Accesso a Windows con autenticazione Smartcard PIV#

Questo documento spiega come eseguire il provisioning manuale della funzione PIV di una smartcard Nitrokey 3 for Windows con una chiave e un certificato.

In futuro, questo provisioning manuale potrà essere automatizzato attraverso un MiniDriver di Windows.

Prerequisiti#

Un server Windows con:
- Active Directory (istruzioni)
- Un’autorità di certificazione (CA), con un modello di certificato per l’autenticazione di accesso che utilizza chiavi RSA a 2048 bit:
  - Autorità di certificazione (istruzioni)
  - Modello di autenticazione (istruzioni)
Un computer utente Windows collegato al dominio del server
Un Nitrokey 3 con PIV
Un sistema Linux con pivy e PCSCD installato (sudo apt install pcscd), per effettuare il provisioning di Nitrokey (fasi 1, 2 e 4). Invece di un sistema Linux separato, è possibile installare WSL su Windows. Si noti che è necessario collegare virtualmente la Nitrokey a WSL e avviare PCSCD (sudo service start pcscd) prima di utilizzare pivy.

1: Generare una chiave su Nitrokey#

La chiave viene generata nello slot 9A (autenticazione).

pivy-tool generate 9A -a rsa2048

Nota

Se la chiave di amministrazione non è quella predefinita, può essere specificata con -A 3des -K 010203040506070801020304050607080102030405060708 . L’argomento di -A può essere anche aes256 e l’argomento di -K è la chiave in esadecimale.

Il PIN utente può essere specificato anche con -P 123456, o -P <value> se non è quello predefinito. Se -P non viene fornito, verrà richiesto dopo la generazione della chiave.

Questo vale per tutti i comandi di pivy-tool.

Questo passaggio può richiedere un paio di minuti per le chiavi RSA, poiché l’implementazione del software puro è lenta.

Uscita prevista:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKO5ENwrK3qKBAgDkyq1tfiw5JxnoCEIiM3Vc+8Eylux04r1sgjHEyqbOvpScObZuchxFZZ5LdeHynvFn3c07K4HpoZ/7NjLzUYOmlVAy4wpEwRs9psbrT6wbvHVLyffZiiSPW15HHQKcUZZ30WDunh5m7xzvY9ej810QIW/P724MFWTbRdpqmG8m1qWCUM5dqkmpiprI/WeD+VmTcQWbJJ+oyoPyxmwzGyAotl7mVC6EYdcfvyBSNQdVdGfYGxjNEec4aWxoFRg4ADfpPnYD+gLxHcj/9s7o/wdMhXRiSio1tjsEjaeuOICGLaiiLGMfLxpfEApb8qJgsEFgYl6kn PIV_slot_9A@9E424375A38449E59B3DF89D9B90E601

2: Generare una richiesta di firma del certificato (CSR)#

Questo passo genera un certificato per la chiave nello slot di autenticazione. pivy-tool req-cert 9A -n 'Nitro Test' -u "nitro@test.nitrokey.com" -T user-auth

Il nome utente Nitro Test e l’indirizzo e-mail nitro@test.nitrokey.com devono essere modificati con valori propri.

Risultato previsto:

Copiare la richiesta di firma del certificato in un file request.csr

3: Firmare il CSR#

Spostare il file request.csr del passo precedente sul server che ospita l’autorità di certificazione. Verificare nella console dei modelli di certificato (certtmpl.msc ) che il modello per gli utenti possa accettare nomi di soggetti dalla richiesta:

Nella console dei modelli di certificato, nel parametro per il modello di certificato di autenticazione, disattivare "fornire nella richiesta" nella scheda "nome oggetto".

Aprire PowerShell e firmare la richiesta di firma del certificato con certreq.exe -attrib CertificateTemplate:Nitrotest -submit request.csr

Si aprirà un’interfaccia grafica in cui è possibile selezionare l’autorità di certificazione corretta, se ce ne sono diverse sul server. Salvare il certificato come certificate.crt

4: Memorizzare il certificato su Nitrokey#

cat certificate.der | pivy-tool write-cert 9A

5: Importare il certificato nell’account utente#

Spostare certificate.der sul dispositivo Windows dell’utente e aprire il gestore di certificati (Per l’utente, non per la macchina):

Aprite il "pannello di controllo dei certificati utente".

Importare il certificato:

In azioni, tutti i compiti, è possibile trovare l'azione di importazione

Una volta terminato, effettuare il logout. Effettuare il login con Nitrokey utilizzando le «opzioni di accesso».