Ügyfél bejelentkezés Active Directory segítségével#
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
Ez a dokumentum elmagyarázza, hogyan kell használni a Nitrokey 3 PIV-alkalmazást az Active Directoryban történő intelligens kártyás bejelentkezéshez.
A jövőben ez a kézi üzembe helyezés automatizálható lesz egy Windows MiniDriver segítségével.
Figyelem
A Nitrokey 3 PIV-alkalmazása jelenleg instabilnak minősül, és nem érhető el a stabil firmware-verziókban. A funkció eléréséhez egy teszt firmware telepítése szükséges. A későbbi firmware-frissítések az adatok és a kriptográfiai kulcsok elvesztéséhez vezethetnek. További információkért kérjük, olvassa el a a firmware-frissítési dokumentációt.
Előfeltételek#
A beállításhoz rendszergazdai hozzáférés szükséges az Active Directory címtárszolgáltatásokat (ADDS) és az Active Directory tanúsítványszolgáltatásokat (ADCS) futtató gépekhez. Az ügyfélgépen csak a bejelentkezéshez használt felhasználói fiókhoz kell hozzáférni.
- Windows szerver (támogatott verziók: Windows Server 2016, 2019, 2022 minden kiadásban)
ADDS szerepkör telepítve és konfigurálva.
- ADCS szerepkör telepítve és a Enterprise-CA gyökértanúsítvánnyal konfigurálva.
Minden tartományvezérlő (DC) számára ki kell állítani egy tartományvezérlő, tartományvezérlő-hitelesítés és Kerberos-hitelesítés tanúsítványt.
Ha az ügyfelek elhagyják a vállalati hálózatot, győződjön meg arról, hogy a közzétett teljes és delta tanúsítvány-visszavonási listák (CRL) lekérdezhetők a külső hálózatokról.
- Windows kliens (támogatott verziók: Windows 10, 11 a Professional és a Enterprise kiadásokban).
Az ügyfélnek az Active Directory (AD) tartomány tagjának kell lennie.
Nitrokey 3 PIV alkalmazással.
Intelligens kártyás bejelentkezés konfigurálása Active Directory (AD) használatához#
Az intelligens kártyás bejelentkezéshez tanúsítványsablonra van szükség a tartomány tanúsítványhivatalában (CA). Ez a sablon határozza meg a felhasználói tanúsítványok értékeit és korlátait. A tanúsítványkérelem (CSR) aláírására szolgál a Nitrokey rendelkezésre bocsátása során.
Az intelligens kártyás bejelentkezéshez szükséges tanúsítványkérelem aláírásához tanúsítványsablont kell létrehozni a hitelesítésszolgáltatóban.
A parancssorból, a PowerShellből vagy a Futtatásból írja be a
certtmpl.msc
parancsot, és nyomja meg az Entert.A részleteket tartalmazó ablaktáblán válassza ki a Smartcard Logon sablont.
A menüsorban kattintson a Műveletek → Minden feladat → Sablon duplikálása.
Állítsa be az alábbi beállításokat a sablonon, az említett lapnak megfelelően.
- Kompatibilitás
Disable Az eredményül kapott változások megjelenítése
Állítsa be a Tanúsítványkezelő és a Tanúsítvány címzettje címeket a tartomány legrégebbi, intelligens kártyás bejelentkezést használó ügyfeleinek.
Fontos
Ha elliptikus görbületű (EC) kulcsokat szeretne használni, az ügyfelek nem lehetnek régebbiek, mint a Windows Server 2008 és a Windows Vista.
- Általános
A sablon megjelenítési nevének beállítása.
Állítsa be a érvényességi időszakot és a megújítási időszakot.
- Kérelmek kezelése
A Aláírás és az intelligens kártyás bejelentkezés céljának beállítása.
- Kriptográfia
A kulcstárolási szolgáltató kategóriájának beállítása.
Algoritmusnév és minimális kulcsméret beállítása.
Fontos
A Microsoft az RSA-algoritmus használatát ajánlja
2048
Bit hosszúságú kulcsokkal. Ha az Eliptikus görbe (EC) kulcsok használata mellett dönt, további módosításokat kell végrehajtania az ügyfélszámítógépeken.
- Tárgy neve
Állítsa be a ellátást a kérésben.
Erősítse meg a sablon létrehozását a OK címmel.
A tanúsítványsablon létrehozása után a sablont ki kell adni, hogy az ügyfelek használhassák.
A parancssorból, a PowerShellből vagy a Futtatásból írja be a
certsrv.msc
parancsot, és nyomja meg az Entert.A navigációs ablaktáblán bontsa ki a Tanúsítványkezelőt (CA), és navigáljon a Tanúsítványsablonok pontra.
A menüsorban kattintson a Action → New → Certificate Template to Issue menüpontra.
Válassza ki a kiállítani kívánt tanúsítványsablont, és erősítse meg a OK címmel.
A Nitrokey 3 biztosítása az Active Directoryhoz való intelligens kártyás bejelentkezéshez#
Az intelligens kártyás bejelentkezéshez Nitrokey-t kell biztosítani egy felhasználó számára az Active Directoryban. A provisiong tartalmazza a privát kulcsot és a tanúsítvány-küldési kérelem (CSR) generálását. A tanúsítványt ezután a Nitrokey-re írják.
Figyelem
Az alábbi lépések előtt győződjön meg arról, hogy az intelligens kártyás bejelentkezéshez használni kívánt Active Directory felhasználói fiók létezik. Ha a tanúsítvány létrehozásának időpontja a felhasználói fiók létrehozásának időpontja előtt van, a bejelentkezés sikertelen lesz.
Fontos
Ha a Nitrokey-n lévő PIV-alkalmazást korábban még nem használták, először végezzen inicializálást a nitropy nk3 piv init
címen.
Generáljon egy privát kulcsot, és írja a CSR-t a fájlba az alábbi paranccsal.
nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
A
<algorithm>
értéke a használt algoritmus és annak kulcshossza, pl.rsa2048
. A<subject-name>
és<subject-alternative-name>
értékei jellemzően az Active Directory felhasználói fiókcommonName
ésuserPrincipalName
attribútumának felelnek meg.Írja alá a CSR-t a tartomány hitelesítésszolgáltatójával (CA) az alábbi paranccsal.
certreq -attrib CertificateTemplate:<template-name> -submit <file>
A
<template-name>
értéke az intelligens kártyás bejelentkezéshez használt tanúsítványsablon neve. A<file>
értéke a tanúsítvány lekérdezési fájl.Írja az aláírt tanúsítványt a Nitrokey-be az alábbi paranccsal.
nitropy nk3 piv write-certificate --format PEM --path <file>
A
<file>
értéke a tanúsítványfájl.
Az Active Directory (AD) használatához szükséges intelligens kártyás bejelentkezés visszavonása#
A kiadott felhasználói bejelentkezési tanúsítványok az Active Directory tanúsítványszolgáltatások (ADCS) listáján szerepelnek. Az ADCS-ből a tanúsítványokat vissza lehet vonni, ami hozzáadja azokat a konfigurált tanúsítvány-visszavonási listához (CRL). Erre akkor van szükség, ha a Nitrokey elveszett vagy elromlott.
Fontos
Erősen ajánlott, hogy soha ne hagyja használaton kívüli felhasználói tanúsítványokat visszavonás nélkül.
Megjegyzés
Lehetőség van a tanúsítvány ideiglenes visszavonására a Certificate Hold címen. Ez a visszavonás visszaállítható, tehát nem végleges.
A parancssorból, a PowerShellből vagy a Futtatásból írja be a
certsrv.msc
parancsot, és nyomja meg az Entert.A navigációs ablaktáblán bontsa ki a hitelesítésszolgáltatót, és navigáljon a Kiállított tanúsítványok menüpontra.
A részleteket tartalmazó ablaktáblán jelölje ki a visszavonandó felhasználói tanúsítványt.
A menüsorban kattintson a Action → All Tasks → Revoke Certificate menüpontra.
Adja meg a visszavonás okát, dátumát és időpontját, és erősítse meg a Yes címmel.
A navigációs ablaktáblán navigáljon a Visszavont tanúsítványok menüpontra.
A menüsorban kattintson a Action → All Tasks → Publish menüpontra.
Válassza ki a közzétenni kívánt visszavonási listát, és erősítse meg a OK címmel.
Megjegyzés
A Windows minden egyes intelligens kártyás bejelentkezési kísérlet során ellenőrzi, hogy az intelligens kártya által bemutatott tanúsítvány szerepel-e a tanúsítvány-visszavonási listán (CRL). Ha a tanúsítvány szerepel a CRL-ben, a bejelentkezést megtagadja. Minden CRL tartalmaz egy érvényességi időt, hogy lejárjon. A Windows gyorsítótárba helyezi a lekérdezett CRL-t, és frissíti azokat, ha a CRL hamarosan lejár. Ezért a visszavonás nem azonnali, és az ügyfél birtokában lévő CRL lejáratától függ.
Felhasználói intelligens kártyás tanúsítvány importálása a személyes tanúsítványtárolóba#
A Nitrokey-n tárolt felhasználói tanúsítvány importálható a felhasználó személyes tanúsítványtárolójába. Bizonyos helyzetekben ez egy szükséges eljárás.
Győződjön meg róla, hogy bejelentkezett a tanúsítványhoz tartozó felhasználói fiókba.
A parancssorból, a PowerShellből vagy a Futtatásból írja be a
certsrv.msc
parancsot, és nyomja meg az Entert.A navigációs ablaktáblán bontsa ki a Személyes kulcstárolót, és navigáljon a Tanúsítványok pontra.
A menüsorban kattintson a Action → All Tasks → Import menüpontra.
Kövesse az importáló varázslót, és kérésre adja meg a felhasználói tanúsítványfájlt.
Az importálás befejezése után ellenőrizze az importált tanúsítványt a részleteket tartalmazó ablaktáblán. Ha a Nitrokey csatlakoztatva van, a tanúsítvány tulajdonságai között a A tanúsítványnak megfelelő magánkulccsal rendelkezik. üzenetnek kell jeleznie, hogy a Nitrokey magánkulcsa azonosítható.
Győződjön meg róla, hogy bejelentkezett a tanúsítványhoz tartozó felhasználói fiókba.
Nyissa meg a PowerShellt.
A felhasználó személyes tanúsítványtárolójának módosítása a
Set-Location -Path cert:\CurrentUser\My
címen.Importálja a tanúsítványt a tárolóba a
Import-Certificate -Filepath '<path>'
címmel, a<path>
helyére a tanúsítványfájl elérési útját írja be.