Active Directory Ortamlarında Akıllı Kart (Smart Card Logon) Oturum Açma İşlemleri- Bölüm3

By | Aralık 13, 2015

İlk makalemizde Akıllı Kartlara sertifika üretebilmek ve yüklemek için Sertifika Servisini Domain Sunucusu makinamıza kurmuştuk. İkinci makalemizde ise Sertifika Servisi üzerinden Akıllı kartlarımıza kullanıcıların Sertifika Web portalından, sertifikalarını Akıllı Kartlara yükleyecekleri sertifika template’ini oluşturmuştuk. Bu makalemizde ise ikinci aşamamızda oluşturduğumuz sertifika şablonundan yararlanarak Akıllı Kartlarımızın içine Sertifika yükleme işlemini yapacağız.

3-Akıllı Kart Üzerine Sertifika Yükleme

 

Eski zamanlarda Akıllı kart cihazları farklı modellerdeydi bunlar hem çok yer kalıyor hem de kart okuyucu ve kartın sürücüsünü ayrı ayı yüklemek gerekiyordu. Kapladığı hacim iki aparatla sistemde görevini yapıyor olması olumsuz yanlarıydı.

64

65

Bizim kullanacağımız ürün ise ePass2003 isimli usb port üzerinden çalışan cihaz. Şimdi Windows7, Windows8 ve Windows10 sistemlerinin yoğun olduğunu düşünecek olursak cihazın driver konularında son derece rahatlık söz konusu. Cihaz Microsoft Sistemler ile tam uyumlu.

66

Cihazın aşağıdaki gibi USB bellek olarak kullanılabilen modelleri de mevcut.

67

Ürünleri http://www.thera.com.tr/ buradan tedarik etmeniz mümkün. Ürün özelliklerine isehttp://www.ftsafe.com/product/epass/epass2003 buradan ulaşabilirsiniz. Kabaca genel özelliklere ise aşağıdan ulaşabilirsiniz.

upported Operating System 32bit and 64bit Windows XP SP3, Server2003, Vista, Server2008, 7, 8, Server2012, 8.1
32bit and 64bit Linux
MAC OS X
Middleware Microsoft Windows MiniDriver
Windows middleware for Windows CSP
Direct-called library for PKCS#11 under Windows, Linux and MAC
Standards X.509 v3 Certificate Storage, SSL v3, IPSec, ISO 7816 1-4 8 9 12, CCID
Cryptographic Algorithms RSA 512/1024/RSA 2048 bit
ECDSA 192/256 bit
DES/3DES
AES 128/192/256bit
SHA-1 / SHA-256
Cryptographic Functions Onboard key pair generation
Onboard digital signature and verification
Onboard data encryption and decryption
Cryptographic APIs Microsoft Crypto API (CAPI), Cryptography API: Next Generation (CNG)
Microsoft Smart Card MiniDriver
PKCS#11
PC/SC
Processor 16 bit smart card chip (Common Criteria EAL 5+ certified)
Memory Space 64KB (EEPROM)
Endurance At least 500,000 write/erase cycles
Data Retention More than 10 years
Connectivity USB 2.0 full speed, Connector type A
Interface ISO 7816
CCID
Power Consumption Less than 250mW
Operating Temperature 0°C ~ 70°C
(32°F ~ 158°F)
Storage Temperature -20°C ~ 85°C
(-4°F ~ 185°F)
Humidity 0% ~ 100% without condensation
Water Resistance IPX8 with glue injection (under evaluation)

 

Yine ürünün farklı platformlar için aşağıdaki gibi farklı modelleri mevcut.

68

Şimdi artık cihazımızı sistemimize takıp tanıtıp sertifika yükleme işlemlerine başlayalım. Şu anda test için bir kullanıcımız mevcut. Windows10 işletim sistemine sahip ve domainde olan bir kullanıcı.

69

Cihazımızı sistemimize taktığımızda İşletim sistemi tarafından  otomatik olarak tanınıyor.

70

Cihazı satın almamızla birlikte bize SDK kütüphanesi sunuluyor. Buradan cihazı yönetebilmek için gerekli yazılımları kurabilir cihazla ilgili kodlara ve yardım dökümanlarına ulaşabiliriz.

71

Aşağıdaki dizine gelerek cihazımıza erişim ve yönetim için gerekli olan yazılımı kuralım.

72

Klasik bir kurulum olduğundan bu aşamada sadece ekran görüntülerini paylaşıyorum.

73

74

75

Bu kısımda CSP (Content Security Policy) olarak Microsoft CSP seçimini yapıyoruz.

76

Bu adımla birlikte programımızın kurulumunu tamamlıyoruz.

77

Programımıza ePass2003 Token Manager üzerinden ulaşıyoruz.

78

79

Cihazımızın ilk açılışında pin kodunu değiştirmemiz isteniyor. Cihaza varsayılan olarak 12345678 şeklinde pin atanmaktadır. Bunu değiştirmemiz isteniyor. Bu varsayılan pin numarasını unutur veya farklı bir pin numarası ile karşılaşırsanız bu kısma nasıl müdahale edeceğinizi sonraki kısımlarda anlatacağım. Şimdilik No ile geçelim.

80

Açılan ekranımızda Login butonuna tıklayalım. 12345678 pin kodunu girdikten sonra login olduğumuzda ePass2003 isimli Akıllı Kartımızın içinin boş olduğunu görüyoruz.

81

Cihazımızı kurup erişim sağlayarak login olma başarısını sağladıktan sonra artık sıra Sertifika Servisine bağlanarak Cihazımızın içine kendi kullanıcımıza ait sertifika yüklemeye geldi. Bunun için gerekli olan alt yapıyı ilk iki makalemizin adımlarında tamamlamıştık. Şimdi https://riza.cozumpark.lokal/certsrv adresine giriş yapalım. Bu ekrana erişim sırasında sorun yaşamamak için Explorer üzerinden uyumluluk ayarının yapılması gerektiğini daha önceki makalemizde açıklamıştık.

82

Domain kullanıcı adımızı ve şifremizi girelim.

83

Yukarıda konuya değindik ancak sorun yaşamamak adına yine Explorer uyumluluk ayarını yapalım.

84

Sayfamızı uyumluluk modu sayfalarına ekleyip kapatalım.

85

Şimdi Request a certificate linkine tıklayarak kullanıcımız için bir sertifika talebinde bulunalım.

86

Advanced certificate request linkine tıklayalım.

87

İsteğimizi Ca sunucumuza yollamak için Create and submit a request to this CA linkine tıklayalım.

88

Karşımıza gelen ekranda çıkan uyarıyı YES ile geçelim.

89

Şu an sertifika alma ekranına geldik. Burada değişik algoritmalarda değişik türlerde sertifika seçim işlemleri yapılabilmektedir. Biz oluşturduğumuz hazır şablonu seçerek bize lazım olan sertifikayı elde edeceğiz.

90

Bu nedenle aşağıdaki ekrandaki gibi Sertifika şablonumuzu resimdeki ayarlara göre seçelim. Template olarak oluşturduğumuz COZUMPARK Smatrcard Logon sertifikamızı CSP olarak Microsoft Base Smart Card Crypto Provider yapısını, Hash Algoritma olarak ise SHA1 algoritmasını seçerek Submit butonuna tıklayalım.

91

Cihazımız Microsoft sistemler ile tam uyumlu olduğundan ve Microsoft CSP olarak kurulduğundan dolayı sertifikamız direk olarak Akıllı kartımıza yazılıyor. Bu nedenle cihaza erişim için bizden pin numaramız isteniyor.

92

 

93

Şu anda sertifika oluşturuluyor.

94

Sertifika başarı ile oluşturuldu. Şu anda oluşturulan sertifika Akıllı kartımıza yüklenmek üzere hazır duruma gelmiş bulunuyor.

95

Şimdi pin numaramızı tekrar girelim ve OK butonuna tıklayalım.

96

Artık cihazımıza yazılmak üzere tüm aşamaları hazırlanan sertifikamızı Install this certificate linkine tıklayarak cihazımıza yazalım.

98

Evet sertifikamız artık Akıllı kartımızda.

99

Şimdi programımızı açarak cihazımızın içine tekrardan bağlantı kuralım.

100

Pin numaramızı girerek OK butonuna tıklayalım.

101

Cihazımızın içerisinde içinde Private Key gömülü olan sertifikamız Kök sertifikalar yüklenmiş durumda.

102

Şimdi mmc konsoluna bağlanalım. Bu nedenle çalıştıra MMC yazalım.

103

Açılan konsol üzerinde Add/Remove Snap-in… açılır butonuna tıklayalım.

104

Certificate bileşenini yan konsola Add butonu ile ekleyerek OK butonuna tıklayalım.

105

Akıllı kartımıza eklenen sertifikamız Personel Sertifikalarının altına da otomatik olarak eklendi.

106

Personel sertifikamızı güvenilir kılan kök sertifikamızda Trusted altına eklenmiş durumda.

108

109

Makalemizin üçüncü adımı da tamamlandı. .Bu aşamaya gelmemize rağmen hala Akıllı kart ile oturum açabilir duruma gelemedik. Ancak yolumuz çok az kaldı. Active Directory Ortamlarında Akıllı Kart (Smart Card Logon) Oturum Açma İşlemleri- Bölüm4 makalemizde birkaç dokunuş ile işlemlerimizi tamamlıyor olacağız. Yararlı olmasıdileğiyle.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir