Σύνδεση πελάτη με Active Directory#

Αυτό το έγγραφο εξηγεί πώς να χρησιμοποιείτε την εφαρμογή PIV ενός Nitrokey 3 για σύνδεση με έξυπνη κάρτα με το Active Directory.

Στο μέλλον, αυτή η χειροκίνητη παροχή μπορεί να αυτοματοποιηθεί μέσω ενός οδηγού Windows MiniDriver.

Προειδοποίηση

Η εφαρμογή PIV του Nitrokey 3 θεωρείται επί του παρόντος ασταθής και δεν είναι διαθέσιμη στις σταθερές εκδόσεις υλικολογισμικού. Για να αποκτήσετε αυτή τη λειτουργικότητα απαιτείται η εγκατάσταση ενός δοκιμαστικού υλικολογισμικού. Μεταγενέστερες ενημερώσεις υλικολογισμικού ενδέχεται να οδηγήσουν σε απώλεια δεδομένων και κρυπτογραφικών κλειδιών. Για περισσότερες πληροφορίες ανατρέξτε στην τεκμηρίωση ενημέρωσης υλικολογισμικού ` </nitrokey3/windows/firmware-update.html#firmware-release-types>`__.

Προαπαιτούμενα#

Η ρύθμιση απαιτεί πρόσβαση διαχειριστή στα μηχανήματα που εκτελούν τις Υπηρεσίες καταλόγου Active Directory (ADDS) και τις Υπηρεσίες πιστοποιητικών Active Directory (ADCS). Στο μηχάνημα-πελάτη απαιτείται μόνο πρόσβαση στον αντίστοιχο λογαριασμό χρήστη που χρησιμοποιείται για τη σύνδεση.

  • Διακομιστής Windows (υποστηριζόμενες εκδόσεις είναι οι Windows Server 2016, 2019, 2022 σε όλες τις εκδόσεις)
    • Ο ρόλος ADDS έχει εγκατασταθεί και ρυθμιστεί.

    • Εγκατεστημένος ρόλος ADCS και διαμορφωμένο Enterprise-CA με πιστοποιητικό ρίζας.
      • Για κάθε ελεγκτή τομέα (DC) πρέπει να έχει εκδοθεί πιστοποιητικό Domain Controller, Domain Controller Authentication και Kerberos Authentication.

      • Εάν έχετε πελάτες που εγκαταλείπουν το δίκτυο της εταιρείας, βεβαιωθείτε ότι οι δημοσιευμένες λίστες ανάκλησης πιστοποιητικών (CRL) πλήρους και δέλτα είναι ανακτήσιμες από εξωτερικά δίκτυα.

  • Windows client (υποστηριζόμενες εκδόσεις είναι τα Windows 10, 11 στις εκδόσεις Professional και Enterprise)
    • Ο πελάτης πρέπει να είναι μέλος του τομέα του τομέα Active Directory (AD).

  • Nitrokey 3 με εφαρμογή PIV.

Ρύθμιση της σύνδεσης με έξυπνη κάρτα για χρήση με το Active Directory (AD)#

Η σύνδεση με έξυπνη κάρτα απαιτεί ένα πρότυπο πιστοποιητικού στην αρχή πιστοποιητικών (CA) του τομέα. Αυτό το πρότυπο καθορίζει τις τιμές και τους περιορισμούς των πιστοποιητικών χρήστη. Χρησιμοποιείται για την υπογραφή της αίτησης πιστοποιητικού (CSR) κατά την παροχή του Nitrokey.

  1. Η υπογραφή ενός αιτήματος πιστοποιητικού για σύνδεση με έξυπνη κάρτα απαιτεί τη δημιουργία ενός προτύπου πιστοποιητικού στην αρχή πιστοποιητικών.

    1. Από τη γραμμή εντολών, το PowerShell ή το Run, πληκτρολογήστε certtmpl.msc και πατήστε Enter.

    2. Στο παράθυρο λεπτομερειών επιλέξτε το πρότυπο Smartcard Logon.

    3. Στη γραμμή μενού κάντε κλικ στην επιλογή Ενέργειες → Όλες οι εργασίες → Διπλότυπο προτύπου.

    4. Ορίστε τις παρακάτω ρυθμίσεις στο πρότυπο, σύμφωνα με την αναφερόμενη καρτέλα.

      Συμβατότητα
      • Απενεργοποίηση Εμφάνιση των αλλαγών που προκύπτουν

      • Ορίστε Αρχή πιστοποιητικών και Παραλήπτης πιστοποιητικών στους παλαιότερους πελάτες του τομέα που υποτίθεται ότι χρησιμοποιούν σύνδεση με έξυπνη κάρτα.

        Σημαντικό

        Αν θέλετε να χρησιμοποιήσετε κλειδιά ελλειπτικής καμπύλης (EC), οι πελάτες σας δεν πρέπει να είναι παλαιότεροι από Windows Server 2008 και Windows Vista.

      Γενικά
      • Ορίστε το όνομα εμφάνισης του προτύπου **** .

      • Ορίστε την περίοδο ισχύος **** και την περίοδο ανανέωσης **** .

      Χειρισμός αιτήσεων
      • Ορίστε έναν σκοπό της Υπογραφή και σύνδεση με έξυπνη κάρτα.

      Κρυπτογραφία
      • Ορίστε μια κατηγορία παρόχου Πάροχος αποθήκευσης κλειδιών.

      • Ορίστε ένα όνομα αλγορίθμου και ένα ελάχιστο μέγεθος κλειδιού.

        Σημαντικό

        Η Microsoft συνιστά τη χρήση του αλγορίθμου RSA με μήκος κλειδιού 2048 Bit. Εάν επιλέξετε να χρησιμοποιήσετε κλειδιά με ελλειπτική καμπύλη (EC), θα πρέπει να κάνετε πρόσθετες αλλαγές στους υπολογιστές-πελάτες σας.

      Όνομα θέματος
      • Ορίστε Προμήθεια στην αίτηση.

    5. Επιβεβαιώστε τη δημιουργία προτύπου με OK.

  2. Μετά τη δημιουργία ενός προτύπου πιστοποιητικού, το πρότυπο πρέπει να εκδοθεί για να χρησιμοποιηθεί από τους πελάτες.

    1. Από τη γραμμή εντολών, το PowerShell ή το Run, πληκτρολογήστε certsrv.msc και πατήστε Enter.

    2. Στο παράθυρο πλοήγησης επεκτείνετε την Αρχή πιστοποιητικών (CA) και μεταβείτε στη διεύθυνση Πρότυπα πιστοποιητικών.

    3. Στη γραμμή μενού κάντε κλικ στο Action → New → Certificate Template to Issue.

    4. Επιλέξτε το πρότυπο πιστοποιητικού που θέλετε να εκδώσετε και επιβεβαιώστε με OK.

Παροχή του Nitrokey 3 για σύνδεση με έξυπνη κάρτα με το Active Directory#

Η σύνδεση με έξυπνη κάρτα απαιτεί την παροχή ενός κλειδιού Nitrokey για έναν χρήστη στο Active Directory. Το provisiong περιέχει το ιδιωτικό κλειδί και τη δημιουργία αίτησης εγγραφής πιστοποιητικού (CSR). Στη συνέχεια, το πιστοποιητικό εγγράφεται στο Nitrokey.

Προειδοποίηση

Πριν ακολουθήσετε τα παρακάτω βήματα, βεβαιωθείτε ότι ο λογαριασμός χρήστη Active Directory που θέλετε να χρησιμοποιήσετε για τη σύνδεση με έξυπνη κάρτα υπάρχει. Ένας χρόνος δημιουργίας του πιστοποιητικού πριν από τον χρόνο δημιουργίας του λογαριασμού χρήστη θα οδηγήσει σε αποτυχημένη σύνδεση.

Σημαντικό

Εάν η εφαρμογή PIV στο Nitrokey δεν έχει χρησιμοποιηθεί προηγουμένως, εκτελέστε πρώτα μια αρχικοποίηση με το nitropy nk3 piv init.

  1. Δημιουργήστε ένα ιδιωτικό κλειδί και γράψτε το CSR σε αρχείο με την παρακάτω εντολή.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
    

    Η τιμή του <algorithm> είναι ο χρησιμοποιούμενος αλγόριθμος με το μήκος του κλειδιού του, π.χ. rsa2048. Οι τιμές των <subject-name> και <subject-alternative-name> αντιστοιχούν συνήθως στα χαρακτηριστικά commonName και userPrincipalName του λογαριασμού χρήστη Active Directory.

  2. Υπογράψτε το CSR με την αρχή έκδοσης πιστοποιητικών (CA) του τομέα με την παρακάτω εντολή.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    Η τιμή του <template-name> είναι το όνομα του προτύπου πιστοποιητικού για την είσοδο με έξυπνη κάρτα. Η τιμή του <file> είναι το αρχείο αίτησης τραγουδιού πιστοποιητικού.

  3. Γράψτε το υπογεγραμμένο πιστοποιητικό στο Nitrokey με την παρακάτω εντολή.

    nitropy nk3 piv write-certificate --format PEM --path <file>
    

    Η τιμή του <file> είναι το αρχείο πιστοποιητικού.

Ανάκληση σύνδεσης με έξυπνη κάρτα για χρήση με το Active Directory (AD)#

Τα εκδοθέντα πιστοποιητικά σύνδεσης χρηστών παρατίθενται στις Υπηρεσίες πιστοποιητικών Active Directory (ADCS). Από το ADCS τα πιστοποιητικά μπορούν να ανακληθούν, γεγονός που τα προσθέτει στη διαμορφωμένη λίστα ανάκλησης πιστοποιητικών (CRL). Αυτό απαιτείται σε περίπτωση απώλειας ή σπασίματος του Nitrokey.

Σημαντικό

Συνιστάται έντονα να μην αφήνετε ποτέ αχρησιμοποίητα πιστοποιητικά χρηστών χωρίς να τα ανακαλείτε.

Σημείωση

Είναι δυνατή η προσωρινή ανάκληση ενός πιστοποιητικού με την αιτιολογία Certificate Hold. Αυτή η ανάκληση μπορεί να ανακληθεί και συνεπώς δεν είναι μόνιμη.

  1. Από τη γραμμή εντολών, το PowerShell ή το Run, πληκτρολογήστε certsrv.msc και πατήστε Enter.

  2. Στο παράθυρο πλοήγησης επεκτείνετε την αρχή πιστοποιητικών (CA) και μεταβείτε στη διεύθυνση Issued Certificates.

  3. Στο παράθυρο λεπτομερειών επιλέξτε το πιστοποιητικό χρήστη που θέλετε να ανακαλέσετε.

  4. Στη γραμμή μενού κάντε κλικ στην επιλογή Δράση → Όλες οι εργασίες → Ανάκληση πιστοποιητικού.

  5. Καθορίστε τον λόγο της ανάκλησης, την ημερομηνία και την ώρα και επιβεβαιώστε με Ναι.

  6. Στο παράθυρο πλοήγησης μεταβείτε στην τοποθεσία Ανακληθέντα πιστοποιητικά.

  7. Στη γραμμή μενού κάντε κλικ στο Δράση → Όλες οι εργασίες → Δημοσίευση.

  8. Επιλέξτε τη λίστα ανάκλησης που θέλετε να δημοσιεύσετε και επιβεβαιώστε με OK.

Σημείωση

Κατά τη διάρκεια κάθε προσπάθειας σύνδεσης με έξυπνη κάρτα, τα Windows ελέγχουν εάν το πιστοποιητικό που παρουσιάζεται από την έξυπνη κάρτα περιλαμβάνεται σε μια λίστα ανάκλησης πιστοποιητικών (Certificate Revocation List - CRL). Εάν το πιστοποιητικό βρεθεί σε CRL, η σύνδεση απορρίπτεται. Κάθε CRL περιέχει μια εγκυρότητα για να λήξει η ισχύς τους. Τα Windows αποθηκεύουν στην προσωρινή μνήμη το ανακτημένο CRL και τα ενημερώνουν εάν το CRL πρόκειται να λήξει. Ως εκ τούτου μια ανάκληση δεν είναι άμεση και εξαρτάται από τη λήξη του CRL που έχει ο πελάτης.

Εισαγωγή ενός πιστοποιητικού έξυπνης κάρτας χρήστη στον προσωπικό χώρο αποθήκευσης πιστοποιητικών#

Το πιστοποιητικό χρήστη που είναι αποθηκευμένο στο Nitrokey μπορεί να εισαχθεί στην προσωπική αποθήκη πιστοποιητικών του χρήστη. Σε ορισμένες περιπτώσεις αυτή είναι μια απαιτούμενη διαδικασία.

  1. Βεβαιωθείτε ότι έχετε συνδεθεί στο λογαριασμό χρήστη στον οποίο αντιστοιχεί το πιστοποιητικό.

  2. Από τη γραμμή εντολών, το PowerShell ή το Run, πληκτρολογήστε certsrv.msc και πατήστε Enter.

  3. Στο παράθυρο πλοήγησης επεκτείνετε το χώρο αποθήκευσης κλειδιών Personal και πλοηγηθείτε στο Certificates.

  4. Στη γραμμή μενού κάντε κλικ στην επιλογή Δράση → Όλες οι εργασίες → Εισαγωγή.

  5. Ακολουθήστε τον οδηγό εισαγωγής και παρέχετε το αρχείο πιστοποιητικού χρήστη όταν σας ζητηθεί.

  6. Αφού ολοκληρωθεί η εισαγωγή, ελέγξτε το παράθυρο λεπτομερειών για το εισαγόμενο πιστοποιητικό. Εάν το Nitrokey είναι συνδεδεμένο, οι ιδιότητες του πιστοποιητικού θα πρέπει να εμφανίζουν το μήνυμα Έχετε ένα ιδιωτικό κλειδί που αντιστοιχεί σε αυτό το πιστοποιητικό. υποδεικνύοντας ότι το ιδιωτικό κλειδί στο Nitrokey μπορούσε να αναγνωριστεί.