Windows bejelentkezés PIV intelligens kártyahitelesítéssel#

Ez a dokumentum elmagyarázza, hogyan lehet a Nitrokey 3 for Windows intelligens kártyás bejelentkezés PIV funkcióját manuálisan egy kulccsal és egy tanúsítvánnyal ellátni.

A jövőben ez a kézi üzembe helyezés automatizálható lesz egy Windows MiniDriver segítségével.

Figyelem

A Nitrokey 3 PIV funkciója jelenleg instabilnak minősül, és nem érhető el a stabil firmware kiadásokban. A funkció eléréséhez egy teszt firmware telepítése szükséges. A későbbi firmware-frissítések az adatok és a kriptográfiai kulcsok elvesztéséhez vezethetnek. További információkért kérjük, olvassa el a a firmware-frissítési dokumentációt.

Előfeltételek#

  • Windows szerver:

    • Active Directory (utasítások)

    • Tanúsítványkezelő hatóság (CA), RSA 2048 bites kulcsokat használó tanúsítványsablonnal a bejelentkezési hitelesítéshez:

  • A kiszolgáló tartományához csatlakozott Windows felhasználói gép

  • A Nitrokey 3 a PIV <https://github.com/Nitrokey/piv-authenticator> __

  • Egy Linux rendszer pivy és PCSCD telepítve (sudo apt install pcscd), a Nitrokey (1., 2. és 4. lépés) biztosításához. Külön Linux-rendszer helyett telepítheti WSL a Windows rendszerre. Vegye figyelembe, hogy a pivy használata előtt virtuálisan csatlakoztatnia kell a Nitrokey-t a WSL-hez, és el kell indítania a PCSCD-t (sudo service start pcscd).

1: Generáljon egy kulcsot a Nitrokey-en#

A kulcsot a 9A nyílásban generálják (hitelesítés).

pivy-tool -a rsa2048 generate 9A

Megjegyzés

Ha az adminisztrációs kulcs nem az alapértelmezett, akkor a -A 3des -K 010203040506070801020304050607080102030405060708 címmel adható meg. A -A argumentuma lehet a aes256 is, a -K argumentuma pedig a kulcs hexadecimális formában.

A felhasználói PIN-kódot a -P 123456, vagy a -P <value> kapcsolóval is megadhatja, ha az nem az alapértelmezett. Ha a -P nincs megadva, akkor a kulcsgenerálás után kérni fogja.

Ez vonatkozik az összes pivy-tool parancsra.

Ez a lépés az RSA kulcsok esetében néhány percet is igénybe vehet, mivel a tiszta szoftveres megvalósítás lassú.

Várható kimenet:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKO5ENwrK3qKBAgDkyq1tfiw5JxnoCEIiM3Vc+8Eylux04r1sgjHEyqbOvpScObZuchxFZZ5LdeHynvFn3c07K4HpoZ/7NjLzUYOmlVAy4wpEwRs9psbrT6wbvHVLyffZiiSPW15HHQKcUZZ30WDunh5m7xzvY9ej810QIW/P724MFWTbRdpqmG8m1qWCUM5dqkmpiprI/WeD+VmTcQWbJJ+oyoPyxmwzGyAotl7mVC6EYdcfvyBSNQdVdGfYGxjNEec4aWxoFRg4ADfpPnYD+gLxHcj/9s7o/wdMhXRiSio1tjsEjaeuOICGLaiiLGMfLxpfEApb8qJgsEFgYl6kn PIV_slot_9A@9E424375A38449E59B3DF89D9B90E601

2: Tanúsítvány-aláírási kérelem (CSR) generálása#

Ez a lépés tanúsítványt generál a hitelesítési nyílásban lévő kulcshoz. pivy-tool -n 'Nitro Test' -u "nitro@test.nitrokey.com" -T user-auth req-cert 9A

A Nitro Test felhasználónevet és a nitro@test.nitrokey.com e-mail címet saját értékekre kell módosítani.

Várható kimenet:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Másolja a tanúsítvány aláírási kérelmét egy fájlba request.csr

3: Írja alá a CSR-t#

Az előző lépésből származó request.csr fájlt helyezze át a tanúsítványkiadó hatóságnak otthont adó kiszolgálóra. Ellenőrizze a tanúsítványsablon konzolon (certtmpl.msc ), hogy a felhasználók sablonja elfogadja a kérelem tárgyneveit:

A tanúsítványsablon konzolban a hitelesítési tanúsítványsablon paraméterében kapcsolja be a "tárgynév" fülön a "kérésben való megadás" opciót.

Nyissa meg a PowerShellt, és írja alá a tanúsítvány aláírási kérelmét a certreq.exe -attrib CertificateTemplate:Nitrotest -submit request.csr segítségével.

Ez megnyit egy felhasználói felületet, ahol kiválaszthatja a megfelelő tanúsítványszolgáltatót, ha több is van a kiszolgálón. Mentse a tanúsítványt certificate.crt néven.

4: A tanúsítvány tárolása a Nitrokey-n#

„cat certificate.der | pivy-tool write-cert 9A

5: Importálja a tanúsítványt a felhasználói fiókba#

Mozgassa át a certificate.der a felhasználó Windows eszközére, és nyissa meg a tanúsítványkezelőt (A felhasználónak, nem a gépnek):

Nyissa meg a "Felhasználói tanúsítványok kezelése vezérlőpultot"

Importálja a tanúsítványt:

A műveletek, összes feladat menüpontban találja az importálási műveletet.

Ha ez megtörtént, jelentkezzen ki. Jelentkezzen be a Nitrokey-vel a „bejelentkezési lehetőségek” segítségével.