Налаштування центру сертифікації Active Directory (Active Directory Certification Authority)

Як працює автентифікація без пароля?

Автентифікація без пароля базується на технології Microsoft Virtual Smart Cards. Це дозволяє входити в акаунт домену використовуючи віртуальні смарткартки. Як і у випадку зі звичайними (фізичними) смарткартками, це можливо якщо ви налаштували домен контролер і центр сертифікації. Віртуальна смарткартка створюється на робочій станції за допомогою TPM модулю.

Під час ініціалізації віртуальної смарткартки частина інформації, необхідної для входу в обліковий запис (облікові дані смарткартки), передається на мобільний застосунок і зберігається там. Під час входу в систему користувач сканує QR-код на екрані комп’ютера, що дозволяє встановити з’єднання між комп’ютером і телефоном. Після чого облікові дані смарткартки передаються зі смартфона на комп’ютер і далі відбувається розблокування ПК.

Налаштування центру сертифікації Active Directory

Відкрийте на своєму сервері Microsoft Management Console (MMC). Один зі способів зробити це, ввести mmc.exe у меню Пуск, натиснути правою кнопкою миші на mmc.exe і вибрати Запустити від імені адміністратора.
Натисніть Файл, потім Додати/видалити оснастку.

Для створення шаблону сертифіката виконайте наступні кроки:

Вам потрібно створити шаблон сертифіката в Центрі сертифікації, який Ви будете запитувати для віртуальної смарткартки.

У списку доступних оснасток виберіть Шаблони сертифікатів, а потім натисніть Додати.
Шаблони сертифікатів тепер знаходяться в Кореневому каталозі консолі в MMC. Двічі натисніть на нього, щоб переглянути всі доступні шаблони сертифікатів.
Натисніть правою кнопкою миші на шаблон Вхід за допомогою смарткартки й оберіть Продублювати шаблон.
На вкладці Сумісність у розділі Центр сертифікації, перегляньте вибір і за потреби змініть його.
У вкладці Основні:

1. Укажіть назву, наприклад TPM Virtual Smart Card Logon.

2. Встановіть бажане значення для терміна дії.

У вкладці Обробка запитів:

1. Встановіть для Мети значення Підпис і вхід за допомогою смарткартки.

2. Натисніть Запитувати користувача при реєстрації.

У вкладці Криптографія:

1. Встановіть мінімальний розмір ключа (до 2048).

2. Натисніть Запити мають використовувати одного з наведених нижче постачальників і оберіть Microsoft Base Smart Card Crypto Provider.

У вкладці Безпека, додайте групу користувачів, до якої ви бажаєте надати доступ для реєстрації. Наприклад, якщо вам потрібно надати доступ усім користувачам оберіть групу Автентифіковані користувачі, потім оберіть Зареєструвати, щоб надати доступ для них.
Натисніть OK, щоб завершити зміни та створити новий шаблон. Тепер ваш новий шаблон має з’явитися у списку Шаблонів сертифікатів.
Оберіть Файл, потім натисніть Додати/видалити оснастку, щоб додати оснастку Центру Сертифікації до консолі MMC. Коли вас запитають, яким комп’ютером ви бажаєте керувати, виберіть комп’ютер, на якому розташований Центр Сертифікації, можливо це буде Локальний Комп’ютер.
У лівій панелі консолі керування MMC розгорніть розділ Центр сертифікації (локальний). В списку оберіть ваш Центр Сертифікації та розгорніть його.
Натисніть правою кнопкою миші Шаблони сертифікатів, виберіть команду Створити, потім виберіть пункт Шаблон сертифіката для видачі.
У списку виберіть щойно створений шаблон (TPM вхід із віртуальною смарткарткою) і натисніть кнопку ОК.

Примітка: Може знадобитися деякий час, поки ваш шаблон скопіюється на всі сервери та стане доступним у цьому списку.

Після копіювання шаблону в MMC натисніть правою кнопкою миші на список Центру сертифікації, виберіть Усі завдання, а потім - Зупинити службу. Потім знову натисніть правою кнопкою миші, на ім'я Центру Сертифікації, виберіть Усі завдання, а потім - Запустити службу.