Molt bones a tots! Després del període hivernal i el descanset que vaig fer servir per agafar forces… tornem amb un munt de posts al tinter i moltes ganes de donar guerra!!! Avui comencem amb l'ús de SmartCard o targetes intel·ligents en la nostra organització, per permetre que els usuaris es puguin validar, comencem!

En aquest post vam intentar veure quin còmode pot ser l'ús de SmartCards o targetes intel·ligents en les nostres organitzacions, poder usar una targeta que els permeti validar-se en els serveis que necessitin. En aquest primer post veurem tot el necessari en el Directori Actiu per poder emetre aquests certificats, així com per validar-se en els seus llocs o per escriptori remot.

Però també pretenc acostar-vos aquesta tecnologia, que a banda de brindar-nos una capa més segura a les autenticacions, (i nosaltres tenir el control), doncs que és una cosa accessible. Això és, que podem comprar packs de targetes criptogràfiques blanques per a nosaltres amb un lector de targetes poder inserir-li els certificats que generem en el nostre Directori Actiu. Si teniu dubtes, a la FNMT podreu adquirir el que necessiteu, o en altres llocs clar.

I per a la 'impremta’ del disseny, doncs, com ens imaginem, es podrien comprar online i ens arriben ja impreses amb els nostres dissenys, o podem adquirir una impressora de tiquets adhesius, de qualitat, a color, sense cartutxos… que puguem fer servir nosaltres per imprimir nosaltres les etiquetes i pegar-les fàcilment. No és per fer publicitat, però per si a algun li orienta jo utilitzo per a això una Brother VC-500W que té una cinta de 5 cm d' ample, ideal per a aquestes tasques. L'ús també per imprimir els codis QR que envia als clients que la necessiten per veure els seus dades de monitoratge amb cintes més petites.

Bo, comencem, vam dividir l'article en diversos blocs

1. Primer: Comencem amb l'Agent d'inscripció, això és, qui podrà sol·licitar i signar els certificats que vam necessitar generar per als nostres usuaris. Definirem una plantilla nova de certificats personalitzada i després la farem servir per generar el certificat. El posseïdor d' aquest certificat podrà crear els certificats dels usuaris. El certificat podrà estar instal·lat a l'usuari/equip o després també es pot ficar en un SmartCard.
2. Segon: Després crearem una plantilla de certificats per a la nostra organització, després la farem servir per generar els certificats que seran emesos per a les SmartCard.
3. Tercer: Sol·licitarem un certificat en nom d'un altre usuari del Directori Actiu.
4. Quart: Y lo probamos! Al final també crearem una GPO perquè quan l'usuari extregui l'SmartCard, el seu equip es bloqueja de manera immediata.

Creant un certificat d' Agent d' inscripció,

El que s'ha dit, en aquest apartat veurem com finalment obtindrem un certificat, que amb ell podrem generar els certificats que necessitarem dels nostres usuaris. El posseïdor del certificat podrà sol·licitar i signar els certificats que necessitarem a futur.

Obrim la Consola de plantilles de certificats (certtmpl.msc) i dupliquem la plantilla “Agent d' inscripció”,

Ens obrirà les propietats per editar aquesta plantilla de certificats, a la pestanya “General” indiquem el Nom per mostrar de la plantilla, així com marcarem l'opció perquè publiqui els certificats en el Directori Actiu. A la pestanya “Compatibilitat” habilitarem les versions més altes adaptant-les al nostre entorn.

A la pestanya de “Tractament de la sol·licitud” marcarem l'opció de 'Preguntar a l'usuari durant la inscripció'. A la pestanya de “Criptografia” canviem el proveïdor a “Proveïdor de serveis criptogràfics heretats” y “Microsoft base Cryptographic Provider v 1.0”.

I a la pestanya de “Seguretat” ens assegurem que l'usuari o grup al qual vam permetre generar els certificats tingui els permisos d'Llegir’ i 'Escriure'.

Des de la consola d' administració de l' Entitat de certificació (certsrv.msc) publicarem la plantilla que acabem de crear, per poder ser usada. Des de Plantilles de certificats > Nou > Plantilla de certificat que s' emetrà.

Seleccionem la plantilla que acabem de crear i posem en “Acceptar”,

Nien, ara que la plantilla de certificats existeix, o sigui, està publicada a l'Active Directory, ja podrem sol·licitar el certificat que necessitem per a l'Agent de certificats. Per a això, obrim la consola de gestió de certificats de l'usuari (certmgr.msc), i des de Personal > Totes les tasques > Demanes un nou certificat…

“Següent”,

Seleccionem “Directiva d' inscripció d' Active Directory” & “Següent”,

Ara seleccionem des de quina plantilla anem a sol·licitar el certificat, això és, que tipus de certificat vam necessitar, seleccionem la nostra & “Següent”,

Llist! Ja tenim el certificat per al nostre usuari, podrem amb ell ja crear certificats per als nostres usuaris finals. Si posem en “Detalls” > “Veure certificat” podrem accedir-hi i exportar-lo a PFX i portar-lo on ho necessitem.

Creant la plantilla de certificats per emetre'ls a les SmartCard,

Com diem abans, ara caldrà crear una plantilla de certificats en el nostre Directori Actiu per poder emetre certificats a les nostres SmartCard o targetes intel·ligents. Aquest ja és l'últim pas abans de poder fer el que volem, crear certificats!

Obrim la Consola de plantilles de certificats (certtmpl.msc) i dupliquem la plantilla “Usuari de targeta intel·ligent”,

Ens obrirà les propietats per editar aquesta plantilla de certificats, a la pestanya “General” indiquem el Nom per mostrar de la plantilla, així com marcarem l'opció perquè publiqui els certificats en el Directori Actiu. A la pestanya “Compatibilitat” habilitarem les versions més altes adaptant-les al nostre entorn.

A la pestanya de “Tractament de la sol·licitud” marcarem les opcions de 'Permetre que la clau privada es pugui exportar', 'Per a la renovació automàtica de certificats intel·ligents usar la clau existent si no es pot crear una clau nova’ i 'Preguntar a l'usuari durant la inscripció'.

A la pestanya de “Seguretat”, hi afegim “Usuaris del domini” que han de tenir permisos de Llegir, Inscriure' s i Inscripció automàtica. A la pestanya “Requisits d' emissió” marcarem a 1 el nom de signatures autoritzades, seleccionarem la 'Directiva d'aplicació’ per a la signatura i com a directiva d'aplicació indiquem 'Agent de sol·licitud de certificats'.

I ja per anar acabant, des de la consola d' administració de l' Entitat de certificació (certsrv.msc) publicarem la plantilla que acabem de crear per poder ser usada. Des de Plantilles de certificats > Nou > Plantilla de certificat que s' emetrà.

Seleccionem la plantilla que acabem de crear i la publiquem!

Creant certificats per a SmartCard en nom d'un altre usuari,

I acabem amb el que ja sí que pugui ser una tasca habitual, que no és més que la necessitat que haguem d'anar creant certificats per als nostres usuaris.

Bé, obrim la nostra consola de certificats d'usuari (certmgr.msc), i des de Personal > Certificats > Totes les tasques > Operacions avançades > Inscriure' s en nom de…

“Següent”,

Seleccionem “Directiva d' inscripció d' Active Directory” y “Següent”,

Ens demana el certificat per signar la sol·licitud del certificat, haurem de tenir-lo instal·lat prèviament a la màquina (o tenir-lo en un SmartCard), posem en “Examinar”,

Introduïm el certificat…

I seguim amb l'assistent, posem en “Següent”,

Hem de seleccionar la plantilla que farem servir per crear el certificat, això és, el tipus de certificat, així que marquem la nostra i continuem, “Següent”,

Des del botó de “Examinar…” podrem buscar l'usuari del nostre Directori Actiu que necessitem, al qual li vam generar el certificat. Posem en “Inscriure”,

I res, podem seguir sol·licitant altres certificats per a altres usuaris, o abans exportar el certificat que ens ha generat en format PFX per després importar-lo a l'SmartCard.

Instal·lació del certificat a l'SmartCard i a provar-ho!

Va arribar l'hora de guardar el certificat que ens ha generat el Directori Actiu a la targeta intel·ligent o SmartCard.

En el meu cas particular utilitzo l'Importador de certificats de la FNMT que és un programari que us podreu descarregar, i per si algú té dubtes, sí, en una targeta pots posar més de 1 certificat, podràs posar el certificat d'altres usuaris de l'AD, com el teu usuari amb privilegis administratius, o altres com el de representant d' alguna societat, el de la FNMT per suposat…

Ara, en qualsevol equip Windows 10, Windows 11 que tinguem en domini, serà tan senzill com introduir l'smart card al lector de targetes i posar el PIN de la targeta per accedir-hi. En Opcions d'inici de sessió ens sortirà la icona del mitjà en detectar-nos l'un certificat vàlid per lloar-nos, si tinguéssim altres certificats sortirien més icones d'aquests.

També els podrem fer servir en connectar-nos per Escriptori remot als nostres servidors,

I una cosa molt important, si volem que quan es tregui la targeta del dispositiu es bloquegi la sessió de l'usuari, podrem crear una GPO on farem 2 coses, (i) indicar en Directives > Configuració de Windows > Configuració de seguretat > Directives locals > Opcions de seguretat > Inici de sessió interactiu > Habilitarem la directiva 'Inici de sessió interactiu: comportament d'extracció de la targeta intel·ligent”, indicant en aquest cas 'Bloquejar l'estació de treball', tenim altres opcions com tancar la sessió… Y (ii) hem de tenir en compte que el servei “Directiva d'extracció de targetes intel·ligents” ha d'estar com 'Automàtic 'i 'Iniciat', així que en la mateixa GPO que aplicarem als nostres equips en Preferències > Configuració del Panell de control > Serveis > Ho afegim i indiquem aquestes configuracions.

I amb això llest! Ja podrem generar tants certificats com necessitem, gravar-los a les nostres smart cards i fins i tot personalitzar-los i donar-los un toc corporatiu! Com sempre, espero que a alguna ànima pugui interessar-li i venir-li bé. És una forma d'anar securitzant la nostra organització i treure accessos sense contrasenyes, ni tokens…

Una abraçada!