Windows bejelentkezés és S/MIME e-mail titkosítás az Active Directory segítségével#

Kérjük, vegye figyelembe, hogy ez az illesztőprogram még fejlesztés/tesztelés alatt áll. Kérjük, ossza meg velünk tapasztalatait! Lásd a kapcsolat oldalunkat.

Előfeltételek#

Ez az útmutató feltételezi, hogy a kiszolgálón telepítve van és fut egy Active Directory-kiszolgáló az „Active Directory tanúsítványszolgáltatások” szerepkörrel. Ezek az utasítások csak a Nitrokey Storage 2 és a Nitrokey Pro 2 tanúsítványokon alapulnak.

Az OpenPGP-CSP telepítése#

Ez a lépés szükséges ahhoz, hogy az ügyfelek használni tudják az OpenPGP-CSP illesztőprogramot. Töltse le és telepítse a legújabb verzióját a «SetupOpenPGPCsp» telepítőfájlt a rendszerarchitektúrához, 64 bites rendszerek esetén a «SetupOpenPGPCsp_x64.msi»-t.

Érdemes telepíteni az illesztőprogramot a kiszolgálón is, hogy a sablonban is érvényesíteni tudja az illesztőprogram használatát (lásd alább).

Tanúsítvány sablon létrehozása a kiszolgáló oldalon#

Az Active Directory-kiszolgálón nyissa meg a certsrv.msc fájlt a tanúsítványsablonok kezeléséhez. Kattintson a jobb gombbal a «Tanúsítvány sablonok» elemre, és válassza a «Kezelés» lehetőséget.

img1

Most kattintson a jobb gombbal a «Smartcard Logon» sablonra, és kattintson a «Duplicate» gombra, hogy új sablont hozzon létre a szabványos sablon alapján. Nevezze át a sablont «OpenPGP Card Logon and Email» vagy hasonlóra.

img2

A «Kérelemkezelés» alatt az OpenPGP-CSP-t választhatja ki egyetlen kriptográfiai szolgáltatónak (kattintson a «CSP-k…» feliratú gombra). Ahhoz, hogy ez működjön, a szerverre is telepíteni kell az illesztőprogramot, és előtte be kell helyeznie egy Nitrokey-t. Ez opcionális. Hagyhatja, hogy a felhasználó válassza ki, hogy melyik CSP-t használja.

img3
img4

Az S/MIME e-mail titkosítás engedélyezéséhez lépjen a «Tárgynév» menüpontra. Jelölje be az «E-Mail név» jelölőnégyzetet (megjegyzés: A felhasználók e-mail címét el kell menteni a megfelelő Active Directory mezőbe!).

img5

Ezután menj a «Bővítmények» menüpontba, ott szerkeszd meg az alkalmazások irányelvét, és add hozzá a «Biztonságos e-mail» opciót.

img6
img7

Tanúsítvány igénylése az ügyfélnél (tartományi tag)#

Ha tanúsítványt szeretne kérni egy tartománytag számára, meg kell nyitnia a certmgr.msc fájlt. Kattintson a jobb gombbal a «Személyes->Tanúsítványok» mappára, majd kattintson az «Összes feladat->Új tanúsítvány igénylése» parancsra, és válassza ki az AD-n létrehozott sablont.

img8

Ha nem erőltette az OpenPGP-CSP használatát, akkor most itt kell választania.

img9
img10

Ezután válassza ki a tanúsítvány hitelesítési nyílását.

Most már készen áll arra, hogy a jelszó helyett a Nitrokey-vel jelentkezzen be a számítógépre, és használhatja a S/MIME e-mail titkosítást/aláírást a Nitrokey-vel. Az illesztőprogramot minden olyan számítógépre telepíteni kell, amelyen a tanúsítványt használni szeretné.

img11