Windows bejelentkezés és S/MIME e-mail titkosítás az Active Directory segítségével#
Kérjük, vegye figyelembe, hogy ez az illesztőprogram még fejlesztés/tesztelés alatt áll. Kérjük, ossza meg velünk tapasztalatait! Lásd a kapcsolat oldalunkat.
Előfeltételek#
Ez az útmutató feltételezi, hogy a kiszolgálón telepítve van és fut egy Active Directory-kiszolgáló az „Active Directory tanúsítványszolgáltatások” szerepkörrel. Ezek az utasítások csak a Nitrokey Storage 2 és a Nitrokey Pro 2 tanúsítványokon alapulnak.
Az OpenPGP-CSP telepítése#
Ez a lépés szükséges ahhoz, hogy az ügyfelek használni tudják az OpenPGP-CSP illesztőprogramot. Töltse le és telepítse a legújabb verzióját a «SetupOpenPGPCsp» telepítőfájlt a rendszerarchitektúrához, 64 bites rendszerek esetén a «SetupOpenPGPCsp_x64.msi»-t.
Érdemes telepíteni az illesztőprogramot a kiszolgálón is, hogy a sablonban is érvényesíteni tudja az illesztőprogram használatát (lásd alább).
Tanúsítvány sablon létrehozása a kiszolgáló oldalon#
Az Active Directory-kiszolgálón nyissa meg a certsrv.msc fájlt a tanúsítványsablonok kezeléséhez. Kattintson a jobb gombbal a «Tanúsítvány sablonok» elemre, és válassza a «Kezelés» lehetőséget.
Most kattintson a jobb gombbal a «Smartcard Logon» sablonra, és kattintson a «Duplicate» gombra, hogy új sablont hozzon létre a szabványos sablon alapján. Nevezze át a sablont «OpenPGP Card Logon and Email» vagy hasonlóra.
A «Kérelemkezelés» alatt az OpenPGP-CSP-t választhatja ki egyetlen kriptográfiai szolgáltatónak (kattintson a «CSP-k…» feliratú gombra). Ahhoz, hogy ez működjön, a szerverre is telepíteni kell az illesztőprogramot, és előtte be kell helyeznie egy Nitrokey-t. Ez opcionális. Hagyhatja, hogy a felhasználó válassza ki, melyik CSP-t szeretné használni.
Az S/MIME e-mail titkosítás engedélyezéséhez lépjen a «Tárgynév» menüpontra. Jelölje be az «E-Mail név» jelölőnégyzetet (megjegyzés: A felhasználók e-mail címét el kell menteni a megfelelő Active Directory mezőbe!).
Ezután menj a «Bővítmények» menüpontba, ott szerkeszd meg az alkalmazások irányelvét, és add hozzá a «Biztonságos e-mail» opciót.
Tanúsítvány igénylése az ügyfélnél (tartományi tag)#
Ha tanúsítványt szeretne kérni egy tartománytag számára, meg kell nyitnia a certmgr.msc fájlt. Kattintson a jobb gombbal a «Személyes->Tanúsítványok» mappára, majd kattintson az «Összes feladat->Új tanúsítvány igénylése» parancsra, és válassza ki az AD-n létrehozott sablont.
Ha nem erőltette az OpenPGP-CSP használatát, akkor most itt kell választania.
Ezután válassza ki a tanúsítvány hitelesítési nyílását.
Most már készen áll arra, hogy a jelszó helyett a Nitrokey-vel jelentkezzen be a számítógépre, és használhatja a S/MIME e-mail titkosítást/aláírást a Nitrokey-vel. Az illesztőprogramot minden olyan számítógépre telepíteni kell, amelyen a tanúsítványt használni szeretné.