Kliento prisijungimas naudojant „Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV application of a Nitrokey 3 for smartcard logon with Active Directory. It is available as of firmware version 1.8 and higher.

Ateityje šis rankinis aprūpinimas gali būti automatizuotas naudojant „Windows MiniDriver“.

Būtinosios sąlygos

Šiai sąrankai atlikti reikia administracinės prieigos prie kompiuterių, kuriuose veikia „Active Directory Directory Services“ (ADDS) ir „Active Directory Certificate Services“ (ADCS). Kliento kompiuteryje reikalinga tik prieiga prie atitinkamos prisijungimui naudojamos naudotojo paskyros.

  • „Windows“ serveris (palaikomos šios versijos: „Windows Server 2016“, „2019“, „2022“ visų versijų)

    • Įdiegtas ir sukonfigūruotas ADDS vaidmuo.

    • Įdiegtas ADCS vaidmuo ir sukonfigūruotas Enterprise-CA su šakniniu sertifikatu.

      • Kiekvienam domeno valdikliui (DC) turi būti išduoti domeno valdiklio, domeno valdiklio autentiškumo nustatymo ir „Kerberos“ autentiškumo nustatymo sertifikatai.

      • Jei klientai išeina iš įmonės tinklo, įsitikinkite, kad paskelbtus pilnus ir delta atšaukiamų sertifikatų sąrašus (CRL) galima gauti iš išorinių tinklų.

  • „Windows“ klientas (palaikomos „Windows 10“, 11 versijos Professional ir Enterprise).

    • Klientas turi būti „Active Directory“ (AD) domeno narys.

  • „Nitrokey 3“ su PIV programa.

Konfigūruoti prisijungimą naudojant „Active Directory“ (AD) išmaniąja kortele

Norint prisijungti prie išmaniosios kortelės, reikia turėti domeno sertifikatų tarnybos (CA) sertifikato šabloną. Šis šablonas apibrėžia naudotojo sertifikatų reikšmes ir apribojimus. Jis naudojamas pasirašyti sertifikato užklausai (CSR) per „Nitrokey“ aprūpinimą.

  1. Norint pasirašyti išmaniosios kortelės prisijungimo sertifikato užklausą, sertifikatų tarnyboje reikia sukurti sertifikato šabloną.

    1. Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certtmpl.msc ir paspauskite Enter.

    2. Detalių lange pasirinkite šabloną Smartcard Logon.

    3. Meniu juostoje spustelėkite Veiksmai → Visos užduotys → Dubliuoti šabloną.

    4. Nustatykite toliau nurodytus šablono nustatymus pagal minėtą skirtuką.

      Suderinamumas

      • Išjungti Rodyti atsiradusius pakeitimus

      • Nustatykite Sertifikatų tarnyba ir Sertifikato gavėjas seniausiems domeno klientams, kurie turi naudoti prisijungimą išmaniąja kortele.

        Svarbu

        Jei norite naudoti elipsinės kreivės (EC) raktus, jūsų klientai turi būti ne senesni nei „Windows Server 2008“ ir „Windows Vista“.

      Bendra

      • Nustatykite šablono rodomąjį pavadinimą.

      • Nustatykite Galiojimo laikotarpį ir Atnaujinimo laikotarpį.

      Užklausų tvarkymas

      • Nustatykite parašo ir prisijungimo išmaniąja kortele paskirtį.

      Kriptografija

      • Nustatykite paslaugų teikėjo kategoriją Raktai saugojimo paslaugų teikėjas.

      • Nustatykite algoritmo pavadinimą ir mažiausią rakto dydį.

        Svarbu

        „Microsoft“ rekomenduoja naudoti RSA algoritmą, kurio rakto ilgis yra 2048 bitų. Jei nuspręsite naudoti elipsės kreivės (EC) raktus, klientų kompiuteriuose turite atlikti papildomų pakeitimų.

      Objekto pavadinimas

      • Užklausoje nustatykite Tiekimas.

    5. Patvirtinkite šablono sukūrimą naudodami OK.

  2. Sukūrus sertifikato šabloną, jis turi būti išduotas, kad jį galėtų naudoti klientai.

    1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.

    2. Naršymo lange išskleiskite Sertifikatų tarnyba (CA) ir eikite į Sertifikatų šablonai.

    3. Meniu juostoje spustelėkite Veiksmas → Naujas → Sertifikato šablonas išduoti.

    4. Pasirinkite norimą išduoti sertifikato šabloną ir patvirtinkite OK.

„Nitrokey 3“ suteikimas prisijungimui prie „Active Directory“ naudojant išmaniąją kortelę

Norint prisijungti su išmaniąja kortele, reikia „Active Directory“ sistemoje naudotojui suteikti „Nitrokey“ raktą. Aprūpinime pateikiamas privatusis raktas ir generuojamas prašymas išduoti sertifikatą (CSR). Tada sertifikatas įrašomas į „Nitrokey“ raktą.

Įspėjimas

Prieš atlikdami toliau nurodytus veiksmus įsitikinkite, kad „Active Directory“ vartotojo paskyra, kurią norite naudoti prisijungimui prie išmaniosios kortelės, egzistuoja. Jei sertifikato sukūrimo laikas bus ankstesnis už naudotojo paskyros sukūrimo laiką, prisijungti nepavyks.

Svarbu

Jei „Nitrokey“ PIV programa anksčiau nebuvo naudota, pirmiausia atlikite inicializaciją naudodami nitropy nk3 piv init.

  1. Sugeneruokite privatų raktą ir įrašykite CSR į failą naudodami toliau pateiktą komandą.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>

    <algorithm> reikšmė yra naudojamas algoritmas ir jo rakto ilgis, pvz., rsa2048. ` <subject-name>` ir <subject-alternative-name> reikšmės paprastai atitinka commonName ir userPrincipalName „Active Directory“ vartotojo paskyros atributą.

  2. Pasirašykite CSR su domeno sertifikavimo įstaiga (CA) naudodami toliau pateiktą komandą.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>

    <template-name> reikšmė yra sertifikato šablono, skirto prisijungimui prie išmaniosios kortelės, pavadinimas. ` <file>` reikšmė yra sertifikato dainavimo prašymo failas.

  3. Įrašykite pasirašytą sertifikatą į „Nitrokey“ naudodami toliau pateiktą komandą.

    nitropy nk3 piv write-certificate --format PEM --path <file>

    <file> reikšmė yra sertifikato failas.

Atšaukti prisijungimą prie „Active Directory“ (AD) naudojant išmaniąją kortelę

Išduoti naudotojų prisijungimo sertifikatai yra įtraukti į „Active Directory Certificate Services“ (ADCS) sąrašą. ADCS sistemoje sertifikatus galima atšaukti, todėl jie įtraukiami į sukonfigūruotą sertifikatų atšaukimo sąrašą (CRL). To reikia praradus arba sugadinus „Nitrokey“ raktą.

Svarbu

Rekomenduojama niekada nepalikti nenaudojamų naudotojo sertifikatų jų neatšaukus.

Pastaba

Sertifikatą galima laikinai atšaukti, nurodant priežastį Sertifikato sustabdymas. Šis atšaukimas gali būti atšauktas, todėl jis nėra nuolatinis.

  1. Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certsrv.msc ir paspauskite Enter.

  2. Naršymo lange išskleiskite sertifikatų instituciją (CA) ir eikite į Išduoti sertifikatai.

  3. Išsamios informacijos lange pasirinkite naudotojo sertifikatą, kurį norite atšaukti.

  4. Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Atšaukti sertifikatą.

  5. Nurodykite atšaukimo priežastį, datą ir laiką ir patvirtinkite Yes.

  6. Naršymo lange eikite į Atšaukti sertifikatai.

  7. Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Publikuoti.

  8. Pasirinkite atšaukimo sąrašą, kurį norite paskelbti, ir patvirtinkite OK.

Pastaba

Kiekvieno prisijungimo su išmaniąja kortele bandymo metu „Windows“ patikrina, ar išmaniosios kortelės pateiktas sertifikatas nėra įtrauktas į sertifikatų atšaukimo sąrašą (CRL). Jei sertifikatas randamas CRL, prisijungimas neleidžiamas. Kiekviename CRL yra galiojimo laikas, kad jie nustotų galioti. Sistema „Windows“ talpina surinktus CRL į talpyklą ir atnaujina juos, jei CRL netrukus nustos galioti. Taigi atšaukimas nėra momentinis ir priklauso nuo kliento turimo CRL galiojimo pabaigos.

Naudotojo lustinės kortelės sertifikato importavimas į asmeninę sertifikatų saugyklą

„Nitrokey“ saugomą naudotojo sertifikatą galima importuoti į naudotojo asmeninę sertifikatų saugyklą. Tam tikrais atvejais tai yra būtina procedūra.

  1. Įsitikinkite, kad esate prisijungę prie naudotojo paskyros, kurią atitinka sertifikatas.

  2. Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certsrv.msc ir paspauskite Enter.

  3. Naršymo lange išskleiskite Asmeninė raktų saugykla ir eikite į Sertifikatai.

  4. Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Importuoti.

  5. Vykdykite importo vedlio nurodymus ir pateikite naudotojo sertifikato failą, kai bus paprašyta.

  6. Baigę importą, patikrinkite importuoto sertifikato išsamią informaciją lange. Jei „Nitrokey“ yra prijungtas, sertifikato savybėse turėtų būti rodomas pranešimas You have a private key that corresponds to this certificate (Jūs turite privatų raktą, atitinkantį šį sertifikatą)., nurodantis, kad „Nitrokey“ esantį privatų raktą galima identifikuoti.