurovaným kořenovým certifikátem.

      • Každý řadič domény (DC) musí mít vydaný certifikát Domain Controller, Domain Controller Authentication a Kerberos Authentication.

      • Pokud klienti opouštějí firemní síť, ujistěte se, že zveřejněné úplné a delta seznamy odvolaných certifikátů (CRL) lze načíst z externích sítí.

  • Klient systému Windows (podporované verze jsou Windows 10, 11 v edicích Professional a Enterprise).

    • Klient musí být členem domény Active Directory (AD).

  • Nitrokey 3 s aplikací PIV.

Konfigurace přihlašování pomocí čipové karty pro použití se službou Active Directory (AD)

Přihlášení pomocí čipové karty vyžaduje šablonu certifikátu v certifikační autoritě (CA) domény. Tato šablona definuje hodnoty a omezení uživatelských certifikátů. Používá se k podepsání žádosti o certifikát (CSR) při poskytování klíče Nitrokey.

  1. Podepsání žádosti o certifikát pro přihlášení pomocí čipové karty vyžaduje vytvoření šablony certifikátu v certifikační autoritě.

    1. Z příkazového řádku, prostředí PowerShell nebo Spustit zadejte adresu certtmpl.msc a stiskněte klávesu Enter.

    2. V podokně podrobností vyberte šablonu Přihlášení pomocí čipové karty.

    3. Na panelu nabídek klikněte na Actions → All Tasks → Duplicate Template.

    4. Nastavte níže uvedená nastavení šablony podle uvedené karty.

      Kompatibilita

      • Zakázat Zobrazit výsledné změny

      • Nastavte Certifikační autorita a Příjemce certifikátu na nejstarší klienty v doméně, kteří mají používat přihlašování pomocí čipové karty.

        Důležité

        Pokud chcete používat klíče s eliptickou křivkou (EC), nesmí být klienti starší než Windows Server 2008 a Windows Vista.

      Obecné

      • Nastavení zobrazovacího názvu šablony **** .

      • Nastavte Doba platnosti a Doba obnovení.

      Vyřizování požadavků

      • Nastavení účelu Podpis a přihlášení pomocí čipové karty.

      Kryptografie

      • Nastavte kategorii zprostředkovatele Zprostředkovatel úložiště klíčů.

      • Nastavení názvu algoritmu a minimální velikosti klíče.

        Důležité

        Společnost Microsoft doporučuje používat algoritmus RSA s délkou klíče 2048 Bit. Pokud se rozhodnete používat klíče EC (Eliptic Curve), musíte provést další změny v klientských počítačích.

      Jméno subjektu

      • V požadavku nastavte Supply.

    5. Vytvoření šablony potvrďte pomocí OK.

  2. Po vytvoření šablony certifikátu musí být šablona vydána, aby ji mohli klienti používat.

    1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.

    2. V navigačním podokně rozbalte položku Certifikační autorita (CA) a přejděte na stránku Šablony certifikátů.

    3. Na panelu nabídek klikněte na Action → New → Certificate Template to Issue.

    4. Vyberte šablonu certifikátu, kterou chcete vystavit, a potvrďte ji tlačítkem OK.

Zajištění funkce Nitrokey 3 pro přihlašování pomocí čipových karet pomocí služby Active Directory

Přihlašování pomocí čipové karty vyžaduje, aby byl pro uživatele v Active Directory vytvořen klíč Nitrokey. provisiong obsahuje soukromý klíč a vygenerování žádosti o vydání certifikátu (CSR). Certifikát je poté zapsán do klíče Nitrokey.

Varování

Před provedením následujících kroků se ujistěte, že uživatelský účet služby Active Directory, který chcete použít pro přihlášení pomocí čipové karty, existuje. Čas vytvoření certifikátu před časem vytvoření uživatelského účtu povede k neúspěšnému přihlášení.

Důležité

Pokud aplikace PIV na Nitrokey nebyla dosud použita, proveďte nejprve inicializaci pomocí nitropy nk3 piv init.

  1. Níže uvedeným příkazem vygenerujte soukromý klíč a zapište CSR do souboru.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>

    Hodnota <algorithm> je použitý algoritmus s jeho délkou klíče, např. rsa2048. Hodnoty <subject-name> a <subject-alternative-name> odpovídají obvykle atributům commonName a userPrincipalName uživatelského účtu služby Active Directory.

  2. Podepište CSR pomocí certifikační autority (CA) domény pomocí níže uvedeného příkazu.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>

    Hodnota <template-name> je název šablony certifikátu pro přihlašování pomocí čipové karty. Hodnota <file> je soubor žádosti o zpěv certifikátu.

  3. Podepsaný certifikát zapište do klíče Nitrokey pomocí níže uvedeného příkazu.

    nitropy nk3 piv write-certificate --format PEM --path <file>

    Hodnota <file> je soubor s certifikátem.

Odvolání přihlášení pomocí čipové karty pro použití se službou Active Directory (AD)

Vydané přihlašovací certifikáty uživatelů jsou uvedeny v Certifikační službě Active Directory (ADCS). V systému ADCS lze certifikáty odvolat, čímž se přidají do nakonfigurovaného seznamu odvolaných certifikátů (CRL). To je nutné v případě ztráty nebo poškození klíče Nitrokey.

Důležité

Důrazně doporučujeme nikdy neponechávat nepoužívané uživatelské certifikáty bez jejich odvolání.

Poznámka

Certifikát je možné dočasně zrušit s důvodem Certificate Hold. Toto odvolání lze vzít zpět, není tedy trvalé.

  1. Z příkazového řádku, prostředí PowerShell nebo Spustit zadejte adresu certsrv.msc a stiskněte klávesu Enter.

  2. V navigačním podokně rozbalte autoritu certifikátů (CA) a přejděte na stránku Vydané certifikáty.

  3. V podokně podrobností vyberte certifikát uživatele, který chcete odvolat.

  4. Na panelu nabídek klikněte na Action → All Tasks → Revoke Certificate.

  5. Uveďte důvod odvolání, datum a čas a potvrďte na Yes.

  6. V navigačním podokně přejděte na stránku Revokované certifikáty.

  7. Na panelu nabídek klikněte na Action → All Tasks → Publish.

  8. Vyberte seznam odvolání, který chcete zveřejnit, a potvrďte jej pomocí OK.

Poznámka

Při každém pokusu o přihlášení pomocí čipové karty systém Windows kontroluje, zda je certifikát předložený čipovou kartou uveden na seznamu odvolaných certifikátů (CRL). Pokud je certifikát nalezen na seznamu CRL, přihlášení je odmítnuto. Každý seznam CRL obsahuje údaje o platnosti, které způsobují, že jejich platnost vyprší. Systém Windows načtené seznamy CRL ukládá do mezipaměti a aktualizuje je, pokud se blíží vypršení platnosti seznamu CRL. Proto odvolání není okamžité a závisí na vypršení platnosti CRL, které má klient k dispozici.

Import certifikátu čipové karty uživatele do úložiště osobních certifikátů

Uživatelský certifikát uložený v systému Nitrokey lze importovat do osobního úložiště certifikátů uživatele. V určitých situacích je tento postup vyžadován.

  1. Ujistěte se, že jste přihlášeni k uživatelskému účtu, kterému certifikát odpovídá.

  2. Z příkazového řádku, prostředí PowerShell nebo Spustit zadejte adresu certsrv.msc a stiskněte klávesu Enter.

  3. V navigačním podokně rozbalte úložiště klíčů Personal a přejděte na Certificates.

  4. Na panelu nabídek klikněte na Action → All Tasks → Import.

  5. Postupujte podle průvodce importem a na požádání zadejte soubor s certifikátem uživatele.

  6. Po dokončení importu zkontrolujte podokno podrobností importovaného certifikátu. Pokud je Nitrokey připojen, měla by se ve vlastnostech certifikátu zobrazit zpráva You have a private key that corresponds to this certificate., která naznačuje, že soukromý na Nitrokey mohl být identifikován.