Ügyfél bejelentkezés Active Directory segítségével#

Nitrokey 3	Nitrokey Passkey	Nitrokey FIDO2	Nitrokey U2F	Nitrokey HSM 2	Nitrokey Pro 2	Nitrokey Start	Nitrokey Storage 2
✓	⨯	⨯	⨯	⨯	⨯	⨯	⨯

Ez a dokumentum elmagyarázza, hogyan kell használni a Nitrokey 3 PIV-alkalmazást az Active Directoryban történő intelligens kártyás bejelentkezéshez.

A jövőben ez a kézi üzembe helyezés automatizálható lesz egy Windows MiniDriver segítségével.

Figyelem

A Nitrokey 3 PIV-alkalmazása jelenleg instabilnak minősül, és nem érhető el a stabil firmware-verziókban. A funkció eléréséhez egy teszt firmware telepítése szükséges. A későbbi firmware-frissítések az adatok és a kriptográfiai kulcsok elvesztéséhez vezethetnek. További információkért kérjük, olvassa el a a firmware-frissítési dokumentációt.

Előfeltételek#

A beállításhoz rendszergazdai hozzáférés szükséges az Active Directory címtárszolgáltatásokat (ADDS) és az Active Directory tanúsítványszolgáltatásokat (ADCS) futtató gépekhez. Az ügyfélgépen csak a bejelentkezéshez használt felhasználói fiókhoz kell hozzáférni.

Windows szerver (támogatott verziók: Windows Server 2016, 2019, 2022 minden kiadásban)
- ADDS szerepkör telepítve és konfigurálva.
- ADCS szerepkör telepítve és a Enterprise-CA gyökértanúsítvánnyal konfigurálva.
  
  Minden tartományvezérlő (DC) számára ki kell állítani egy tartományvezérlő, tartományvezérlő-hitelesítés és Kerberos-hitelesítés tanúsítványt.
  
  Ha az ügyfelek elhagyják a vállalati hálózatot, győződjön meg arról, hogy a közzétett teljes és delta tanúsítvány-visszavonási listák (CRL) lekérdezhetők a külső hálózatokról.
Windows kliens (támogatott verziók: Windows 10, 11 a Professional és a Enterprise kiadásokban).
- Az ügyfélnek az Active Directory (AD) tartomány tagjának kell lennie.
Nitrokey 3 PIV alkalmazással.

Intelligens kártyás bejelentkezés konfigurálása Active Directory (AD) használatához#

Az intelligens kártyás bejelentkezéshez tanúsítványsablonra van szükség a tartomány tanúsítványhivatalában (CA). Ez a sablon határozza meg a felhasználói tanúsítványok értékeit és korlátait. A tanúsítványkérelem (CSR) aláírására szolgál a Nitrokey rendelkezésre bocsátása során.

Az intelligens kártyás bejelentkezéshez szükséges tanúsítványkérelem aláírásához tanúsítványsablont kell létrehozni a hitelesítésszolgáltatóban.
1. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certtmpl.msc parancsot, és nyomja meg az Entert.
2. A részleteket tartalmazó ablaktáblán válassza ki a Smartcard Logon sablont.
3. A menüsorban kattintson a Műveletek → Minden feladat → Sablon duplikálása.
4. Állítsa be az alábbi beállításokat a sablonon, az említett lapnak megfelelően.
  Kompatibilitás
  
  Disable Az eredményül kapott változások megjelenítése
  
  Állítsa be a Tanúsítványkezelő és a Tanúsítvány címzettje címeket a tartomány legrégebbi, intelligens kártyás bejelentkezést használó ügyfeleinek.
  
  Fontos
  
  Ha elliptikus görbületű (EC) kulcsokat szeretne használni, az ügyfelek nem lehetnek régebbiek, mint a Windows Server 2008 és a Windows Vista.
  
  Általános
  
  A sablon megjelenítési nevének beállítása.
  
  Állítsa be a érvényességi időszakot és a megújítási időszakot.
  
  Kérelmek kezelése
  
  A Aláírás és az intelligens kártyás bejelentkezés céljának beállítása.
  
  Kriptográfia
  
  A kulcstárolási szolgáltató kategóriájának beállítása.
  
  Algoritmusnév és minimális kulcsméret beállítása.
  
  Fontos
  
  A Microsoft az RSA-algoritmus használatát ajánlja 2048 Bit hosszúságú kulcsokkal. Ha az Eliptikus görbe (EC) kulcsok használata mellett dönt, további módosításokat kell végrehajtania az ügyfélszámítógépeken.
  
  Tárgy neve
  
  Állítsa be a ellátást a kérésben.
5. Erősítse meg a sablon létrehozását a OK címmel.
A tanúsítványsablon létrehozása után a sablont ki kell adni, hogy az ügyfelek használhassák.
1. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certsrv.msc parancsot, és nyomja meg az Entert.
2. A navigációs ablaktáblán bontsa ki a Tanúsítványkezelőt (CA), és navigáljon a Tanúsítványsablonok pontra.
3. A menüsorban kattintson a Action → New → Certificate Template to Issue menüpontra.
4. Válassza ki a kiállítani kívánt tanúsítványsablont, és erősítse meg a OK címmel.

A Nitrokey 3 biztosítása az Active Directoryhoz való intelligens kártyás bejelentkezéshez#

Az intelligens kártyás bejelentkezéshez Nitrokey-t kell biztosítani egy felhasználó számára az Active Directoryban. A provisiong tartalmazza a privát kulcsot és a tanúsítvány-küldési kérelem (CSR) generálását. A tanúsítványt ezután a Nitrokey-re írják.

Figyelem

Az alábbi lépések előtt győződjön meg arról, hogy az intelligens kártyás bejelentkezéshez használni kívánt Active Directory felhasználói fiók létezik. Ha a tanúsítvány létrehozásának időpontja a felhasználói fiók létrehozásának időpontja előtt van, a bejelentkezés sikertelen lesz.

Fontos

Ha a Nitrokey-n lévő PIV-alkalmazást korábban még nem használták, először végezzen inicializálást a nitropy nk3 piv init címen.

Generáljon egy privát kulcsot, és írja a CSR-t a fájlba az alábbi paranccsal.
```
nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
```
A <algorithm> értéke a használt algoritmus és annak kulcshossza, pl. rsa2048. A <subject-name> és <subject-alternative-name> értékei jellemzően az Active Directory felhasználói fiók commonName és userPrincipalName attribútumának felelnek meg.
Írja alá a CSR-t a tartomány hitelesítésszolgáltatójával (CA) az alábbi paranccsal.
```
certreq -attrib CertificateTemplate:<template-name> -submit <file>
```
A <template-name> értéke az intelligens kártyás bejelentkezéshez használt tanúsítványsablon neve. A <file> értéke a tanúsítvány lekérdezési fájl.
Írja az aláírt tanúsítványt a Nitrokey-be az alábbi paranccsal.
```
nitropy nk3 piv write-certificate --format PEM --path <file>
```
A <file> értéke a tanúsítványfájl.

Az Active Directory (AD) használatához szükséges intelligens kártyás bejelentkezés visszavonása#

A kiadott felhasználói bejelentkezési tanúsítványok az Active Directory tanúsítványszolgáltatások (ADCS) listáján szerepelnek. Az ADCS-ből a tanúsítványokat vissza lehet vonni, ami hozzáadja azokat a konfigurált tanúsítvány-visszavonási listához (CRL). Erre akkor van szükség, ha a Nitrokey elveszett vagy elromlott.

Fontos

Erősen ajánlott, hogy soha ne hagyja használaton kívüli felhasználói tanúsítványokat visszavonás nélkül.

Megjegyzés

Lehetőség van a tanúsítvány ideiglenes visszavonására a Certificate Hold címen. Ez a visszavonás visszaállítható, tehát nem végleges.

A parancssorból, a PowerShellből vagy a Futtatásból írja be a certsrv.msc parancsot, és nyomja meg az Entert.
A navigációs ablaktáblán bontsa ki a hitelesítésszolgáltatót, és navigáljon a Kiállított tanúsítványok menüpontra.
A részleteket tartalmazó ablaktáblán jelölje ki a visszavonandó felhasználói tanúsítványt.
A menüsorban kattintson a Action → All Tasks → Revoke Certificate menüpontra.
Adja meg a visszavonás okát, dátumát és időpontját, és erősítse meg a Yes címmel.
A navigációs ablaktáblán navigáljon a Visszavont tanúsítványok menüpontra.
A menüsorban kattintson a Action → All Tasks → Publish menüpontra.
Válassza ki a közzétenni kívánt visszavonási listát, és erősítse meg a OK címmel.

Megjegyzés

A Windows minden egyes intelligens kártyás bejelentkezési kísérlet során ellenőrzi, hogy az intelligens kártya által bemutatott tanúsítvány szerepel-e a tanúsítvány-visszavonási listán (CRL). Ha a tanúsítvány szerepel a CRL-ben, a bejelentkezést megtagadja. Minden CRL tartalmaz egy érvényességi időt, hogy lejárjon. A Windows gyorsítótárba helyezi a lekérdezett CRL-t, és frissíti azokat, ha a CRL hamarosan lejár. Ezért a visszavonás nem azonnali, és az ügyfél birtokában lévő CRL lejáratától függ.

Felhasználói intelligens kártyás tanúsítvány importálása a személyes tanúsítványtárolóba#

A Nitrokey-n tárolt felhasználói tanúsítvány importálható a felhasználó személyes tanúsítványtárolójába. Bizonyos helyzetekben ez egy szükséges eljárás.

Győződjön meg róla, hogy bejelentkezett a tanúsítványhoz tartozó felhasználói fiókba.
A parancssorból, a PowerShellből vagy a Futtatásból írja be a certsrv.msc parancsot, és nyomja meg az Entert.
A navigációs ablaktáblán bontsa ki a Személyes kulcstárolót, és navigáljon a Tanúsítványok pontra.
A menüsorban kattintson a Action → All Tasks → Import menüpontra.
Kövesse az importáló varázslót, és kérésre adja meg a felhasználói tanúsítványfájlt.
Az importálás befejezése után ellenőrizze az importált tanúsítványt a részleteket tartalmazó ablaktáblán. Ha a Nitrokey csatlakoztatva van, a tanúsítvány tulajdonságai között a A tanúsítványnak megfelelő magánkulccsal rendelkezik. üzenetnek kell jeleznie, hogy a Nitrokey magánkulcsa azonosítható.

Győződjön meg róla, hogy bejelentkezett a tanúsítványhoz tartozó felhasználói fiókba.
Nyissa meg a PowerShellt.
A felhasználó személyes tanúsítványtárolójának módosítása a Set-Location -Path cert:\CurrentUser\My címen.
Importálja a tanúsítványt a tárolóba a Import-Certificate -Filepath '<path>' címmel, a <path> helyére a tanúsítványfájl elérési útját írja be.