Windowsi sisselogimine PIV-kiirkaardi autentimisega#

Selles dokumendis selgitatakse, kuidas Nitrokey 3 for Windows’i kiipkaardi PIV-funktsiooni sisselogimist käsitsi võtme ja sertifikaadiga varustada.

Tulevikus võib seda käsitsi määramist automatiseerida Windows MiniDriveri abil.

Eeltingimused#

  • Windows server koos:

    • Active Directory (juhised)

    • Sertifitseerimisasutus (CA), mille sertifikaadi mall on kasutusel RSA 2048-bitiste võtmete kasutamisel sisselogimise autentimiseks:

  • Windowsi kasutajamasin, mis on ühendatud serveri domeeniga

  • Nitrokey 3 koos PIV

  • Linuxi süsteem, kuhu on paigaldatud pivy ja PCSCD (sudo apt install pcscd), et Nitrokey (sammud 1, 2 ja 4) kasutusele võtta. Eraldi Linuxi süsteemi asemel võib paigaldada WSL Windowsi. Pange tähele, et enne pivy kasutamist peate praktiliselt Nitrokey’d WSL-i külge kinnitama ja PCSCD käivitama (sudo service start pcscd).

1: Nitrokey võtme genereerimine#

Võti genereeritakse pesa 9A (autentimine).

pivy-tool generate 9A -a rsa2048

Märkus

Kui administreerimisvõti ei ole vaikimisi, saab selle määrata -A 3des -K 010203040506070801020304050607080102030405060708 . Argumendiks -A võib olla ka aes256 ja argumendiks -K on võti kuueteistkümnendsüsteemis.

Kasutaja PIN-koodi saab määrata ka -P 123456 või -P <value>, kui see ei ole vaikimisi. Kui -P ei ole esitatud, küsitakse seda pärast võtme genereerimist.

See kehtib kõigi pivy-tool käskude kohta.

See samm võib RSA võtmete puhul võtta paar minutit, sest puhas tarkvaraline rakendamine on aeglane.

Oodatav väljund:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKO5ENwrK3qKBAgDkyq1tfiw5JxnoCEIiM3Vc+8Eylux04r1sgjHEyqbOvpScObZuchxFZZ5LdeHynvFn3c07K4HpoZ/7NjLzUYOmlVAy4wpEwRs9psbrT6wbvHVLyffZiiSPW15HHQKcUZZ30WDunh5m7xzvY9ej810QIW/P724MFWTbRdpqmG8m1qWCUM5dqkmpiprI/WeD+VmTcQWbJJ+oyoPyxmwzGyAotl7mVC6EYdcfvyBSNQdVdGfYGxjNEec4aWxoFRg4ADfpPnYD+gLxHcj/9s7o/wdMhXRiSio1tjsEjaeuOICGLaiiLGMfLxpfEApb8qJgsEFgYl6kn PIV_slot_9A@9E424375A38449E59B3DF89D9B90E601

2: Sertifikaadi allkirjastamise taotluse (CSR) genereerimine#

See samm genereerib autentimisvuugi võtme jaoks sertifikaadi. pivy-tool req-cert 9A -n 'Nitro Test' -u "nitro@test.nitrokey.com" -T user-auth

Kasutajanimi Nitro Test ja e-posti aadress nitro@test.nitrokey.com tuleb muuta oma väärtusteks.

Oodatav väljund:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Kopeeri sertifikaadi allkirjastamise taotlus faili request.csr

3: allkirjastage CSR#

Viige eelmisest sammust pärit fail request.csr serverisse, kus asub sertifitseerimisasutus. Kontrollige sertifikaadi malli konsoolis (certtmpl.msc ), et kasutajate malli saab aktsepteerida taotluse subjektinimesid:

Lülitage sertifikaadi malli konsoolis autentimissertifikaadi malli parameetris vahekaardil "subjekti nimi" ümber valik "supply in request".

Avage PowerShell ja allkirjastage sertifikaadi allkirjastamise taotlus koos certreq.exe -attrib CertificateTemplate:Nitrotest -submit request.csr

See avab graafilise kasutajaliidese, kus saate valida õige sertifitseerimisasutuse, kui selles serveris on mitu sertifikaati. Salvestage sertifikaat kui certificate.crt

4: Salvesta sertifikaat Nitrokey’sse#

„cat certificate.der | pivy-tool write-cert 9A

5: Impordi sertifikaat kasutajakontole#

Viige certificate.der kasutaja Windowsi seadmesse ja avage sertifikaadihaldur (Kasutaja jaoks, mitte masina jaoks):

Avage "kasutajasertifikaadi haldamine".

Impordi sertifikaat:

Tegevused, kõik ülesanded, leiate importimise tegevuse

Kui see on tehtud, logige välja. Logige sisse Nitrokey abil, kasutades „sisselogimisvõimalusi“.