Вход клиента в систему с помощью Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV application of a Nitrokey 3 for smartcard logon with Active Directory. It is available as of firmware version 1.8 and higher.

В будущем эта ручная инициализация может быть автоматизирована с помощью Windows MiniDriver.

Пререквизиты

Для настройки требуется административный доступ к машинам, на которых запущены службы каталогов Active Directory Directory Directory Services (ADDS) и Active Directory Certificate Services (ADCS). На клиентской машине требуется только доступ к соответствующей учетной записи пользователя, используемой для входа в систему.

  • Сервер Windows (поддерживаются версии Windows Server 2016, 2019, 2022 во всех редакциях)

    • Роль ADDS установлена и настроена.

    • Установлена роль ADCS и настроен Enterprise-CA с корневым сертификатом.

      • Для каждого контроллера домена (DC) должен быть выпущен сертификат Domain Controller, Domain Controller Authentication, и Kerberos Authentication.

      • Если клиенты покидают сеть компании, убедитесь, что опубликованные полные и дельта-списки отзыва сертификатов (CRL) доступны для получения из внешних сетей.

  • Клиент Windows (поддерживаются версии Windows 10, 11 в редакциях Professional и Enterprise)

    • Клиент должен быть членом домена Active Directory (AD).

  • Nitrokey 3 с приложением PIV.

Настройка входа по смарт-карте для использования с Active Directory (AD)

Для входа в систему с помощью смарт-карты требуется шаблон сертификата в центре сертификации (ЦС) домена. Этот шаблон определяет значения и ограничения пользовательских сертификатов. Он используется для подписи запроса на сертификат (CSR) при инициализации Nitrokey.

  1. Подписание запроса сертификата для входа в систему с помощью смарт-карты требует создания шаблона сертификата в центре сертификации.

    1. В командной строке, PowerShell или Run введите certtmpl.msc и нажмите Enter.

    2. На панели деталей выберите шаблон Smartcard Logon.

    3. В строке меню нажмите Действия → Все задачи → Дублировать шаблон.

    4. Настройте приведенные ниже параметры шаблона в соответствии с указанной вкладкой.

      Совместимость

      • Отключить Показать полученные изменения

      • Установите Certificate Authority и Certificate recipient для самых старых клиентов в домене, которые должны использовать вход по смарт-карте.

        Важно

        Если вы хотите использовать ключи Elliptic Curve (EC), ваши клиенты должны быть не старше Windows Server 2008 и Windows Vista.

      Общие сведения

      • Установите имя отображения шаблона **** .

      • Установите Срок действия и Период продления.

      Обработка запросов

      • Установите цель Подпись и вход по смарт-карте.

      Криптография

      • Установите категорию провайдера Key Storage Provider.

      • Задайте имя алгоритма и минимальный размер ключа.

        Важно

        Microsoft рекомендует использовать алгоритм RSA с длиной ключа 2048 Bit. Если вы решили использовать ключи Eliptic Curve (EC), вам необходимо внести дополнительные изменения на клиентских компьютерах.

      Название предмета

      • Установите Поставку по запросу.

    5. Подтвердите создание шаблона с помощью OK.

  2. После создания шаблона сертификата необходимо выпустить его для использования клиентами.

    1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.

    2. В панели навигации разверните центр сертификации (ЦС) и перейдите по ссылке Шаблоны сертификатов.

    3. В строке меню нажмите Действие → Новый → Шаблон сертификата для выдачи.

    4. Выберите шаблон сертификата, который вы хотите выпустить, и подтвердите выбор с помощью OK.

Предоставление Nitrokey 3 для входа по смарт-карте в Active Directory

Для входа по смарт-карте требуется предоставить Nitrokey для пользователя в Active Directory. В нем содержится закрытый ключ и запрос на генерацию сертификата (CSR). Затем сертификат записывается на Nitrokey.

Предупреждение

Перед выполнением описанных ниже действий убедитесь, что учетная запись пользователя Active Directory, которую вы хотите использовать для входа по смарт-карте, существует. Время создания сертификата раньше времени создания учетной записи пользователя приведет к неудачному входу в систему.

Важно

Если приложение PIV на Nitrokey ранее не использовалось, сначала выполните инициализацию с помощью nitropy nk3 piv init.

  1. Сгенерируйте закрытый ключ и запишите CSR в файл с помощью следующей команды.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>

    Значение <algorithm> - это используемый алгоритм с длиной ключа, например, rsa2048. Значения <subject-name> и <subject-alternative-name> обычно соответствуют атрибутам commonName и userPrincipalName учетной записи пользователя Active Directory.

  2. Подпишите CSR в центре сертификации (ЦС) домена с помощью следующей команды.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>

    Значение <template-name> - это имя шаблона сертификата для входа в систему с помощью смарт-карты. Значение <file> - это файл запроса на пение сертификата.

  3. Запишите подписанный сертификат в Nitrokey с помощью следующей команды.

    nitropy nk3 piv write-certificate --format PEM --path <file>

    Значение <file> - это файл сертификата.

Отмена входа по смарт-карте для использования в Active Directory (AD)

Выданные сертификаты входа пользователей в систему перечислены в службе сертификации Active Directory (ADCS). Из ADCS сертификаты можно отозвать, для чего они добавляются в настроенный список отзыва сертификатов (CRL). Это необходимо в случае потери или поломки Nitrokey.

Важно

Настоятельно рекомендуется никогда не оставлять неиспользуемые пользовательские сертификаты без отзыва.

Примечание

Можно временно отозвать сертификат с причиной Certificate Hold. Этот отзыв может быть отменен и, следовательно, не является постоянным.

  1. В командной строке, PowerShell или Run введите certsrv.msc и нажмите Enter.

  2. В панели навигации раскройте центр сертификации (ЦС) и перейдите на страницу Issued Certificates.

  3. На панели подробностей выберите сертификат пользователя, который вы хотите отозвать.

  4. В строке меню нажмите Действие → Все задачи → Отозвать сертификат.

  5. Укажите причину отзыва, дату и время и подтвердите ее с помощью Да.

  6. В панели навигации перейдите к разделу Отозванные сертификаты.

  7. В строке меню нажмите Действие → Все задачи → Опубликовать.

  8. Выберите список отзыва, который вы хотите опубликовать, и подтвердите выбор с помощью OK.

Примечание

При каждой попытке входа в систему с помощью смарт-карты Windows проверяет, не включен ли сертификат, представленный смарт-картой, в список отзыва сертификатов (Certificate Revocation List, CRL). Если сертификат обнаружен в CRL, вход в систему будет запрещен. Каждый CRL содержит срок действия, по истечении которого он истекает. Windows кэширует найденные CRL и обновляет их, если срок действия CRL истекает. Таким образом, отзыв не является немедленным и зависит от срока действия CRL, который есть у клиента.

Импорт сертификата смарт-карты пользователя в личное хранилище сертификатов

Сертификат пользователя, хранящийся на Nitrokey, может быть импортирован в личное хранилище сертификатов пользователя. В некоторых ситуациях это является обязательной процедурой.

  1. Убедитесь, что вы вошли в систему под учетной записью пользователя, которой соответствует сертификат.

  2. В командной строке, PowerShell или Run введите certsrv.msc и нажмите Enter.

  3. В панели навигации разверните хранилище ключей Personal и перейдите к разделу Certificates.

  4. В строке меню нажмите Действия → Все задачи → Импорт.

  5. Следуйте указаниям мастера импорта и по запросу предоставьте файл сертификата пользователя.

  6. После завершения импорта проверьте панель подробностей для импортированного сертификата. Если Nitrokey подключен, в свойствах сертификата должно появиться сообщение У вас есть закрытый ключ, соответствующий этому сертификату. указывает на то, что закрытый ключ на Nitrokey может быть идентифицирован.