Prihlásenie klienta pomocou služby Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for logon with Active Directory. It is available as of firmware version 1.8 and higher.

V budúcnosti sa toto manuálne zabezpečovanie môže automatizovať prostredníctvom ovládača Windows MiniDriver.

Predpoklady

Toto nastavenie vyžaduje administrátorský prístup k počítačom, na ktorých sú spustené služby ADDS (Active Directory Directory Directory Services) a ADCS (Active Directory Certificate Services). Na klientskom počítači je potrebný len prístup k príslušnému používateľskému kontu, ktoré sa používa na prihlásenie.

  • Windows server (supported versions are Windows Server 2016, 2019, 2022, 2025 in Standard and Enterprise editions)
    • Úloha ADDS je nainštalovaná a nakonfigurovaná.

    • Nainštalovaná rola ADCS a Enterprise-CA s nakonfigurovaným koreňovým certifikátom.
      • Každý radič domény (DC) musí mať vydaný certifikát Domain Controller, Domain Controller Authentication a Kerberos Authentication.

      • Ak máte klientov, ktorí opúšťajú firemnú sieť, uistite sa, že zverejnené úplné a delta zoznamy odvolaných certifikátov (CRL) je možné získať z externých sietí.

  • Klient systému Windows (podporované verzie sú Windows 10, 11 vo vydaniach Professional a Enterprise)
    • Klient musí byť členom domény Active Directory (AD).

  • Nitrokey 3 with PIV smart card.

Konfigurácia prihlasovania pomocou čipovej karty na použitie so službou Active Directory (AD)

Prihlásenie pomocou čipovej karty vyžaduje šablónu certifikátu v certifikačnej autorite (CA) domény. Táto šablóna definuje hodnoty a obmedzenia používateľských certifikátov. Používa sa na podpísanie žiadosti o certifikát (CSR) počas poskytovania Nitrokey.

  1. Podpísanie žiadosti o certifikát pre prihlásenie pomocou čipovej karty vyžaduje vytvorenie šablóny certifikátu v certifikačnej autorite.

    1. V príkazovom riadku, prostredí PowerShell alebo v aplikácii Spustiť zadajte adresu certtmpl.msc a stlačte kláves Enter.

    2. V podokne podrobností vyberte šablónu Smartcard Logon.

    3. Na paneli ponúk kliknite na Actions → All Tasks → Duplicate Template.

    4. Nastavte nižšie uvedené nastavenia šablóny podľa uvedenej karty.

      Kompatibilita
      • Zakázať Zobraziť výsledné zmeny

      • Nastavte Certifikačná autorita a Príjemca certifikátu na najstarších klientov v doméne, ktorí majú používať prihlasovanie pomocou čipovej karty.

        Dôležité

        Ak chcete používať kľúče s eliptickou krivkou (EC), vaši klienti nesmú byť starší ako Windows Server 2008 a Windows Vista.

      Všeobecné
      • Nastavenie zobrazovacieho názvu šablóny **** .

      • Nastavte Obdobie platnosti a Obdobie obnovenia.

      Spracovanie požiadaviek
      • Nastavenie účelu Podpis a prihlásenie pomocou čipovej karty.

      Kryptografia
      • Nastavte kategóriu poskytovateľa Key Storage Provider.

      • Nastavenie názvu algoritmu a minimálnej veľkosti kľúča.

        Dôležité

        Microsoft recommends to use the RSA algorithm with a key length of 2048 Bit. If you choose to use Elliptic Curve (EC) keys you need to make additional changes on your client computers.

      Názov subjektu
      • Nastavte Supply v požiadavke.

    5. Vytvorenie šablóny potvrďte pomocou OK.

  2. Po vytvorení šablóny certifikátu sa musí šablóna vydať, aby ju mohli používať klienti.

    1. From the Command Line, PowerShell, or Run, type certmgr.msc and press Enter.

    2. V navigačnom podokne rozbaľte položku Certifikačná autorita (CA) a prejdite na stránku Šablóny certifikátov.

    3. Na paneli s ponukami kliknite na Action → New → Certificate Template to Issue.

    4. Vyberte šablónu certifikátu, ktorú chcete vystaviť, a potvrďte ju pomocou OK.

Zabezpečenie systému Nitrokey 3 na prihlasovanie pomocou čipových kariet pomocou služby Active Directory

The smartcard logon requires to provision a Nitrokey for a user in Active Directory. The provisioning contains the private key and Certificate Singing Request (CSR) generation. The certificate is then written to the Nitrokey.

Varovanie

Pred vykonaním nasledujúcich krokov sa uistite, že používateľské konto služby Active Directory, ktoré chcete použiť na prihlásenie pomocou čipovej karty, existuje. Čas vytvorenia certifikátu pred časom vytvorenia používateľského účtu povedie k neúspešnému prihláseniu.

  1. Vygenerujte súkromný kľúč a zapíšte CSR do súboru pomocou nasledujúceho príkazu.

    nitropy nk3 piv --experimental generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --path <file>
    

    The value of <algorithm> is the used algorithm with its key length, e.g. rsa2048. The value of <subject-name> corresponds to the value of the distinguishedName attribute of the Active Directory user account. In most cases it is only necessary to include the common name part of the distinguished name, e.g. CN=John Doe. The value of <subject-alternative-name> corresponds to the value of the userPrincipalName attribute of the Active Directory user account.

  2. Podpíšte CSR s certifikačnou autoritou (CA) domény pomocou nasledujúceho príkazu.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    Hodnota <template-name> je názov šablóny certifikátu pre prihlásenie pomocou čipovej karty. Hodnota <file> je súbor žiadosti o spevnenie certifikátu.

  3. Podpísaný certifikát zapíšte do kľúča Nitrokey pomocou nasledujúceho príkazu.

    nitropy nk3 piv --experimental write-certificate --key 9A --format PEM --path <file>
    

    Hodnota <file> je súbor s certifikátom.

  4. Priraďte certifikát k používateľskému kontu služby Active Directory. Mapovanie certifikátov vytvorte pomocou nasledujúceho príkazu.

    nitropy nk3 piv --experimental get-windows-auth-mapping
    

    Choose one of the offered certificate mappings.

    Tip

    Spoločnosť Microsoft odporúča používať mapovanie X509IssuerSerialNumber.

    Zapíšte vybrané mapovanie do atribútu altSecurityIdentities objektu používateľa služby Active Directory. Na túto operáciu môžete použiť aplikáciu Active Directory Users and Computers alebo PowerShell.

    1. From the Command Line, PowerShell, or Run, type dsa.msc and press Enter.

    2. In the menu bar click View → Advanced Features.

    3. Vyberte príslušný používateľský objekt.

    4. In the menu bar click Action → Properties.

    5. Otvorte kartu Editor atribútov.

    6. Vyberte atribút altSecurityIdentities.

    7. Click on Edit.

    8. Insert the certificate mapping in the text field and click Add.

    9. Zmenu aplikujte kliknutím na OK.

    Dôležité

    Ak mapovanie certifikátu nie je správne nastavené, pri pokuse o prihlásenie sa zobrazí chybová správa Logon screen message: Your credentials could not be verified.. Okrem toho sa v denníku udalostí systému Windows zobrazí nasledujúca správa o udalosti.

    Source

    Kerberos-Key-Distribution-Center
    

    Message

    The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more.
    

Zrušenie prihlásenia pomocou čipovej karty na použitie so službou Active Directory (AD)

Vydané prihlasovacie certifikáty používateľov sú uvedené v službe ADCS (Active Directory Certificate Services). V systéme ADCS je možné certifikáty zrušiť, čím sa pridajú do nakonfigurovaného zoznamu zrušených certifikátov (CRL). Toto je potrebné v prípade straty alebo poškodenia kľúča Nitrokey.

Dôležité

Dôrazne sa odporúča, aby ste nikdy nenechávali nepoužívané používateľské certifikáty bez ich zrušenia.

Poznámka

Certifikát je možné dočasne zrušiť s uvedením dôvodu Certificate Hold. Toto zrušenie je možné vrátiť späť, a preto nie je trvalé.

  1. V príkazovom riadku, prostredí PowerShell alebo v aplikácii Spustiť zadajte adresu certsrv.msc a stlačte kláves Enter.

  2. V navigačnom podokne rozbaľte autoritu certifikátov (CA) a prejdite na stránku Vydané certifikáty.

  3. V podokne podrobností vyberte certifikát používateľa, ktorý chcete odvolať.

  4. V paneli ponúk kliknite na Action → All Tasks → Revoke Certificate.

  5. Uveďte dôvod odvolania, dátum a čas a potvrďte na Yes.

  6. V navigačnom paneli prejdite na stránku Revokované certifikáty.

  7. Na paneli ponúk kliknite na Action → All Tasks → Publish.

  8. Vyberte zoznam odvolaní, ktorý chcete zverejniť, a potvrďte ho pomocou OK.

Poznámka

Počas každého pokusu o prihlásenie pomocou čipovej karty systém Windows kontroluje, či je certifikát predložený čipovou kartou uvedený na zozname odvolaných certifikátov (CRL). Ak sa certifikát nachádza na zozname CRL, prihlásenie sa zamietne. Každý zoznam CRL obsahuje platnosť, aby vypršala ich platnosť. Systém Windows ukladá načítané CRL do vyrovnávacej pamäte a aktualizuje ich, ak sa blíži koniec platnosti CRL. Preto odvolanie nie je okamžité a závisí od vypršania platnosti CRL, ktoré má klient.

Importovanie certifikátu používateľskej čipovej karty do osobného úložiska certifikátov

Certifikát používateľa, ktorý je uložený v Nitrokey, možno importovať do osobného úložiska certifikátov používateľa. V určitých situáciách je tento postup nevyhnutný.

  1. Uistite sa, že ste prihlásení do používateľského konta, ktorému certifikát zodpovedá.

  2. V príkazovom riadku, prostredí PowerShell alebo v aplikácii Spustiť zadajte adresu certsrv.msc a stlačte kláves Enter.

  3. V navigačnom podokne rozbaľte úložisko kľúčov Personal a prejdite na Certificates.

  4. Na paneli ponúk kliknite na Action → All Tasks → Import.

  5. Postupujte podľa sprievodcu importom a na požiadanie poskytnite súbor s certifikátom používateľa.

  6. Po dokončení importu skontrolujte podokno s podrobnosťami pre importovaný certifikát. Ak je Nitrokey pripojený, vo vlastnostiach certifikátu by sa mala zobraziť správa Máte súkromný kľúč, ktorý zodpovedá tomuto certifikátu., ktorá naznačuje, že súkromný na Nitrokey mohol byť identifikovaný.