Windows-inloggning och S/MIME-kryptering av e-post med Active Directory

Observera att denna drivrutin fortfarande är under utveckling/testning. Berätta gärna om dina erfarenheter! Se vår kontaktsida.

Förutsättningar

Den här guiden förutsätter att en Active Directory-server med rollen ”Active Directory Certificate Services” är installerad och körs på en server. Anvisningarna är endast baserade på Nitrokey Storage 2 och Nitrokey Pro 2.

Installation av OpenPGP-CSP

Detta steg behövs för att klienterna ska kunna använda OpenPGP-CSP-drivrutinen. Ladda ner och installera den senaste versionen av installationsfilen ”SetupOpenPGPCsp” för din systemarkitektur, för ”SetupOpenPGPCsp_x64.msi” för 64-bitarssystem.

Du kanske vill installera drivrutinen även på servern för att kunna tvinga fram användningen av drivrutinen i mallen (se nedan).

Skapa certifikatmall på serversidan

Öppna certsrv.msc på Active Directory Server för att hantera dina certifikatmallar. Högerklicka på ”Certificate Templates” och välj ”Manage”.

img1

Högerklicka nu på mallen Smartcard Logon och klicka på Duplicate (Duplicera) för att skapa en ny mall utifrån denna standardmall. Byt namn på mallen till ”OpenPGP Card Logon and Email” eller liknande.

img2

Under ”Request Handling” kan du välja OpenPGP-CSP som den enda leverantören av kryptografitjänster (klicka på knappen ”CSPs…”). För att detta ska fungera måste du installera drivrutinen även på servern och du måste sätta in en Nitrokey i förväg. Detta är frivilligt. Du kan låta användaren välja vilken CSP som ska användas.

img3
img4

För att aktivera S/MIME-kryptering av e-post går du till ”Subject name” (ämnesnamn). Markera kryssrutan ”E-Mail name” (Observera: Du måste spara användarnas e-postadresser i motsvarande Active Directory-fält!).

img5

Gå sedan till ”Extensions”, där redigerar du riktlinjerna för applikationer och lägger till ”Secure Email”.

img6
img7

Begär certifikat på klienten (domänmedlem)

Om du vill begära ett certifikat för en domänmedlem måste du öppna certmgr.msc. Högerklicka på mappen ”Personal->Certificates” och klicka på ”All Tasks->Request New Certificate” och välj den mall du skapade i AD.

img8

Om du inte har tvingat fram användningen av OpenPGP-CSP måste du välja det här nu.

img9
img10

Därefter väljer du autentiseringsfältet för certifikatet.

Du är nu redo att logga in på datorn med Nitrokey i stället för ditt lösenord och du kan använda S/MIME-kryptering/signering av e-post med Nitrokey. Drivrutinen måste installeras på varje dator som du vill använda certifikatet på.

img11