Налаштування центру сертифікації в Active Directory
PreviousНалаштування для безпарольного входу в робочу станціюNextНалаштування сервера для безпарольного входу
Last updated
Last updated
Вона базується на технології Microsoft Virtual Smart Card, яка дозволяє входити в облікові записи домену, використовуючи не фізичні, а віртуальні смарт-карти. Як і з звичайними смарт-картами, це можливе за умови налаштування контролера домену та центру сертифікації. Віртуальна смарт-карта створюється на робочій станції за допомогою модуля TPM.
При ініціалізації віртуальної смарт-карти частина інформації, необхідної для входу в акаунт (дані смарт-карти), передається до мобільного застосунку і зберігається там. Під час входу користувач сканує QR-код на екрані комп’ютера, що дозволяє встановити з’єднання між комп’ютером і телефоном, після чого дані смарт-карти передаються на комп’ютер, і ПК розблоковується.
Для сертифікаційного центру потрібно створити шаблон сертифіката, який ви будете запитувати для віртуальної смарт-карти.
На вашому сервері відкрийте Microsoft Management Console (MMC). Один зі способів зробити це — ввести mmc.exe у меню "Пуск", клацнути правою кнопкою на mmc.exe і вибрати "Запустити від імені адміністратора".
Клацніть "Файл", а потім виберіть "Додати/Видалити снапін".
Додайте або видаліть снапін.
У списку доступних снапінів виберіть "Шаблони сертифікатів" і натисніть "Додати".
Снапін "Шаблони сертифікатів" тепер буде знаходитися під Console Root в MMC. Двічі клацніть, щоб переглянути всі доступні шаблони сертифікатів.
Клацніть правою кнопкою миші на шаблон "Smartcard Logon" і виберіть "Дублювати шаблон".
На вкладці "Сумісність" у розділі "Certification Authority" перевірте вибір і при необхідності змініть його.
На вкладці "Загальні":
Введіть назву, наприклад, "TPM Virtual Smart Card Logon".
Встановіть період дії на бажану величину.
На вкладці "Обробка запитів":
Встановіть "Призначення" на "Підпис" та "вхід через смарт-карту".
Увімкніть "Запитати у користувача під час реєстрації".
На вкладці "Криптографія":
Встановіть мінімальний розмір ключа на 2048.
Виберіть "Запити повинні використовувати одного з наступних постачальників" і виберіть "Microsoft Base Smart Card Crypto Provider".
На вкладці "Безпека" додайте групу безпеки, якій ви хочете надати доступ до реєстрації. Наприклад, якщо ви хочете дати доступ усім користувачам, виберіть групу "Аутентифіковані користувачі" і надайте їм права на реєстрацію.
Клацніть "ОК", щоб завершити зміни та створити новий шаблон. Ваш новий шаблон тепер повинен з’явитися в списку шаблонів сертифікатів.
Виберіть "Файл", а потім "Додати/Видалити снапін", щоб додати снапін "Certification Authority" до вашої консолі MMC. Коли з’явиться запит на вибір комп’ютера для управління, виберіть комп’ютер, на якому знаходиться CA, ймовірно, це буде "Local Computer".
Додайте снапін "Certification Authority".
У лівій панелі MMC розгорніть "Certification Authority (Local)", а потім розгорніть ваш CA у списку сертифікаційних центрів.
Клацніть правою кнопкою миші на "Шаблони сертифікатів", виберіть "Новий", а потім "Шаблон сертифіката для випуску". У списку виберіть новий шаблон, який ви тільки що створили (TPM Virtual Smart Card Logon), і натисніть "ОК".
Примітка: Може знадобитися деякий час, поки ваш шаблон буде репліковано на всі сервери і з’явиться в цьому списку.
Після реплікації шаблону в MMC, клацніть правою кнопкою миші в списку сертифікаційних центрів, виберіть "Усі завдання" і натисніть "Зупинити службу". Потім клацніть правою кнопкою на ім’я CA ще раз, виберіть "Усі завдання" і натисніть "Запустити службу".
