Přihlašování k systému Windows a šifrování e-mailů S/MIME pomocí služby Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

Upozorňujeme, že tento ovladač je stále ve fázi vývoje/testování. Sdělte nám prosím své zkušenosti! Viz naše kontaktní stránka.

Předpoklady

Tato příručka předpokládá, že na serveru je nainstalován a spuštěn server služby Active Directory s rolí „Certifikační služby Active Directory“. Tyto pokyny jsou založeny pouze na produktech Nitrokey Storage 2 a Nitrokey Pro 2.

Instalace protokolu OpenPGP-CSP

Tento krok je nutný, aby klienti mohli používat ovladač OpenPGP-CSP. Stáhněte a nainstalujte nejnovější verzi instalačního souboru ‚SetupOpenPGPCsp‘ pro vaši systémovou architekturu, pro ‚SetupOpenPGPCsp_x64.msi‘ pro 64bitové systémy.

Možná budete chtít nainstalovat ovladač také na server, abyste mohli vynutit použití tohoto ovladače v šabloně (viz níže).

Vytvoření šablony certifikátu na straně serveru

Na serveru Active Directory otevřete soubor certsrv.msc a spravujte šablony certifikátů. Klikněte pravým tlačítkem myši na položku „Šablony certifikátů“ a vyberte možnost „Spravovat“.

img1

Nyní klikněte pravým tlačítkem myši na šablonu „Přihlášení pomocí čipové karty“ a kliknutím na tlačítko „Duplikovat“ vytvořte novou šablonu na základě této standardní šablony. Přejmenujte šablonu na „Přihlášení kartou OpenPGP a e-mail“ nebo podobně.

img2

V části „Request Handling“ můžete jako jediného poskytovatele kryptografických služeb vybrat OpenPGP-CSP (klikněte na tlačítko „CSPs…“). Aby to fungovalo, je třeba nainstalovat ovladač i na server a předtím vložit Nitrokey. To je nepovinné. Můžete nechat uživatele vybrat, který CSP chce použít.

img3
img4

Chcete-li povolit šifrování e-mailu S/MIME, přejděte na položku „Název předmětu“. Zaškrtněte políčko ‚E-mail name‘ (poznámka: poštovní adresy uživatelů musíte uložit do příslušného pole Active Directory!).

img5

Poté přejděte do části „Rozšíření“, kde upravte pokyny pro aplikace a přidejte „Zabezpečený e-mail“.

img6
img7

Žádost o certifikát na klientovi (člen domény)

Chcete-li požádat o certifikát pro člena domény, musíte otevřít soubor certmgr.msc. Klikněte pravým tlačítkem myši na složku „Personal->Certificates“ a klikněte na „All Tasks->Request New Certificate“ a vyberte šablonu, kterou jste vytvořili v AD.

img8

Pokud jste si nevynutili použití OpenPGP-CSP, musíte si jej zvolit zde.

img9
img10

Dále vyberete slot pro ověření certifikátu.

You are now ready to logon on the computer with the Nitrokey instead of your password and you can use S/MIME email encryption/signing with the Nitrokey. The driver has to be installed on every computer you want to use the certificate on.

img11