使用活动目录的Windows登录和S/MIME电子邮件加密

请注意,这个驱动程序仍在开发/测试中。请告诉我们你的经验!请参阅我们的`联系页面 <https://www.nitrokey.com/contact>`__。

先决条件

本指南假定在一台服务器上安装并运行了具有 "活动目录证书服务 "角色的活动目录服务器。这些说明仅基于Nitrokey Storage 2和Nitrokey Pro 2。

安装OpenPGP-CSP

客户端使用OpenPGP-CSP驱动时需要这个步骤。下载并安装`最新版本<https://github.com/vletoux/OpenPGP-CSP/releases/tag/1.3>`__的安装文件'SetupOpenPGPCsp',适用于您的系统架构,对于64位系统的'SetupOpenPGPCsp_x64.msi'。

你可能想在服务器上也安装该驱动,以便能够在模板中强制使用该驱动(见下文)。

在服务器端创建证书模板

在活动目录服务器上打开certsrv.msc来管理你的证书模板。在 "证书模板 "上点击右键,选择 "管理"。

img1

现在,右击 "智能卡登录 "模板,点击 "复制",在这个标准模板的基础上创建一个新模板。将模板重命名为 "OpenPGP卡登录和电子邮件 "或类似的内容。

img2

在 "请求处理 "下,你可以选择OpenPGP-CSP作为唯一的加密服务提供商(点击标有 "CSPs... "的按钮)。要做到这一点,你需要在服务器上安装驱动程序,而且你必须事先插入一个Nitrokey。这是可选的。你可以让用户选择使用哪个CSP。

img3
img4

对于启用S/MIME电子邮件加密,请进入'主题名称'。勾选'E-Mail name'(注意:你必须在相应的活动目录字段中保存用户的邮件地址!)。

img5

然后进入 "扩展",在那里编辑应用指南并添加 "安全电子邮件"。

img6
img7

在客户(域成员)上申请证书

要为一个域成员申请证书,你必须打开certmgr.msc。在 "个人->证书 "文件夹上点击右键,并点击 "所有任务->请求新证书",选择你在AD上创建的模板。

img8

如果你没有强制使用OpenPGP-CSP,你现在必须在这里选择它。

img9
img10

接下来你选择证书的认证槽。

你现在可以用Nitrokey代替你的密码登录电脑了,你可以用Nitrokey使用`S/MIME电子邮件加密/签名<smime.html>`_。驱动程序必须安装在你想使用证书的每台电脑上。

img11