Kliento prisijungimas naudojant „Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.

Ateityje šis rankinis aprūpinimas gali būti automatizuotas naudojant „Windows MiniDriver“.

Būtinosios sąlygos

Šiai sąrankai atlikti reikia administracinės prieigos prie kompiuterių, kuriuose veikia „Active Directory Directory Services“ (ADDS) ir „Active Directory Certificate Services“ (ADCS). Kliento kompiuteryje reikalinga tik prieiga prie atitinkamos prisijungimui naudojamos naudotojo paskyros.

  • Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
    • Įdiegtas ir sukonfigūruotas ADDS vaidmuo.

    • Įdiegtas ADCS vaidmuo ir sukonfigūruotas Enterprise-CA su šakniniu sertifikatu.
      • Kiekvienam domeno valdikliui (DC) turi būti išduoti domeno valdiklio, domeno valdiklio autentiškumo nustatymo ir „Kerberos“ autentiškumo nustatymo sertifikatai.

      • Jei klientai išeina iš įmonės tinklo, įsitikinkite, kad paskelbtus pilnus ir delta atšaukiamų sertifikatų sąrašus (CRL) galima gauti iš išorinių tinklų.

  • „Windows“ klientas (palaikomos „Windows 10“, 11 versijos Professional ir Enterprise).
    • Klientas turi būti „Active Directory“ (AD) domeno narys.

  • Nitrokey 3 with PIV smart card.

Konfigūruoti prisijungimą naudojant „Active Directory“ (AD) išmaniąja kortele

Norint prisijungti prie išmaniosios kortelės, reikia turėti domeno sertifikatų tarnybos (CA) sertifikato šabloną. Šis šablonas apibrėžia naudotojo sertifikatų reikšmes ir apribojimus. Jis naudojamas pasirašyti sertifikato užklausai (CSR) per „Nitrokey“ aprūpinimą.

  1. Norint pasirašyti išmaniosios kortelės prisijungimo sertifikato užklausą, sertifikatų tarnyboje reikia sukurti sertifikato šabloną.

    1. Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certtmpl.msc ir paspauskite Enter.

    2. Detalių lange pasirinkite šabloną Smartcard Logon.

    3. Meniu juostoje spustelėkite Veiksmai → Visos užduotys → Dubliuoti šabloną.

    4. Nustatykite toliau nurodytus šablono nustatymus pagal minėtą skirtuką.

      Suderinamumas
      • Išjungti Rodyti atsiradusius pakeitimus

      • Nustatykite Sertifikatų tarnyba ir Sertifikato gavėjas seniausiems domeno klientams, kurie turi naudoti prisijungimą išmaniąja kortele.

        Svarbu

        Jei norite naudoti elipsinės kreivės (EC) raktus, jūsų klientai turi būti ne senesni nei „Windows Server 2008“ ir „Windows Vista“.

      Bendra
      • Nustatykite šablono rodomąjį pavadinimą.

      • Nustatykite Galiojimo laikotarpį ir Atnaujinimo laikotarpį.

      Užklausų tvarkymas
      • Nustatykite parašo ir prisijungimo išmaniąja kortele paskirtį.

      Kriptografija
      • Nustatykite paslaugų teikėjo kategoriją Raktai saugojimo paslaugų teikėjas.

      • Nustatykite algoritmo pavadinimą ir mažiausią rakto dydį.

        Svarbu

        Microsoft recommends to use the RSA algorithm with a key length of 2048 Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.

      Objekto pavadinimas
      • Užklausoje nustatykite Tiekimas.

    5. Patvirtinkite šablono sukūrimą naudodami OK.

  2. Sukūrus sertifikato šabloną, jis turi būti išduotas, kad jį galėtų naudoti klientai.

    1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.

    2. Naršymo lange išskleiskite Sertifikatų tarnyba (CA) ir eikite į Sertifikatų šablonai.

    3. Meniu juostoje spustelėkite Veiksmas → Naujas → Sertifikato šablonas išduoti.

    4. Pasirinkite norimą išduoti sertifikato šabloną ir patvirtinkite OK.

„Nitrokey 3“ suteikimas prisijungimui prie „Active Directory“ naudojant išmaniąją kortelę

The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.

Įspėjimas

Prieš atlikdami toliau nurodytus veiksmus įsitikinkite, kad „Active Directory“ vartotojo paskyra, kurią norite naudoti prisijungimui prie išmaniosios kortelės, egzistuoja. Jei sertifikato sukūrimo laikas bus ankstesnis už naudotojo paskyros sukūrimo laiką, prisijungti nepavyks.

  1. Sugeneruokite privatų raktą ir įrašykite CSR į failą naudodami toliau pateiktą komandą.

    nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
    

    The value of <algorithm> is the used algorithm with its key length, e.g. rsa2048. The value of <subject-name> corresponds to the value of the distinguishedName attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g. CN=John Doe. The value of <subject-alternative-name> corresponds to the value of the userPrincipalName attribute of the Active Directory user account.

  2. Pasirašykite CSR su domeno sertifikavimo įstaiga (CA) naudodami toliau pateiktą komandą.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    <template-name> reikšmė yra sertifikato šablono, skirto prisijungimui prie išmaniosios kortelės, pavadinimas. ` <file>` reikšmė yra sertifikato dainavimo prašymo failas.

  3. Įrašykite pasirašytą sertifikatą į „Nitrokey“ naudodami toliau pateiktą komandą.

    nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
    

    <file> reikšmė yra sertifikato failas.

  4. Atvaizduokite sertifikatą su „Active Directory“ vartotojo paskyra. Sertifikatų atvaizdavimą sukurkite naudodami toliau pateiktą komandą.

    nitropy nk3 piv --experimental get-windows-auth-mapping
    

    Choose one of the offered certificate mappings.

    Patarimas

    „Microsoft“ rekomenduoja naudoti X509IssuerSerialNumber atvaizdavimą.

    Įrašykite pasirinktą atvaizdavimą į „Active Directory“ vartotojo objekto altSecurityIdentities atributą. Šiai operacijai atlikti galite naudoti „Active Directory Users and Computers“ programą arba „PowerShell“.

    1. From the Command Line, PowerShell, or Run, type dsa.msc and press Enter.

    2. In the menu bar click View → Advanced Features.

    3. Pasirinkite atitinkamą naudotojo objektą.

    4. In the menu bar click Action → Properties.

    5. Atidarykite skirtuką Atributų redaktorius.

    6. Pasirinkite atributą altSecurityIdentities.

    7. Click on Edit.

    8. Insert the certificate mapping in the text field and click Add.

    9. Pakeitimą pritaikykite spustelėdami OK.

    Svarbu

    Jei sertifikato atvaizdavimas nustatytas neteisingai, bandydami prisijungti gausite klaidos pranešimą Logon screen message: Your credentials could not be verified.. Be to, „Windows“ sistemos įvykių žurnale matysite toliau pateiktą įvykio pranešimą.

    Source

    Kerberos-Key-Distribution-Center
    

    Message

    The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
    

Atšaukti prisijungimą prie „Active Directory“ (AD) naudojant išmaniąją kortelę

Išduoti naudotojų prisijungimo sertifikatai yra įtraukti į „Active Directory Certificate Services“ (ADCS) sąrašą. ADCS sistemoje sertifikatus galima atšaukti, todėl jie įtraukiami į sukonfigūruotą sertifikatų atšaukimo sąrašą (CRL). To reikia praradus arba sugadinus „Nitrokey“ raktą.

Svarbu

Rekomenduojama niekada nepalikti nenaudojamų naudotojo sertifikatų jų neatšaukus.

Pastaba

Sertifikatą galima laikinai atšaukti, nurodant priežastį Sertifikato sustabdymas. Šis atšaukimas gali būti atšauktas, todėl jis nėra nuolatinis.

  1. Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certsrv.msc ir paspauskite Enter.

  2. Naršymo lange išskleiskite sertifikatų instituciją (CA) ir eikite į Išduoti sertifikatai.

  3. Išsamios informacijos lange pasirinkite naudotojo sertifikatą, kurį norite atšaukti.

  4. Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Atšaukti sertifikatą.

  5. Nurodykite atšaukimo priežastį, datą ir laiką ir patvirtinkite Yes.

  6. Naršymo lange eikite į Atšaukti sertifikatai.

  7. Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Publikuoti.

  8. Pasirinkite atšaukimo sąrašą, kurį norite paskelbti, ir patvirtinkite OK.

Pastaba

Kiekvieno prisijungimo su išmaniąja kortele bandymo metu „Windows“ patikrina, ar išmaniosios kortelės pateiktas sertifikatas nėra įtrauktas į sertifikatų atšaukimo sąrašą (CRL). Jei sertifikatas randamas CRL, prisijungimas neleidžiamas. Kiekviename CRL yra galiojimo laikas, kad jie nustotų galioti. Sistema „Windows“ talpina surinktus CRL į talpyklą ir atnaujina juos, jei CRL netrukus nustos galioti. Taigi atšaukimas nėra momentinis ir priklauso nuo kliento turimo CRL galiojimo pabaigos.

Naudotojo lustinės kortelės sertifikato importavimas į asmeninę sertifikatų saugyklą

„Nitrokey“ saugomą naudotojo sertifikatą galima importuoti į naudotojo asmeninę sertifikatų saugyklą. Tam tikrais atvejais tai yra būtina procedūra.

  1. Įsitikinkite, kad esate prisijungę prie naudotojo paskyros, kurią atitinka sertifikatas.

  2. Iš komandinės eilutės, „PowerShell“ arba „Run“ įveskite certsrv.msc ir paspauskite Enter.

  3. Naršymo lange išskleiskite Asmeninė raktų saugykla ir eikite į Sertifikatai.

  4. Meniu juostoje spustelėkite Veiksmas → Visos užduotys → Importuoti.

  5. Vykdykite importo vedlio nurodymus ir pateikite naudotojo sertifikato failą, kai bus paprašyta.

  6. Baigę importą, patikrinkite importuoto sertifikato išsamią informaciją lange. Jei „Nitrokey“ yra prijungtas, sertifikato savybėse turėtų būti rodomas pranešimas You have a private key that corresponds to this certificate (Jūs turite privatų raktą, atitinkantį šį sertifikatą)., nurodantis, kad „Nitrokey“ esantį privatų raktą galima identifikuoti.