Logowanie w systemie Windows i szyfrowanie poczty S/MIME w usłudze Active Directory#

(Nitrokey Storage 2 - Windows)

Należy pamiętać, że ten sterownik jest nadal w fazie rozwoju/testowania. Przekaż nam swoje doświadczenia! Zobacz naszą stronę kontaktową.

Wymagania wstępne#

Ten przewodnik zakłada, że serwer Active Directory z rolą „Active Directory Certificate Services” jest zainstalowany i uruchomiony na serwerze. Instrukcje te oparte są wyłącznie na Nitrokey Storage 2 i Nitrokey Pro 2.

Instalacja OpenPGP-CSP#

Ten krok jest konieczny, aby klienci mogli korzystać ze sterownika OpenPGP-CSP. Pobierz i zainstaluj najnowszą wersję pliku instalatora «SetupOpenPGPCsp» dla swojej architektury systemu, dla «SetupOpenPGPCsp_x64.msi» dla systemów 64-bitowych.

Możesz chcieć zainstalować sterownik również na serwerze, aby móc wymusić jego użycie w szablonie (patrz niżej).

Tworzenie szablonu certyfikatu po stronie serwera#

Na serwerze Active Directory otwórz plik certsrv.msc, aby zarządzać szablonami certyfikatów. Kliknij prawym przyciskiem myszy na „Szablony certyfikatów” i wybierz „Zarządzaj”.

img1

Teraz kliknij prawym przyciskiem myszy na szablon «Smartcard Logon» i kliknij «Duplicate», aby utworzyć nowy szablon na podstawie tego standardowego szablonu. Zmień nazwę szablonu na «OpenPGP Card Logon and Email» lub podobną.

img2

W sekcji „Obsługa żądań” można wybrać OpenPGP-CSP jako jedynego dostawcę usług kryptograficznych (kliknij przycisk oznaczony jako „CSPs…”). Aby to zadziałało, musisz zainstalować sterownik również na serwerze i musisz wcześniej wprowadzić Nitrokey. Jest to opcjonalne. Możesz pozwolić użytkownikowi wybrać, który CSP ma być użyty.

img3
img4

W celu włączenia szyfrowania wiadomości e-mail S/MIME przejść do «Subject name» (Nazwa tematu). Zaznaczyć pole wyboru „E-Mail name” (Uwaga: Adresy e-mail użytkowników muszą być zapisane w odpowiednim polu Active Directory!).

img5

Następnie przejdź do «Extensions», tam edytuj wytyczne dotyczące aplikacji i dodaj «Secure Email».

img6
img7

Żądanie certyfikatu na kliencie (Domain Member)#

Aby zażądać certyfikatu dla członka domeny, musisz otworzyć certmgr.msc. Kliknij prawym przyciskiem myszy na folder „Personal->Certificates” i kliknij „All Tasks->Request New Certificate” i wybierz szablon utworzony w AD.

img8

Jeśli nie egzekwowałeś używania OpenPGP-CSP musisz teraz wybrać go tutaj.

img9
img10

Następnie wybieramy gniazdo Authentication dla certyfikatu.

Teraz możesz logować się na komputerze za pomocą Nitrokey zamiast hasła i możesz używać ` szyfrowania/podpisywania poczty elektronicznej S/MIME <smime.html>`_ z Nitrokey. Sterownik musi być zainstalowany na każdym komputerze, na którym ma być używany certyfikat.

img11