Ügyfél bejelentkezés Active Directory segítségével

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.

A jövőben ez a kézi üzembe helyezés automatizálható lesz egy Windows MiniDriver segítségével.

Előfeltételek

A beállításhoz rendszergazdai hozzáférés szükséges az Active Directory címtárszolgáltatásokat (ADDS) és az Active Directory tanúsítványszolgáltatásokat (ADCS) futtató gépekhez. Az ügyfélgépen csak a bejelentkezéshez használt felhasználói fiókhoz kell hozzáférni.

  • Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
    • ADDS szerepkör telepítve és konfigurálva.

    • ADCS szerepkör telepítve és a Enterprise-CA gyökértanúsítvánnyal konfigurálva.
      • Minden tartományvezérlő (DC) számára ki kell állítani egy tartományvezérlő, tartományvezérlő-hitelesítés és Kerberos-hitelesítés tanúsítványt.

      • Ha az ügyfelek elhagyják a vállalati hálózatot, győződjön meg arról, hogy a közzétett teljes és delta tanúsítvány-visszavonási listák (CRL) lekérdezhetők a külső hálózatokról.

  • Windows kliens (támogatott verziók: Windows 10, 11 a Professional és a Enterprise kiadásokban).
    • Az ügyfélnek az Active Directory (AD) tartomány tagjának kell lennie.

  • Nitrokey 3 with PIV smart card.

Intelligens kártyás bejelentkezés konfigurálása Active Directory (AD) használatához

Az intelligens kártyás bejelentkezéshez tanúsítványsablonra van szükség a tartomány tanúsítványhivatalában (CA). Ez a sablon határozza meg a felhasználói tanúsítványok értékeit és korlátait. A tanúsítványkérelem (CSR) aláírására szolgál a Nitrokey rendelkezésre bocsátása során.

  1. Az intelligens kártyás bejelentkezéshez szükséges tanúsítványkérelem aláírásához tanúsítványsablont kell létrehozni a hitelesítésszolgáltatóban.

    1. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certtmpl.msc parancsot, és nyomja meg az Entert.

    2. A részleteket tartalmazó ablaktáblán válassza ki a Smartcard Logon sablont.

    3. A menüsorban kattintson a Műveletek → Minden feladat → Sablon duplikálása.

    4. Állítsa be az alábbi beállításokat a sablonon, az említett lapnak megfelelően.

      Kompatibilitás
      • Disable Az eredményül kapott változások megjelenítése

      • Állítsa be a Tanúsítványkezelő és a Tanúsítvány címzettje címeket a tartomány legrégebbi, intelligens kártyás bejelentkezést használó ügyfeleinek.

        Fontos

        Ha elliptikus görbületű (EC) kulcsokat szeretne használni, az ügyfelek nem lehetnek régebbiek, mint a Windows Server 2008 és a Windows Vista.

      Általános
      • A sablon megjelenítési nevének beállítása.

      • Állítsa be a érvényességi időszakot és a megújítási időszakot.

      Kérelmek kezelése
      • A Aláírás és az intelligens kártyás bejelentkezés céljának beállítása.

      Kriptográfia
      • A kulcstárolási szolgáltató kategóriájának beállítása.

      • Algoritmusnév és minimális kulcsméret beállítása.

        Fontos

        Microsoft recommends to use the RSA algorithm with a key length of 2048 Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.

      Tárgy neve
      • Állítsa be a ellátást a kérésben.

    5. Erősítse meg a sablon létrehozását a OK címmel.

  2. A tanúsítványsablon létrehozása után a sablont ki kell adni, hogy az ügyfelek használhassák.

    1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.

    2. A navigációs ablaktáblán bontsa ki a Tanúsítványkezelőt (CA), és navigáljon a Tanúsítványsablonok pontra.

    3. A menüsorban kattintson a Action → New → Certificate Template to Issue menüpontra.

    4. Válassza ki a kiállítani kívánt tanúsítványsablont, és erősítse meg a OK címmel.

A Nitrokey 3 biztosítása az Active Directoryhoz való intelligens kártyás bejelentkezéshez

The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.

Figyelem

Az alábbi lépések előtt győződjön meg arról, hogy az intelligens kártyás bejelentkezéshez használni kívánt Active Directory felhasználói fiók létezik. Ha a tanúsítvány létrehozásának időpontja a felhasználói fiók létrehozásának időpontja előtt van, a bejelentkezés sikertelen lesz.

  1. Generáljon egy privát kulcsot, és írja a CSR-t a fájlba az alábbi paranccsal.

    nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
    

    The value of <algorithm> is the used algorithm with its key length, e.g. rsa2048. The value of <subject-name> corresponds to the value of the distinguishedName attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g. CN=John Doe. The value of <subject-alternative-name> corresponds to the value of the userPrincipalName attribute of the Active Directory user account.

  2. Írja alá a CSR-t a tartomány hitelesítésszolgáltatójával (CA) az alábbi paranccsal.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    A <template-name> értéke az intelligens kártyás bejelentkezéshez használt tanúsítványsablon neve. A <file> értéke a tanúsítvány lekérdezési fájl.

  3. Írja az aláírt tanúsítványt a Nitrokey-be az alábbi paranccsal.

    nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
    

    A <file> értéke a tanúsítványfájl.

  4. Kösse össze a tanúsítványt az Active Directory felhasználói fiókkal. Hozzuk létre a tanúsítvány hozzárendeléseket az alábbi paranccsal.

    nitropy nk3 piv --experimental get-windows-auth-mapping
    

    Choose one of the offered certificate mappings.

    Javaslat

    A Microsoft a X509IssuerSerialNumber leképezés használatát ajánlja.

    Írja a kiválasztott hozzárendelést az Active Directory felhasználói objektum altSecurityIdentities attribútumába. Ehhez a művelethez használhatja a Active Directory-felhasználók és számítógépek alkalmazást vagy a PowerShellt.

    1. From the Command Line, PowerShell, or Run, type dsa.msc and press Enter.

    2. In the menu bar click View → Advanced Features.

    3. Válassza ki a megfelelő felhasználói objektumot.

    4. In the menu bar click Action → Properties.

    5. Nyissa meg a Attribútumszerkesztő lapot.

    6. Válassza ki a altSecurityIdentities attribútumot.

    7. Click on Edit.

    8. Insert the certificate mapping in the text field and click Add.

    9. Alkalmazza a módosítást a OK gombra kattintva.

    Fontos

    Ha a tanúsítvány hozzárendelése nem megfelelően van beállítva, akkor a bejelentkezéskor a Logon screen message: Your credentials could not be verified. hibaüzenetet kapja. Ezenkívül a Windows rendszer eseménynaplójában az alábbi eseményüzenet jelenik meg.

    Source

    Kerberos-Key-Distribution-Center
    

    Message

    The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
    

Az Active Directory (AD) használatához szükséges intelligens kártyás bejelentkezés visszavonása

A kiadott felhasználói bejelentkezési tanúsítványok az Active Directory tanúsítványszolgáltatások (ADCS) listáján szerepelnek. Az ADCS-ből a tanúsítványokat vissza lehet vonni, ami hozzáadja azokat a konfigurált tanúsítvány-visszavonási listához (CRL). Erre akkor van szükség, ha a Nitrokey elveszett vagy elromlott.

Fontos

Erősen ajánlott, hogy soha ne hagyja használaton kívüli felhasználói tanúsítványokat visszavonás nélkül.

Megjegyzés

Lehetőség van a tanúsítvány ideiglenes visszavonására a Certificate Hold címen. Ez a visszavonás visszaállítható, tehát nem végleges.

  1. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certsrv.msc parancsot, és nyomja meg az Entert.

  2. A navigációs ablaktáblán bontsa ki a hitelesítésszolgáltatót, és navigáljon a Kiállított tanúsítványok menüpontra.

  3. A részleteket tartalmazó ablaktáblán jelölje ki a visszavonandó felhasználói tanúsítványt.

  4. A menüsorban kattintson a Action → All Tasks → Revoke Certificate menüpontra.

  5. Adja meg a visszavonás okát, dátumát és időpontját, és erősítse meg a Yes címmel.

  6. A navigációs ablaktáblán navigáljon a Visszavont tanúsítványok menüpontra.

  7. A menüsorban kattintson a Action → All Tasks → Publish menüpontra.

  8. Válassza ki a közzétenni kívánt visszavonási listát, és erősítse meg a OK címmel.

Megjegyzés

A Windows minden egyes intelligens kártyás bejelentkezési kísérlet során ellenőrzi, hogy az intelligens kártya által bemutatott tanúsítvány szerepel-e a tanúsítvány-visszavonási listán (CRL). Ha a tanúsítvány szerepel a CRL-ben, a bejelentkezést megtagadja. Minden CRL tartalmaz egy érvényességi időt, hogy lejárjon. A Windows gyorsítótárba helyezi a lekérdezett CRL-t, és frissíti azokat, ha a CRL hamarosan lejár. Ezért a visszavonás nem azonnali, és az ügyfél birtokában lévő CRL lejáratától függ.

Felhasználói intelligens kártyás tanúsítvány importálása a személyes tanúsítványtárolóba

A Nitrokey-n tárolt felhasználói tanúsítvány importálható a felhasználó személyes tanúsítványtárolójába. Bizonyos helyzetekben ez egy szükséges eljárás.

  1. Győződjön meg róla, hogy bejelentkezett a tanúsítványhoz tartozó felhasználói fiókba.

  2. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certsrv.msc parancsot, és nyomja meg az Entert.

  3. A navigációs ablaktáblán bontsa ki a Személyes kulcstárolót, és navigáljon a Tanúsítványok pontra.

  4. A menüsorban kattintson a Action → All Tasks → Import menüpontra.

  5. Kövesse az importáló varázslót, és kérésre adja meg a felhasználói tanúsítványfájlt.

  6. Az importálás befejezése után ellenőrizze az importált tanúsítványt a részleteket tartalmazó ablaktáblán. Ha a Nitrokey csatlakoztatva van, a tanúsítvány tulajdonságai között a A tanúsítványnak megfelelő magánkulccsal rendelkezik. üzenetnek kell jeleznie, hogy a Nitrokey magánkulcsa azonosítható.