Prisijungimas prie „Windows“ naudojant PIV lustinės kortelės autentifikavimą#

Šiame dokumente paaiškinama, kaip rankiniu būdu, naudojant raktą ir sertifikatą, užtikrinti „Nitrokey 3 for Windows“ išmaniosios kortelės prisijungimo prie sistemos PIV funkciją.

Ateityje šis rankinis aprūpinimas gali būti automatizuotas naudojant „Windows MiniDriver“.

Būtinosios sąlygos#

„Windows“ serveris su:
- „Active Directory“ (instrukcijos)
- Sertifikatų institucija (CA) su sertifikato šablonu, skirtu prisijungimo autentifikavimui naudojant RSA 2048 bitų raktus:
  - Sertifikato institucija (instrukcijos)
  - Autentifikavimo šablonas (instrukcijos)
„Windows“ vartotojo kompiuteris, prijungtas prie serverio domeno
„Nitrokey 3“ su PIV
„Linux“ sistema su įdiegta pivy ir PCSCD (sudo apt install pcscd), kad būtų galima įdiegti „Nitrokey“ (1, 2 ir 4 žingsnis). Vietoj atskiros „Linux“ sistemos galite įdiegti WSL „Windows“ sistemoje. Atkreipkite dėmesį, kad prieš naudodami pivy, turite virtualiai prijungti „Nitrokey“ prie WSL ir paleisti PCSCD (sudo service start pcscd).

1: sugeneruokite raktą „Nitrokey#

Raktas generuojamas 9A lizde (autentiškumo nustatymas).

pivy-tool generate 9A -a rsa2048

Pastaba

Jei administravimo raktas nėra numatytasis, jį galima nurodyti naudojant -A 3des -K 010203040506070801020304050607080102030405060708 . Argumentas -A taip pat gali būti aes256, o argumentas -K yra raktas šešioliktaine skaičiavimo sistema.

Vartotojo PIN kodą taip pat galima nurodyti su -P 123456 arba -P <value>, jei jis nėra numatytasis. Jei -P nenurodomas, jo bus paprašyta po rakto generavimo.

Tai taikoma visoms pivy-tool komandoms.

Šis veiksmas RSA raktams gali užtrukti kelias minutes, nes grynai programinės įrangos įgyvendinimas yra lėtas.

Laukiama išvestis:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKO5ENwrK3qKBAgDkyq1tfiw5JxnoCEIiM3Vc+8Eylux04r1sgjHEyqbOvpScObZuchxFZZ5LdeHynvFn3c07K4HpoZ/7NjLzUYOmlVAy4wpEwRs9psbrT6wbvHVLyffZiiSPW15HHQKcUZZ30WDunh5m7xzvY9ej810QIW/P724MFWTbRdpqmG8m1qWCUM5dqkmpiprI/WeD+VmTcQWbJJ+oyoPyxmwzGyAotl7mVC6EYdcfvyBSNQdVdGfYGxjNEec4aWxoFRg4ADfpPnYD+gLxHcj/9s7o/wdMhXRiSio1tjsEjaeuOICGLaiiLGMfLxpfEApb8qJgsEFgYl6kn PIV_slot_9A@9E424375A38449E59B3DF89D9B90E601

2: sukurkite sertifikato pasirašymo užklausą (CSR)#

Šiame etape sukuriamas autentifikavimo lizdo rakto sertifikatas. pivy-tool req-cert 9A -n 'Nitro Test' -u "nitro@test.nitrokey.com" -T user-auth

Nitro Test vartotojo vardas ir nitro@test.nitrokey.com el. pašto adresas turi būti pakeisti į savo reikšmes.

Laukiama išvestis:

Sertifikato pasirašymo prašymo kopijavimas į failą request.csr

3: Pasirašykite CSR#

Ankstesniame žingsnyje įrašytą failą request.csr perkelkite į serverį, kuriame yra sertifikatų institucija. Sertifikatų šablonų konsolėje (certtmpl.msc ) patikrinkite, ar naudotojų šablonas gali priimti subjekto vardus iš užklausos:

Sertifikato šablono konsolėje, autentifikavimo sertifikato šablono parametro skirtuke "subject name" (subjekto pavadinimas) perjunkite "supply in request" (pateikti užklausoje).

Atidarykite „PowerShell“ ir pasirašykite sertifikato pasirašymo užklausą naudodami certreq.exe -attrib CertificateTemplate:Nitrotest -submit request.csr

Bus atidaryta grafinė vartotojo sąsaja, kurioje galėsite pasirinkti tinkamą sertifikatų tarnybą, jei šiame serveryje yra kelios. Išsaugokite sertifikatą kaip certificate.crt

4: Sertifikato saugojimas „Nitrokey#

cat certificate.der | pivy-tool write-cert 9A

5: Sertifikato importavimas į naudotojo paskyrą#

Perkelkite certificate.der į naudotojo „Windows“ įrenginį ir atidarykite sertifikatų tvarkytuvę (Naudotojui, o ne kompiuteriui):

Atidarykite "tvarkyti naudotojo sertifikato valdymo skydelį"

Importuokite sertifikatą:

Veiksmai, visos užduotys, galite rasti importo veiksmą

Tai atlikę, atsijunkite. Prisijunkite su „Nitrokey“ naudodami „Prisijungimo parinktys“.