Ero sivun ”Tekniikka/Active Directory” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
Rivi 34: Rivi 34:
 
Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.
 
Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.
  
 +
=== Esimerkki Openssl.conf asetuksista ===
 +
kala
 +
<div class="code">
 +
liha
 +
</div>
 
[[Tekniikka/Henkilökortti]] sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille.
 
[[Tekniikka/Henkilökortti]] sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille.
  

Versio 30. toukokuuta 2016 kello 08.20

Active Directory on Microsoftin toimialueen käyttäjiä ja niiden pääsyoikeuksia hallitseva palvelu. Henkilökortin käyttö toimialueen tunnistamisssa on mahdollista lisäämällä kortille uusi AD-käyttöä varten luotu varmenne. Organisaatio - ja terveydenhuollon kortit toimivat suoraan.

Sivulla viitatut lähteet ovat vanhempia kuin Windows 2012, mutta samat periaatteet pätevät soveltuvin osin.

Guidelines for enabling smart card logon with third-party certification authorities[1]

Kansalaisen henkilökortti

Henkilökortilla olevat varmenteet eivät sovellu AD-käyttöön sellaisenaan, koska niistä puuttuu Microsoftin vaatimat laajennokset. Henkilökortilla on kuitenkin vapaata tilaa johon voi lisätä AD:ssa myönnetyt yhteisön omat varmenteet joilla tunnistaminen tapahtuu.

Vaatimukset kansalaisen henkilökortille[1]

  • toimivan sulkulistapalvelun (CDP) sijainti
  • varmenteen kenttä Key Usage = Digital Signature
  • varmenteen laajennos (EKU, enhanced key usage) kentät:
    • Client Authentication (1.3.6.1.5.5.7.3.2) jos käytössä on SSL-suojattu tunnistus
    • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
  • varmenteen kenttä Subject Alternative Name = Other Name: Principal Name= (UPN)
  • varmenteen kenttä Subject = Distinguished name of user

Käytännössä kansalaisvarmenteesta löytyy osa vaatimuksista, mutta Smart Card Logon ja UPN kenttiä ei, koska ne ovat epästandardeja Microsoftin laajennoksia.

Esimerkki Openssl.conf asetuksista

kala

liha

Tekniikka/Henkilökortti sivulta löytyy ohjeet miten itsetehty varmenne kirjoitetaan kortille.

Organisaatio - ja terveydenhuollon kortit

Todentamisvarmenteissa on vaaditut laajennokset valmiina eikä muutoksia tarvita.

Katso myös

Aiheesta muualla

Lähteet

  1. 1,0 1,1 microsoft.com KB 281245: kala Viittausvirhe: Virheellinen <ref>-elementti; nimi ”kb281245” on määritetty usean kerran eri sisällöillä