Вход в систему Windows и шифрование электронной почты S/MIME с помощью Active Directory

Обратите внимание, что этот драйвер все еще находится в стадии разработки/тестирования. Пожалуйста, расскажите нам о своем опыте! Смотрите нашу страницу контактов.

Пререквизиты

Данное руководство предполагает, что на сервере установлен и работает сервер Active Directory с ролью „Active Directory Certificate Services“. Эти инструкции основаны только на Nitrokey Storage 2 и Nitrokey Pro 2.

Установка OpenPGP-CSP

Этот шаг необходим для использования клиентами драйвера OpenPGP-CSP. Скачайте и установите ` последнюю версию <https://github.com/vletoux/OpenPGP-CSP/releases/tag/1.3>`_ установочного файла „SetupOpenPGPCsp“ для вашей архитектуры системы, для „SetupOpenPGPCsp_x64.msi“ для 64-битных систем.

Вы можете установить драйвер и на сервере, чтобы иметь возможность принудительно использовать этот драйвер в шаблоне (см. ниже).

Создание шаблона сертификата на стороне сервера

На сервере Active Directory откройте certsrv.msc для управления шаблонами сертификатов. Щелкните правой кнопкой мыши на «Шаблоны сертификатов» и выберите «Управление».

имг1

Теперь щелкните правой кнопкой мыши на шаблоне „Smartcard Logon“ и нажмите „Duplicate“, чтобы создать новый шаблон на основе этого стандартного шаблона. Переименуйте шаблон в „OpenPGP Card Logon and Email“ или аналогичный.

имг2

В разделе „Обработка запросов“ вы можете выбрать OpenPGP-CSP в качестве единственного поставщика услуг криптографии (нажмите кнопку с надписью „CSPs…“). Чтобы это сработало, необходимо установить драйвер на сервере, а также предварительно вставить Nitrokey. Это необязательно. Вы можете позволить пользователю самому выбрать, какой CSP использовать.

img3
имг4

Для включения шифрования электронной почты S/MIME перейдите в раздел „Имя темы“. Поставьте галочку в поле „Имя электронной почты“ (обратите внимание: вы должны сохранить почтовые адреса ваших пользователей в соответствующем поле Active Directory!)

имг5

Затем перейдите в раздел «Расширения», там вы отредактируете руководство по приложениям и добавите «Безопасную электронную почту».

img6
имг7

Запрос сертификата на клиенте (члене домена)

Чтобы запросить сертификат для члена домена, необходимо открыть certmgr.msc. Щелкните правой кнопкой мыши на папке „Personal->Certificates“ и нажмите „All Tasks->Request New Certificate“ и выберите шаблон, который вы создали на AD.

имг8

Если вы не использовали OpenPGP-CSP, вам придется выбрать его здесь и сейчас.

img9
img10

Затем выберите слот аутентификации для сертификата.

Теперь вы можете входить на компьютер с помощью Nitrokey вместо пароля и использовать S/MIME шифрование/подписание электронной почты с помощью Nitrokey. Драйвер должен быть установлен на каждом компьютере, на котором вы хотите использовать сертификат.

img11