Windows-aanmelding en S/MIME e-mailversleuteling met Active Directory

Let op: dit stuurprogramma is nog in ontwikkeling/testen. Vertel ons uw ervaringen! Zie onze contact pagina.

Vereisten

In deze handleiding wordt ervan uitgegaan dat een Active Directory server met de rol ‘Active Directory Certificate Services’ op een server is geïnstalleerd en draait. Deze instructies zijn alleen gebaseerd op Nitrokey Storage 2 en Nitrokey Pro 2.

Installatie van OpenPGP-CSP

Deze stap is nodig voor clients om het OpenPGP-CSP stuurprogramma te gebruiken. Download en installeer de laatste versie van het installatiebestand ‘SetupOpenPGPCsp’ voor uw systeemarchitectuur, voor ‘SetupOpenPGPCsp_x64.msi’ voor 64-bits systemen.

Het kan wenselijk zijn om het stuurprogramma ook op de server te installeren, zodat het gebruik van dit stuurprogramma in het sjabloon kan worden afgedwongen (zie hieronder).

Certificaatsjabloon maken aan de serverkant

Op Active Directory Server opent u certsrv.msc om uw certificaatsjablonen te beheren. Klik met de rechtermuisknop op ‘Certificaatsjablonen’ en kies ‘Beheren

img1

Klik nu met de rechtermuisknop op het ‘Smartcard Logon’ sjabloon en klik op ‘Dupliceer’, om een nieuw sjabloon te maken op basis van dit standaard sjabloon. Hernoem sjabloon naar ‘OpenPGP Card Logon en Email’ of iets dergelijks.

img2

Onder ‘Request Handling’ kun je de OpenPGP-CSP kiezen als de enige echte Cryptography Service Provider (klik op de knop met het label ‘CSPs…’). Om dit te laten werken, moet je het stuurprogramma ook op de server installeren en moet je van te voren een Nitrokey invoeren. Dit is optioneel. Je kunt de gebruiker laten kiezen welke CSP hij wil gebruiken.

img3
img4

Voor het inschakelen van S/MIME e-mail encryptie ga naar ‘Onderwerp naam’. Vink het vakje ‘E-Mail name’ aan (let op: U moet de e-mailadressen van uw gebruikers in het betreffende Active Directory-veld opslaan!).

img5

Ga dan naar ‘Extensies’, daar bewerk je de toepassingsrichtlijn en voeg je ‘Beveiligde e-mail’ toe.

img6
img7

Certificaat aanvragen op client (domeinlid)

Om een certificaat aan te vragen voor een domein lid, moet u certmgr.msc openen. Klik met de rechtermuisknop op de map ‘Personal->Certificates’ en klik op ‘All Tasks->Request New Certificate en kies het sjabloon dat u heeft aangemaakt op de AD.

img8

Als u het gebruik van OpenPGP-CSP niet hebt afgedwongen, moet u het hier nu kiezen.

img9
img10

Vervolgens kiest u het Authenticatie slot voor het certificaat.

U bent nu klaar om op de computer in te loggen met de Nitrokey in plaats van uw wachtwoord en u kunt S/MIME e-mail encryptie/ondertekening gebruiken met de Nitrokey. Het stuurprogramma moet worden geïnstalleerd op elke computer waarop u het certificaat wilt gebruiken.

img11