Tokeny USB a logowanie się do domeny pod W2k3

Kupiłem ostatnio kilka tokenów USB, za pomocą których chciałbym móc logować się do domeny pracującej pod kontrolą Microsoft Windows 2003. W niedalekiej przyszłości będę chciał zwiększyć ilość tokenów, ale najpierw muszę przeprowadzić testy. Co i jak muszę zrobić żeby uruchomić tą funkcjonalność?

W przypadku, kiedy w firmie funkcjonuje już środowisko domenowe najprościej wskazany cel osiągnąć poprzez zainstalowanie i skonfigurowanie usługi Microsoft CA czyli Urzędu Certyfikacji. Jest on o tyle wdzięcznym narzędziem, że nie wymaga zakupu dodatkowych licencji, a poza tym umożliwia sterowanie procesem umieszczania certyfikatów na tokenach za pośrednictwem webowego interfejsu zarządzania.

Usługa IIS

Oprogramowanie Microsoft CA jest dostępne "z pudełka" w systemie Microsoft Windows Server 2003. Do jego poprawnego funkcjonowania niezbędne jest zainstalowanie usługi IIS na serwerze, gdzie zostanie postawione Microsoft CA. Ta czynność trwa zaledwie kilka minut. Jeżeli z jakiegoś powodu nie można od razu zainstalować IIS-a można to zrobić po instalacji CA z tym, że konieczne będzie wówczas ręczne zarejestrowanie katalogu wirtualnego w IIS-ie (polecenie certutil -vroot).

Urząd Certyfikacji

Kiedy IIS zacznie działań można przystąpić do instalacji CA (Start -> Panel sterowania -> Dodaj Usuń programy -> Dodaj/Usuń składniki systemu Windows -> Usługi certyfikatów. Ważne jest, że po zainstalowaniu CA nie można zmieniać członkowstwa w domenie ani nazwy serwera. Podczas instalacji CA należy wybrać jako typ urzędu certyfikacji "Główny urząd certyfikacji przedsiębiorstwa", nadać mu nazwę, wskazać lokalizację bazy certyfikatów. Pod koniec procesu instalacji powinniśmy się zgodzić na zatrzymanie IIS-a oraz włączenie ASP (Active Server Pages). Na tym etapie mamy uruchomioną usługę urzędu certyfikacji.

Szablony

Kolejna sprawa, to zainstalowanie odpowiednich szablonów, w oparciu o które będą mogły zostać wygenerowane odpowiednie certyfikaty. Szablony certyfikatów uruchamiane są z poziomu przystawki "certtmpl.msc". W przypadku, kiedy certyfikaty na tokenach USB mają być wykorzystywane do logowania w domenie Windows, można wykorzystać dwa szablony: "Logowanie kartą inteligentną" lub "Użytkownik karty smartcard". W przypadku tego pierwszego możliwe będzie jedynie zalogowanie do domeny; drugi oprócz logowania oferuje możliwość podpisywania poczty elektronicznej. Potrzebny jest jeszcze jeden szablon - "Agent Rejestrowania", który służy do tworzenia certyfikatów przez administratora na tzw. stacji rejestrowania w imieniu innych użytkowników. Każdy z tych szablonów przed zainstalowaniem musi zostać odpowiednio zmodyfikowany pod kątem uprawnień dostępu (zakładka "Zabezpieczenia"). W przypadku "Logowania kartą inteligentną" oraz "Użytkownika karty smartcard" należy wskazać użytkowników lub grupy, którzy będą mieli prawo korzystania z szablonów (w kolumnie "Zezwól" zaznacz "Odczyt" oraz "Rejestrowanie"). Te same prawa należy w szablonie "Agent rejestrowania" przyznać użytkownikowi, który będzie odpowiedzialny za występowanie o certyfikaty w imieniu użytkowników i umieszczanie ich na tokenie USB. Kolejnym krokiem jest zainstalowanie tak zmodyfikowanych szablonów (z poziomu przystawki "Urząd Certyfikacji" -> "Nazwa CA" -> "Szablony certyfikatów" -> Nowy -> Nowy szablon do wystawienia).

Stacja rejestrowania

Mając przygotowane wszystkie szablony można przystąpić do stworzenia stacji rejestrowania. Tą może być dowolny komputer z systemem Windows XP Pro/2003 z zainstalowanymi sterownikami oraz oprogramowaniem do obsługi tokenu USB. Konieczne jest też wystąpienie z jej poziomu o certyfikat agenta rejestrowania. Czynność ta wykonywana jest z przystawki "Certyfikaty" dla konkretnego użytkownika do konsoli MMC (w konsoli MMC: Plik -> Dodaj/Usuń przystawkę). Mając uruchomioną przystawkę generujemy żądanie wystawienia certyfikatu (okno Certyfikaty -> Bieżący użytkownik -> Osobisty -> menu Akcja -> Wszystkie zadania -> Żądaj nowego certyfikatu -> Agent Rejestrowania). Jeżeli wszystko przebiegło zgodnie z planem nowy certyfikat powinien być widoczny w oknie certyfikatów osobistych. Stacja rejestrowania jest już gotowa.

Certyfikacje na tokenie USB

Teraz możemy przystąpić do wygenerowania certyfikatu dla każdego z użytkowników, a następnie umieścić go automatycznie na tokenie USB. Czynność tę wykonujemy z poziomu interfejsu WWW na stacji rejestrowania (http://"nazwa lub adres serwera z zainstalowanym CA"/certsrv). Tutaj postępujemy w następujący sposób. Z menu wybieramy "Żądanie certyfikatu" -> "Możesz przesłać zaawansowane żądanie certyfikatu" -> "Zażądaj certyfikatu dla karty inteligentnej w imieniu innego użytkownika korzystając ze stacji rejestrowania certyfikatów kart inteligentnych". Teraz wystarczy tylko wybrać odpowiednie parametry np.


TOP 200