Connessione dell'autenticazione della carta YubiKey (CCID) ai servizi certificati MS AD (AD CS)

Appterix semplifica la creazione e la distribuzione di certificati di autenticazione SmartCard. Gli amministratori possono facilmente utilizzare una politica di registrazione per consentire agli utenti di creare certificati dai propri Servizi certificati MS Active Directory per l'autenticazione di Windows, ad esempio, e archiviarli su YubiKeys.

La fase di registrazione dell'autenticazione basata su certificato (ZBA) consente di richiedere e ottenere un certificato PKI da Active Directory Certificate Services (AD CS) per abilitare l'accesso sicuro con una YubiKey.
Prima di aggiungere il passaggio ZBA alla registrazione YubiKey, assicurati che l'ambiente Active Directory sia configurato con il supporto ZBA.
Si consiglia di far eseguire questa procedura da un amministratore di dominio qualificato.
Se riscontri problemi durante l'installazione o l'implementazione, fai riferimento alla sezione Autenticazione basata su certificato: domande frequenti e risoluzione dei problemi.

Compatibilità YubiKey

• Serie YubiKey 5 FIPS
• YubiKey FIPS (serie 4)
• YubiKey 5 serie
• YubiKey 4 serie
• YubiKey C Bio – Edizione multiprotocollo
• YubiKey Bio – Edizione multiprotocollo
• YubiKey NEO
• YubiKey NEO-n

Condizioni

Prima di abilitare l'autenticazione basata su certificato per gli utenti tramite registrazione, assicurarsi che:

1. I servizi di dominio Active Directory (AD DS) vengono installati per creare e gestire il dominio Active Directory.
   Le istruzioni per l'installazione sono disponibili all'indirizzo Installazione di AD DS.
2. Tutti i dispositivi client designati per l'autenticazione basata su certificato si sono uniti al dominio.
3. Active Directory Certificate Services (AD CS) è installato per abilitare l'emissione di certificati. Se necessario, è possibile installare più istanze di AD CS.
   Le istruzioni per l'installazione sono disponibili all'indirizzo Installazione di AD CS.
4. È stata creata e configurata una sorgente di importazione AD all'interno della rispettiva organizzazione per la sincronizzazione degli utenti. Le istruzioni per la creazione e la configurazione di una sorgente di importazione sono disponibili all'indirizzo Crea una fonte di importazione.
5. Il servizio di sincronizzazione AD è installato sul server Windows richiesto e connesso alla corretta origine di importazione AD per la tua organizzazione.
   Vedere Installa il servizio di sincronizzazione ADse il servizio non è ancora installato.

Abilita l'autenticazione basata su certificato tramite registrazione

Una volta confermata la connessione tra EM Platform Server e Active Directory e tutti Condizioni sono stati soddisfatti, è possibile abilitare l'autenticazione basata su certificato per utenti e/o gruppi selezionati tramite la registrazione YubiKey.

Come aggiungere il passaggio alla registrazione YubiKey

1. Nell'interfaccia utente di gestione Appterix, vai a Gestione YubiKey > Iscrizione.
2. Klicken Sie auf Aggiungi iscrizione.
3. Seleziona il passaggio Ripristino PIV per garantire che tutte le chiavi o i certificati esistenti sulla YubiKey vengano rimossi.   
   -O-
   Seleziona il passaggio Ingresso PIV per verificare le credenziali PIV durante la registrazione senza eliminare alcun dato. Le fasi di inserimento e reimpostazione del PIV si escludono a vicenda: solo una di esse può essere inclusa in una configurazione.
4. Scegliere Autenticazione basata su certificato da.
   
5. Fare clic sul passaggio per modificarne le impostazioni.
   La finestra di dialogo Modifica fase di iscrizione appare.
6. Fare clic sulla freccia a discesa accanto a Fessurae quindi selezionare lo slot richiesto.
7. Die opzione Generazione di chiavi su YubiKey Questa opzione è abilitata per impostazione predefinita. Disattivarla se necessario. Si consiglia di abilitare questa opzione per una maggiore sicurezza. Se disabilitata, la generazione della chiave avviene all'esterno della YubiKey, aumentando il rischio che la chiave privata venga compromessa.
8. Klicken Sie auf chiusura.
   
9. (Facoltativo) Se necessario, aggiungere ulteriori passaggi a questa registrazione YubiKey.
10. Assegna gli utenti, seleziona il metodo di iscrizione preferito e abilita o disabilita l'iscrizione automatica.
    
    

La registrazione YubiKey è stata configurata correttamente.

Passaggi successivi: registrazione del certificato tramite Appterix Agent

Gli utenti a cui è stata fornita questa registrazione vedranno ora dietro la rispettiva YubiKey nel YubiKeys il tasto Inizia l'iscrizione Completando l'iscrizione, Appterix Agent crea la richiesta di certificato, che la passa ad Appterix Server/EM Platform Server e la inoltra al tuo AD CS tramite EgoMind AD Sync Service.

Dopo che il certificato è stato creato, viene rispedito ad Appterix Agent e direttamente sulla YubiKey in Slot 9a (Autenticazione della carta) Inoltre, sul client Windows vengono impostate le voci di registro necessarie affinché al successivo accesso a Windows sia possibile essere autorizzati tramite il certificato e il PIN YubiKey (PIV).

Autenticazione basata su certificato: domande frequenti e risoluzione dei problemi

Questo articolo contiene le risposte alle domande frequenti (FAQ) sulla configurazione e l'implementazione di ZBA. Per trovare le risposte alle tue domande, premi Ctrl + Fper aprire la funzione di ricerca e quindi immettere la parola chiave corrispondente nel campo di ricerca.

D1: Quando devo generare nuove credenziali per il servizio di sincronizzazione AD?

A: Le credenziali predefinite sono valide solo se il servizio AD Sync è stato installato tramite la procedura guidata di installazione di Appterix. Questo metodo installa il servizio sullo stesso server di Appterix e EM Platform Server e lo connette automaticamente all'origine di importazione predefinita nell'organizzazione radice.
Se il servizio di sincronizzazione AD è stato installato manualmente su un server separato o deve essere utilizzato in un'organizzazione non root, è necessario generare nuove credenziali per la corrispondente origine di importazione e per il servizio di sincronizzazione AD. riconfigurato essere.

Come riconfigurare la connessione tra EM Platform Server e AD Synchronization Service

1. Passare al seguente percorso per aprire il pannello di controllo del servizio EM AD Sync:
   C:\Programmi\EgoMind\EMADSyncService\Utils
2. eseguire EMADSyncService.ControlPanel.exe come amministratore.
3. Riempire Connessione al server i campi obbligatori:
   • Inserisci nel campo URL del server Inserisci il nome del server nel seguente formato:
     • Per installazioni on-premise: https:// /amministrazione
     • Per gli utenti della soluzione basata su cloud: https://administration.appterix.eu
       
4. Klicken Sie auf APPLICA (Applicare) per salvare le modifiche.

---

D2: Perché la sincronizzazione non riesce o non si avvia?

A: Di solito ciò è dovuto a problemi di configurazione o di connessione.

Test consigliati:

• Verificare che la password dell'account sia specificata correttamente nella configurazione dell'importazione AD.
  Si prega di notare che dopo aver modificato la password in AD, è necessario aggiornarla di conseguenza anche nella configurazione di importazione di AD.
• Verificare se il controller di dominio AD è raggiungibile e risponde alle richieste ping.
• Assicurarsi che nessuna regola del firewall blocchi la comunicazione tra il servizio AD Sync e il controller di dominio.
• Assicurarsi che il servizio di sincronizzazione AD sia connesso all'origine di importazione prevista nell'organizzazione corretta.

---

D3: Perché i modelli di certificato mancano nella CA?

A: I modelli di certificato mancanti potrebbero essere dovuti a problemi di autorizzazione o a una configurazione errata.

Controlli consigliati:

1. Assicurarsi che il nome corretto dell'autorità di certificazione (Nome CA) è specificato nella configurazione di importazione AD.
   Esempio: WinSer2022.demo-egomind.local\demo-egomind-WinSer2022-CA
   Per maggiori informazioni, vedere la sezione Come faccio a trovare il nome dell'autorità di certificazione (CA)?.
2. Assicurati che sia corretto URL del server specificato nella configurazione di importazione AD:
   • Pelliccia LDAPS: Inserisci il nome di dominio completo (FQDN) del servizio di directory a cui ti stai connettendo.
     Esempio: WIN-FEKLLGO3TDA.demo-egomind.local
   • Pelliccia LDAP: Puoi anche usare l'indirizzo IP del server.
3. Controllare l'account utente (Nome utente) nella configurazione di importazione AD.
   Quando si configura l'importazione AD, è fondamentale utilizzare un account con autorizzazioni appropriate per abilitare l'emissione di certificati tramite AD CS.
   • Se è consentito l'uso di un account amministratore di dominio: assicurarsi che nella configurazione di importazione AD sia specificato un account amministratore di dominio nel seguente formato:
     \
   • Se l'uso di un account amministratore di dominio è limitato: Configura Tu lo strumento Pannello di controllo del servizio di sincronizzazione AD EMper emettere certificati con un account non amministratore.

Prima di configurare il pannello di controllo del servizio EM AD Sync, aggiornare Nome utente nella configurazione di importazione AD per inserire l'account non amministratore. Utilizzare il seguente formato:
\

Come configurare il pannello di controllo del servizio EM AD Sync per gli utenti non amministratori

1. Passare al seguente percorso per aprire il pannello di controllo del servizio EM AD Sync:
   C:\Programmi\EgoMind\EMADSyncService\Utils
2. eseguire EMADSyncService.ControlPanel.exe come amministratore.
3. Riempire AD CS Connect i campi obbligatori:
   1. Inserisci nel campo Nome utente (Nome utente) immettere il nome di un utente non amministratore nel seguente formato:
      
      Assicurarsi che il nome utente immesso corrisponda al nome specificato nella configurazione di importazione AD. Notare i diversi formati per evitare configurazioni errate:
      • Nella configurazione di importazione AD, utilizzare il formato:
        \
      • Qui inserisci solo il nome utente senza il prefisso di dominio.
   2. Inserisci nel campo Domain Name (nome del dominio) inserisci il nome del dominio.
   3. Inserisci nel campo Nome CA (Nome ZS) il nome dell'autorità di certificazione.
      Per maggiori informazioni, vedere la sezione Come faccio a trovare il nome dell'autorità di certificazione (CA)?.
4. Klicken Sie auf APPLICA (Applicare) per salvare le modifiche.
   

---

D4: Come faccio a trovare il nome dell'autorità di certificazione (CA)?

A: Per il rilascio corretto dei certificati è fondamentale specificare il nome corretto della CA.

Se nel tuo ambiente viene utilizzata una sola autorità di certificazione, puoi utilizzare il campo Nome CA (Nome CA) vuoto: il sistema lo rileverà automaticamente.

Come trovare il nome della CA:

1. Apri il sollecito come amministratore sul server ZS.
2. Eseguire il seguente comando:
   certutil -dump
3. Cerca il campo che inizia con Config Viene visualizzato il nome della CA nel formato richiesto.
   Esempio: Configurazione: WinSer2022.demo-egomind.local\demo-egomind-WinSer2022-CA

---

D5: Dove posso trovare i registri del servizio di sincronizzazione AD?

ASe si verificano problemi durante la configurazione o la sincronizzazione, è possibile visualizzare i registri del servizio di sincronizzazione AD per diagnosticare il problema.

Posizione di archiviazione dei registri predefinita:

C:\Programmi\EgoMind\EMADSyncService\Logs

Se necessario, inviare i file di registro pertinenti al team di supporto per un'ulteriore analisi degli errori e assistenza.

In cui Contattare il supporto:

• Allega i file di registro pertinenti
• Includi messaggi di errore dettagliati
• Descrivi i passaggi che hanno portato al problema