Logowanie w systemie Windows i szyfrowanie poczty S/MIME w usłudze Active Directory

Należy pamiętać, że ten sterownik jest nadal w fazie rozwoju/testowania. Prosimy o przekazanie nam swoich doświadczeń! Zobacz naszą ` stronę kontaktową <https://www.nitrokey.com/contact>`__.

Wymagania wstępne

Ten przewodnik zakłada, że serwer Active Directory z rolą „Active Directory Certificate Services” jest zainstalowany i uruchomiony na serwerze. Instrukcje te są oparte wyłącznie na Nitrokey Storage 2 i Nitrokey Pro 2.

Instalacja OpenPGP-CSP

Ten krok jest potrzebny, aby klienci mogli używać sterownika OpenPGP-CSP. Pobierz i zainstaluj najnowszą wersję pliku instalatora «SetupOpenPGPCsp» dla twojej architektury systemu, dla «SetupOpenPGPCsp_x64.msi» dla systemów 64-bitowych.

Możesz chcieć zainstalować sterownik również na serwerze, aby móc wymusić jego użycie w szablonie (patrz niżej).

Tworzenie szablonu certyfikatu po stronie serwera

Na serwerze Active Directory otwórz plik certsrv.msc, aby zarządzać szablonami certyfikatów. Kliknij prawym przyciskiem myszy na „Szablony certyfikatów” i wybierz „Zarządzaj”.

img1

Teraz kliknij prawym przyciskiem myszy na szablon «Smartcard Logon» i kliknij «Duplicate», aby utworzyć nowy szablon na podstawie tego standardowego szablonu. Zmień nazwę szablonu na «OpenPGP Card Logon and Email» lub podobną.

img2

W sekcji „Obsługa żądań” możesz wybrać OpenPGP-CSP jako jedynego i niepowtarzalnego Dostawcę Usług Kryptograficznych (kliknij na przycisk „CSPs…”). Aby to zadziałało, musisz zainstalować sterownik również na serwerze i musisz wcześniej wprowadzić Nitrokey. Jest to opcjonalne. Możesz pozwolić użytkownikowi wybrać, który CSP ma być użyty.

img3
img4

W celu włączenia szyfrowania wiadomości e-mail S/MIME przejść do «Subject name» (Nazwa tematu). Zaznaczyć pole wyboru „E-Mail name” (Uwaga: Adresy e-mail użytkowników muszą być zapisane w odpowiednim polu Active Directory!).

img5

Następnie przejdź do «Extensions», tam edytuj wytyczne dotyczące aplikacji i dodaj «Secure Email».

img6
img7

Żądanie certyfikatu na kliencie (Domain Member)

Aby zażądać certyfikatu dla członka domeny, musisz otworzyć certmgr.msc. Kliknij prawym przyciskiem myszy na folder „Personal->Certificates” i kliknij „All Tasks->Request New Certificate” i wybierz szablon utworzony w AD.

img8

Jeśli nie egzekwowałeś używania OpenPGP-CSP musisz teraz wybrać go tutaj.

img9
img10

Następnie wybieramy gniazdo Authentication dla certyfikatu.

Teraz jesteś gotowy do logowania się na komputerze za pomocą Nitrokey zamiast hasła i możesz użyć ` szyfrowania/podpisywania emaili S/MIME <smime.html>`_ z Nitrokey. Sterownik musi być zainstalowany na każdym komputerze, na którym chcesz używać certyfikatu.

img11