Kliento prisijungimas naudojant „Active Directory¶
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
Šiame dokumente paaiškinama, kaip naudoti „Nitrokey 3“ PIV taikomąją programą išmaniosios kortelės prisijungimui prie „Active Directory“.
Ateityje šis rankinis aprūpinimas gali būti automatizuotas naudojant „Windows MiniDriver“.
Įspėjimas
Šiuo metu „Nitrokey 3“ PIV taikomoji programa laikoma nestabilia ir jos nėra stabiliose programinės įrangos versijose. Norint gauti šią funkciją, reikia įdiegti bandomąją programinę įrangą. Vėliau atnaujinus programinę įrangą gali būti prarasti duomenys ir kriptografiniai raktai. Daugiau informacijos rasite programinės aparatinės įrangos atnaujinimo dokumentacijoje.
Būtinosios sąlygos¶
Šiai sąrankai atlikti reikia administracinės prieigos prie kompiuterių, kuriuose veikia „Active Directory Directory Services“ (ADDS) ir „Active Directory Certificate Services“ (ADCS). Kliento kompiuteryje reikalinga tik prieiga prie atitinkamos prisijungimui naudojamos naudotojo paskyros.
- „Windows“ serveris (palaikomos šios versijos: „Windows Server 2016“, „2019“, „2022“ visų versijų)
Įdiegtas ir sukonfigūruotas ADDS vaidmuo.
- Įdiegtas ADCS vaidmuo ir sukonfigūruotas Enterprise-CA su šakniniu sertifikatu.
Kiekvienam domeno valdikliui (DC) turi būti išduoti domeno valdiklio, domeno valdiklio autentiškumo nustatymo ir „Kerberos“ autentiškumo nustatymo sertifikatai.
Jei klientai išeina iš įmonės tinklo, įsitikinkite, kad paskelbtus pilnus ir delta atšaukiamų sertifikatų sąrašus (CRL) galima gauti iš išorinių tinklų.
- „Windows“ klientas (palaikomos „Windows 10“, 11 versijos Professional ir Enterprise).
Klientas turi būti „Active Directory“ (AD) domeno narys.
„Nitrokey 3“ su PIV programa.
Konfigūruoti prisijungimą naudojant „Active Directory“ (AD) išmaniąja kortele¶
Norint prisijungti prie išmaniosios kortelės, reikia turėti domeno sertifikatų tarnybos (CA) sertifikato šabloną. Šis šablonas apibrėžia naudotojo sertifikatų reikšmes ir apribojimus. Jis naudojamas pasirašyti sertifikato užklausai (CSR) per „Nitrokey“ aprūpinimą.
Norint pasirašyti išmaniosios kortelės prisijungimo sertifikato užklausą, sertifikatų tarnyboje reikia sukurti sertifikato šabloną.
Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite
certtmpl.msc
ir paspauskite Enter.Detalių lange pasirinkite šabloną Smartcard Logon.
Meniu juostoje spustelėkite Veiksmai → Visos užduotys → Dubliuoti šabloną.
Nustatykite toliau nurodytus šablono nustatymus pagal minėtą skirtuką.
- Suderinamumas
Išjungti Rodyti atsiradusius pakeitimus
Nustatykite Sertifikatų tarnyba ir Sertifikato gavėjas seniausiems domeno klientams, kurie turi naudoti prisijungimą išmaniąja kortele.
Svarbu
Jei norite naudoti elipsinės kreivės (EC) raktus, jūsų klientai turi būti ne senesni nei „Windows Server 2008“ ir „Windows Vista“.
- Bendra
Nustatykite šablono rodomąjį pavadinimą.
Nustatykite Galiojimo laikotarpį ir Atnaujinimo laikotarpį.
- Užklausų tvarkymas
Nustatykite parašo ir prisijungimo išmaniąja kortele paskirtį.
- Kriptografija
Nustatykite paslaugų teikėjo kategoriją Raktai saugojimo paslaugų teikėjas.
Nustatykite algoritmo pavadinimą ir mažiausią rakto dydį.
Svarbu
„Microsoft“ rekomenduoja naudoti RSA algoritmą, kurio rakto ilgis yra
2048
bitų. Jei nuspręsite naudoti elipsės kreivės (EC) raktus, klientų kompiuteriuose turite atlikti papildomų pakeitimų.
- Objekto pavadinimas
Užklausoje nustatykite Tiekimas.
Patvirtinkite šablono sukūrimą naudodami OK.
Sukūrus sertifikato šabloną, jis turi būti išduotas, kad jį galėtų naudoti klientai.
Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite
certsrv.msc
ir paspauskite Enter.Naršymo lange išskleiskite Sertifikatų tarnyba (CA) ir eikite į Sertifikatų šablonai.
Meniu juostoje spustelėkite Veiksmas → Naujas → Sertifikato šablonas išduoti.
Pasirinkite norimą išduoti sertifikato šabloną ir patvirtinkite OK.
„Nitrokey 3“ suteikimas prisijungimui prie „Active Directory“ naudojant išmaniąją kortelę¶
Norint prisijungti su išmaniąja kortele, reikia „Active Directory“ sistemoje naudotojui suteikti „Nitrokey“ raktą. Aprūpinime pateikiamas privatusis raktas ir generuojamas prašymas išduoti sertifikatą (CSR). Tada sertifikatas įrašomas į „Nitrokey“ raktą.
Įspėjimas
Prieš atlikdami toliau nurodytus veiksmus įsitikinkite, kad „Active Directory“ vartotojo paskyra, kurią norite naudoti prisijungimui prie išmaniosios kortelės, egzistuoja. Jei sertifikato sukūrimo laikas bus ankstesnis už naudotojo paskyros sukūrimo laiką, prisijungti nepavyks.
Svarbu
Jei „Nitrokey“ PIV programa anksčiau nebuvo naudota, pirmiausia atlikite inicializaciją naudodami nitropy nk3 piv init
.
Sugeneruokite privatų raktą ir įrašykite CSR į failą naudodami toliau pateiktą komandą.
nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
<algorithm>
reikšmė yra naudojamas algoritmas ir jo rakto ilgis, pvz.,rsa2048
. ` <subject-name>` ir<subject-alternative-name>
reikšmės paprastai atitinkacommonName
iruserPrincipalName
„Active Directory“ vartotojo paskyros atributą.Pasirašykite CSR su domeno sertifikavimo įstaiga (CA) naudodami toliau pateiktą komandą.
certreq -attrib CertificateTemplate:<template-name> -submit <file>
<template-name>
reikšmė yra sertifikato šablono, skirto prisijungimui prie išmaniosios kortelės, pavadinimas. ` <file>` reikšmė yra sertifikato dainavimo prašymo failas.Įrašykite pasirašytą sertifikatą į „Nitrokey“ naudodami toliau pateiktą komandą.
nitropy nk3 piv write-certificate --format PEM --path <file>
<file>
reikšmė yra sertifikato failas.
Atšaukti prisijungimą prie „Active Directory“ (AD) naudojant išmaniąją kortelę¶
Išduoti naudotojų prisijungimo sertifikatai yra įtraukti į „Active Directory Certificate Services“ (ADCS) sąrašą. ADCS sistemoje sertifikatus galima atšaukti, todėl jie įtraukiami į sukonfigūruotą sertifikatų atšaukimo sąrašą (CRL). To reikia praradus arba sugadinus „Nitrokey“ raktą.
Svarbu
Rekomenduojama niekada nepalikti nenaudojamų naudotojo sertifikatų jų neatšaukus.
Pastaba
Sertifikatą galima laikinai atšaukti, nurodant priežastį Sertifikato sustabdymas. Šis atšaukimas gali būti atšauktas, todėl jis nėra nuolatinis.
Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite
certsrv.msc
ir paspauskite Enter.Naršymo lange išskleiskite sertifikatų instituciją (CA) ir eikite į Išduoti sertifikatai.
Išsamios informacijos lange pasirinkite naudotojo sertifikatą, kurį norite atšaukti.
Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Atšaukti sertifikatą.
Nurodykite atšaukimo priežastį, datą ir laiką ir patvirtinkite Yes.
Naršymo lange eikite į Atšaukti sertifikatai.
Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Publikuoti.
Pasirinkite atšaukimo sąrašą, kurį norite paskelbti, ir patvirtinkite OK.
Pastaba
Kiekvieno prisijungimo su išmaniąja kortele bandymo metu „Windows“ patikrina, ar išmaniosios kortelės pateiktas sertifikatas nėra įtrauktas į sertifikatų atšaukimo sąrašą (CRL). Jei sertifikatas randamas CRL, prisijungimas neleidžiamas. Kiekviename CRL yra galiojimo laikas, kad jie nustotų galioti. Sistema „Windows“ talpina surinktus CRL į talpyklą ir atnaujina juos, jei CRL netrukus nustos galioti. Taigi atšaukimas nėra momentinis ir priklauso nuo kliento turimo CRL galiojimo pabaigos.
Naudotojo lustinės kortelės sertifikato importavimas į asmeninę sertifikatų saugyklą¶
„Nitrokey“ saugomą naudotojo sertifikatą galima importuoti į naudotojo asmeninę sertifikatų saugyklą. Tam tikrais atvejais tai yra būtina procedūra.
Įsitikinkite, kad esate prisijungę prie naudotojo paskyros, kurią atitinka sertifikatas.
Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite
certsrv.msc
ir paspauskite Enter.Naršymo lange išskleiskite Asmeninė raktų saugykla ir eikite į Sertifikatai.
Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Importuoti.
Vykdykite importo vedlio nurodymus ir pateikite naudotojo sertifikato failą, kai bus paprašyta.
Baigę importą, patikrinkite importuoto sertifikato išsamią informaciją lange. Jei „Nitrokey“ yra prijungtas, sertifikato savybėse turėtų būti rodomas pranešimas You have a private key that corresponds to this certificate (Jūs turite privatų raktą, atitinkantį šį sertifikatą)., nurodantis, kad „Nitrokey“ esantį privatų raktą galima identifikuoti.
Įsitikinkite, kad esate prisijungę prie naudotojo paskyros, kurią atitinka sertifikatas.
Atidarykite „PowerShell“.
Change to the personal certficate store of the user with
Set-Location -Path cert:\CurrentUser\My
.Importuokite sertifikatą į saugyklą naudodami
Import-Certificate -Filepath '<path>'
, pakeisdami<path>
sertifikato failo keliu.