Prijava v sistem Windows in šifriranje e-pošte S/MIME z imenikom Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

Upoštevajte, da je ta gonilnik še vedno v fazi razvoja/testiranja. Sporočite nam svoje izkušnje! Oglejte si našo stran za stike.

Predpogoji

Ta priročnik predpostavlja, da je v strežniku nameščen in deluje strežnik Active Directory z vlogo „Active Directory Certificate Services“. Ta navodila temeljijo samo na napravah Nitrokey Storage 2 in Nitrokey Pro 2.

Namestitev OpenPGP-CSP

Ta korak je potreben, da lahko odjemalci uporabljajo gonilnik OpenPGP-CSP. Prenesite in namestite najnovejšo različico namestitvene datoteke ‚SetupOpenPGPCsp‘ za arhitekturo vašega sistema, za ‚SetupOpenPGPCsp_x64.msi‘ za 64-bitne sisteme.

Morda boste želeli gonilnik namestiti tudi v strežnik, da boste lahko uveljavljali uporabo tega gonilnika v predlogi (glejte spodaj).

Ustvarjanje predloge potrdila na strani strežnika

V strežniku Active Directory Server odprite certsrv.msc za upravljanje predlog potrdil. Z desno tipko miške kliknite na „Certificate Templates“ in izberite „Manage“.

Img1

Zdaj z desno tipko miške kliknite na predlogo „Smartcard Logon“ in kliknite „Duplicate“, da ustvarite novo predlogo na podlagi te standardne predloge. Predlogo preimenujte v „OpenPGP Card Logon and Email“ ali podobno.

Img2

V razdelku „Obdelava zahtevkov“ lahko kot edinega ponudnika kriptografskih storitev izberete OpenPGP-CSP (kliknite gumb z oznako „CSP-ji…“). Da bi to delovalo, morate gonilnik namestiti tudi v strežnik, pred tem pa morate vstaviti ključ Nitrokey. To ni obvezno. Uporabniku lahko dovolite, da izbere, kateri CSP bo uporabil.

Img3
Img4

Če želite omogočiti šifriranje e-pošte S/MIME, pojdite na „Ime teme“. Označite potrditveno polje ‚E-Mail name‘ (opomba: poštne naslove svojih uporabnikov morate shraniti v ustrezno polje Active Directory!).

Img5

Nato pojdite v „Razširitve“, kjer uredite smernice za aplikacije in dodajte „Varna e-pošta“.

Img6
Img7

Zahteva za potrdilo v odjemalcu (član domene)

Če želite zahtevati potrdilo za člana domene, morate odpreti program certmgr.msc. Z desno tipko miške kliknite mapo ‚Personal->Certificates‘ in kliknite ‚All Tasks->Request New Certificate in izberite predlogo, ki ste jo ustvarili v AD.

Img8

Če niste uveljavili uporabe OpenPGP-CSP, jo morate zdaj izbrati tukaj.

Img9
slika 10

Nato izberete režo za preverjanje pristnosti za potrdilo.

You are now ready to logon on the computer with the Nitrokey instead of your password and you can use S/MIME email encryption/signing with the Nitrokey. The driver has to be installed on every computer you want to use the certificate on.

Img11