Windows-logon og S/MIME-kryptering af e-mail med Active Directory#

Bemærk, at denne driver stadig er under udvikling/afprøvning. Fortæl os venligst om dine erfaringer! Se vores kontaktside.

Forudsætninger#

I denne vejledning antages det, at en Active Directory-server med rollen »Active Directory Certificate Services« er installeret og kører på en server. Denne vejledning er kun baseret på Nitrokey Storage 2 og Nitrokey Pro 2.

Installation af OpenPGP-CSP#

Dette trin er nødvendigt for at klienter kan bruge OpenPGP-CSP-driveren. Download og installer den nyeste version af installationsfilen »SetupOpenPGPCsp« for din systemarkitektur, for »SetupOpenPGPCsp_x64.msi« for 64-bit systemer.

Du kan også installere driveren på serveren for at kunne håndhæve brugen af denne driver i skabelonen (se nedenfor).

Oprettelse af certifikatskabelon på serversiden#

Åbn certsrv.msc på Active Directory Server for at administrere dine certifikatskabeloner. Højreklik på ›Certificate Templates‹ og vælg ›Manage‹ (Administrer)

img1

Højreklik nu på skabelonen »Smartcard Logon« og klik på »Dupliker« for at oprette en ny skabelon på grundlag af denne standardskabelon. Omdøb skabelonen til ›OpenPGP Card Logon and Email‹ eller lignende.

img2

Under »Request Handling« kan du vælge OpenPGP-CSP som den eneste Cryptography Service Provider (klik på knappen »CSPs…«). For at dette kan fungere, skal du også installere driveren på serveren, og du skal indsætte en Nitrokey på forhånd. Dette er valgfrit. Du kan lade brugeren vælge, hvilken CSP der skal bruges.

img3
img4

Hvis du vil aktivere S/MIME-kryptering af e-mail, skal du gå til »Emnenavn«. Marker afkrydsningsfeltet ›E-Mail name‹ (Bemærk: Du skal gemme dine brugeres mailadresser i det tilsvarende Active Directory-felt!).

img5

Gå derefter til »Udvidelser«, hvor du redigerer retningslinjerne for programmer og tilføjer »Sikker e-mail«.

img6
img7

Anmodning om certifikat på klient (domænemedlem)#

Hvis du vil anmode om et certifikat for et domænemedlem, skal du åbne certmgr.msc. Højreklik på mappen ›Personal->Certificates‹ og klik på ›All Tasks->Request New Certificate‹ og vælg den skabelon, du har oprettet i AD.

img8

Hvis du ikke har håndhævet brugen af OpenPGP-CSP, skal du vælge det her nu.

img9
img10

Dernæst skal du vælge Autentifikationsfeltet for certifikatet.

Du er nu klar til at logge på computeren med Nitrokey i stedet for din adgangskode, og du kan bruge S/MIME-kryptering/signering af e-mail med Nitrokey. Driveren skal installeres på alle de computere, du vil bruge certifikatet på.

img11