Asiakkaan kirjautuminen Active Directoryyn¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.
Tulevaisuudessa tämä manuaalinen käyttöönotto voidaan automatisoida Windows MiniDriver -ohjaimen avulla.
Edellytykset¶
Asennus edellyttää järjestelmänvalvojan käyttöoikeuksia koneisiin, joilla käytetään Active Directory -hakemistopalveluja (ADDS) ja Active Directory -varmennepalveluja (ADCS). Asiakaskoneessa tarvitaan vain kirjautumiseen käytettävän käyttäjätilin käyttöoikeus.
- Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
ADDS-rooli asennettu ja määritetty.
- ADCS-rooli on asennettu ja Enterprise-CA sekä juurivarmenne määritetty.
Kullekin toimialueen ohjaimelle (DC) on myönnettävä toimialueen ohjain, toimialueen ohjaimen todennus ja Kerberos-todennus -varmenne.
Jos asiakkaat lähtevät yrityksen verkosta, varmista, että julkaistut täydelliset ja delta-sertifikaattien peruutusluettelot (CRL) ovat noudettavissa ulkoisista verkoista.
- Windows-asiakasohjelma (tuetut versiot ovat Windows 10, 11 versioissa Professional ja Enterprise).
Asiakkaan on oltava Active Directory (AD) -toimialueen jäsen.
Nitrokey 3 with PIV smart card.
Älykorttikirjautumisen määrittäminen Active Directory (AD) -käyttöä varten.¶
Älykorttikirjautuminen edellyttää varmennepohjaa toimialueen varmentajassa (CA). Tämä malli määrittelee käyttäjän varmenteiden arvot ja rajoitukset. Sitä käytetään varmennepyynnön (CSR) allekirjoittamiseen Nitrokey-avaimen käyttöönoton yhteydessä.
Varmennepyynnön allekirjoittaminen älykorttikirjautumista varten edellyttää varmennepohjan luomista varmentajassa.
Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita
certtmpl.msc
ja paina Enter.Valitse tiedot-ruudusta malli Smartcard Logon.
Valitse valikkoriviltä Actions → All Tasks → Duplicate Template.
Määritä alla olevat asetukset mallissa mainitun välilehden mukaisesti.
- Yhteensopivuus
Poista käytöstä Näytä tuloksena olevat muutokset
Aseta Varmentaja ja Varmenteen vastaanottaja toimialueen vanhimmille asiakkaille, joiden on tarkoitus käyttää älykorttikirjautumista.
Tärkeä
Jos haluat käyttää EC-avaimia (Elliptic Curve), asiakkaasi eivät saa olla vanhempia kuin Windows Server 2008 ja Windows Vista.
- Yleistä
Aseta Mallin näyttönimi.
Aseta voimassaoloaika ja uusimisjakso.
- Pyyntöjen käsittely
Määritä tarkoitus Signature ja älykorttikirjautuminen.
- Kryptografia
Määritä palveluntarjoajaluokka Avainten tallennuspalveluntarjoaja.
Määritä algoritmin nimi ja avaimen vähimmäiskoko.
Tärkeä
Microsoft recommends to use the RSA algorithm with a key length of
2048
Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.
- Aiheen nimi
Aseta Supply pyyntöön.
Vahvista mallin luominen OK.
Varmennepohjan luomisen jälkeen varmennepohja on myönnettävä, jotta asiakkaat voivat käyttää sitä.
From the Command Line, PowerShell, or Run, type
certmgr.msc
and press Enter.Laajenna navigointipaneelissa Varmentaja (CA) ja siirry osoitteeseen Varmennemallit.
Valitse valikkoriviltä Toiminto → Uusi → Varmennepohjan malli myöntämistä varten.
Valitse haluamasi varmennepohjan malli ja vahvista se painamalla OK.
Nitrokey 3:n käyttöönotto älykorttikirjautumista varten Active Directoryn kanssa¶
The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.
Varoitus
Varmista ennen seuraavien ohjeiden noudattamista, että Active Directory -käyttäjätili, jota haluat käyttää älykorttikirjautumiseen, on olemassa. Jos varmenteen luontiaika on ennen käyttäjätilin luontiaikaa, kirjautuminen epäonnistuu.
Luo yksityinen avain ja kirjoita CSR tiedostoon alla olevalla komennolla.
nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
The value of
<algorithm>
is the used algorithm with its key length, e.g.rsa2048
. The value of<subject-name>
corresponds to the value of thedistinguishedName
attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g.CN=John Doe
. The value of<subject-alternative-name>
corresponds to the value of theuserPrincipalName
attribute of the Active Directory user account.Allekirjoita CSR toimialueen varmenteiden myöntäjän (CA) kanssa alla olevalla komennolla.
certreq -attrib CertificateTemplate:<template-name> -submit <file>
Kohdan
<template-name>
arvo on älykorttikirjautumisen varmennemallin nimi. Arvo<file>
on varmenteen laulupyyntötiedosto.Kirjoita allekirjoitettu varmenne Nitrokeyyn alla olevalla komennolla.
nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
Kohdan
<file>
arvo on varmenteen tiedosto.Liitä varmenne Active Directory -käyttäjätiliin. Luo varmenteen yhdistäminen alla olevalla komennolla.
nitropy nk3 piv --experimental get-windows-auth-mapping
Choose one of the offered certificate mappings.
Vihje
Microsoft suosittelee
X509IssuerSerialNumber
-kartoituksen käyttöä.Kirjoita valittu yhdistäminen Active Directory -käyttäjäobjektin
altSecurityIdentities
-attribuuttiin. Voit käyttää Active Directory Users and Computers -sovellusta tai PowerShelliä tähän toimintoon.From the Command Line, PowerShell, or Run, type
dsa.msc
and press Enter.In the menu bar click View → Advanced Features.
Valitse kyseinen käyttäjäobjekti.
In the menu bar click Action → Properties.
Avaa välilehti Attribuuttieditori.
Valitse määrite
altSecurityIdentities
.Click on Edit.
Insert the certificate mapping in the text field and click Add.
Ota muutos käyttöön napsauttamalla OK.
Avaa PowerShell.
Lisää arvo
Set-ADUser -Identity "<sAMAccountName>" -Add @{altSecurityIdentities="<certificate-mapping>"}
, korvaa<sAMAccountName>
käyttäjän kirjautumisnimen arvolla ja<certificate-mapping>
edellä valitulla varmenteiden yhdistelmällä.
Tärkeä
Jos varmenteen yhdistämistä ei ole määritetty oikein, saat virheilmoituksen
Logon screen message: Your credentials could not be verified.
, kun yrität kirjautua sisään. Lisäksi Windowsin tapahtumalokissa näkyy alla oleva tapahtumaviesti.Source
Kerberos-Key-Distribution-Center
Message
The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
Peruuttaa älykortin kirjautuminen Active Directory (AD) -käyttöön.¶
Myönnetyt käyttäjän kirjautumisvarmenteet luetellaan Active Directory -varmennepalveluissa (ADCS). ADCS:stä varmenteet voidaan peruuttaa, jolloin ne lisätään määritettyyn varmenteiden peruutusluetteloon (Certificate Revocation List, CRL). Tätä tarvitaan, jos Nitrokey on kadonnut tai rikkoutunut.
Tärkeä
On erittäin suositeltavaa, ettei koskaan jätä käyttämättömiä käyttäjävarmenteita peruuttamatta niitä.
Muista
Varmenne on mahdollista peruuttaa väliaikaisesti Certificate Hold. Tämä peruutus voidaan peruuttaa, eikä se siten ole pysyvä.
Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita
certsrv.msc
ja paina Enter.Laajenna navigointipaneelissa varmentaja (CA) ja siirry kohtaan Myönnetyt varmenteet.
Valitse tietoruudussa käyttäjän varmenne, jonka haluat peruuttaa.
Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Peruuta varmenne.
Määritä peruuttamisen syy, päivämäärä ja kellonaika ja vahvista Yes.
Siirry navigointipaneelissa kohtaan Peruutetut varmenteet.
Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Julkaise.
Valitse peruutusluettelo, jonka haluat julkaista, ja vahvista se painamalla OK.
Muista
Jokaisen älykortilla tapahtuvan kirjautumisyrityksen aikana Windows tarkistaa, onko älykortin esittämä varmenne merkitty CRL-luetteloon (Certificate Revocation List). Jos varmenne löytyy CRL:stä, kirjautuminen evätään. Jokaisessa CRL:ssä on voimassaoloaika, jonka jälkeen ne vanhenevat. Windows tallentaa haetun CRL:n välimuistiin ja päivittää ne, jos CRL:n voimassaolo on päättymässä. Näin ollen peruutus ei ole välitön, vaan se riippuu asiakkaan hallussa olevan CRL:n voimassaolon päättymisestä.
Käyttäjän älykorttivarmenteen tuominen henkilökohtaiseen varmenteiden varastoon¶
Nitrokeyyn tallennettu käyttäjän varmenne voidaan tuoda käyttäjän henkilökohtaiseen varmennevarastoon. Tietyissä tilanteissa tämä on välttämätön toimenpide.
Varmista, että olet kirjautuneena käyttäjätilille, jota varmenne vastaa.
Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita
certsrv.msc
ja paina Enter.Laajenna navigointipaneelissa avainsäilö Henkilökohtaiset ja siirry kohtaan Varmenteet.
Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Tuo.
Seuraa ohjattua tuontia ja anna käyttäjän varmentamistiedosto pyydettäessä.
Kun tuonti on päättynyt, tarkista tuodun varmenteen tiedot. Jos Nitrokey on yhdistetty, varmenteen ominaisuuksissa pitäisi näkyä viesti Sinulla on yksityinen avain, joka vastaa tätä varmentetta., joka osoittaa, että Nitrokeyn yksityinen avain on voitu tunnistaa.
Varmista, että olet kirjautuneena käyttäjätilille, jota varmenne vastaa.
Avaa PowerShell.
Import the certificate with
Import-Certificate -CertStoreLocation Cert:\CurrentUser\My -FilePath <path>
, replacing<file>
with the certificate file path.After the import completed check for the certificate with
Get-ChildItem Cert:\CurrentUser\My
.