Klienta pieteikšanās ar Active Directory¶
`Nitrokey U2F <x id=“14“></x><x id=“66“></x> |
|||||||
---|---|---|---|---|---|---|---|
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
Šajā dokumentā ir izskaidrots, kā izmantot Nitrokey 3 PIV lietojumprogrammu viedkaršu pieteikšanai ar Active Directory.
Nākotnē šo manuālo nodrošināšanu var automatizēt, izmantojot Windows MiniDriver.
Brīdinājums
Nitrokey 3 PIV lietojumprogramma pašlaik tiek uzskatīta par nestabilu un nav pieejama stabilās programmaparatūras versijās. Lai iegūtu šo funkcionalitāti, ir jāinstalē testa programmaparatūra. Turpmākie programmaparatūras atjauninājumi var izraisīt datu un kriptogrāfisko atslēgu zudumu. Lai iegūtu vairāk informācijas, lūdzu, skatiet programmaparatūras atjaunināšanas dokumentāciju.
Priekšnosacījumi¶
Iestatīšanai ir nepieciešama administratīvā piekļuve datoriem, kuros darbojas Active Directory Directory Directory Services (ADDS) un Active Directory Certificate Services (ADCS). Klienta datorā ir nepieciešama tikai piekļuve attiecīgajam lietotāja kontam, kas tiek izmantots pieteikšanai.
- Windows serveris (atbalstītās versijas ir Windows Server 2016, 2019, 2022 visās redakcijās)
ADDS loma ir instalēta un konfigurēta.
- Uzstādīta ADCS loma un konfigurēts Enterprise-CA ar saknes sertifikātu.
Katram domēna kontrolierim (DC) ir jābūt izsniegtam domēna kontroliera, domēna kontroliera autentifikācijas un Kerberos autentifikācijas sertifikātam.
Ja klienti atstāj uzņēmuma tīklu, pārliecinieties, ka publicētie pilnie un delta sertifikātu atsaukšanas saraksti (CRL) ir iegūstami no ārējiem tīkliem.
- Windows klients (atbalstītās versijas ir Windows 10, 11 izdevumos Professional un Enterprise).
Klientam jābūt Active Directory (AD) domēna dalībniekam.
Nitrokey 3 ar PIV lietojumprogrammu.
Konfigurēt viedkaršu pieteikšanos lietošanai kopā ar Active Directory (AD)¶
Viedkartes pieteikšanai ir nepieciešams domēna sertifikātu iestādes (CA) sertifikāta veidni. Šis šablons nosaka lietotāja sertifikātu vērtības un ierobežojumus. To izmanto, lai parakstītu sertifikāta pieprasījumu (CSR) Nitrokey nodrošināšanas laikā.
Sertifikāta pieprasījuma parakstīšanai, lai pieteiktos ar viedkarti, sertifikātu iestādē ir jāizveido sertifikāta veidne.
Komandrindē, PowerShell vai Run ievadiet
certtmpl.msc
un nospiediet Enter.Detalizētajā logā atlasiet veidni Smartcard Logon.
Izvēlnes joslā noklikšķiniet uz Darbības → Visi uzdevumi → Dublēt veidni.
Iestatiet tālāk norādītos šablona iestatījumus saskaņā ar minēto cilni.
- Savietojamība
Atslēgt Parādīt radušās izmaiņas
Iestatiet Sertifikātu iestāde un Sertifikāta saņēmējs vecākajiem klientiem domēnā, kuriem paredzēts izmantot viedkaršu pieteikšanos.
Svarīgi
Ja vēlaties izmantot elipses līknes (EC) atslēgas, jūsu klienti nedrīkst būt vecāki par Windows Server 2008 un Windows Vista.
- Vispārīgi
Iestatiet Šablona attēla nosaukumu.
Iestatiet Derīguma periods un Atjaunošanas periods.
- Pieprasījumu apstrāde
Iestatiet paraksta un viedkartes pieteikšanās mērķi.
- Kriptogrāfija
Iestatiet pakalpojumu sniedzēja kategoriju Atslēgu glabāšanas pakalpojumu sniedzējs.
Iestatiet algoritma nosaukumu un minimālo atslēgas lielumu.
Svarīgi
Microsoft iesaka izmantot RSA algoritmu ar atslēgas garumu
2048
Bitu. Ja izvēlaties izmantot Eliptic Curve (EC) atslēgas, klientu datoros ir jāveic papildu izmaiņas.
- Priekšmeta nosaukums
Iestatiet Supply pieprasījumā.
Šablona izveidi apstipriniet ar OK.
Pēc sertifikāta veidnes izveides tā jāizsniedz, lai klienti varētu to izmantot.
Komandrindē, PowerShell vai Run ievadiet
certsrv.msc
un nospiediet Enter.Navigācijas panelī izvērsiet sertifikātu iestādi (CA) un dodieties uz Sertifikātu veidnes.
Izvēlnes joslā noklikšķiniet uz Darbība → Jauns → Izsniegt sertifikāta veidni.
Izvēlieties sertifikāta veidni, kuru vēlaties izsniegt, un apstipriniet to ar OK.
Nitrokey 3 nodrošināšana pieteikšanās ar viedkarti, izmantojot Active Directory¶
Lai pieteiktos ar viedkarti, lietotājam Active Directory ir jānodrošina Nitrokey atslēga. Tas ietver privāto atslēgu un sertifikāta dziedāšanas pieprasījuma (CSR) ģenerēšanu. Pēc tam sertifikāts tiek ierakstīts Nitrokey.
Brīdinājums
Pirms izpildiet tālāk aprakstītās darbības, pārliecinieties, ka pastāv Active Directory lietotāja konts, kuru vēlaties izmantot viedkaršu pieteikšanai. Ja sertifikāta izveides laiks ir agrāk par lietotāja konta izveides laiku, pieteikšanās neizdosies.
Svarīgi
Ja PIV lietojumprogramma Nitrokey iepriekš nav izmantota, vispirms veiciet inicializāciju ar nitropy nk3 piv init
.
Izveidojiet privāto atslēgu un ierakstiet CSR failā, izmantojot tālāk norādīto komandu.
nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
Vērtība
<algorithm>
ir izmantotais algoritms ar tā atslēgas garumu, piemēram,rsa2048
. Vērtības<subject-name>
un<subject-alternative-name>
parasti atbilstcommonName
unuserPrincipalName
Active Directory lietotāja konta atribūtam.Parakstiet CSR ar domēna sertifikātu iestādi (CA), izmantojot tālāk norādīto komandu.
certreq -attrib CertificateTemplate:<template-name> -submit <file>
Vērtība
<template-name>
ir viedkartes pieteikšanās sertifikāta veidnes nosaukums. Vērtība<file>
ir sertifikāta dziedāšanas pieprasījuma fails.Ierakstiet parakstīto sertifikātu uz Nitrokey, izmantojot tālāk norādīto komandu.
nitropy nk3 piv write-certificate --format PEM --path <file>
<file>
vērtība ir sertifikāta fails.
Atcelt viedkaršu pieteikšanos izmantošanai kopā ar Active Directory (AD)¶
Izsniegtie lietotāju pieteikšanās sertifikāti ir uzskaitīti Active Directory sertifikātu pakalpojumu (ADCS) sarakstā. Sertifikātus var atsaukt no ADCS, tādējādi tos iekļaujot konfigurētajā sertifikātu atsaukšanas sarakstā (CRL). Tas ir nepieciešams Nitrokey nozaudēšanas vai bojājuma gadījumā.
Svarīgi
Ieteicams nekad neatstāt neizmantotus lietotāja sertifikātus, tos neatsaucot.
Piezīme
Sertifikātu ir iespējams uz laiku atsaukt, norādot iemeslu Sertifikāta apturēšana. Šo atsaukšanu var atsaukt, tāpēc tā nav pastāvīga.
Komandrindē, PowerShell vai Run ievadiet
certsrv.msc
un nospiediet Enter.Navigācijas panelī izvērsiet sertifikātu iestādi (CA) un pārejiet uz Izsniegtie sertifikāti.
Detalizētajā logā atlasiet lietotāja sertifikātu, kuru vēlaties atsaukt.
Izvēlnes joslā noklikšķiniet uz Darbība → Visi uzdevumi → Atcelt sertifikātu.
Norādiet atsaukšanas iemeslu, datumu un laiku un apstipriniet ar Jā.
Navigācijas panelī dodieties uz atsauktie sertifikāti.
Izvēlnes joslā noklikšķiniet uz Darbība → Visi uzdevumi → Publicēt.
Izvēlieties atsaukšanas sarakstu, kuru vēlaties publicēt, un apstipriniet ar OK.
Piezīme
Katra viedkartes pieteikšanās mēģinājuma laikā Windows pārbauda, vai viedkartes uzrādītais sertifikāts nav iekļauts sertifikātu atsaukšanas sarakstā (CRL). Ja sertifikāts ir atrodams CRL, pieteikšanās tiek atteikta. Katrā CRL ir norādīts derīguma termiņš, līdz kuram tie zaudē spēku. Windows kešatmiņā saglabā iegūtos CRL un atjaunina tos, ja CRL drīz beigsies. Tādējādi atsaukšana nav tūlītēja un ir atkarīga no klientam pieejamā CRL derīguma termiņa beigām.
Lietotāja viedkartes sertifikāta importēšana personīgajā sertifikātu krātuvē¶
Nitrokey glabāto lietotāja sertifikātu var importēt lietotāja personīgajā sertifikātu krātuvē. Noteiktās situācijās tā ir nepieciešama procedūra.
Pārliecinieties, ka esat pieteicies lietotāja kontā, kuram atbilst sertifikāts.
Komandrindē, PowerShell vai Run ievadiet
certsrv.msc
un nospiediet Enter.Navigācijas panelī izvērsiet atslēgu krātuvi Personal un dodieties uz Certificates.
Izvēlnes joslā noklikšķiniet uz Darbība → Visi uzdevumi → Importēt.
Izpildiet importa vedņa norādījumus un pēc pieprasījuma sniedziet lietotāja sertifikāta failu.
Pēc importa pabeigšanas pārbaudiet importētā sertifikāta detalizētu informāciju panelī. Ja Nitrokey ir savienots, sertifikāta īpašībās jāparādās ziņai Jums ir privātā atslēga, kas atbilst šim sertifikātam., norādot, ka Nitrokey privāto var identificēt.
Pārliecinieties, ka esat pieteicies lietotāja kontā, kuram atbilst sertifikāts.
Atveriet PowerShell.
Change to the personal certficate store of the user with
Set-Location -Path cert:\CurrentUser\My
.Importējiet sertifikātu uz veikalu ar
Import-Certificate -Filepath '<path>'
, aizstājot<path>
ar sertifikāta faila ceļu.