SmartCardekin saio hasierak Zuzendaritza Aktiboan

Inprimatzeko Lagunkoa, PDF eta Email

Kaixo guztioi! Neguko garaiaren eta indarrak hartzeko erabiltzen dudan atsedenaren ondoren… posta asko lanean ditugula eta borondate handiarekin bueltan gara!!! Gaur SmartCard edo txartel adimentsuen erabilera gure erakundean nola egin ikusiko dugu, erabiltzaileek beren burua egiaztatu ahal izateko, Hasteko prest gaude!

Post honetan SmartCard edo txartel adimentsuen erabilera gure erakundeetan zenbaterainoko erraza izan daitekeen ikusiko dugu, Txartel batek erabiltzaileek behar dituzten zerbitzuetan egiaztatu ahal izateko aukera ematea. Lehen post honetan beharrezkoa den guztia ikusiko dugu Active Directory-n ziurtagiri hauek emateko, eta baita mahaigain edo urruneko mahaigain bidez egiaztatu ahal izateko ere.

Baina helburua da teknologia hau hurbiletik ezagutaraztea, que a parte de brindarnos una capa más segura a las autenticaciones, (y nosotros tener el control), pues que es algo accesible. Esto es, que podemos comprar packs de tarjetas criptográficas blancas para nosotros con un lector de tarjetas poder insertarle los certificados que generamos en nuestro Directorio Activo. Si tenéis dudas, en la FNMT podréis adquirir lo que necesitáis, o en otros sitios claro.

Y para la 'imprenta’ del diseño, pues, como nos imaginamos, se podrían comprar online y nos llegan ya impresas con nuestros diseños, o podemos adquirir una impresora de tickets adhesivos, de calidad, a color, sin cartuchos… que podamos usar nosotros para imprimir nosotros las etiquetas y pegarlas fácilmente. No es por hacer publicidad, pero por si a alguno le orienta yo uso para esto una Brother VC-500W que tiene una cinta de 5 cm de ancho, ideal para estas tareas. La uso también para imprimir los códigos QR que envío a los clientes que la necesitan para ver sus datos de monitorización con cintas más pequeñas.

Onena, has gaitezen, vamos a dividir el artículo en varios bloques

  1. Lehenik: Comenzamos con el 'Agente de inscripción', hau da, quién podrá solicitar y firmar los certificados que vamos a necesitar generar para nuestros usuarios. Definiremos una plantilla nueva de certificados personalizada y luego la usaremos para generar el certificado. El poseedor de este certificado podrá crear los certificados de los usuarios. El certificado podrá estar instalado en el usuario/equipo o luego también se puede meter en un SmartCard.
  2. Segundo: Después crearemos una plantilla de certificados para nuestra organización, después la usaremos para generar los certificados que serán emitidos para las SmartCard.
  3. Tercero: Solicitaremos un certificado en nombre de otro usuario del Directorio Activo.
  4. Cuarto: Y lo probamos! Al final también crearemos una GPO para que cuando el usuario extraiga el SmartCard, su equipo se bloqueé de manera inmediata.

Creando un certificado de Agente de inscripción,

Esan dut, en este apartado veremos cómo finalmente obtendremos un certificado, que con él podremos generar los certificados que necesitaremos de nuestros usuarios. El poseedor del certificado podrá solicitar y firmar los certificados que necesitaremos a futuro.

 

Abrimos la Consola de plantillas de certificados (certtmpl.msc) y duplicamos la plantilla “Agente de inscripción”,

 

Nos abrirá las propiedades para editar esta plantilla de certificados, fitxan “Orokorra” indicamos el Nombre para mostrar de la plantilla, así como marcaremos la opción para que publique los certificados en el Directorio Activo. Fitxa honetan “Compatibilidad” habilitaremos las versiones más altas adaptándolas a nuestro entorno.

 

Fitxa honetan “Tratamiento de la solicitud” marcaremos la opción de 'Preguntar al usuario durante la inscripción'. Fitxa honetan “Criptografía” cambiamos el proveedor a “Proveedor de servicios criptográficos heredados” eta “Microsoft base Cryptographic Provider v 1.0”.

 

Y en la pestaña de “Segurtasuna” nos aseguramos que el usuario o grupo al que vamos a permitir generar los certificados tenga los permisos de ‘Leery ‘Escribir’.

 

Desde la consola de administración de la Entidad de certificación (certsrv.msc) publicaremos la plantilla que acabamos de crear, para poder ser usada. Desde Plantillas de certificados > Berria > Plantilla de certificado que se va a emitir.

 

Seleccionamos la plantilla que acabamos de crear y pulsamos en “Onartu”,

 

Nien, ahora que la plantilla de certificados existe, edo, bestela, está publicada en el Active Directory, ya podremos solicitar el certificado que necesitamos para el Agente de certificados. Para ello, abrimos la consola de gestión de certificados del usuario (certmgr.msc), y desde Personal > Todas las tareas > Solicitas un nuevo certificado

 

“Hurrengoa”,

 

Aukeratzen dugu “Directiva de inscripción de Active Directory” & “Hurrengoa”,

 

Ahora seleccionamos desde qué plantilla vamos a solicitar el certificado, hau da, que tipo de certificado vamos a necesitar, seleccionamos la nuestra & “Hurrengoa”,

 

Listo! Ya tenemos el certificado para nuestro usuario, podremos con él ya crear certificados para nuestros usuarios finales. Si pulsamos en “Xehetasunak” > “Ver certificado” podremos acceder a él y exportarlo en PFX y llevarlo a donde lo necesitemos.

 

Creando la plantilla de certificados para emitirlos a las SmartCard,

Como dijimos antes, ahora será necesario crear una plantilla de certificados en nuestro Directorio Activo para poder emitir certificados a nuestras SmartCard o tarjetas inteligentes. Este ya es el último paso antes de poder hacer lo que queremos, ¡crear certificados!

 

Abrimos la Consola de plantillas de certificados (certtmpl.msc) y duplicamos la plantilla “Usuario de tarjeta inteligente”,

 

Nos abrirá las propiedades para editar esta plantilla de certificados, fitxan “Orokorra” indicamos el Nombre para mostrar de la plantilla, así como marcaremos la opción para que publique los certificados en el Directorio Activo. Fitxa honetan “Compatibilidad” habilitaremos las versiones más altas adaptándolas a nuestro entorno.

 

Fitxa honetan “Tratamiento de la solicitud” marcaremos las opciones de 'Permitir que la clave privada se pueda exportar', 'Para la renovación automática de certificados inteligentes usar la clave existente si no se puede crear una clave nueva’ y 'Preguntar al usuario durante la inscripción'.

 

Fitxa honetan “Segurtasuna”, añadimos “Usuarios del dominio” que deben tener permisos de Leer, Inscribirse y Inscripción automática. Fitxa honetan “Requisitos de emisión” marcaremos a 1 el nombre de firmas autorizadas, seleccionaremos la 'Directiva de aplicación’ para la firma y como directiva de aplicación indicamos 'Agente de solicitud de certificados'.

 

Y ya para ir acabando, desde la consola de administración de la Entidad de certificación (certsrv.msc) publicaremos la plantilla que acabamos de crear para poder ser usada. Desde Plantillas de certificados > Berria > Plantilla de certificado que se va a emitir.

 

Seleccionamos la plantilla que acabamos de crear y la publicamos!

 

Creando certificados para SmartCard en nombre de otro usuario,

Y acabamos con lo que ya sí que pueda ser una tarea habitual, que no es más que la necesidad de que tengamos que ir creando certificados para nuestros usuarios.

 

Ondo, abrimos nuestra consola de certificados de usuario (certmgr.msc), y desde Personal > Certificados > Todas las tareas > Operaciones avanzadas > Inscribirse en nombre de…

 

“Hurrengoa”,

Aukeratzen dugu “Directiva de inscripción de Active Directory” eta “Hurrengoa”,

 

Nos solicita el certificado para firmar la solicitud del certificado, tendremos que tenerlo instalado previamente en la máquina (o tenerlo en un SmartCard), sustatu “Examinar”,

 

Introducimos el certificado…

Y seguimos con el asistente, sustatu “Hurrengoa”,

Debemos seleccionar la plantilla que usaremos para crear el certificado, hau da, el tipo de certificado, así que marcamos la nuestra y continuamos, “Hurrengoa”,

Desde el botón de “Examinar…” podremos buscar el usuario de nuestro Directorio Activo que necesitemos, al que le vamos a generar el certificado. Sakatu on “Inscribir”,

Eta ezer, podemos seguir solicitando otros certificados para otros usuarios, o antes exportar el certificado que nos ha generado en formato PFX para luego importarlo en el SmartCard.

 

Instalación del certificado en el SmartCard y a probarlo!

Llegó la hora de guardar el certificado que nos ha generado el Directorio Activo en la tarjeta inteligente o SmartCard.

En mi caso particular uso el Importador de certificados de la FNMT que es un software que os podréis descargar, y por si alguién tiene dudas, bai, en una tarjeta puedes meter más de 1 certificado, podrás meter el certificado de otros usuarios del AD, como tu usuario con privilegios administrativos, u otros como el de representante de alguna sociedad, el de la FNMT por supuesto…

orain, en cualquier equipo Windows 10, Windows 11 que tengamos en dominio, será tan sencillo como introducir el smart card en el lector de tarjetas y meter el PIN de la tarjeta para acceder. En Opciones de inicio de sesión nos saldrá el icono del medio al detectarnos el un certificado válido para loguearnos, si tuvieramos otros certificados saldrían más iconos de esos.

También los podremos usar al conectarnos por Escritorio remoto a nuestros servidores,

Y una cosa muy importante, si queremos que en cuanto se saque la tarjeta del dispositivo se bloqueé la sesión del usuario, podremos crear una GPO donde haremos 2 cosas, (i) indicar en Directivas > Configuración de Windows > Configuración de seguridad > Tokiko zuzentarako politika > Segurtasun aukerak > Saio interaktiboa > Gaitu egingo dugu ‘Saio interaktiboa’ politika: txartel adimendunaren kentzeko portaera”, kasu honetan ‘Lanpostua blokeatu’ adierazita, beste aukera batzuk ditugu, hala nola saioa itxi… Y (ii) kontuan izan behar dugu zerbitzua “Txartel adimendunen kentzeko politika” ‘Automatikoa’ eta ‘Hasita’ egon behar da, beraz, GPO berean, gure ekipamenduei aplikatuko dieguna Hobespenetan > Kontrol panelaren konfigurazioa > zerbitzuak > Gehitu eta konfigurazio horiek adierazten ditugu.

Eta honekin prest dago! Behar dugun zenbat ziurtagiri sor ditzakegu, gure smart cardetan grabatu eta baita pertsonalizatu eta ukitu korporatiboa eman ere! Betiko moduan, Espero dut arima bati interesgarria izango zaion eta onura ekarriko diola. Gure erakundea segurtatzeko era bat da eta pasahitzik gabe sarbideak kentzea, edo tokenik gabe…

Muxu bat!

Izenburuko mezuak

VPN Citrix NetScaler III-rekin - Ziurtagiriekin autentifikazioa
Irakurri
FSSO implementatzea Fortigate Active Directory-ra integratzeko
Irakurri
Windows LAPS aplikatzen
Irakurri
VPN Citrix NetScaler II-rekin - sartutako ziurtagiriak eskatzen
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

JumpServer

17 urrian 2023

Aipaezina 2: Trukaketa & zerbitzari propioa

30 de January de 2024