Conectarea clientului cu Active Directory

Acest document explică modul de utilizare a aplicației PIV a unui Nitrokey 3 pentru conectarea cu cardul inteligent la Active Directory.

În viitor, această aprovizionare manuală poate fi automatizată prin intermediul unui MiniDriver Windows.

Atenționare

Aplicația PIV a Nitrokey 3 este considerată în prezent instabilă și nu este disponibilă pe versiunile firmware stabile. Pentru a obține această funcționalitate, este necesară instalarea unui firmware de testare. Actualizările ulterioare ale firmware-ului pot duce la pierderea datelor și a cheilor criptografice. Vă rugăm să consultați documentația de actualizare a firmware-ului pentru mai multe informații.

Condiții prealabile

Configurarea necesită acces administrativ la mașinile pe care rulează Active Directory Directory Directory Services (ADDS) și Active Directory Certificate Services (ADCS). Pe mașina client este necesar doar accesul la contul de utilizator respectiv utilizat pentru conectare.

  • Server Windows (versiunile acceptate sunt Windows Server 2016, 2019, 2022 în toate edițiile)
    • Rolul ADDS instalat și configurat.

    • Rolul ADCS instalat și Enterprise-CA cu certificat rădăcină configurat.
      • Fiecare controler de domeniu (DC) trebuie să aibă un certificat Domain Controller, Domain Controller Authentication, și Kerberos Authentication emis.

      • Dacă aveți clienți care părăsesc rețeaua companiei, asigurați-vă că listele complete și delta de revocare a certificatelor (CRL) publicate pot fi recuperate din rețelele externe.

  • Client Windows (versiunile acceptate sunt Windows 10, 11 în edițiile Professional și Enterprise)
    • Clientul trebuie să fie un membru al domeniului Active Directory (AD).

  • Nitrokey 3 cu aplicație PIV.

Configurarea conectării prin card inteligent pentru utilizarea cu Active Directory (AD)

Conectarea cu cardul inteligent necesită un model de certificat în autoritatea de certificare (CA) a domeniului. Acest șablon definește valorile și constrângerile certificatelor de utilizator. Acesta este utilizat pentru a semna cererea de certificat (CSR) în timpul aprovizionării Nitrokey.

  1. Semnarea unei cereri de certificat pentru conectarea cu cardul inteligent necesită crearea unui șablon de certificat în autoritatea de certificare.

    1. Din linia de comandă, PowerShell sau Run, tastați certtmpl.msc și apăsați Enter.

    2. În panoul de detalii, selectați șablonul Smartcard Logon.

    3. În bara de meniu, faceți clic pe Actions → All Tasks → Duplicate Template.

    4. Setați setările de mai jos pe șablon, în conformitate cu fila menționată.

      Compatibilitate
      • Dezactivați Afișați modificările rezultate

      • Setați Autoritatea de certificare și Destinatarul certificatului la cei mai vechi clienți din domeniu care trebuie să utilizeze conectarea prin card inteligent.

        Important

        Dacă doriți să utilizați chei cu curbă eliptică (EC), clienții dvs. nu trebuie să fie mai vechi de Windows Server 2008 și Windows Vista.

      General
      • Setați un nume de afișare a șablonului Template.

      • Setați Perioada de valabilitate și Perioada de reînnoire.

      Gestionarea cererilor
      • Stabiliți un scop al Semnătură și logare cu card inteligent.

      Criptografie
      • Setați o categorie de furnizor de Key Storage Provider.

      • Setați un nume de algoritm și dimensiunea minimă a cheii.

        Important

        Microsoft recomandă utilizarea algoritmului RSA cu o lungime a cheii de 2048 Bit. Dacă alegeți să utilizați chei cu curbă eliptică (EC), trebuie să faceți modificări suplimentare pe calculatoarele client.

      Numele subiectului
      • Setați Furnizare în cererea.

    5. Confirmați crearea șablonului cu OK.

  2. După crearea unui șablon de certificat, șablonul trebuie să fie emis pentru a fi utilizat de către clienți.

    1. Din linia de comandă, PowerShell sau Run, tastați certsrv.msc și apăsați Enter.

    2. În panoul de navigare, extindeți Autoritatea de certificare (CA) și navigați la Certificate Templates.

    3. În bara de meniu, faceți clic pe Action → New → Certificate Template to Issue.

    4. Selectați șablonul de certificat pe care doriți să îl emiteți și confirmați cu OK.

Aprovizionarea Nitrokey 3 pentru conectarea cu smartcard cu Active Directory

Conectarea cu cardul inteligent necesită furnizarea unei Nitrokey pentru un utilizator în Active Directory. Provizionarea conține cheia privată și generarea unei cereri de certificare (Certificate Singing Request (CSR)). Certificatul este apoi scris pe Nitrokey.

Atenționare

Înainte de a urma pașii de mai jos, asigurați-vă că există contul de utilizator Active Directory pe care doriți să îl utilizați pentru conectarea cu cardul inteligent. O oră de creare a certificatului anterioară orei de creare a contului de utilizator va duce la o logare eșuată.

Important

Dacă aplicația PIV de pe Nitrokey nu a mai fost utilizată înainte, efectuați mai întâi o inițializare cu nitropy nk3 piv init.

  1. Generați o cheie privată și scrieți CSR-ul în fișier cu comanda de mai jos.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
    

    Valoarea lui <algorithm> este algoritmul utilizat cu lungimea cheii sale, de exemplu rsa2048. Valorile din <subject-name> și <subject-alternative-name> corespund de obicei atributelor commonName și userPrincipalName din contul de utilizator Active Directory.

  2. Semnați CSR-ul cu autoritatea de certificare (CA) a domeniului cu ajutorul comenzii de mai jos.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    Valoarea din <template-name> este numele șablonului de certificat pentru conectarea cu cardul inteligent. Valoarea din <file> este fișierul de solicitare a certificatului de cântărire.

  3. Scrieți certificatul semnat pe Nitrokey cu comanda de mai jos.

    nitropy nk3 piv write-certificate --format PEM --path <file>
    

    Valoarea din <file> este fișierul de certificat.

Revocarea conectării prin card inteligent pentru utilizarea cu Active Directory (AD)

Certificatele de conectare a utilizatorilor emise sunt listate în Active Directory Certificate Services (ADCS). Din ADCS, certificatele pot fi revocate, ceea ce le adaugă la lista de revocare a certificatelor (CRL) configurată. Acest lucru este necesar în cazul în care Nitrokey este pierdut sau stricat.

Important

Se recomandă insistent să nu lăsați niciodată certificate de utilizator neutilizate fără a le revoca.

Notă

Este posibilă revocarea temporară a unui certificat cu motivul Certificate Hold. Această revocare poate fi anulată și, prin urmare, nu este permanentă.

  1. Din linia de comandă, PowerShell sau Run, tastați certsrv.msc și apăsați Enter.

  2. În panoul de navigare, extindeți autoritatea de certificare (CA) și navigați la Issued Certificates.

  3. În panoul detaliat, selectați certificatul de utilizator pe care doriți să îl revocați.

  4. În bara de meniu, faceți clic pe Action → All Tasks → Revoke Certificate.

  5. Precizați motivul revocării, data și ora și confirmați cu Da.

  6. În panoul de navigare, navigați la Certificatele revocate.

  7. În bara de meniu, faceți clic pe Action → All Tasks → Publish.

  8. Selectați lista de revocare pe care doriți să o publicați și confirmați cu OK.

Notă

În timpul fiecărei încercări de conectare cu cardul inteligent, Windows verifică dacă certificatul prezentat de cardul inteligent este listat pe o listă de revocare a certificatelor (CRL). În cazul în care certificatul se găsește pe o CRL, conectarea este refuzată. Fiecare CRL conține un termen de valabilitate care le face să expire. Windows păstrează în memoria cache CRL-ul preluat și le actualizează dacă CRL-ul este pe cale să expire. Prin urmare, o revocare nu este imediată și depinde de expirarea CRL-ului pe care îl are clientul.

Importați un certificat de card inteligent al utilizatorului în stocul de certificate personal

Certificatul utilizatorului care este stocat pe Nitrokey poate fi importat în stocul personal de certificate al utilizatorului. În anumite situații, aceasta este o procedură necesară.

  1. Asigurați-vă că sunteți conectat la contul de utilizator căruia îi corespunde certificatul.

  2. Din linia de comandă, PowerShell sau Run, tastați certsrv.msc și apăsați Enter.

  3. În panoul de navigare, extindeți magazinul de chei Personal și navigați la Certificate.

  4. În bara de meniu, faceți clic pe Action → All Tasks → Import.

  5. Urmați expertul de import și furnizați fișierul cu certificatul utilizatorului atunci când vi se solicită.

  6. După finalizarea importului, verificați panoul de detalii pentru certificatul importat. Dacă Nitrokey este conectat, proprietățile certificatului ar trebui să afișeze mesajul You have a private key that corresponds to this certificate. care indică faptul că cheia privată de pe Nitrokey a putut fi identificată.