Asiakkaan kirjautuminen Active Directoryyn¶

Compatible Nitrokeys
✓ active	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive

Compatible Nitrokeys

This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.

Tulevaisuudessa tämä manuaalinen käyttöönotto voidaan automatisoida Windows MiniDriver -ohjaimen avulla.

Edellytykset¶

Asennus edellyttää järjestelmänvalvojan käyttöoikeuksia koneisiin, joilla käytetään Active Directory -hakemistopalveluja (ADDS) ja Active Directory -varmennepalveluja (ADCS). Asiakaskoneessa tarvitaan vain kirjautumiseen käytettävän käyttäjätilin käyttöoikeus.

Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
- ADDS-rooli asennettu ja määritetty.
- ADCS-rooli on asennettu ja Enterprise-CA sekä juurivarmenne määritetty.
  
  Kullekin toimialueen ohjaimelle (DC) on myönnettävä toimialueen ohjain, toimialueen ohjaimen todennus ja Kerberos-todennus -varmenne.
  
  Jos asiakkaat lähtevät yrityksen verkosta, varmista, että julkaistut täydelliset ja delta-sertifikaattien peruutusluettelot (CRL) ovat noudettavissa ulkoisista verkoista.
Windows-asiakasohjelma (tuetut versiot ovat Windows 10, 11 versioissa Professional ja Enterprise).
- Asiakkaan on oltava Active Directory (AD) -toimialueen jäsen.
Nitrokey 3 with PIV smart card.

Älykorttikirjautumisen määrittäminen Active Directory (AD) -käyttöä varten.¶

Älykorttikirjautuminen edellyttää varmennepohjaa toimialueen varmentajassa (CA). Tämä malli määrittelee käyttäjän varmenteiden arvot ja rajoitukset. Sitä käytetään varmennepyynnön (CSR) allekirjoittamiseen Nitrokey-avaimen käyttöönoton yhteydessä.

Varmennepyynnön allekirjoittaminen älykorttikirjautumista varten edellyttää varmennepohjan luomista varmentajassa.
1. Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita certtmpl.msc ja paina Enter.
2. Valitse tiedot-ruudusta malli Smartcard Logon.
3. Valitse valikkoriviltä Actions → All Tasks → Duplicate Template.
4. Määritä alla olevat asetukset mallissa mainitun välilehden mukaisesti.
  Yhteensopivuus
  
  Poista käytöstä Näytä tuloksena olevat muutokset
  
  Aseta Varmentaja ja Varmenteen vastaanottaja toimialueen vanhimmille asiakkaille, joiden on tarkoitus käyttää älykorttikirjautumista.
  
  Tärkeä
  
  Jos haluat käyttää EC-avaimia (Elliptic Curve), asiakkaasi eivät saa olla vanhempia kuin Windows Server 2008 ja Windows Vista.
  
  Yleistä
  
  Aseta Mallin näyttönimi.
  
  Aseta voimassaoloaika ja uusimisjakso.
  
  Pyyntöjen käsittely
  
  Määritä tarkoitus Signature ja älykorttikirjautuminen.
  
  Kryptografia
  
  Määritä palveluntarjoajaluokka Avainten tallennuspalveluntarjoaja.
  
  Määritä algoritmin nimi ja avaimen vähimmäiskoko.
  
  Tärkeä
  
  Microsoft recommends to use the RSA algorithm with a key length of 2048 Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.
  
  Aiheen nimi
  
  Aseta Supply pyyntöön.
5. Vahvista mallin luominen OK.
Varmennepohjan luomisen jälkeen varmennepohja on myönnettävä, jotta asiakkaat voivat käyttää sitä.
1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.
2. Laajenna navigointipaneelissa Varmentaja (CA) ja siirry osoitteeseen Varmennemallit.
3. Valitse valikkoriviltä Toiminto → Uusi → Varmennepohjan malli myöntämistä varten.
4. Valitse haluamasi varmennepohjan malli ja vahvista se painamalla OK.

Nitrokey 3:n käyttöönotto älykorttikirjautumista varten Active Directoryn kanssa¶

The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.

Varoitus

Varmista ennen seuraavien ohjeiden noudattamista, että Active Directory -käyttäjätili, jota haluat käyttää älykorttikirjautumiseen, on olemassa. Jos varmenteen luontiaika on ennen käyttäjätilin luontiaikaa, kirjautuminen epäonnistuu.

Luo yksityinen avain ja kirjoita CSR tiedostoon alla olevalla komennolla.
```
nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
```
The value of <algorithm> is the used algorithm with its key length, e.g. rsa2048. The value of <subject-name> corresponds to the value of the distinguishedName attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g. CN=John Doe. The value of <subject-alternative-name> corresponds to the value of the userPrincipalName attribute of the Active Directory user account.
Allekirjoita CSR toimialueen varmenteiden myöntäjän (CA) kanssa alla olevalla komennolla.
```
certreq -attrib CertificateTemplate:<template-name> -submit <file>
```
Kohdan <template-name> arvo on älykorttikirjautumisen varmennemallin nimi. Arvo <file> on varmenteen laulupyyntötiedosto.
Kirjoita allekirjoitettu varmenne Nitrokeyyn alla olevalla komennolla.
```
nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
```
Kohdan <file> arvo on varmenteen tiedosto.
Liitä varmenne Active Directory -käyttäjätiliin. Luo varmenteen yhdistäminen alla olevalla komennolla.
```
nitropy nk3 piv --experimental get-windows-auth-mapping
```
Choose one of the offered certificate mappings.

Vihje

Microsoft suosittelee X509IssuerSerialNumber -kartoituksen käyttöä.

Kirjoita valittu yhdistäminen Active Directory -käyttäjäobjektin altSecurityIdentities -attribuuttiin. Voit käyttää Active Directory Users and Computers -sovellusta tai PowerShelliä tähän toimintoon.
1. From the Command Line, PowerShell, or Run, type dsa.msc and press Enter.
2. In the menu bar click View → Advanced Features.
3. Valitse kyseinen käyttäjäobjekti.
4. In the menu bar click Action → Properties.
5. Avaa välilehti Attribuuttieditori.
6. Valitse määrite altSecurityIdentities.
7. Click on Edit.
8. Insert the certificate mapping in the text field and click Add.
9. Ota muutos käyttöön napsauttamalla OK.
1. Avaa PowerShell.
2. Lisää arvo Set-ADUser -Identity "<sAMAccountName>" -Add @{altSecurityIdentities="<certificate-mapping>"}, korvaa <sAMAccountName> käyttäjän kirjautumisnimen arvolla ja <certificate-mapping> edellä valitulla varmenteiden yhdistelmällä.
Tärkeä

Jos varmenteen yhdistämistä ei ole määritetty oikein, saat virheilmoituksen Logon screen message: Your credentials could not be verified., kun yrität kirjautua sisään. Lisäksi Windowsin tapahtumalokissa näkyy alla oleva tapahtumaviesti.

Source
```
Kerberos-Key-Distribution-Center
```
Message
```
The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
```

Peruuttaa älykortin kirjautuminen Active Directory (AD) -käyttöön.¶

Myönnetyt käyttäjän kirjautumisvarmenteet luetellaan Active Directory -varmennepalveluissa (ADCS). ADCS:stä varmenteet voidaan peruuttaa, jolloin ne lisätään määritettyyn varmenteiden peruutusluetteloon (Certificate Revocation List, CRL). Tätä tarvitaan, jos Nitrokey on kadonnut tai rikkoutunut.

Tärkeä

On erittäin suositeltavaa, ettei koskaan jätä käyttämättömiä käyttäjävarmenteita peruuttamatta niitä.

Muista

Varmenne on mahdollista peruuttaa väliaikaisesti Certificate Hold. Tämä peruutus voidaan peruuttaa, eikä se siten ole pysyvä.

Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita certsrv.msc ja paina Enter.
Laajenna navigointipaneelissa varmentaja (CA) ja siirry kohtaan Myönnetyt varmenteet.
Valitse tietoruudussa käyttäjän varmenne, jonka haluat peruuttaa.
Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Peruuta varmenne.
Määritä peruuttamisen syy, päivämäärä ja kellonaika ja vahvista Yes.
Siirry navigointipaneelissa kohtaan Peruutetut varmenteet.
Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Julkaise.
Valitse peruutusluettelo, jonka haluat julkaista, ja vahvista se painamalla OK.

Muista

Jokaisen älykortilla tapahtuvan kirjautumisyrityksen aikana Windows tarkistaa, onko älykortin esittämä varmenne merkitty CRL-luetteloon (Certificate Revocation List). Jos varmenne löytyy CRL:stä, kirjautuminen evätään. Jokaisessa CRL:ssä on voimassaoloaika, jonka jälkeen ne vanhenevat. Windows tallentaa haetun CRL:n välimuistiin ja päivittää ne, jos CRL:n voimassaolo on päättymässä. Näin ollen peruutus ei ole välitön, vaan se riippuu asiakkaan hallussa olevan CRL:n voimassaolon päättymisestä.

Käyttäjän älykorttivarmenteen tuominen henkilökohtaiseen varmenteiden varastoon¶

Nitrokeyyn tallennettu käyttäjän varmenne voidaan tuoda käyttäjän henkilökohtaiseen varmennevarastoon. Tietyissä tilanteissa tämä on välttämätön toimenpide.

Varmista, että olet kirjautuneena käyttäjätilille, jota varmenne vastaa.
Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita certsrv.msc ja paina Enter.
Laajenna navigointipaneelissa avainsäilö Henkilökohtaiset ja siirry kohtaan Varmenteet.
Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Tuo.
Seuraa ohjattua tuontia ja anna käyttäjän varmentamistiedosto pyydettäessä.
Kun tuonti on päättynyt, tarkista tuodun varmenteen tiedot. Jos Nitrokey on yhdistetty, varmenteen ominaisuuksissa pitäisi näkyä viesti Sinulla on yksityinen avain, joka vastaa tätä varmentetta., joka osoittaa, että Nitrokeyn yksityinen avain on voitu tunnistaa.

Varmista, että olet kirjautuneena käyttäjätilille, jota varmenne vastaa.
Avaa PowerShell.
Import the certificate with Import-Certificate -CertStoreLocation Cert:\CurrentUser\My -FilePath <path>, replacing <file> with the certificate file path.
After the import completed check for the certificate with Get-ChildItem Cert:\CurrentUser\My.