Kliendi sisselogimine Active Directoryga#

Selles dokumendis selgitatakse, kuidas kasutada Nitrokey 3 PIV-rakendust kiipkaardiga sisselogimiseks Active Directoryga.

Tulevikus võib seda käsitsi määramist automatiseerida Windows MiniDriveri abil.

Hoiatus

Nitrokey 3 PIV-rakendust peetakse praegu ebastabiilseks ja see ei ole stabiilse püsivara versioonides saadaval. Selle funktsiooni saamiseks on vaja paigaldada testfirmavara. Hilisemad püsivara uuendused võivad põhjustada andmete ja krüptograafiliste võtmete kadumist. Lisateavet leiate firmavara uuendamise dokumentatsioonist.

Eeltingimused#

Seadistamine nõuab administraatori juurdepääsu masinatele, millel töötavad Active Directory Directory Directory Services (ADDS) ja Active Directory Certificate Services (ADCS). Kliendimasinas on vaja ainult juurdepääsu vastavale kasutajakontole, mida kasutatakse sisselogimiseks.

Windows server (toetatud versioonid on Windows Server 2016, 2019, 2022 kõigis versioonides)
- ADDS roll paigaldatud ja konfigureeritud.
- ADCS roll paigaldatud ja Enterprise-CA koos juursertifikaadiga konfigureeritud.
  
  Igale domeenikontrollerile (DC) peab olema väljastatud domeenikontroller, domeenikontrollerite autentimise ja Kerberos Authentication sertifikaat.
  
  Kui teil on kliente, kes lahkuvad ettevõtte võrgust, veenduge, et avaldatud sertifikaatide täielikud ja delta tühistamisnimekirjad (CRL) on välisvõrkudest leitavad.
Windows klient (toetatud versioonid on Windows 10, 11 väljaannetes Professional ja Enterprise)
- Klient peab olema Active Directory (AD) domeeni liige.
Nitrokey 3 koos PIV-rakendusega.

Nutikaardi sisselogimise konfigureerimine Active Directory (AD) kasutamiseks#

Nutikaardiga sisselogimine nõuab domeeni sertifitseerimisasutuse (CA) sertifikaadi malli. See mall määratleb kasutajate sertifikaatide väärtused ja piirangud. Seda kasutatakse sertifikaaditaotluse (CSR) allkirjastamiseks Nitrokey’i määramise ajal.

Nutikaardiga sisselogimise sertifikaaditaotluse allkirjastamine eeldab sertifikaadi malli loomist sertifitseerimisasutuses.
1. Kirjutage käsurealt, PowerShellist või Run’ist certtmpl.msc ja vajutage Enter.
2. Valige detailide paneelil mall Smartcard Logon.
3. Klõpsake menüüribal Actions → All Tasks → Duplicate Template.
4. Seadistage malli alljärgnevad seaded vastavalt nimetatud vahekaardile.
  Ühilduvus
  
  Deaktiveeri Näita saadud muudatusi
  
  Määrake Sertifitseerimisasutus ja Sertifikaadi saaja domeeni vanimatele klientidele, kes peaksid kasutama kiipkaardiga sisselogimist.
  
  Tähtis
  
  Kui soovite kasutada Elliptic Curve (EC) võtmeid, ei tohi teie kliendid olla vanemad kui Windows Server 2008 ja Windows Vista.
  
  Üldine
  
  Määrake malli kuvamisnimi.
  
  Määrake Kehtivusaeg ja Pikendusperiood.
  
  Taotluse käsitlemine
  
  Määrake eesmärk Allkiri ja kiipkaardiga sisselogimine.
  
  Krüptograafia
  
  Määrake teenusepakkuja kategooria Key Storage Provider.
  
  Määrake algoritmi nimi ja võtme minimaalne suurus.
  
  Tähtis
  
  Microsoft soovitab kasutada RSA algoritmi, mille võtme pikkus on 2048 Bit. Kui te otsustate kasutada Eliptic Curve (EC) võtmeid, peate tegema lisamuudatusi oma kliendiarvutites.
  
  Teema nimi
  
  Määrake Supply taotluses.
5. Kinnitage malli loomine lingiga OK.
Pärast sertifikaadi malli loomist tuleb see välja anda, et kliendid saaksid seda kasutada.
1. Kirjutage käsurealt, PowerShellist või Run’ist certsrv.msc ja vajutage Enter.
2. Avardage navigatsioonipaanis sertifitseerimisasutus (CA) ja navigeerige aadressile Certificate Templates.
3. Klõpsake menüüribal Action → New → Certificate Template to Issue.
4. Valige väljaantav sertifikaadi mall ja kinnitage OK.

Nitrokey 3 seadistamine kiipkaardiga sisselogimiseks Active Directoryga#

Nutikaardiga sisselogimine eeldab Nitrokey kasutajale Active Directory’s nitrovõtme andmist. Provisiong sisaldab privaatvõtit ja sertifikaadi esitamise taotluse (CSR) genereerimist. Seejärel kirjutatakse sertifikaat Nitrokey’sse.

Hoiatus

Enne alljärgnevate sammude järgimist veenduge, et Active Directory kasutajakonto, mida soovite kasutada kiipkaardiga sisselogimiseks, on olemas. Sertifikaadi loomise aeg enne kasutajakonto loomise aega viib ebaõnnestunud sisselogimisele.

Tähtis

Kui Nitrokey PIV-rakendust ei ole varem kasutatud, tehke esmalt initsialiseerimine aadressil nitropy nk3 piv init.

Looge privaatne võti ja kirjutage CSR faili alljärgneva käsuga.
```
nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
```
Väärtus <algorithm> on kasutatud algoritm koos selle võtme pikkusega, nt rsa2048. Väärtused <subject-name> ja <subject-alternative-name> vastavad tavaliselt Active Directory kasutajakonto atribuutidele commonName ja userPrincipalName.
Allkirjastage CSR domeeni sertifitseerimisasutusega (CA) alljärgneva käsuga.
```
certreq -attrib CertificateTemplate:<template-name> -submit <file>
```
<template-name> on nutikaardi sisselogimise sertifikaadi malli nimi. Väärtus <file> on sertifikaadi laulmise taotluse fail.
Kirjutage allkirjastatud sertifikaat Nitrokey’sse alljärgneva käsuga.
```
nitropy nk3 piv write-certificate --format PEM --path <file>
```
<file> väärtus on sertifikaadifail.

Active Directory’ga (AD) kasutatava kiipkaardi sisselogimise tühistamine#

Väljastatud kasutajate sisselogimise sertifikaadid on loetletud Active Directory sertifikaatide teenustes (ADCS). ADCSist saab sertifikaate tühistada, mis lisab need konfigureeritud sertifikaatide tühistamise nimekirja (CRL). See on vajalik Nitrokey kadumise või katkemise korral.

Tähtis

On tungivalt soovitatav mitte kunagi jätta kasutamata kasutajasertifikaate ilma neid tühistamata.

Märkus

Sertifikaati on võimalik ajutiselt tühistada põhjendusega Certificate Hold. Seda tühistamist saab tagasi võtta ja see ei ole seega püsiv.

Kirjutage käsurealt, PowerShellist või Run’ist certsrv.msc ja vajutage Enter.
Avardage navigatsioonipaanis sertifitseerimisasutus (CA) ja navigeerige aadressile Väljaantud sertifikaadid.
Valige detailide paneelil kasutajasertifikaat, mille soovite tühistada.
Klõpsake menüüribal Action → All Tasks → Revoke Certificate.
Määrake tühistamise põhjus, kuupäev ja kellaaeg ning kinnitage Jah.
Navigatsioonipaanis navigeeri aadressile Tagasivõetud sertifikaadid.
Klõpsake menüüribal Tegevus → Kõik ülesanded → Avalda.
Valige tühistamisnimekiri, mida soovite avaldada, ja kinnitage OK.

Märkus

Windows kontrollib iga kiipkaardiga sisselogimise katse ajal, kas kiipkaardil esitatud sertifikaat on kantud sertifikaatide tühistamisnimekirja (CRL). Kui sertifikaat leitakse CRL-is, keeldutakse sisselogimisest. Iga CRL sisaldab kehtivusaega, et need aeguksid. Windows salvestab välja otsitud CRL-i vahemällu ja uuendab neid, kui CRL-i kehtivusaeg hakkab lõppema. Seega ei ole tühistamine kohene ja sõltub kliendi CRLi kehtivusaja lõppemisest.

Kasutaja kiipkaardi sertifikaadi importimine isiklikku sertifikaadipanka#

Nitrokey’s salvestatud kasutajasertifikaadi saab importida kasutaja isiklikku sertifikaadipanka. Teatud olukordades on see vajalik protseduur.

Veenduge, et olete sisse logitud kasutajakontole, millele sertifikaat vastab.
Kirjutage käsurealt, PowerShellist või Run’ist certsrv.msc ja vajutage Enter.
Avardage navigatsioonipaanis Personal võtmehoidla ja navigeerige aadressile Sertifikaadid.
Klõpsake menüüribal Action → All Tasks → Import.
Järgige importimisviisikut ja esitage kasutaja sertifikaadi fail, kui seda nõutakse.
Pärast impordi lõpetamist kontrollige imporditud sertifikaadi detailide paanil. Kui Nitrokey on ühendatud, peaks sertifikaadi omadustes ilmuma teade Teil on sellele sertifikaadile vastav privaatvõti., mis näitab, et Nitrokey privaatvõti on võimalik tuvastada.

Veenduge, et olete sisse logitud kasutajakontole, millele sertifikaat vastab.
Avage PowerShell.
Muuda kasutaja isikliku sertifikaadi salvestusruumi Set-Location -Path cert:\CurrentUser\My.
Impordige sertifikaat salvestusse Import-Certificate -Filepath '<path>', asendades <path> sertifikaadifaili teega.