Windowsi sisselogimine PIV-kiirkaardi autentimisega#

Selles dokumendis selgitatakse, kuidas Nitrokey 3 for Windows’i kiipkaardi PIV-funktsiooni sisselogimist käsitsi võtme ja sertifikaadiga varustada.

Tulevikus võib seda käsitsi määramist automatiseerida Windows MiniDriveri abil.

Hoiatus

Nitrokey 3 PIV-funktsiooni peetakse praegu ebastabiilseks ja see ei ole stabiilse püsivara versioonides saadaval. Selle funktsiooni saamiseks on vaja paigaldada testfirmavara. Hilisemad püsivara uuendused võivad põhjustada andmete ja krüptograafiliste võtmete kadumist. Lisateavet leiate firmavara uuendamise dokumentatsioonist.

Eeltingimused#

  • Windows server koos:

    • Active Directory (juhised)

    • Sertifitseerimisasutus (CA), mille sertifikaadi mall on kasutusel RSA 2048-bitiste võtmete kasutamisel sisselogimise autentimiseks:

  • Windowsi kasutajamasin, mis on ühendatud serveri domeeniga

  • Nitrokey 3 koos PIV

  • Linuxi süsteem, kuhu on paigaldatud pivy ja PCSCD (sudo apt install pcscd), et Nitrokey (sammud 1, 2 ja 4) kasutusele võtta. Eraldi Linuxi süsteemi asemel võib paigaldada WSL Windowsi. Pange tähele, et enne pivy kasutamist peate praktiliselt Nitrokey’d WSL-i külge kinnitama ja PCSCD käivitama (sudo service start pcscd).

1: Nitrokey võtme genereerimine#

Võti genereeritakse pesa 9A (autentimine).

pivy-tool -a rsa2048 generate 9A

Märkus

Kui administreerimisvõti ei ole vaikimisi, saab selle määrata -A 3des -K 010203040506070801020304050607080102030405060708 . Argumendiks -A võib olla ka aes256 ja argumendiks -K on võti kuueteistkümnendsüsteemis.

Kasutaja PIN-koodi saab määrata ka -P 123456 või -P <value>, kui see ei ole vaikimisi. Kui -P ei ole esitatud, küsitakse seda pärast võtme genereerimist.

See kehtib kõigi pivy-tool käskude kohta.

See samm võib RSA võtmete puhul võtta paar minutit, sest puhas tarkvaraline rakendamine on aeglane.

Oodatav väljund:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKO5ENwrK3qKBAgDkyq1tfiw5JxnoCEIiM3Vc+8Eylux04r1sgjHEyqbOvpScObZuchxFZZ5LdeHynvFn3c07K4HpoZ/7NjLzUYOmlVAy4wpEwRs9psbrT6wbvHVLyffZiiSPW15HHQKcUZZ30WDunh5m7xzvY9ej810QIW/P724MFWTbRdpqmG8m1qWCUM5dqkmpiprI/WeD+VmTcQWbJJ+oyoPyxmwzGyAotl7mVC6EYdcfvyBSNQdVdGfYGxjNEec4aWxoFRg4ADfpPnYD+gLxHcj/9s7o/wdMhXRiSio1tjsEjaeuOICGLaiiLGMfLxpfEApb8qJgsEFgYl6kn PIV_slot_9A@9E424375A38449E59B3DF89D9B90E601

2: Sertifikaadi allkirjastamise taotluse (CSR) genereerimine#

See samm genereerib autentimisvuugi võtme jaoks sertifikaadi. pivy-tool -n 'Nitro Test' -u "nitro@test.nitrokey.com" -T user-auth req-cert 9A

Kasutajanimi Nitro Test ja e-posti aadress nitro@test.nitrokey.com tuleb muuta oma väärtusteks.

Oodatav väljund:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Kopeeri sertifikaadi allkirjastamise taotlus faili request.csr

3: allkirjastage CSR#

Viige eelmisest sammust pärit fail request.csr serverisse, kus asub sertifitseerimisasutus. Kontrollige sertifikaadi malli konsoolis (certtmpl.msc ), et kasutajate malli saab aktsepteerida taotluse subjektinimesid:

Lülitage sertifikaadi malli konsoolis autentimissertifikaadi malli parameetris vahekaardil "subjekti nimi" ümber valik "supply in request".

Avage PowerShell ja allkirjastage sertifikaadi allkirjastamise taotlus koos certreq.exe -attrib CertificateTemplate:Nitrotest -submit request.csr

See avab graafilise kasutajaliidese, kus saate valida õige sertifitseerimisasutuse, kui selles serveris on mitu sertifikaati. Salvestage sertifikaat kui certificate.crt

4: Salvesta sertifikaat Nitrokey’sse#

„cat certificate.der | pivy-tool write-cert 9A

5: Impordi sertifikaat kasutajakontole#

Viige certificate.der kasutaja Windowsi seadmesse ja avage sertifikaadihaldur (Kasutaja jaoks, mitte masina jaoks):

Avage "kasutajasertifikaadi haldamine".

Impordi sertifikaat:

Tegevused, kõik ülesanded, leiate importimise tegevuse

Kui see on tehtud, logige välja. Logige sisse Nitrokey abil, kasutades „sisselogimisvõimalusi“.