Windows-kirjautuminen PIV-älykorttitodennuksen avulla#

Tässä asiakirjassa kerrotaan, miten Nitrokey 3 for Windows -älykortin PIV-toiminto otetaan käyttöön manuaalisesti avaimen ja varmenteen avulla.

Tulevaisuudessa tämä manuaalinen käyttöönotto voidaan automatisoida Windows MiniDriver -ohjaimen avulla.

Varoitus

Nitrokey 3:n PIV-toimintoa pidetään tällä hetkellä epävakaana, eikä se ole käytettävissä vakaissa laiteohjelmistoversioissa. Toiminnon saamiseksi on asennettava testiohjelmisto. Myöhemmät laiteohjelmistopäivitykset voivat johtaa tietojen ja salausavainten katoamiseen. Lisätietoja on osoitteessa firmware update documentation.

Edellytykset#

  • Windows-palvelin, jossa on:

    • Active Directory (ohjeet)

    • Varmentaja, jolla on varmennepohja kirjautumistodennusta varten käyttäen RSA 2048-bittisiä avaimia:

  • Windows-käyttäjäkone, joka on liitetty palvelimen toimialueeseen.

  • Nitrokey 3, jossa on PIV

  • Linux-järjestelmä, johon on asennettu pivy ja PCSCD (sudo apt install pcscd) Nitrokey-avainta varten (vaiheet 1, 2 ja 4). Erillisen Linux-järjestelmän sijasta voit asentaa WSL:n Windowsiin. Huomaa, että sinun on virtuaalisesti liitettävä Nitrokey WSL:ään ja käynnistettävä PCSCD (sudo service start pcscd) ennen pivyn käyttöä.

1: Luo avain Nitrokey-avaimella#

Avain luodaan korttipaikassa 9A (todennus).

pivy-tool -a rsa2048 generate 9A

Muista

Jos hallintoavain ei ole oletusavain, se voidaan määrittää komennolla -A 3des -K 010203040506070801020304050607080102030405060708 . Kohdan -A argumentti voi olla myös aes256, ja kohdan -K argumentti on avain heksadesimaalilukuna.

Käyttäjän PIN-koodi voidaan määrittää myös komennolla -P 123456 tai -P <value>, jos se ei ole oletusarvo. Jos -P ei ole annettu, sitä kysytään avaimen luomisen jälkeen.

Tämä koskee kaikkia pivy-tool komentoja.

Tämä vaihe voi kestää RSA-avaimilla pari minuuttia, koska pelkkä ohjelmistototeutus on hidas.

Odotettu tulos:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKO5ENwrK3qKBAgDkyq1tfiw5JxnoCEIiM3Vc+8Eylux04r1sgjHEyqbOvpScObZuchxFZZ5LdeHynvFn3c07K4HpoZ/7NjLzUYOmlVAy4wpEwRs9psbrT6wbvHVLyffZiiSPW15HHQKcUZZ30WDunh5m7xzvY9ej810QIW/P724MFWTbRdpqmG8m1qWCUM5dqkmpiprI/WeD+VmTcQWbJJ+oyoPyxmwzGyAotl7mVC6EYdcfvyBSNQdVdGfYGxjNEec4aWxoFRg4ADfpPnYD+gLxHcj/9s7o/wdMhXRiSio1tjsEjaeuOICGLaiiLGMfLxpfEApb8qJgsEFgYl6kn PIV_slot_9A@9E424375A38449E59B3DF89D9B90E601

2: Luo varmenteen allekirjoituspyyntö (CSR).#

Tässä vaiheessa luodaan todentamispaikan avaimelle varmenne. pivy-tool -n 'Nitro Test' -u "nitro@test.nitrokey.com" -T user-auth req-cert 9A

Käyttäjätunnus Nitro Test ja sähköpostiosoite nitro@test.nitrokey.com on muutettava omiksi arvoiksi.

Odotettu tulos:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Kopioi varmenteen allekirjoituspyyntö tiedostoon request.csr

3: Allekirjoita CSR#

Siirrä request.csr-tiedosto edellisestä vaiheesta palvelimelle, joka isännöi varmentajaa. Tarkista varmenne-esimerkkikonsolissa (certtmpl.msc ), että käyttäjien esimerkki voi hyväksyä pyynnön aiheiden nimet:

Vaihda varmennepalvelun mallin konsolin todennusvarmennepalvelun mallin parametrin "aiheen nimi" -välilehdellä vaihtoehdosta "tarjoa pyyntöön".

Avaa PowerShell ja allekirjoita varmenteen allekirjoituspyyntö osoitteessa certreq.exe -attrib CertificateTemplate:Nitrotest -submit request.csr

Tämä avaa graafisen käyttöliittymän, jossa voit valita oikean varmennepalvelimen, jos palvelimella on useita varmenteiden myöntäjiä. Tallenna varmenne osoitteeseen certificate.crt

4: Tallenna varmenne Nitrokey-tietokoneeseen.#

”cat certificate.der | pivy-tool write-cert 9A

5: Tuo varmenne käyttäjätilille#

Siirrä certificate.der käyttäjän Windows-laitteeseen ja avaa varmenteidenhallinta (Käyttäjälle, ei koneelle):

Avaa "Käyttäjäsertifikaatin hallintapaneeli"

Tuo varmenne:

Toiminnot, kaikki tehtävät -kohdasta löydät tuontitoiminnon.

Kun tämä on tehty, kirjaudu ulos. Kirjaudu sisään Nitrokey-avaimella käyttämällä ”kirjautumisvaihtoehtoja”.