Přihlašování k systému Windows a šifrování e-mailů S/MIME pomocí služby Active Directory¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
✓ active |
⨯ inactive |
✓ active |
✓ active |
⨯ inactive |
Upozorňujeme, že tento ovladač je stále ve fázi vývoje/testování. Sdělte nám prosím své zkušenosti! Viz naše kontaktní stránka.
Předpoklady¶
Tato příručka předpokládá, že na serveru je nainstalován a spuštěn server služby Active Directory s rolí „Certifikační služby Active Directory“. Tyto pokyny jsou založeny pouze na produktech Nitrokey Storage 2 a Nitrokey Pro 2.
Instalace protokolu OpenPGP-CSP¶
Tento krok je nutný, aby klienti mohli používat ovladač OpenPGP-CSP. Stáhněte a nainstalujte nejnovější verzi instalačního souboru ‚SetupOpenPGPCsp‘ pro vaši systémovou architekturu, pro ‚SetupOpenPGPCsp_x64.msi‘ pro 64bitové systémy.
Možná budete chtít nainstalovat ovladač také na server, abyste mohli vynutit použití tohoto ovladače v šabloně (viz níže).
Vytvoření šablony certifikátu na straně serveru¶
Na serveru Active Directory otevřete soubor certsrv.msc a spravujte šablony certifikátů. Klikněte pravým tlačítkem myši na položku „Šablony certifikátů“ a vyberte možnost „Spravovat“.
Nyní klikněte pravým tlačítkem myši na šablonu „Přihlášení pomocí čipové karty“ a kliknutím na tlačítko „Duplikovat“ vytvořte novou šablonu na základě této standardní šablony. Přejmenujte šablonu na „Přihlášení kartou OpenPGP a e-mail“ nebo podobně.
V části „Request Handling“ můžete jako jediného poskytovatele kryptografických služeb vybrat OpenPGP-CSP (klikněte na tlačítko „CSPs…“). Aby to fungovalo, je třeba nainstalovat ovladač i na server a předtím vložit Nitrokey. To je nepovinné. Můžete nechat uživatele vybrat, který CSP chce použít.
Chcete-li povolit šifrování e-mailu S/MIME, přejděte na položku „Název předmětu“. Zaškrtněte políčko ‚E-mail name‘ (poznámka: poštovní adresy uživatelů musíte uložit do příslušného pole Active Directory!).
Poté přejděte do části „Rozšíření“, kde upravte pokyny pro aplikace a přidejte „Zabezpečený e-mail“.
Žádost o certifikát na klientovi (člen domény)¶
Chcete-li požádat o certifikát pro člena domény, musíte otevřít soubor certmgr.msc. Klikněte pravým tlačítkem myši na složku „Personal->Certificates“ a klikněte na „All Tasks->Request New Certificate“ a vyberte šablonu, kterou jste vytvořili v AD.
Pokud jste si nevynutili použití OpenPGP-CSP, musíte si jej zvolit zde.
Dále vyberete slot pro ověření certifikátu.
You are now ready to logon on the computer with the Nitrokey instead of your password and you can use S/MIME email encryption/signing with the Nitrokey. The driver has to be installed on every computer you want to use the certificate on.
