Windows Server

Active Directory Ortamlarında Akıllı Kart Smart Card Logon Oturum Açma İşlemleri- Bölüm3

İlk makalemizde Akıllı Kartlara sertifika üretebilmek ve yüklemek için Sertifika Servisini Domain Sunucusu makinamıza kurmuştuk. İkinci makalemizde ise Sertifika Servisi üzerinden Akıllı kartlarımıza kullanıcıların Sertifika Web portalından, sertifikalarını Akıllı Kartlara yükleyecekleri sertifika template’ini oluşturmuştuk. Bu makalemizde ise ikinci aşamamızda oluşturduğumuz sertifika şablonundan yararlanarak Akıllı Kartlarımızın içine Sertifika yükleme işlemini yapacağız.

3-Akıllı Kart Üzerine Sertifika Yükleme

 

Eski zamanlarda Akıllı kart cihazları farklı modellerdeydi bunlar hem çok yer kalıyor hem de kart okuyucu ve kartın sürücüsünü ayrı ayı yüklemek gerekiyordu. Kapladığı hacim iki aparatla sistemde görevini yapıyor olması olumsuz yanlarıydı.

clip_image002

clip_image004

Bizim kullanacağımız ürün ise ePass2003 isimli usb port üzerinden çalışan cihaz. Şimdi Windows7, Windows8 ve Windows10 sistemlerinin yoğun olduğunu düşünecek olursak cihazın driver konularında son derece rahatlık söz konusu. Cihaz Microsoft Sistemler ile tam uyumlu.

clip_image006

Cihazın aşağıdaki gibi USB bellek olarak kullanılabilen modelleri de mevcut.

clip_image008

Ürünleri http://www.thera.com.tr/ buradan tedarik etmeniz mümkün. Ürün özelliklerine ise http://www.ftsafe.com/product/epass/epass2003 buradan ulaşabilirsiniz. Kabaca genel özelliklere ise aşağıdan ulaşabilirsiniz.

upported Operating System

32bit and 64bit Windows XP SP3, Server2003, Vista, Server2008, 7, 8, Server2012, 8.1
32bit and 64bit Linux
MAC OS X

Middleware

Microsoft Windows MiniDriver
Windows middleware for Windows CSP
Direct-called library for PKCS#11 under Windows, Linux and MAC

Standards

X.509 v3 Certificate Storage, SSL v3, IPSec, ISO 7816 1-4 8 9 12, CCID

Cryptographic Algorithms

RSA 512/1024/RSA 2048 bit
ECDSA 192/256 bit
DES/3DES
AES 128/192/256bit
SHA-1 / SHA-256

Cryptographic Functions

Onboard key pair generation
Onboard digital signature and verification
Onboard data encryption and decryption

Cryptographic APIs

Microsoft Crypto API (CAPI), Cryptography API: Next Generation (CNG)
Microsoft Smart Card MiniDriver
PKCS#11
PC/SC

Processor

16 bit smart card chip (Common Criteria EAL 5+ certified)

Memory Space

64KB (EEPROM)

Endurance

At least 500,000 write/erase cycles

Data Retention

More than 10 years

Connectivity

USB 2.0 full speed, Connector type A

Interface

ISO 7816
CCID

Power Consumption

Less than 250mW

Operating Temperature

0°C ~ 70°C 
(32°F ~ 158°F)

Storage Temperature

-20°C ~ 85°C
(-4°F ~ 185°F)

Humidity

0% ~ 100% without condensation

Water Resistance

IPX8 with glue injection (under evaluation)

 

Yine ürünün farklı platformlar için aşağıdaki gibi farklı modelleri mevcut.

clip_image010

Şimdi artık cihazımızı sistemimize takıp tanıtıp sertifika yükleme işlemlerine başlayalım. Şu anda test için bir kullanıcımız mevcut. Windows10 işletim sistemine sahip ve domainde olan bir kullanıcı.

clip_image011

Cihazımızı sistemimize taktığımızda İşletim sistemi tarafından  otomatik olarak tanınıyor.

clip_image013

Cihazı satın almamızla birlikte bize SDK kütüphanesi sunuluyor. Buradan cihazı yönetebilmek için gerekli yazılımları kurabilir cihazla ilgili kodlara ve yardım dökümanlarına ulaşabiliriz.

clip_image015

Aşağıdaki dizine gelerek cihazımıza erişim ve yönetim için gerekli olan yazılımı kuralım.

clip_image017

Klasik bir kurulum olduğundan bu aşamada sadece ekran görüntülerini paylaşıyorum.

clip_image019

clip_image021

clip_image023

Bu kısımda CSP (Content Security Policy) olarak Microsoft CSP seçimini yapıyoruz.

clip_image025

Bu adımla birlikte programımızın kurulumunu tamamlıyoruz.

clip_image027

Programımıza ePass2003 Token Manager üzerinden ulaşıyoruz.

clip_image029

Cihazımızın ilk açılışında pin kodunu değiştirmemiz isteniyor. Cihaza varsayılan olarak 12345678 şeklinde pin atanmaktadır. Bunu değiştirmemiz isteniyor. Bu varsayılan pin numarasını unutur veya farklı bir pin numarası ile karşılaşırsanız bu kısma nasıl müdahale edeceğinizi sonraki kısımlarda anlatacağım. Şimdilik No ile geçelim.

clip_image031

Açılan ekranımızda Login butonuna tıklayalım. 12345678 pin kodunu girdikten sonra login olduğumuzda ePass2003 isimli Akıllı Kartımızın içinin boş olduğunu görüyoruz.

clip_image033

Cihazımızı kurup erişim sağlayarak login olma başarısını sağladıktan sonra artık sıra Sertifika Servisine bağlanarak Cihazımızın içine kendi kullanıcımıza ait sertifika yüklemeye geldi. Bunun için gerekli olan alt yapıyı ilk iki makalemizin adımlarında tamamlamıştık. Şimdi https://riza.cozumpark.lokal/certsrv adresine giriş yapalım. Bu ekrana erişim sırasında sorun yaşamamak için Explorer üzerinden uyumluluk ayarının yapılması gerektiğini daha önceki makalemizde açıklamıştık.

clip_image034

Domain kullanıcı adımızı ve şifremizi girelim.

clip_image036

Yukarıda konuya değindik ancak sorun yaşamamak adına yine Explorer uyumluluk ayarını yapalım.

clip_image038

Sayfamızı uyumluluk modu sayfalarına ekleyip kapatalım.

clip_image039

Şimdi Request a certificate linkine tıklayarak kullanıcımız için bir sertifika talebinde bulunalım.

clip_image040

Advanced certificate request linkine tıklayalım.

clip_image042

İsteğimizi Ca sunucumuza yollamak için Create and submit a request to this CA linkine tıklayalım.

clip_image043

Karşımıza gelen ekranda çıkan uyarıyı YES ile geçelim.

clip_image044

Şu an sertifika alma ekranına geldik. Burada değişik algoritmalarda değişik türlerde sertifika seçim işlemleri yapılabilmektedir. Biz oluşturduğumuz hazır şablonu seçerek bize lazım olan sertifikayı elde edeceğiz.

clip_image045

Bu nedenle aşağıdaki ekrandaki gibi Sertifika şablonumuzu resimdeki ayarlara göre seçelim. Template olarak oluşturduğumuz COZUMPARK Smatrcard Logon sertifikamızı CSP olarak Microsoft Base Smart Card Crypto Provider yapısını, Hash Algoritma olarak ise SHA1 algoritmasını seçerek Submit butonuna tıklayalım.

clip_image046

Cihazımız Microsoft sistemler ile tam uyumlu olduğundan ve Microsoft CSP olarak kurulduğundan dolayı sertifikamız direk olarak Akıllı kartımıza yazılıyor. Bu nedenle cihaza erişim için bizden pin numaramız isteniyor.

clip_image048

Şu anda sertifika oluşturuluyor.

clip_image050

Sertifika başarı ile oluşturuldu. Şu anda oluşturulan sertifika Akıllı kartımıza yüklenmek üzere hazır duruma gelmiş bulunuyor.

clip_image052

Şimdi pin numaramızı tekrar girelim ve OK butonuna tıklayalım.

clip_image054

Artık cihazımıza yazılmak üzere tüm aşamaları hazırlanan sertifikamızı Install this certificate linkine tıklayarak cihazımıza yazalım.

clip_image056

Evet sertifikamız artık Akıllı kartımızda.

clip_image058

Şimdi programımızı açarak cihazımızın içine tekrardan bağlantı kuralım.

clip_image060

Pin numaramızı girerek OK butonuna tıklayalım.

clip_image062

Cihazımızın içerisinde içinde Private Key gömülü olan sertifikamız Kök sertifikalar yüklenmiş durumda.

clip_image064

Şimdi mmc konsoluna bağlanalım. Bu nedenle çalıştıra MMC yazalım.

clip_image065

Açılan konsol üzerinde Add/Remove Snap-in… açılır butonuna tıklayalım.

clip_image067

Certificate bileşenini yan konsola Add butonu ile ekleyerek OK butonuna tıklayalım.

clip_image069

Akıllı kartımıza eklenen sertifikamız Personel Sertifikalarının altına da otomatik olarak eklendi.

clip_image070

Personel sertifikamızı güvenilir kılan kök sertifikamızda Trusted altına eklenmiş durumda.

clip_image071

 

clip_image072

Makalemizin üçüncü adımı da tamamlandı. .Bu aşamaya gelmemize rağmen hala Akıllı kart ile oturum açabilir duruma gelemedik. Ancak yolumuz çok az kaldı. Active Directory Ortamlarında Akıllı Kart (Smart Card Logon) Oturum Açma İşlemleri- Bölüm4 makalemizde birkaç dokunuş ile işlemlerimizi tamamlıyor olacağız. Yararlı olması dileğiyle.

 

 

Rıza ŞAHAN

www.rizasahan.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu