Ügyfél bejelentkezés Active Directory segítségével#

Ez a dokumentum elmagyarázza, hogyan kell használni a Nitrokey 3 PIV-alkalmazást az Active Directoryban történő intelligens kártyás bejelentkezéshez.

A jövőben ez a kézi üzembe helyezés automatizálható lesz egy Windows MiniDriver segítségével.

Figyelem

A Nitrokey 3 PIV-alkalmazása jelenleg instabilnak minősül, és nem érhető el a stabil firmware-verziókban. A funkció eléréséhez egy teszt firmware telepítése szükséges. A későbbi firmware-frissítések az adatok és a kriptográfiai kulcsok elvesztéséhez vezethetnek. További információkért kérjük, olvassa el a a firmware-frissítési dokumentációt.

Előfeltételek#

A beállításhoz rendszergazdai hozzáférés szükséges az Active Directory címtárszolgáltatásokat (ADDS) és az Active Directory tanúsítványszolgáltatásokat (ADCS) futtató gépekhez. Az ügyfélgépen csak a bejelentkezéshez használt felhasználói fiókhoz kell hozzáférni.

  • Windows szerver (támogatott verziók: Windows Server 2016, 2019, 2022 minden kiadásban)
    • ADDS szerepkör telepítve és konfigurálva.

    • ADCS szerepkör telepítve és a Enterprise-CA gyökértanúsítvánnyal konfigurálva.
      • Minden tartományvezérlő (DC) számára ki kell állítani egy tartományvezérlő, tartományvezérlő-hitelesítés és Kerberos-hitelesítés tanúsítványt.

      • Ha az ügyfelek elhagyják a vállalati hálózatot, győződjön meg arról, hogy a közzétett teljes és delta tanúsítvány-visszavonási listák (CRL) lekérdezhetők a külső hálózatokról.

  • Windows kliens (támogatott verziók: Windows 10, 11 a Professional és a Enterprise kiadásokban).
    • Az ügyfélnek az Active Directory (AD) tartomány tagjának kell lennie.

  • Nitrokey 3 PIV alkalmazással.

Intelligens kártyás bejelentkezés konfigurálása Active Directory (AD) használatához#

Az intelligens kártyás bejelentkezéshez tanúsítványsablonra van szükség a tartomány tanúsítványhivatalában (CA). Ez a sablon határozza meg a felhasználói tanúsítványok értékeit és korlátait. A tanúsítványkérelem (CSR) aláírására szolgál a Nitrokey rendelkezésre bocsátása során.

  1. Az intelligens kártyás bejelentkezéshez szükséges tanúsítványkérelem aláírásához tanúsítványsablont kell létrehozni a hitelesítésszolgáltatóban.

    1. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certtmpl.msc parancsot, és nyomja meg az Entert.

    2. A részleteket tartalmazó ablaktáblán válassza ki a Smartcard Logon sablont.

    3. A menüsorban kattintson a Műveletek → Minden feladat → Sablon duplikálása.

    4. Állítsa be az alábbi beállításokat a sablonon, az említett lapnak megfelelően.

      Kompatibilitás
      • Disable Az eredményül kapott változások megjelenítése

      • Állítsa be a Tanúsítványkezelő és a Tanúsítvány címzettje címeket a tartomány legrégebbi, intelligens kártyás bejelentkezést használó ügyfeleinek.

        Fontos

        Ha elliptikus görbületű (EC) kulcsokat szeretne használni, az ügyfelek nem lehetnek régebbiek, mint a Windows Server 2008 és a Windows Vista.

      Általános
      • A sablon megjelenítési nevének beállítása.

      • Állítsa be a érvényességi időszakot és a megújítási időszakot.

      Kérelmek kezelése
      • A Aláírás és az intelligens kártyás bejelentkezés céljának beállítása.

      Kriptográfia
      • A kulcstárolási szolgáltató kategóriájának beállítása.

      • Algoritmusnév és minimális kulcsméret beállítása.

        Fontos

        A Microsoft az RSA-algoritmus használatát ajánlja 2048 Bit hosszúságú kulcsokkal. Ha az Eliptikus görbe (EC) kulcsok használata mellett dönt, további módosításokat kell végrehajtania az ügyfélszámítógépeken.

      Tárgy neve
      • Állítsa be a ellátást a kérésben.

    5. Erősítse meg a sablon létrehozását a OK címmel.

  2. A tanúsítványsablon létrehozása után a sablont ki kell adni, hogy az ügyfelek használhassák.

    1. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certsrv.msc parancsot, és nyomja meg az Entert.

    2. A navigációs ablaktáblán bontsa ki a Tanúsítványkezelőt (CA), és navigáljon a Tanúsítványsablonok pontra.

    3. A menüsorban kattintson a Action → New → Certificate Template to Issue menüpontra.

    4. Válassza ki a kiállítani kívánt tanúsítványsablont, és erősítse meg a OK címmel.

A Nitrokey 3 biztosítása az Active Directoryhoz való intelligens kártyás bejelentkezéshez#

Az intelligens kártyás bejelentkezéshez Nitrokey-t kell biztosítani egy felhasználó számára az Active Directoryban. A provisiong tartalmazza a privát kulcsot és a tanúsítvány-küldési kérelem (CSR) generálását. A tanúsítványt ezután a Nitrokey-re írják.

Figyelem

Az alábbi lépések előtt győződjön meg arról, hogy az intelligens kártyás bejelentkezéshez használni kívánt Active Directory felhasználói fiók létezik. Ha a tanúsítvány létrehozásának időpontja a felhasználói fiók létrehozásának időpontja előtt van, a bejelentkezés sikertelen lesz.

Fontos

Ha a Nitrokey-n lévő PIV-alkalmazást korábban még nem használták, először végezzen inicializálást a nitropy nk3 piv init címen.

  1. Generáljon egy privát kulcsot, és írja a CSR-t a fájlba az alábbi paranccsal.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
    

    A <algorithm> értéke a használt algoritmus és annak kulcshossza, pl. rsa2048. A <subject-name> és <subject-alternative-name> értékei jellemzően az Active Directory felhasználói fiók commonName és userPrincipalName attribútumának felelnek meg.

  2. Írja alá a CSR-t a tartomány hitelesítésszolgáltatójával (CA) az alábbi paranccsal.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    A <template-name> értéke az intelligens kártyás bejelentkezéshez használt tanúsítványsablon neve. A <file> értéke a tanúsítvány lekérdezési fájl.

  3. Írja az aláírt tanúsítványt a Nitrokey-be az alábbi paranccsal.

    nitropy nk3 piv write-certificate --format PEM --path <file>
    

    A <file> értéke a tanúsítványfájl.

Az Active Directory (AD) használatához szükséges intelligens kártyás bejelentkezés visszavonása#

A kiadott felhasználói bejelentkezési tanúsítványok az Active Directory tanúsítványszolgáltatások (ADCS) listáján szerepelnek. Az ADCS-ből a tanúsítványokat vissza lehet vonni, ami hozzáadja azokat a konfigurált tanúsítvány-visszavonási listához (CRL). Erre akkor van szükség, ha a Nitrokey elveszett vagy elromlott.

Fontos

Erősen ajánlott, hogy soha ne hagyja használaton kívüli felhasználói tanúsítványokat visszavonás nélkül.

Megjegyzés

Lehetőség van a tanúsítvány ideiglenes visszavonására a Certificate Hold címen. Ez a visszavonás visszaállítható, tehát nem végleges.

  1. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certsrv.msc parancsot, és nyomja meg az Entert.

  2. A navigációs ablaktáblán bontsa ki a hitelesítésszolgáltatót, és navigáljon a Kiállított tanúsítványok menüpontra.

  3. A részleteket tartalmazó ablaktáblán jelölje ki a visszavonandó felhasználói tanúsítványt.

  4. A menüsorban kattintson a Action → All Tasks → Revoke Certificate menüpontra.

  5. Adja meg a visszavonás okát, dátumát és időpontját, és erősítse meg a Yes címmel.

  6. A navigációs ablaktáblán navigáljon a Visszavont tanúsítványok menüpontra.

  7. A menüsorban kattintson a Action → All Tasks → Publish menüpontra.

  8. Válassza ki a közzétenni kívánt visszavonási listát, és erősítse meg a OK címmel.

Megjegyzés

A Windows minden egyes intelligens kártyás bejelentkezési kísérlet során ellenőrzi, hogy az intelligens kártya által bemutatott tanúsítvány szerepel-e a tanúsítvány-visszavonási listán (CRL). Ha a tanúsítvány szerepel a CRL-ben, a bejelentkezést megtagadja. Minden CRL tartalmaz egy érvényességi időt, hogy lejárjon. A Windows gyorsítótárba helyezi a lekérdezett CRL-t, és frissíti azokat, ha a CRL hamarosan lejár. Ezért a visszavonás nem azonnali, és az ügyfél birtokában lévő CRL lejáratától függ.

Felhasználói intelligens kártyás tanúsítvány importálása a személyes tanúsítványtárolóba#

A Nitrokey-n tárolt felhasználói tanúsítvány importálható a felhasználó személyes tanúsítványtárolójába. Bizonyos helyzetekben ez egy szükséges eljárás.

  1. Győződjön meg róla, hogy bejelentkezett a tanúsítványhoz tartozó felhasználói fiókba.

  2. A parancssorból, a PowerShellből vagy a Futtatásból írja be a certsrv.msc parancsot, és nyomja meg az Entert.

  3. A navigációs ablaktáblán bontsa ki a Személyes kulcstárolót, és navigáljon a Tanúsítványok pontra.

  4. A menüsorban kattintson a Action → All Tasks → Import menüpontra.

  5. Kövesse az importáló varázslót, és kérésre adja meg a felhasználói tanúsítványfájlt.

  6. Az importálás befejezése után ellenőrizze az importált tanúsítványt a részleteket tartalmazó ablaktáblán. Ha a Nitrokey csatlakoztatva van, a tanúsítvány tulajdonságai között a A tanúsítványnak megfelelő magánkulccsal rendelkezik. üzenetnek kell jeleznie, hogy a Nitrokey magánkulcsa azonosítható.