Logon do cliente com o Active Diretory#
O LED da NextBox mudará para <x id=»31»></x>azul<x id=»36»></x> em cada pressão, após a segunda pressão mudará para azul intermitente (ver Documentação LED). Uma vez que o LED tenha finalmente atingido <x id=»187»></x>verde<x id=»193»></x> novamente durante pelo menos 20 segundos o seu NextBox está pronto para ser utilizado novamente. Por favor, não desligue o NextBox durante este processo, pois isso pode partir alguma coisa. |
|||||||
---|---|---|---|---|---|---|---|
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
⨯ |
Este documento explica como utilizar a aplicação PIV de uma Nitrokey 3 para iniciar sessão com smartcard no Active Diretory.
No futuro, este aprovisionamento manual pode ser automatizado através de um MiniDriver do Windows.
Aviso
A aplicação PIV da Nitrokey 3 é atualmente considerada instável e não está disponível nas versões estáveis do firmware. Para obter essa funcionalidade, é necessário instalar um firmware de teste. As actualizações de firmware subsequentes podem levar à perda de dados e de chaves criptográficas. Para mais informações, consulte a documentação de atualização do firmware.
Pré-requisitos#
A aplicação PIV da Nitrokey 3 é atualmente considerada instável e não está disponível nas versões estáveis do firmware. Para obter essa funcionalidade, é necessário instalar um firmware de teste. As actualizações subsequentes do firmware podem levar à perda de dados e de chaves criptográficas. Para mais informações, consulte <x id=»290»></x>a documentação de atualização do firmware <x id=»325»></x><x id=»389»></x>__.
- Servidor Windows (as versões suportadas são o Windows Server 2016, 2019, 2022 em todas as edições)
Função ADDS instalada e configurada.
- Função ADCS instalada e Enterprise-CA com certificado de raiz configurado.
Cada Controlador de Domínio (DC) tem de ter um certificado Domain Controller, Domain Controller Authentication e Kerberos Authentication emitido.
Se os clientes saírem da rede da empresa, certifique-se de que as listas de revogação de certificados (CRL) completas e delta publicadas são recuperáveis a partir de redes externas.
- Cliente Windows (as versões suportadas são Windows 10, 11 nas edições Professional e Enterprise)
Se os clientes saírem da rede da empresa, certifique-se de que as listas de revogação de certificados (CRL) completas e delta publicadas são recuperáveis a partir de redes externas.
Nitrokey 3 with PIV application.
Configurar o logon de smartcard para uso com o Active Diretory (AD)#
O início de sessão do smartcard requer um modelo de certificado na autoridade de certificação (AC) do domínio. Este modelo define os valores e as restrições dos certificados do utilizador. É utilizado para assinar o pedido de certificado (CSR) durante o aprovisionamento do Nitrokey.
O início de sessão do cartão inteligente requer um modelo de certificado na autoridade de certificação (AC) do domínio. Este modelo define os valores e as restrições dos certificados do utilizador. É utilizado para assinar o pedido de certificado (CSR) durante o aprovisionamento do Nitrokey.
Na Linha de Comando, PowerShell ou Executar, digite
certtmpl.msc
e pressione Enter.No painel de detalhes, selecione o modelo Smartcard Logon.
Na barra de menu, clique em Actions → All Tasks → Duplicate Template.
Defina as definições abaixo no modelo, de acordo com o separador mencionado.
- Compatibility
Desativar Mostrar alterações resultantes
Defina Autoridade de certificação e Destinatário do certificado para os clientes mais antigos do domínio que devem utilizar o início de sessão com cartão inteligente.
Importante
Se pretender utilizar chaves de curva elíptica (EC), os seus clientes não devem ser mais antigos do que o Windows Server 2008 e o Windows Vista.
- Geral
Arch Linux
Definir um nome de apresentação do modelo <x id=»6»></x><x id=»29»></x> .
- Tratamento de pedidos
Definir um objetivo de Assinatura e início de sessão com cartão inteligente.
- Criptografia
Definir uma categoria de fornecedor de Key Storage Provider.
Definir o nome de um algoritmo e o tamanho mínimo da chave.
Importante
Definir o nome de um algoritmo e o tamanho mínimo da chave.
- Nome do sujeito
Definir Abastecimento no pedido.
Definir <x id=»4»></x>Abastecimento no pedido<x id=»27»></x>.
Por predefinição, o Namespace é herdado do utilizador que adiciona o novo utilizador. Apenas os utilizadores sem um Namespace podem escolher um Namespace diferente para os novos utilizadores. O Namespace é utilizado como um prefixo para o nome do utilizador, por exemplo namespace~user. Assim, o mesmo nome de utilizador pode ser utilizado em vários Namespaces.
Na Linha de Comando, PowerShell ou Executar, digite
certsrv.msc
e pressione Enter.No painel de navegação, expanda a Autoridade de Certificação (AC) e navegue para Modelos de Certificado.
Na barra de menu, clique em Ação → Novo → Modelo de certificado para emitir.
Selecione o modelo de certificado que pretende emitir e confirme com OK.
Provisione o Nitrokey 3 para logon de cartão inteligente com o Active Diretory#
O início de sessão com cartão inteligente requer o aprovisionamento de um Nitrokey para um utilizador no Active Diretory. O provisionamento contém a chave privada e a geração de CSR (Certificate Singing Request). O certificado é então gravado no Nitrokey.
Aviso
Antes de seguir os passos abaixo, certifique-se de que a conta de utilizador do Active Diretory que pretende utilizar para o início de sessão com cartão inteligente existe. Uma hora de criação do certificado anterior à hora de criação da conta de utilizador conduzirá a uma falha no início de sessão.
Importante
Se a aplicação PIV na Nitrokey não tiver sido utilizada anteriormente, efetuar primeiro uma inicialização com nitropy nk3 piv init
.
Gerar uma chave privada e escrever o CSR num ficheiro com o comando abaixo.
nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
Independentemente do modo de arranque, a <x id=»33»></x>Unlock Passphrase<x id=»51»></x> mantém a sua validade e é necessária para restaurar cópias de segurança noutro hardware. Mantenha a frase-chave de desbloqueio <x id=»140»></x><x id=»158»></x> segura em qualquer altura.
O valor de <x id=»13»></x>`<x id=»15»></x><x id=»26»></x>` é o algoritmo utilizado com o respetivo comprimento de chave, por exemplo, <x id=»77»></x>`<x id=»79»></x><x id=»86»></x>`. Os valores de <x id=»104»></x>`<x id=»106»></x><x id=»120»></x>` e <x id=»127»></x>`<x id=»129»></x><x id=»155»></x>` correspondem normalmente ao atributo <x id=»187»></x>`<x id=»189»></x><x id=»199»></x>` e <x id=»206»></x>`<x id=»208»></x><x id=»225»></x>` da conta de utilizador do Active Diretory.
certreq -attrib CertificateTemplate:<template-name> -submit <file>
O valor de
<template-name>
é o nome do modelo de certificado para o início de sessão com cartão inteligente. O valor de<file>
é o ficheiro de pedido de canto do certificado.Write the signed certificate to the Nitrokey with the command below.
nitropy nk3 piv write-certificate --format PEM --path <file>
The value of
<file>
is the certificate file.
Revogar o logon de smartcard para uso com o Active Diretory (AD)#
Os certificados de início de sessão do utilizador emitidos são listados nos Serviços de Certificados do Active Diretory (ADCS). A partir do ADCS, os certificados podem ser revogados, o que os adiciona à Lista de revogação de certificados (CRL) configurada. Isto é necessário em caso de perda ou avaria do Nitrokey.
Importante
Aconselha-se vivamente a nunca deixar certificados de utilizador não utilizados sem os revogar.
Nota
É possível revogar temporariamente um certificado com o motivo Certificate Hold. Esta revogação pode ser revertida e, por conseguinte, não é permanente.
Na Linha de Comando, PowerShell ou Executar, digite
certsrv.msc
e pressione Enter.No painel de navegação, expanda a autoridade de certificação (CA) e navegue para Issued Certificates.
No painel de detalhes, selecione o certificado de utilizador que pretende revogar.
No painel de detalhes, selecione o certificado de utilizador que pretende revogar.
Especificar o motivo da revogação, a data e a hora, e confirmar com Yes.
No painel de navegação, navegue para Certificados revogados.
Na barra de menus, clique em Action → All Tasks → Publish.
Selecione a lista de revogação que pretende publicar e confirme com OK.
Nota
Durante cada tentativa de início de sessão com cartão inteligente, o Windows verifica se o certificado apresentado pelo cartão inteligente consta de uma Lista de Revogação de Certificados (LCR). Se o certificado for encontrado numa LCR, o início de sessão é recusado. Cada LCR contém uma validade que a faz expirar. O Windows armazena em cache a LCR obtida e actualiza-a se a LCR estiver prestes a expirar. Assim, uma revogação não é imediata e depende da expiração da LCR que o cliente possui.
Importar um certificado de smartcard de utilizador para o armazenamento de certificados pessoais#
O certificado de utilizador que está armazenado no Nitrokey pode ser importado para o armazenamento de certificados pessoal do utilizador. Em determinadas situações, este é um procedimento necessário.
Certifique-se de que tem sessão iniciada na conta de utilizador a que o certificado corresponde.
Na Linha de Comando, PowerShell ou Executar, digite
certsrv.msc
e pressione Enter.No painel de navegação, expanda o armazenamento de chaves Personal e navegue até Certificates.
Na barra de menus, clique em Ação → Todas as tarefas → Importar.
Na barra de menus, clique em <x id=»22»></x>Ação → Todas as tarefas → Importar<x id=»51»></x>.
Depois de concluída a importação, verifique o painel de pormenores do certificado importado. Se o Nitrokey estiver ligado, as propriedades do certificado devem mostrar a mensagem Tem uma chave privada que corresponde a este certificado. indicando que a chave privada no Nitrokey pode ser identificada.
Certifique-se de que tem sessão iniciada na conta de utilizador a que o certificado corresponde.
Abrir o PowerShell.
Change to the personal certficate store of the user with
Set-Location -Path cert:\CurrentUser\My
.Importar o certificado para o armazenamento com
Import-Certificate -Filepath '<path>'
, substituindo<path>
pelo caminho do ficheiro do certificado.