Windows-kirjautuminen PIV-älykorttitodennuksen avulla#

Tässä asiakirjassa kerrotaan, miten Nitrokey 3 for Windows -älykortin PIV-toiminto otetaan käyttöön manuaalisesti avaimen ja varmenteen avulla.

Tulevaisuudessa tämä manuaalinen käyttöönotto voidaan automatisoida Windows MiniDriver -ohjaimen avulla.

Edellytykset#

  • Windows-palvelin, jossa on:

    • Active Directory (ohjeet)

    • Varmentaja, jolla on varmennepohja kirjautumistodennusta varten käyttäen RSA 2048-bittisiä avaimia:

  • Windows-käyttäjäkone, joka on liitetty palvelimen toimialueeseen.

  • Nitrokey 3, jossa on PIV

  • Linux-järjestelmä, johon on asennettu pivy ja PCSCD (sudo apt install pcscd) Nitrokey-avainta varten (vaiheet 1, 2 ja 4). Erillisen Linux-järjestelmän sijasta voit asentaa WSL:n Windowsiin. Huomaa, että sinun on virtuaalisesti liitettävä Nitrokey WSL:ään ja käynnistettävä PCSCD (sudo service start pcscd) ennen pivyn käyttöä.

1: Luo avain Nitrokey-avaimella#

Avain luodaan korttipaikassa 9A (todennus).

pivy-tool generate 9A -a rsa2048

Muista

Jos hallintoavain ei ole oletusavain, se voidaan määrittää komennolla -A 3des -K 010203040506070801020304050607080102030405060708 . Kohdan -A argumentti voi olla myös aes256, ja kohdan -K argumentti on avain heksadesimaalilukuna.

Käyttäjän PIN-koodi voidaan määrittää myös komennolla -P 123456 tai -P <value>, jos se ei ole oletusarvo. Jos -P ei ole annettu, sitä kysytään avaimen luomisen jälkeen.

Tämä koskee kaikkia pivy-tool komentoja.

Tämä vaihe voi kestää RSA-avaimilla pari minuuttia, koska pelkkä ohjelmistototeutus on hidas.

Odotettu tulos:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKO5ENwrK3qKBAgDkyq1tfiw5JxnoCEIiM3Vc+8Eylux04r1sgjHEyqbOvpScObZuchxFZZ5LdeHynvFn3c07K4HpoZ/7NjLzUYOmlVAy4wpEwRs9psbrT6wbvHVLyffZiiSPW15HHQKcUZZ30WDunh5m7xzvY9ej810QIW/P724MFWTbRdpqmG8m1qWCUM5dqkmpiprI/WeD+VmTcQWbJJ+oyoPyxmwzGyAotl7mVC6EYdcfvyBSNQdVdGfYGxjNEec4aWxoFRg4ADfpPnYD+gLxHcj/9s7o/wdMhXRiSio1tjsEjaeuOICGLaiiLGMfLxpfEApb8qJgsEFgYl6kn PIV_slot_9A@9E424375A38449E59B3DF89D9B90E601

2: Luo varmenteen allekirjoituspyyntö (CSR).#

Tässä vaiheessa luodaan todentamispaikan avaimelle varmenne. pivy-tool req-cert 9A -n 'Nitro Test' -u "nitro@test.nitrokey.com" -T user-auth

Käyttäjätunnus Nitro Test ja sähköpostiosoite nitro@test.nitrokey.com on muutettava omiksi arvoiksi.

Odotettu tulos:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Kopioi varmenteen allekirjoituspyyntö tiedostoon request.csr

3: Allekirjoita CSR#

Siirrä request.csr-tiedosto edellisestä vaiheesta palvelimelle, joka isännöi varmentajaa. Tarkista varmenne-esimerkkikonsolissa (certtmpl.msc ), että käyttäjien esimerkki voi hyväksyä pyynnön aiheiden nimet:

Vaihda varmennepalvelun mallin konsolin todennusvarmennepalvelun mallin parametrin "aiheen nimi" -välilehdellä vaihtoehdosta "tarjoa pyyntöön".

Avaa PowerShell ja allekirjoita varmenteen allekirjoituspyyntö osoitteessa certreq.exe -attrib CertificateTemplate:Nitrotest -submit request.csr

Tämä avaa graafisen käyttöliittymän, jossa voit valita oikean varmennepalvelimen, jos palvelimella on useita varmenteiden myöntäjiä. Tallenna varmenne osoitteeseen certificate.crt

4: Tallenna varmenne Nitrokey-tietokoneeseen.#

”cat certificate.der | pivy-tool write-cert 9A

5: Tuo varmenne käyttäjätilille#

Siirrä certificate.der käyttäjän Windows-laitteeseen ja avaa varmenteidenhallinta (Käyttäjälle, ei koneelle):

Avaa "Käyttäjäsertifikaatin hallintapaneeli"

Tuo varmenne:

Toiminnot, kaikki tehtävät -kohdasta löydät tuontitoiminnon.

Kun tämä on tehty, kirjaudu ulos. Kirjaudu sisään Nitrokey-avaimella käyttämällä ”kirjautumisvaihtoehtoja”.