みなさん! 冬の期間と私が通常体力を取り戻すために使用する休息の後… 私たちはパイプラインに多くの投稿があり、戦いたいという願望がたくさんある状態で戻ってきました!!! 今日は、組織内でスマートカードまたはスマートカードを使用することから始めます, ユーザーが自分自身を検証できるようにするため, 開始!

この投稿では、スマートカードまたはスマートカードの使用が組織でどれほど便利であるかを確認しようとします, 必要なサービスで自分自身を検証できるカードを使用できること. この最初の投稿では、これらの証明書を発行できるようにするためにActiveDirectoryに必要なものすべてを示します, また、ワークステーションやリモートデスクトップで自分自身を検証することもできます.

しかし、私はこの技術を皆さんにもお届けするつもりです, それは、認証に対するより安全なレイヤーを提供することは別として, (そして、私たちがコントロールしています), まあ、それはアクセス可能なものです. これは, カードリーダーを使用して、Active Directoryで生成した証明書を挿入できるように、白い暗号化カードのパックを自分で購入できること. 疑問がある場合は, FNMTでは、必要なものを買うことができます, もちろん、他の場所でも.

そして「印刷機」のために’ デザインの, まぁ, 私たちが想像する通り, オンラインで購入し、デザインがすでに印刷されている状態で届く可能性があります, または、ステッカーレシートプリンターを購入することもできます, 品質, カラーで, カートリッジなし… ラベルを自分で印刷して簡単に貼り付けるために使用できます. 広告を出さない, しかし、誰かが案内された場合に備えて、私はこれにブラザーVC-500Wを使用しています。 5 cm幅, これらのタスクに最適. また、QRコードを印刷して、必要なお客様にお送りします データの監視 小さなリボンで.

まぁ, 開始, 記事をいくつかのブロックに分割しましょう

1. まずは: まずは「登録エージェント」からスタートします, これは, ユーザーのために生成する必要がある証明書を要求して署名できるのは誰ですか. 新しいカスタム証明書テンプレートを定義し、それを使用して証明書を生成します. この証明書の保有者は、ユーザーの証明書を作成できます. 証明書は、ユーザー/コンピューターにインストールすることも、スマートカードに貼り付けることもできます.
2. 秒: 次に、組織の証明書テンプレートを作成します, 次に、それを使用して、スマートカード用に発行される証明書を生成します.
3. 三番目: 別の Active Directory ユーザーの代わりに証明書を要求する.
4. 部屋: そして、私たちはそれを試してみました! 最後に、ユーザーがスマートカードを抽出するときにGPOも作成します, コンピュータがすぐにクラッシュする.

登録エージェント証明書の作成,

私が言ったこと, このセクションでは、最終的に証明書を取得する方法を見ていきます, それを使用すると、ユーザーから必要な証明書を生成できるようになります. 証明書の所有者は、将来必要になる証明書を要求して署名することができます.

 

証明書テンプレートコンソールを開く (certtmpl.mscの) そして、従業員を2倍に増やしました “登録エージェント”,

 

この証明書テンプレートを編集するためのプロパティが開きます, で “全般” テンプレートの表示名を示します, また、Active Directoryで証明書を公開するオプションもチェックします. で “互換性” 私たちは、最高のバージョンを私たちの環境に適応させることで、それらを有効にします.

 

で “リクエストの処理” 「登録時にユーザーに尋ねる」オプションにチェックを入れます. で “暗号化手法” サプライヤーを次のように変更します “レガシー暗号サービスプロバイダー” そして “Microsoftベースの暗号化プロバイダーv1.0”.

 

そして、 “安全” 証明書の生成を許可するユーザーまたはグループに、「読み取り」の権限があることを確認します’ と 'Write'.

 

CA 管理コンソールから (certsrv.msc) 作成したテンプレートを公開します, 使用する. 証明書テンプレートから > 新機能 > 発行する証明書テンプレート.

 

作成したばかりのテンプレートを選択し、をクリックします “受け入れる”,

 

ニエン, 証明書テンプレートが存在するようになった, それです, Active Directory で公開されます, これで、証明書エージェントに必要な証明書をリクエストできるようになります. これを行うには、, ユーザーの証明書管理コンソールを開きます (certmgr.msc), そして「Personal」から > すべてのタスク > 新しい証明書をリクエストする…

 

“次”,

 

選ぶ “Active Directory 登録ポリシー” & “次”,

 

次に、証明書をリクエストするテンプレートを選択します, これは, 必要な証明書の種類, 私たちは私たちを選びます & “次”,

 

用意! ユーザーの証明書はすでにあります, これを使用してエンドユーザーの証明書を作成できるようになります. をクリックすると “細部” > “証明書の表示” それにアクセスしてPFXでエクスポートし、必要な場所に持ち運ぶことができます.

 

スマートカードに発行する証明書テンプレートの作成,

前にも言ったように, 次に、スマートカードまたはスマートカードに証明書を発行するために、Active Directoryに証明書テンプレートを作成する必要があります. これは、私たちがやりたいことをできるようになる前の最後のステップです, 証明書の作成!

 

証明書テンプレートコンソールを開く (certtmpl.mscの) そして、従業員を2倍に増やしました “スマートカードユーザー”,

 

この証明書テンプレートを編集するためのプロパティが開きます, で “全般” テンプレートの表示名を示します, また、Active Directoryで証明書を公開するオプションもチェックします. で “互換性” 私たちは、最高のバージョンを私たちの環境に適応させることで、それらを有効にします.

 

で “リクエストの処理” 「秘密鍵のエクスポートを許可する」のオプションを確認します, 'スマート証明書の自動更新では、新しいキーを作成できない場合は既存のキーを使用します’ および「登録時にユーザーに尋ねる」.

 

で “安全”, 足す “ドメインユーザー” 読み取り権限が必要なユーザー, 登録 & 自動登録. で “発行要件” ダイヤルします 1 承認された署名の名前, 「施行ポリシー」を選択します’ 署名用およびアプリケーションポリシーとして、「証明書要求エージェント」を示します.

 

そして、いよいよ終了です, CA 管理コンソールから (certsrv.msc) 先ほど作成したテンプレートを公開いたしますので、ご利用いただくために. 証明書テンプレートから > 新機能 > 発行する証明書テンプレート.

 

作成したばかりのテンプレートを選択して公開します!

 

別のユーザーの代わりに SmartCard 証明書を作成する,

そして、私たちはすでに一般的なタスクになり得るものに行き着きます, これは、ユーザー用の証明書を作成する必要があるにすぎません.

 

悪くありません, ユーザー証明書コンソールを開きます (certmgr.msc), そして「Personal」から > 証明 書 > すべてのタスク > 高度な運用 > 代理で登録する…

 

“次”,

選ぶ “Active Directory 登録ポリシー” そして “次”,

 

証明書アプリケーションに署名するための証明書を依頼してください, 以前にマシンにインストールしておく必要があります (またはスマートカードに保存できます), クリック “尋問する”,

 

証明書を入力します…

そして、アシスタントを続けます, クリック “次”,

証明書の作成に使用するテンプレートを選択する必要があります, これは, 証明書のタイプ, だから私たちは私たちのものにチェックを入れて続けます, “次”,

から “尋問する…” 必要なActive Directoryのユーザーを検索できます, 証明書を生成する相手. クリック “刻印”,

そして何もない, 他のユーザーに対しては、引き続き他の証明書を要求する場合があります, または、PFX 形式で生成した証明書をエクスポートし、スマートカードにインポートする前.

 

スマートカードへの証明書のインストールとテスト!

次に、Active Directory によって生成された証明書をスマート カードまたはスマートカードに保存します.

私の特定のケースでは、FNMT Certificate Importerを使用していますが、これは次のことを可能にするソフトウェアです ダウンロードできます, そして、誰かが疑問を持っている場合に備えて, はい, あなたはより多くを置くことができます 1 証書, 他のADユーザーの証明書を入力できるようになります, 管理者権限を持つユーザーとして, その他、会社の代表者等, もちろんFNMTのそれ…

今, 任意のWindowsコンピュータで 10, ウィンドウズ 11 私たちがコントロールしていること, スマートカードをカードリーダーに挿入し、アクセスするカードのPINを入力するのと同じくらい簡単です. ログインオプションでは、ログインするために有効な証明書が検出されると、中央のアイコンが表示されます, 他の証明書があれば、そこからより多くのアイコンが出てくるでしょう.

また、リモートデスクトップ経由でサーバーに接続するときにも使用できます,

そして、非常に重要なことが1つあります, カードがデバイスから取り外されるとすぐに、カードをユーザーからブロックしたい場合, GPOを作成できます。 2 詰め込む, (私) ポリシーで示す > Windows の設定 > セキュリティ設定 > ローカルディレクティブ > セキュリティオプション > インタラクティブログイン > 「インタラクティブ サインイン」ポリシーを有効にします: スマート カードの削除動作”, この場合は「ワークステーションをロックする」ことを示します, ログアウトなどの他のオプションがあります… そして (イ) 私たちは、サービスを考慮に入れる必要があります “スマートカードの削除ポリシー” 「Automatic」および「Started」にする必要があります, したがって、設定でチームに適用するのと同じGPOで > コントロールパネルの設定 > サービス > それを追加し、これらの構成を示します.

そして、この準備ができて! 必要な数の証明書を生成できます, それらをスマートカードに刻印し、さらにパーソナライズして企業風に仕上げます! いつも通り, 私は、誰かが興味を持ち、それが彼らにとって良いことであることを願っています. これは、組織を保護し、パスワードレスアクセスを削除する方法です, トークンも…

ハグ!