İlk makalemizde Akıllı Kartlara sertifika üretebilmek ve yüklemek için Sertifika Servisini Domain Sunucusu makinamıza kurmuştuk. İkinci makalemizde ise Sertifika Servisi üzerinden Akıllı kartlarımıza kullanıcıların Sertifika Web portalından, sertifikalarını Akıllı Kartlara yükleyecekleri sertifika template’ini oluşturmuştuk. Bu makalemizde ise ikinci aşamamızda oluşturduğumuz sertifika şablonundan yararlanarak Akıllı Kartlarımızın içine Sertifika yükleme işlemini yapacağız.
3-Akıllı Kart Üzerine Sertifika Yükleme
Eski zamanlarda Akıllı kart cihazları farklı modellerdeydi bunlar hem çok yer kalıyor hem de kart okuyucu ve kartın sürücüsünü ayrı ayı yüklemek gerekiyordu. Kapladığı hacim iki aparatla sistemde görevini yapıyor olması olumsuz yanlarıydı.
Bizim kullanacağımız ürün ise ePass2003 isimli usb port üzerinden çalışan cihaz. Şimdi Windows7, Windows8 ve Windows10 sistemlerinin yoğun olduğunu düşünecek olursak cihazın driver konularında son derece rahatlık söz konusu. Cihaz Microsoft Sistemler ile tam uyumlu.
Cihazın aşağıdaki gibi USB bellek olarak kullanılabilen modelleri de mevcut.
Ürünleri http://www.thera.com.tr/ buradan tedarik etmeniz mümkün. Ürün özelliklerine isehttp://www.ftsafe.com/product/epass/epass2003 buradan ulaşabilirsiniz. Kabaca genel özelliklere ise aşağıdan ulaşabilirsiniz.
upported Operating System | 32bit and 64bit Windows XP SP3, Server2003, Vista, Server2008, 7, 8, Server2012, 8.1 32bit and 64bit Linux MAC OS X |
Middleware | Microsoft Windows MiniDriver Windows middleware for Windows CSP Direct-called library for PKCS#11 under Windows, Linux and MAC |
Standards | X.509 v3 Certificate Storage, SSL v3, IPSec, ISO 7816 1-4 8 9 12, CCID |
Cryptographic Algorithms | RSA 512/1024/RSA 2048 bit ECDSA 192/256 bit DES/3DES AES 128/192/256bit SHA-1 / SHA-256 |
Cryptographic Functions | Onboard key pair generation Onboard digital signature and verification Onboard data encryption and decryption |
Cryptographic APIs | Microsoft Crypto API (CAPI), Cryptography API: Next Generation (CNG) Microsoft Smart Card MiniDriver PKCS#11 PC/SC |
Processor | 16 bit smart card chip (Common Criteria EAL 5+ certified) |
Memory Space | 64KB (EEPROM) |
Endurance | At least 500,000 write/erase cycles |
Data Retention | More than 10 years |
Connectivity | USB 2.0 full speed, Connector type A |
Interface | ISO 7816 CCID |
Power Consumption | Less than 250mW |
Operating Temperature | 0°C ~ 70°C (32°F ~ 158°F) |
Storage Temperature | -20°C ~ 85°C (-4°F ~ 185°F) |
Humidity | 0% ~ 100% without condensation |
Water Resistance | IPX8 with glue injection (under evaluation) |
Yine ürünün farklı platformlar için aşağıdaki gibi farklı modelleri mevcut.
Şimdi artık cihazımızı sistemimize takıp tanıtıp sertifika yükleme işlemlerine başlayalım. Şu anda test için bir kullanıcımız mevcut. Windows10 işletim sistemine sahip ve domainde olan bir kullanıcı.
Cihazımızı sistemimize taktığımızda İşletim sistemi tarafından otomatik olarak tanınıyor.
Cihazı satın almamızla birlikte bize SDK kütüphanesi sunuluyor. Buradan cihazı yönetebilmek için gerekli yazılımları kurabilir cihazla ilgili kodlara ve yardım dökümanlarına ulaşabiliriz.
Aşağıdaki dizine gelerek cihazımıza erişim ve yönetim için gerekli olan yazılımı kuralım.
Klasik bir kurulum olduğundan bu aşamada sadece ekran görüntülerini paylaşıyorum.
Bu kısımda CSP (Content Security Policy) olarak Microsoft CSP seçimini yapıyoruz.
Bu adımla birlikte programımızın kurulumunu tamamlıyoruz.
Programımıza ePass2003 Token Manager üzerinden ulaşıyoruz.
Cihazımızın ilk açılışında pin kodunu değiştirmemiz isteniyor. Cihaza varsayılan olarak 12345678 şeklinde pin atanmaktadır. Bunu değiştirmemiz isteniyor. Bu varsayılan pin numarasını unutur veya farklı bir pin numarası ile karşılaşırsanız bu kısma nasıl müdahale edeceğinizi sonraki kısımlarda anlatacağım. Şimdilik No ile geçelim.
Açılan ekranımızda Login butonuna tıklayalım. 12345678 pin kodunu girdikten sonra login olduğumuzda ePass2003 isimli Akıllı Kartımızın içinin boş olduğunu görüyoruz.
Cihazımızı kurup erişim sağlayarak login olma başarısını sağladıktan sonra artık sıra Sertifika Servisine bağlanarak Cihazımızın içine kendi kullanıcımıza ait sertifika yüklemeye geldi. Bunun için gerekli olan alt yapıyı ilk iki makalemizin adımlarında tamamlamıştık. Şimdi https://riza.cozumpark.lokal/certsrv adresine giriş yapalım. Bu ekrana erişim sırasında sorun yaşamamak için Explorer üzerinden uyumluluk ayarının yapılması gerektiğini daha önceki makalemizde açıklamıştık.
Domain kullanıcı adımızı ve şifremizi girelim.
Yukarıda konuya değindik ancak sorun yaşamamak adına yine Explorer uyumluluk ayarını yapalım.
Sayfamızı uyumluluk modu sayfalarına ekleyip kapatalım.
Şimdi Request a certificate linkine tıklayarak kullanıcımız için bir sertifika talebinde bulunalım.
Advanced certificate request linkine tıklayalım.
İsteğimizi Ca sunucumuza yollamak için Create and submit a request to this CA linkine tıklayalım.
Karşımıza gelen ekranda çıkan uyarıyı YES ile geçelim.
Şu an sertifika alma ekranına geldik. Burada değişik algoritmalarda değişik türlerde sertifika seçim işlemleri yapılabilmektedir. Biz oluşturduğumuz hazır şablonu seçerek bize lazım olan sertifikayı elde edeceğiz.
Bu nedenle aşağıdaki ekrandaki gibi Sertifika şablonumuzu resimdeki ayarlara göre seçelim. Template olarak oluşturduğumuz COZUMPARK Smatrcard Logon sertifikamızı CSP olarak Microsoft Base Smart Card Crypto Provider yapısını, Hash Algoritma olarak ise SHA1 algoritmasını seçerek Submit butonuna tıklayalım.
Cihazımız Microsoft sistemler ile tam uyumlu olduğundan ve Microsoft CSP olarak kurulduğundan dolayı sertifikamız direk olarak Akıllı kartımıza yazılıyor. Bu nedenle cihaza erişim için bizden pin numaramız isteniyor.
Şu anda sertifika oluşturuluyor.
Sertifika başarı ile oluşturuldu. Şu anda oluşturulan sertifika Akıllı kartımıza yüklenmek üzere hazır duruma gelmiş bulunuyor.
Şimdi pin numaramızı tekrar girelim ve OK butonuna tıklayalım.
Artık cihazımıza yazılmak üzere tüm aşamaları hazırlanan sertifikamızı Install this certificate linkine tıklayarak cihazımıza yazalım.
Evet sertifikamız artık Akıllı kartımızda.
Şimdi programımızı açarak cihazımızın içine tekrardan bağlantı kuralım.
Pin numaramızı girerek OK butonuna tıklayalım.
Cihazımızın içerisinde içinde Private Key gömülü olan sertifikamız Kök sertifikalar yüklenmiş durumda.
Şimdi mmc konsoluna bağlanalım. Bu nedenle çalıştıra MMC yazalım.
Açılan konsol üzerinde Add/Remove Snap-in… açılır butonuna tıklayalım.
Certificate bileşenini yan konsola Add butonu ile ekleyerek OK butonuna tıklayalım.
Akıllı kartımıza eklenen sertifikamız Personel Sertifikalarının altına da otomatik olarak eklendi.
Personel sertifikamızı güvenilir kılan kök sertifikamızda Trusted altına eklenmiş durumda.
Makalemizin üçüncü adımı da tamamlandı. .Bu aşamaya gelmemize rağmen hala Akıllı kart ile oturum açabilir duruma gelemedik. Ancak yolumuz çok az kaldı. Active Directory Ortamlarında Akıllı Kart (Smart Card Logon) Oturum Açma İşlemleri- Bölüm4 makalemizde birkaç dokunuş ile işlemlerimizi tamamlıyor olacağız. Yararlı olmasıdileğiyle.