Prihlasovanie do systému Windows a šifrovanie e-mailov S/MIME pomocou služby Active Directory#

Upozorňujeme, že tento ovládač je stále vo vývoji/testovaní. Prosím, povedzte nám svoje skúsenosti! Pozrite si našu kontaktnú stránku.

Predpoklady#

Táto príručka predpokladá, že na serveri je nainštalovaný a spustený server Active Directory s rolou „Active Directory Certificate Services“. Tieto pokyny sú založené len na aplikáciách Nitrokey Storage 2 a Nitrokey Pro 2.

Inštalácia OpenPGP-CSP#

Tento krok je potrebný, aby klienti mohli používať ovládač OpenPGP-CSP. Stiahnite a nainštalujte najnovšiu verziu inštalačného súboru ‚SetupOpenPGPCsp‘ pre vašu systémovú architektúru, pre ‚SetupOpenPGPCsp_x64.msi‘ pre 64-bitové systémy.

Možno budete chcieť nainštalovať ovládač aj na server, aby ste mohli vynútiť používanie tohto ovládača v šablóne (pozri nižšie).

Vytvorenie šablóny certifikátu na strane servera#

Na serveri Active Directory otvorte súbor certsrv.msc na správu šablón certifikátov. Kliknite pravým tlačidlom myši na položku „Šablóny certifikátov“ a vyberte položku „Spravovať“.

img1

Teraz kliknite pravým tlačidlom myši na šablónu „Smartcard Logon“ a kliknite na tlačidlo „Duplikovať“, čím vytvoríte novú šablónu na základe tejto štandardnej šablóny. Šablónu premenujte na „Prihlásenie a e-mail s kartou OpenPGP“ alebo podobne.

Obrázok2

V časti „Spracovanie požiadaviek“ môžete vybrať OpenPGP-CSP ako jediného poskytovateľa kryptografických služieb (kliknite na tlačidlo s názvom „CSP…“). Aby to fungovalo, musíte nainštalovať ovládač aj na server a predtým musíte vložiť Nitrokey. Toto je voliteľné. Môžete nechať používateľa vybrať, ktorý CSP sa má použiť.

Obrázok3
Obrázok4

Ak chcete zapnúť šifrovanie e-mailov S/MIME, prejdite na položku „Názov predmetu“. Zaškrtnite políčko „Názov e-mailu“ (poznámka: poštové adresy používateľov musíte uložiť do príslušného poľa Active Directory!).

Obrázok5

Potom prejdite na položku „Rozšírenia“, upravte usmernenie pre aplikácie a pridajte položku „Zabezpečený e-mail“.

Obrázok6
Obrázok7

Vyžiadanie certifikátu na klientovi (členovi domény)#

Ak chcete požiadať o certifikát pre člena domény, musíte otvoriť súbor certmgr.msc. Kliknite pravým tlačidlom myši na priečinok „Personal->Certificates“ (Osobné certifikáty) a kliknite na „All Tasks->Request New Certificate (Všetky úlohy) a vyberte šablónu, ktorú ste vytvorili v službe AD.

Obrázok 8

Ak ste si nevynútili používanie OpenPGP-CSP, musíte si ho vybrať teraz.

Obrázok9
Obrázok10

Potom vyberte slot na overovanie pre certifikát.

Teraz ste pripravení prihlásiť sa do počítača pomocou kľúča Nitrokey namiesto hesla a môžete použiť ` šifrovanie/podpisovanie e-mailov S/MIME <smime.html>`_ s kľúčom Nitrokey. Ovládač musí byť nainštalovaný na každom počítači, na ktorom chcete certifikát používať.

Obrázok11