Logon do cliente com o Active Diretory#

Nitrokey 3

Nitrokey Passkey

Nitrokey FIDO2

O LED da NextBox mudará para <x id=»31»></x>azul<x id=»36»></x> em cada pressão, após a segunda pressão mudará para azul intermitente (ver Documentação LED). Uma vez que o LED tenha finalmente atingido <x id=»187»></x>verde<x id=»193»></x> novamente durante pelo menos 20 segundos o seu NextBox está pronto para ser utilizado novamente. Por favor, não desligue o NextBox durante este processo, pois isso pode partir alguma coisa.

Nitrokey HSM 2

Nitrokey Pro 2

Nitrokey Start

Nitrokey Storage 2

Este documento explica como utilizar a aplicação PIV de uma Nitrokey 3 para iniciar sessão com smartcard no Active Diretory.

No futuro, este aprovisionamento manual pode ser automatizado através de um MiniDriver do Windows.

Aviso

A aplicação PIV da Nitrokey 3 é atualmente considerada instável e não está disponível nas versões estáveis do firmware. Para obter essa funcionalidade, é necessário instalar um firmware de teste. As actualizações de firmware subsequentes podem levar à perda de dados e de chaves criptográficas. Para mais informações, consulte a documentação de atualização do firmware.

Pré-requisitos#

A aplicação PIV da Nitrokey 3 é atualmente considerada instável e não está disponível nas versões estáveis do firmware. Para obter essa funcionalidade, é necessário instalar um firmware de teste. As actualizações subsequentes do firmware podem levar à perda de dados e de chaves criptográficas. Para mais informações, consulte <x id=»290»></x>a documentação de atualização do firmware <x id=»325»></x><x id=»389»></x>__.

  • Servidor Windows (as versões suportadas são o Windows Server 2016, 2019, 2022 em todas as edições)
    • Função ADDS instalada e configurada.

    • Função ADCS instalada e Enterprise-CA com certificado de raiz configurado.
      • Cada Controlador de Domínio (DC) tem de ter um certificado Domain Controller, Domain Controller Authentication e Kerberos Authentication emitido.

      • Se os clientes saírem da rede da empresa, certifique-se de que as listas de revogação de certificados (CRL) completas e delta publicadas são recuperáveis a partir de redes externas.

  • Cliente Windows (as versões suportadas são Windows 10, 11 nas edições Professional e Enterprise)
    • Se os clientes saírem da rede da empresa, certifique-se de que as listas de revogação de certificados (CRL) completas e delta publicadas são recuperáveis a partir de redes externas.

  • Nitrokey 3 with PIV application.

Configurar o logon de smartcard para uso com o Active Diretory (AD)#

O início de sessão do smartcard requer um modelo de certificado na autoridade de certificação (AC) do domínio. Este modelo define os valores e as restrições dos certificados do utilizador. É utilizado para assinar o pedido de certificado (CSR) durante o aprovisionamento do Nitrokey.

  1. O início de sessão do cartão inteligente requer um modelo de certificado na autoridade de certificação (AC) do domínio. Este modelo define os valores e as restrições dos certificados do utilizador. É utilizado para assinar o pedido de certificado (CSR) durante o aprovisionamento do Nitrokey.

    1. Na Linha de Comando, PowerShell ou Executar, digite certtmpl.msc e pressione Enter.

    2. No painel de detalhes, selecione o modelo Smartcard Logon.

    3. Na barra de menu, clique em Actions → All Tasks → Duplicate Template.

    4. Defina as definições abaixo no modelo, de acordo com o separador mencionado.

      Compatibility
      • Desativar Mostrar alterações resultantes

      • Defina Autoridade de certificação e Destinatário do certificado para os clientes mais antigos do domínio que devem utilizar o início de sessão com cartão inteligente.

        Importante

        Se pretender utilizar chaves de curva elíptica (EC), os seus clientes não devem ser mais antigos do que o Windows Server 2008 e o Windows Vista.

      Geral
      • Arch Linux

      • Definir um nome de apresentação do modelo <x id=»6»></x><x id=»29»></x> .

      Tratamento de pedidos
      • Definir um objetivo de Assinatura e início de sessão com cartão inteligente.

      Criptografia
      • Definir uma categoria de fornecedor de Key Storage Provider.

      • Definir o nome de um algoritmo e o tamanho mínimo da chave.

        Importante

        Definir o nome de um algoritmo e o tamanho mínimo da chave.

      Nome do sujeito
      • Definir Abastecimento no pedido.

    5. Definir <x id=»4»></x>Abastecimento no pedido<x id=»27»></x>.

  2. Por predefinição, o Namespace é herdado do utilizador que adiciona o novo utilizador. Apenas os utilizadores sem um Namespace podem escolher um Namespace diferente para os novos utilizadores. O Namespace é utilizado como um prefixo para o nome do utilizador, por exemplo namespace~user. Assim, o mesmo nome de utilizador pode ser utilizado em vários Namespaces.

    1. Na Linha de Comando, PowerShell ou Executar, digite certsrv.msc e pressione Enter.

    2. No painel de navegação, expanda a Autoridade de Certificação (AC) e navegue para Modelos de Certificado.

    3. Na barra de menu, clique em Ação → Novo → Modelo de certificado para emitir.

    4. Selecione o modelo de certificado que pretende emitir e confirme com OK.

Provisione o Nitrokey 3 para logon de cartão inteligente com o Active Diretory#

O início de sessão com cartão inteligente requer o aprovisionamento de um Nitrokey para um utilizador no Active Diretory. O provisionamento contém a chave privada e a geração de CSR (Certificate Singing Request). O certificado é então gravado no Nitrokey.

Aviso

Antes de seguir os passos abaixo, certifique-se de que a conta de utilizador do Active Diretory que pretende utilizar para o início de sessão com cartão inteligente existe. Uma hora de criação do certificado anterior à hora de criação da conta de utilizador conduzirá a uma falha no início de sessão.

Importante

Se a aplicação PIV na Nitrokey não tiver sido utilizada anteriormente, efetuar primeiro uma inicialização com nitropy nk3 piv init.

  1. Gerar uma chave privada e escrever o CSR num ficheiro com o comando abaixo.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
    

    Independentemente do modo de arranque, a <x id=»33»></x>Unlock Passphrase<x id=»51»></x> mantém a sua validade e é necessária para restaurar cópias de segurança noutro hardware. Mantenha a frase-chave de desbloqueio <x id=»140»></x><x id=»158»></x> segura em qualquer altura.

  2. O valor de <x id=»13»></x>`<x id=»15»></x><x id=»26»></x>` é o algoritmo utilizado com o respetivo comprimento de chave, por exemplo, <x id=»77»></x>`<x id=»79»></x><x id=»86»></x>`. Os valores de <x id=»104»></x>`<x id=»106»></x><x id=»120»></x>` e <x id=»127»></x>`<x id=»129»></x><x id=»155»></x>` correspondem normalmente ao atributo <x id=»187»></x>`<x id=»189»></x><x id=»199»></x>` e <x id=»206»></x>`<x id=»208»></x><x id=»225»></x>` da conta de utilizador do Active Diretory.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    O valor de <template-name> é o nome do modelo de certificado para o início de sessão com cartão inteligente. O valor de <file> é o ficheiro de pedido de canto do certificado.

  3. Write the signed certificate to the Nitrokey with the command below.

    nitropy nk3 piv write-certificate --format PEM --path <file>
    

    The value of <file> is the certificate file.

Revogar o logon de smartcard para uso com o Active Diretory (AD)#

Os certificados de início de sessão do utilizador emitidos são listados nos Serviços de Certificados do Active Diretory (ADCS). A partir do ADCS, os certificados podem ser revogados, o que os adiciona à Lista de revogação de certificados (CRL) configurada. Isto é necessário em caso de perda ou avaria do Nitrokey.

Importante

Aconselha-se vivamente a nunca deixar certificados de utilizador não utilizados sem os revogar.

Nota

É possível revogar temporariamente um certificado com o motivo Certificate Hold. Esta revogação pode ser revertida e, por conseguinte, não é permanente.

  1. Na Linha de Comando, PowerShell ou Executar, digite certsrv.msc e pressione Enter.

  2. No painel de navegação, expanda a autoridade de certificação (CA) e navegue para Issued Certificates.

  3. No painel de detalhes, selecione o certificado de utilizador que pretende revogar.

  4. No painel de detalhes, selecione o certificado de utilizador que pretende revogar.

  5. Especificar o motivo da revogação, a data e a hora, e confirmar com Yes.

  6. No painel de navegação, navegue para Certificados revogados.

  7. Na barra de menus, clique em Action → All Tasks → Publish.

  8. Selecione a lista de revogação que pretende publicar e confirme com OK.

Nota

Durante cada tentativa de início de sessão com cartão inteligente, o Windows verifica se o certificado apresentado pelo cartão inteligente consta de uma Lista de Revogação de Certificados (LCR). Se o certificado for encontrado numa LCR, o início de sessão é recusado. Cada LCR contém uma validade que a faz expirar. O Windows armazena em cache a LCR obtida e actualiza-a se a LCR estiver prestes a expirar. Assim, uma revogação não é imediata e depende da expiração da LCR que o cliente possui.

Importar um certificado de smartcard de utilizador para o armazenamento de certificados pessoais#

O certificado de utilizador que está armazenado no Nitrokey pode ser importado para o armazenamento de certificados pessoal do utilizador. Em determinadas situações, este é um procedimento necessário.

  1. Certifique-se de que tem sessão iniciada na conta de utilizador a que o certificado corresponde.

  2. Na Linha de Comando, PowerShell ou Executar, digite certsrv.msc e pressione Enter.

  3. No painel de navegação, expanda o armazenamento de chaves Personal e navegue até Certificates.

  4. Na barra de menus, clique em Ação → Todas as tarefas → Importar.

  5. Na barra de menus, clique em <x id=»22»></x>Ação → Todas as tarefas → Importar<x id=»51»></x>.

  6. Depois de concluída a importação, verifique o painel de pormenores do certificado importado. Se o Nitrokey estiver ligado, as propriedades do certificado devem mostrar a mensagem Tem uma chave privada que corresponde a este certificado. indicando que a chave privada no Nitrokey pode ser identificada.