Windows pieteikšanās ar PIV viedkaršu autentifikāciju#

Šajā dokumentā ir izskaidrots, kā ar atslēgu un sertifikātu manuāli nodrošināt Nitrokey 3 for Windows viedkartes PIV funkciju, lai pieteiktos ar viedkarti.

Nākotnē šo manuālo nodrošināšanu var automatizēt, izmantojot Windows MiniDriver.

Brīdinājums

Nitrokey 3 PIV funkcija pašlaik tiek uzskatīta par nestabilu un nav pieejama stabilās programmaparatūras versijās. Lai iegūtu šo funkciju, ir nepieciešams instalēt testa programmaparatūru. Turpmākie programmaparatūras atjauninājumi var izraisīt datu un kriptogrāfisko atslēgu zaudēšanu. Lai iegūtu vairāk informācijas, lūdzu, skatiet programmaparatūras atjaunināšanas dokumentāciju.

Priekšnosacījumi#

Windows serveris ar:
- Active Directory (norādījumi)
- Sertifikātu iestāde (CA) ar sertifikāta veidni pieteikšanās autentifikācijai, izmantojot RSA 2048 bitu atslēgas:
  - Sertifikātu iestāde (norādījumi)
  - Autentifikācijas veidne (norādījumi)
Windows lietotāja mašīna, kas pievienota servera domēnam.
Nitrokey 3 ar PIV
Linux sistēma ar instalētu pivy un PCSCD (sudo apt install pcscd), lai nodrošinātu Nitrokey (1., 2. un 4. solis). Atsevišķas Linux sistēmas vietā var instalēt WSL uz Windows. Ņemiet vērā, ka pirms pivy izmantošanas ir nepieciešams praktiski pievienot Nitrokey WSL un iedarbināt PCSCD (sudo service start pcscd).

1: Izveidojiet Nitrokey atslēgu.#

Atslēga tiek ģenerēta 9A slotā (autentifikācija).

pivy-tool -a rsa2048 generate 9A

Piezīme

Ja administrēšanas atslēga nav noklusējuma atslēga, to var norādīt ar -A 3des -K 010203040506070801020304050607080102030405060708 . Arguments -A var būt arī aes256, un arguments -K ir atslēga sešciparu rakstā.

Lietotāja PIN kodu var norādīt arī ar -P 123456 vai -P <value>, ja tas nav noklusējuma iestatījums. Ja -P nav norādīts, tas tiks pieprasīts pēc atslēgas ģenerēšanas.

Tas attiecas uz visām pivy-tool komandām.

Šis solis RSA atslēgām var aizņemt dažas minūtes, jo tīra programmatūras implementācija ir lēna.

Paredzamais rezultāts:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKO5ENwrK3qKBAgDkyq1tfiw5JxnoCEIiM3Vc+8Eylux04r1sgjHEyqbOvpScObZuchxFZZ5LdeHynvFn3c07K4HpoZ/7NjLzUYOmlVAy4wpEwRs9psbrT6wbvHVLyffZiiSPW15HHQKcUZZ30WDunh5m7xzvY9ej810QIW/P724MFWTbRdpqmG8m1qWCUM5dqkmpiprI/WeD+VmTcQWbJJ+oyoPyxmwzGyAotl7mVC6EYdcfvyBSNQdVdGfYGxjNEec4aWxoFRg4ADfpPnYD+gLxHcj/9s7o/wdMhXRiSio1tjsEjaeuOICGLaiiLGMfLxpfEApb8qJgsEFgYl6kn PIV_slot_9A@9E424375A38449E59B3DF89D9B90E601

2: Sertifikāta parakstīšanas pieprasījuma (CSR) ģenerēšana#

Šajā solī tiek ģenerēts autentifikācijas slotā esošās atslēgas sertifikāts. pivy-tool -n 'Nitro Test' -u "nitro@test.nitrokey.com" -T user-auth req-cert 9A

Nitro Test lietotājvārds un nitro@test.nitrokey.com e-pasta adrese jāmaina uz savām vērtībām.

Paredzamais rezultāts:

Sertifikāta parakstīšanas pieprasījuma kopēšana failā request.csr

3: Parakstiet CSR#

Pārvietojiet pieprasījums.csr failu no iepriekšējā soļa uz serveri, kurā atrodas sertifikātu iestāde. Pārbaudiet sertifikātu veidnes konsolē (certtmpl.msc ), vai lietotāju veidne var pieņemt subjekta vārdus no pieprasījuma:

Sertifikāta veidnes konsoles autentifikācijas sertifikāta veidnes parametrā cilnē "subjekta nosaukums" pārslēdziet "Piegādāt pieprasījumā".

Atveriet PowerShell un parakstiet sertifikāta parakstīšanas pieprasījumu ar certreq.exe -attrib CertificateTemplate:Nitrotest -submit request.csr

Tiks atvērts GUI, kurā varat izvēlēties pareizo sertifikātu iestādi, ja šajā serverī ir vairākas. Saglabājiet sertifikātu kā certificate.crt

4: Sertifikāta saglabāšana Nitrokey ierīcē#

cat certificate.der | pivy-tool write-cert 9A

5: Importēt sertifikātu lietotāja kontā#

Pārvietojiet certificate.der uz lietotāja Windows ierīci un atveriet sertifikātu pārvaldnieku (Lietotājam, nevis mašīnai):

Atveriet "pārvaldīt lietotāja sertifikāta vadības paneli"

Importēt sertifikātu:

Sadaļā darbības, visi uzdevumi varat atrast importa darbību

Kad tas ir izdarīts, izstājieties no sistēmas. Piesakieties, izmantojot Nitrokey, izmantojot „pierakstīšanās opcijas“.