Prihlásenie klienta pomocou služby Active Directory#

Tento dokument vysvetľuje, ako používať aplikáciu PIV zariadenia Nitrokey 3 na prihlasovanie pomocou čipovej karty do služby Active Directory.

V budúcnosti sa toto manuálne zabezpečovanie môže automatizovať prostredníctvom ovládača Windows MiniDriver.

Varovanie

Aplikácia PIV zariadenia Nitrokey 3 sa v súčasnosti považuje za nestabilnú a nie je k dispozícii v stabilných verziách firmvéru. Na získanie tejto funkcie je potrebné nainštalovať testovací firmvér. Následné aktualizácie firmvéru môžu viesť k strate údajov a kryptografických kľúčov. Viac informácií nájdete na v dokumentácii k aktualizácii firmvéru.

Predpoklady#

Toto nastavenie vyžaduje administrátorský prístup k počítačom, na ktorých sú spustené služby ADDS (Active Directory Directory Directory Services) a ADCS (Active Directory Certificate Services). Na klientskom počítači je potrebný len prístup k príslušnému používateľskému kontu, ktoré sa používa na prihlásenie.

  • Windows Server (podporované verzie sú Windows Server 2016, 2019, 2022 vo všetkých edíciách)
    • Úloha ADDS je nainštalovaná a nakonfigurovaná.

    • Nainštalovaná rola ADCS a Enterprise-CA s nakonfigurovaným koreňovým certifikátom.
      • Každý radič domény (DC) musí mať vydaný certifikát Domain Controller, Domain Controller Authentication a Kerberos Authentication.

      • Ak máte klientov, ktorí opúšťajú firemnú sieť, uistite sa, že zverejnené úplné a delta zoznamy odvolaných certifikátov (CRL) je možné získať z externých sietí.

  • Klient systému Windows (podporované verzie sú Windows 10, 11 vo vydaniach Professional a Enterprise)
    • Klient musí byť členom domény Active Directory (AD).

  • Nitrokey 3 s aplikáciou PIV.

Konfigurácia prihlasovania pomocou čipovej karty na použitie so službou Active Directory (AD)#

Prihlásenie pomocou čipovej karty vyžaduje šablónu certifikátu v certifikačnej autorite (CA) domény. Táto šablóna definuje hodnoty a obmedzenia používateľských certifikátov. Používa sa na podpísanie žiadosti o certifikát (CSR) počas poskytovania Nitrokey.

  1. Podpísanie žiadosti o certifikát pre prihlásenie pomocou čipovej karty vyžaduje vytvorenie šablóny certifikátu v certifikačnej autorite.

    1. V príkazovom riadku, prostredí PowerShell alebo v aplikácii Spustiť zadajte adresu certtmpl.msc a stlačte kláves Enter.

    2. V podokne podrobností vyberte šablónu Smartcard Logon.

    3. Na paneli ponúk kliknite na Actions → All Tasks → Duplicate Template.

    4. Nastavte nižšie uvedené nastavenia šablóny podľa uvedenej karty.

      Kompatibilita
      • Zakázať Zobraziť výsledné zmeny

      • Nastavte Certifikačná autorita a Príjemca certifikátu na najstarších klientov v doméne, ktorí majú používať prihlasovanie pomocou čipovej karty.

        Dôležité

        Ak chcete používať kľúče s eliptickou krivkou (EC), vaši klienti nesmú byť starší ako Windows Server 2008 a Windows Vista.

      Všeobecné
      • Nastavenie zobrazovacieho názvu šablóny **** .

      • Nastavte Obdobie platnosti a Obdobie obnovenia.

      Spracovanie požiadaviek
      • Nastavenie účelu Podpis a prihlásenie pomocou čipovej karty.

      Kryptografia
      • Nastavte kategóriu poskytovateľa Key Storage Provider.

      • Nastavenie názvu algoritmu a minimálnej veľkosti kľúča.

        Dôležité

        Spoločnosť Microsoft odporúča používať algoritmus RSA s dĺžkou kľúča 2048 Bit. Ak sa rozhodnete používať kľúče Eliptic Curve (EC), musíte v klientských počítačoch vykonať ďalšie zmeny.

      Názov subjektu
      • Nastavte Supply v požiadavke.

    5. Vytvorenie šablóny potvrďte pomocou OK.

  2. Po vytvorení šablóny certifikátu sa musí šablóna vydať, aby ju mohli používať klienti.

    1. V príkazovom riadku, prostredí PowerShell alebo v aplikácii Spustiť zadajte adresu certsrv.msc a stlačte kláves Enter.

    2. V navigačnom podokne rozbaľte položku Certifikačná autorita (CA) a prejdite na stránku Šablóny certifikátov.

    3. Na paneli s ponukami kliknite na Action → New → Certificate Template to Issue.

    4. Vyberte šablónu certifikátu, ktorú chcete vystaviť, a potvrďte ju pomocou OK.

Zabezpečenie systému Nitrokey 3 na prihlasovanie pomocou čipových kariet pomocou služby Active Directory#

Prihlásenie pomocou čipovej karty si vyžaduje zabezpečenie kľúča Nitrokey pre používateľa v službe Active Directory. Ustanovenie obsahuje súkromný kľúč a žiadosť o vygenerovanie certifikátu (CSR). Certifikát sa potom zapíše do kľúča Nitrokey.

Varovanie

Pred vykonaním nasledujúcich krokov sa uistite, že používateľské konto služby Active Directory, ktoré chcete použiť na prihlásenie pomocou čipovej karty, existuje. Čas vytvorenia certifikátu pred časom vytvorenia používateľského účtu povedie k neúspešnému prihláseniu.

Dôležité

Ak aplikácia PIV na Nitrokey nebola predtým použitá, vykonajte najprv inicializáciu pomocou nitropy nk3 piv init.

  1. Vygenerujte súkromný kľúč a zapíšte CSR do súboru pomocou nasledujúceho príkazu.

    nitropy nk3 piv generate-key --key 9A --algo <algorithm> --subject-name <subject-name> --subject-alt-name-upn <subject-alternative-name> --out-file <file>
    

    Hodnota <algorithm> je použitý algoritmus s jeho dĺžkou kľúča, napr. rsa2048. Hodnoty <subject-name> a <subject-alternative-name> zvyčajne zodpovedajú atribútom commonName a userPrincipalName používateľského účtu Active Directory.

  2. Podpíšte CSR s certifikačnou autoritou (CA) domény pomocou nasledujúceho príkazu.

    certreq -attrib CertificateTemplate:<template-name> -submit <file>
    

    Hodnota <template-name> je názov šablóny certifikátu pre prihlásenie pomocou čipovej karty. Hodnota <file> je súbor žiadosti o spevnenie certifikátu.

  3. Podpísaný certifikát zapíšte do kľúča Nitrokey pomocou nasledujúceho príkazu.

    nitropy nk3 piv write-certificate --format PEM --path <file>
    

    Hodnota <file> je súbor s certifikátom.

Zrušenie prihlásenia pomocou čipovej karty na použitie so službou Active Directory (AD)#

Vydané prihlasovacie certifikáty používateľov sú uvedené v službe ADCS (Active Directory Certificate Services). V systéme ADCS je možné certifikáty zrušiť, čím sa pridajú do nakonfigurovaného zoznamu zrušených certifikátov (CRL). Toto je potrebné v prípade straty alebo poškodenia kľúča Nitrokey.

Dôležité

Dôrazne sa odporúča, aby ste nikdy nenechávali nepoužívané používateľské certifikáty bez ich zrušenia.

Poznámka

Certifikát je možné dočasne zrušiť s uvedením dôvodu Certificate Hold. Toto zrušenie je možné vrátiť späť, a preto nie je trvalé.

  1. V príkazovom riadku, prostredí PowerShell alebo v aplikácii Spustiť zadajte adresu certsrv.msc a stlačte kláves Enter.

  2. V navigačnom podokne rozbaľte autoritu certifikátov (CA) a prejdite na stránku Vydané certifikáty.

  3. V podokne podrobností vyberte certifikát používateľa, ktorý chcete odvolať.

  4. V paneli ponúk kliknite na Action → All Tasks → Revoke Certificate.

  5. Uveďte dôvod odvolania, dátum a čas a potvrďte na Yes.

  6. V navigačnom paneli prejdite na stránku Revokované certifikáty.

  7. Na paneli ponúk kliknite na Action → All Tasks → Publish.

  8. Vyberte zoznam odvolaní, ktorý chcete zverejniť, a potvrďte ho pomocou OK.

Poznámka

Počas každého pokusu o prihlásenie pomocou čipovej karty systém Windows kontroluje, či je certifikát predložený čipovou kartou uvedený na zozname odvolaných certifikátov (CRL). Ak sa certifikát nachádza na zozname CRL, prihlásenie sa zamietne. Každý zoznam CRL obsahuje platnosť, aby vypršala ich platnosť. Systém Windows ukladá načítané CRL do vyrovnávacej pamäte a aktualizuje ich, ak sa blíži koniec platnosti CRL. Preto odvolanie nie je okamžité a závisí od vypršania platnosti CRL, ktoré má klient.

Importovanie certifikátu používateľskej čipovej karty do osobného úložiska certifikátov#

Certifikát používateľa, ktorý je uložený v Nitrokey, možno importovať do osobného úložiska certifikátov používateľa. V určitých situáciách je tento postup nevyhnutný.

  1. Uistite sa, že ste prihlásení do používateľského konta, ktorému certifikát zodpovedá.

  2. V príkazovom riadku, prostredí PowerShell alebo v aplikácii Spustiť zadajte adresu certsrv.msc a stlačte kláves Enter.

  3. V navigačnom podokne rozbaľte úložisko kľúčov Personal a prejdite na Certificates.

  4. Na paneli ponúk kliknite na Action → All Tasks → Import.

  5. Postupujte podľa sprievodcu importom a na požiadanie poskytnite súbor s certifikátom používateľa.

  6. Po dokončení importu skontrolujte podokno s podrobnosťami pre importovaný certifikát. Ak je Nitrokey pripojený, vo vlastnostiach certifikátu by sa mala zobraziť správa Máte súkromný kľúč, ktorý zodpovedá tomuto certifikátu., ktorá naznačuje, že súkromný na Nitrokey mohol byť identifikovaný.