Asiakkaan kirjautuminen Active Directoryyn

Tässä asiakirjassa kerrotaan, miten Nitrokey 3:n PIV-sovellusta käytetään älykorttikirjautumiseen Active Directoryyn.

Tulevaisuudessa tämä manuaalinen käyttöönotto voidaan automatisoida Windows MiniDriver -ohjaimen avulla.

Varoitus

Nitrokey 3:n PIV-sovellusta pidetään tällä hetkellä epävakaana, eikä se ole saatavilla vakaissa laiteohjelmistoversioissa. Tämän toiminnon saamiseksi on asennettava testiohjelmisto. Myöhemmät laiteohjelmistopäivitykset voivat johtaa tietojen ja salausavainten katoamiseen. Lisätietoja on osoitteessa firmware update documentation.

Edellytykset

Asennus edellyttää järjestelmänvalvojan käyttöoikeuksia koneisiin, joilla käytetään Active Directory -hakemistopalveluja (ADDS) ja Active Directory -varmennepalveluja (ADCS). Asiakaskoneessa tarvitaan vain kirjautumiseen käytettävän käyttäjätilin käyttöoikeus.

  • Windows-palvelin (tuetut versiot ovat Windows Server 2016, 2019, 2022 kaikissa versioissa).
    • ADDS-rooli asennettu ja määritetty.

    • ADCS-rooli on asennettu ja Enterprise-CA sekä juurivarmenne määritetty.
      • Kullekin toimialueen ohjaimelle (DC) on myönnettävä toimialueen ohjain, toimialueen ohjaimen todennus ja Kerberos-todennus -varmenne.

      • Jos asiakkaat lähtevät yrityksen verkosta, varmista, että julkaistut täydelliset ja delta-sertifikaattien peruutusluettelot (CRL) ovat noudettavissa ulkoisista verkoista.

  • Windows-asiakasohjelma (tuetut versiot ovat Windows 10, 11 versioissa Professional ja Enterprise).
    • Asiakkaan on oltava Active Directory (AD) -toimialueen jäsen.

  • Nitrokey 3 ja PIV-sovellus.

Älykorttikirjautumisen määrittäminen Active Directory (AD) -käyttöä varten.

Älykorttikirjautuminen edellyttää varmennepohjaa toimialueen varmentajassa (CA). Tämä malli määrittelee käyttäjän varmenteiden arvot ja rajoitukset. Sitä käytetään varmennepyynnön (CSR) allekirjoittamiseen Nitrokey-avaimen käyttöönoton yhteydessä.

  1. Varmennepyynnön allekirjoittaminen älykorttikirjautumista varten edellyttää varmennepohjan luomista varmentajassa.

    1. Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita certtmpl.msc ja paina Enter.

    2. Valitse tiedot-ruudusta malli Smartcard Logon.

    3. Valitse valikkoriviltä Actions → All Tasks → Duplicate Template.

    4. Määritä alla olevat asetukset mallissa mainitun välilehden mukaisesti.

      Yhteensopivuus
      • Poista käytöstä Näytä tuloksena olevat muutokset

      • Aseta Varmentaja ja Varmenteen vastaanottaja toimialueen vanhimmille asiakkaille, joiden on tarkoitus käyttää älykorttikirjautumista.

        Tärkeä

        Jos haluat käyttää EC-avaimia (Elliptic Curve), asiakkaasi eivät saa olla vanhempia kuin Windows Server 2008 ja Windows Vista.

      Yleistä
      • Aseta Mallin näyttönimi.

      • Aseta voimassaoloaika ja uusimisjakso.

      Pyyntöjen käsittely
      • Määritä tarkoitus Signature ja älykorttikirjautuminen.

      Kryptografia
      • Määritä palveluntarjoajaluokka Avainten tallennuspalveluntarjoaja.

      • Määritä algoritmin nimi ja avaimen vähimmäiskoko.

        Tärkeä

        Microsoft suosittelee käyttämään RSA-algoritmia, jonka avaimen pituus on 2048 Bit. Jos päätät käyttää EC-avaimia (Eliptic Curve), sinun on tehtävä lisämuutoksia asiakastietokoneisiin.

      Aiheen nimi
      • Aseta Supply pyyntöön.

    5. Vahvista mallin luominen OK.

  2. Varmennepohjan luomisen jälkeen varmennepohja on myönnettävä, jotta asiakkaat voivat käyttää sitä.

    1. Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita certsrv.msc ja paina Enter.

    2. Laajenna navigointipaneelissa Varmentaja (CA) ja siirry osoitteeseen Varmennemallit.

    3. Valitse valikkoriviltä Toiminto → Uusi → Varmennepohjan malli myöntämistä varten.

    4. Valitse haluamasi varmennepohjan malli ja vahvista se painamalla OK.

Nitrokey 3:n käyttöönotto älykorttikirjautumista varten Active Directoryn kanssa

Älykorttikirjautuminen edellyttää Nitrokey-avaimen määrittämistä käyttäjälle Active Directoryyn. Provisiong sisältää yksityisen avaimen ja CSR:n (Certificate Singing Request) luomisen. Tämän jälkeen varmenne kirjoitetaan Nitrokey-avaimeen.

Varoitus

Varmista ennen seuraavien ohjeiden noudattamista, että Active Directory -käyttäjätili, jota haluat käyttää älykorttikirjautumiseen, on olemassa. Jos varmenteen luontiaika on ennen käyttäjätilin luontiaikaa, kirjautuminen epäonnistuu.

Tärkeä

Jos PIV-sovellusta Nitrokey-järjestelmässä ei ole käytetty aiemmin, suorita ensin alustaminen osoitteessa nitropy nk3 piv init.

  1. Luo yksityinen avain ja kirjoita CSR tiedostoon alla olevalla komennolla.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
    

    Arvo <algorithm> on käytetty algoritmi ja sen avaimen pituus, esim. rsa2048. Arvot <subject-name> ja <subject-alternative-name> vastaavat tyypillisesti Active Directory -käyttäjätilin attribuutteja commonName ja userPrincipalName.

  2. Allekirjoita CSR toimialueen varmenteiden myöntäjän (CA) kanssa alla olevalla komennolla.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    Kohdan <template-name> arvo on älykorttikirjautumisen varmennemallin nimi. Arvo <file> on varmenteen laulupyyntötiedosto.

  3. Kirjoita allekirjoitettu varmenne Nitrokeyyn alla olevalla komennolla.

    nitropy nk3 piv write-certificate --format PEM --path <file>
    

    Kohdan <file> arvo on varmenteen tiedosto.

Peruuttaa älykortin kirjautuminen Active Directory (AD) -käyttöön.

Myönnetyt käyttäjän kirjautumisvarmenteet luetellaan Active Directory -varmennepalveluissa (ADCS). ADCS:stä varmenteet voidaan peruuttaa, jolloin ne lisätään määritettyyn varmenteiden peruutusluetteloon (Certificate Revocation List, CRL). Tätä tarvitaan, jos Nitrokey on kadonnut tai rikkoutunut.

Tärkeä

On erittäin suositeltavaa, ettei koskaan jätä käyttämättömiä käyttäjävarmenteita peruuttamatta niitä.

Muista

Varmenne on mahdollista peruuttaa väliaikaisesti Certificate Hold. Tämä peruutus voidaan peruuttaa, eikä se siten ole pysyvä.

  1. Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita certsrv.msc ja paina Enter.

  2. Laajenna navigointipaneelissa varmentaja (CA) ja siirry kohtaan Myönnetyt varmenteet.

  3. Valitse tietoruudussa käyttäjän varmenne, jonka haluat peruuttaa.

  4. Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Peruuta varmenne.

  5. Määritä peruuttamisen syy, päivämäärä ja kellonaika ja vahvista Yes.

  6. Siirry navigointipaneelissa kohtaan Peruutetut varmenteet.

  7. Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Julkaise.

  8. Valitse peruutusluettelo, jonka haluat julkaista, ja vahvista se painamalla OK.

Muista

Jokaisen älykortilla tapahtuvan kirjautumisyrityksen aikana Windows tarkistaa, onko älykortin esittämä varmenne merkitty CRL-luetteloon (Certificate Revocation List). Jos varmenne löytyy CRL:stä, kirjautuminen evätään. Jokaisessa CRL:ssä on voimassaoloaika, jonka jälkeen ne vanhenevat. Windows tallentaa haetun CRL:n välimuistiin ja päivittää ne, jos CRL:n voimassaolo on päättymässä. Näin ollen peruutus ei ole välitön, vaan se riippuu asiakkaan hallussa olevan CRL:n voimassaolon päättymisestä.

Käyttäjän älykorttivarmenteen tuominen henkilökohtaiseen varmenteiden varastoon

Nitrokeyyn tallennettu käyttäjän varmenne voidaan tuoda käyttäjän henkilökohtaiseen varmennevarastoon. Tietyissä tilanteissa tämä on välttämätön toimenpide.

  1. Varmista, että olet kirjautuneena käyttäjätilille, jota varmenne vastaa.

  2. Kirjoita komentoriviltä, PowerShellistä tai Suorita, kirjoita certsrv.msc ja paina Enter.

  3. Laajenna navigointipaneelissa avainsäilö Henkilökohtaiset ja siirry kohtaan Varmenteet.

  4. Valitse valikkoriviltä Toiminto → Kaikki tehtävät → Tuo.

  5. Seuraa ohjattua tuontia ja anna käyttäjän varmentamistiedosto pyydettäessä.

  6. Kun tuonti on päättynyt, tarkista tuodun varmenteen tiedot. Jos Nitrokey on yhdistetty, varmenteen ominaisuuksissa pitäisi näkyä viesti Sinulla on yksityinen avain, joka vastaa tätä varmentetta., joka osoittaa, että Nitrokeyn yksityinen avain on voitu tunnistaa.