SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Relevanta dokument
SITHS inloggning i AD

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Modul 3 Föreläsningsinnehåll

Microsoft Internet Information Services 7 / 7.5

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Handledning. Procapita Vård och Omsorg Certifikatinstallation avseende LEFI Online Version

Innehållsförteckning Introduktion Installation, konfiguration & Matchning Installation på primära domänkontrollanten...

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Installationsanvisning Boss delad databas

Small Business Server 2011 SSL certifikat administration

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Installera Tholbox Certifikat i Windows MAC Mozilla Firefox

Konfigurering av eduroam

Uppdatering av MONITOR Mobile 8.0

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Instruktion för användande av Citrix MetaFrame

Innehåll. Dokumentet gäller från och med version

Systemkrav. Åtkomst till Pascal

Uppdatera Easy Planning till SQL

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Hur man skapar en Administrativ Image för SolidWorks 2014

Server Inställningar för. Inställningar för Server 2003

Kerberos baserad Single Sign On, tillämpningsexempel

Installationsguide Junos Pulse för MAC OS X

Installationsguide fo r CRM-certifikat

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

JobOffice SQL databas på server

Hur man skapar en Administrativ Image för SOLIDWORKS

Installationshandbok.

Installationsanvisningar

Innehållsförteckning ADSync Windows Azure Active Directory ADSynC- Installation Konfigurera ADSync... 4

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

Konfiguration av NAP VPN

DIG IN TO. Nätverksadministration

Installationsanvisningar VisiMIX. Ansvarig: Visi System AB Version: 2.2 Datum: Mottagare: Visi MIX kund

Installationstjänst. maj 2011

Workshop IBA internet based assessment

Att koppla FB till AD-inloggning

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

Del 1: Skapa konto i Exchange

Anvisning. Publiceringsverktyg för manuell inläsning av certifikatsinformation till HSA

Boss installationsmanual förberedelser

Vision WEB Komma igång med Electrolux Webbokning Windows Server 2012 R2 8/31/2017

Dagens Agenda. Klient- och Serveroperativsystem Installation av Windows Server Genomgång av Windows Server Roller och Funktioner Domänhantering DNS

VPN (PPTP) installationsguide för Windows 7

Webmail instruktioner

Kundverifiering av SPs digitala signaturer

Webbokning Windows 7,8.1 &10 Installationsmanual

Foptec Internet Supervisor

Administrationsmanual ImageBank 2

Kom igång med Swish i kassan!

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver 9.2w

Windowsadministration I

Ladda upp filer fra n PLC till PC

Advoco NetPBX. Konfiguration av Yealink SIP IP-telefoner

Instruktioner för Axxell's Trådlösa Nät

ÅTVID.NET Startinstruktioner

Kom igång med Etikettskrivaren 1. Ladda ner följande installationsprogram Ladda ner Drivrutiner för etikettskrivare Zebra

Vägledning för implementering av AD-inloggning med SITHS-kort

DIG IN TO. Nätverksadministration

Installation av StruSofts låne-licensserver (nätverkslicens)

Installation xvis besökssystem, Koncern

Chaos VPN - Installera Cisco AnyConnect Windows 7

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver

LVDB i GEOSECMA. Innehåll. Inledning. Produkt: GEOSECMA Modul: LVDB Skapad för Version: Uppdaterad:

Nätverksoperativsystem i Datornätverk (Windows Server) DVA202, VT Tentamen

Övning 1: Skapa virtuell maskin för utveckling.

F2 Exchange EC Utbildning AB

13. Ändra inställningar så att det passar er:

Nils Byström, Avd f IT och inköp. Projekt AD-design Uppsala universitet DiarieNr: UFV 2009/413. Revision 1.0 Filnamn AD skyddade personuppgifter.

LVDB i GEOSECMA. Innehåll. Inledning. Produkt: GEOSECMA Modul: LVDB Skapad för Version: Uppdaterad:

Installationsguide ELCAD 7.10

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

7 Mamut Client Manager

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

Installationsguide för mysql och OLA Server/OLA Klient

2013 Alla rättigheter till materialet reserverade Easec

Instruktion för installation av etikettskrivare 2.27

INSTALLATIONSGUIDE. Uppdatering av ditt Mamut-system

Spara papper! Skriv inte ut sammanfattning utan ladda ner PDF!

Administrationsmanual ImageBank 2

Installationsmanual Onepix RSS Vatech SVENSK

Nintex Workflow 2007 måste installeras på Microsoft Windows Server 2003 eller 2008.

Chaos VPN - Installera Cisco AnyConnect Windows 8

Installation och aktivering av Windows 7

Plugboard Guide till Magento. Ecommmerce. Stöder - Magento 1.9.x

Instruktion för användande av Citrix MetaFrame

Instruktion för installation av etikettskrivare 2.31

Instuderingsfrågor - Svar.

Årsskiftesrutiner i HogiaLön Plus SQL

Spara papper! Skriv inte ut sammanfattning utan ladda ner PDF!

Telia Connect för Windows

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Förändringar i v4 SR-3

Transkript:

SITHS Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Innehåll 1 Förberedelser för användning av SITHS Cert... 3 1.1 Förklaring... 3 1.2 Import av SITHS root i AD:t... 3 1.2.1 Kontrollera NTAuth Store... 3 1.3 Import av SITHS root till DC... 3 1.4 Certifikaten... 5 1.5 Domänsuffix... 5 2 Publicering av Rootcertifikat via policy... 7 2.1 AD... 7 3 Aktivering Autoenrollment för specifikt OU... 9 3.1 OU...9 4 Autoenroll datorcertifikat... 10 4.1 Certifikatmall... 10 5 Offlineåtkomst av SITHS Spärrlista... 12 5.1 DNS... 12 5.2 IIS7 Inställningar... 13

1 Förberedelser för användning av SITHS-cert 1.1 Förklaring När CA:n är på plats så kan man välja att antingen ge ut egna certifikat till korten, alternativt använda de certifikat som redan ligger på korten utgivna av SITHS. För att kunna göra det så krävs dels ett antal förberedelser i den interna miljön, dels att certifikaten är förberedda för detta. 1.2 Import av SITHS-root i AD:t En grundförutsättning för att kunna använda SITHScertifikaten för inloggning är att den egna domänen litar på den överstående root-ca:n som ställer ut certifikaten. Den importeras enkelt till AD:t trust store med följande kommando på domänkontrollanten. En lista visas över tillgängliga certifikat. Certutil dspublish f filnamn_rootcert.crt NTAuthCA 1.3 Import av SITHS root till DC Varje domänkontrollant i domänen måste också ha root en som betrodd i sin egen trust store. Detta kan antingen göras med en Group Policy eller manuellt. För att göra det manuellt gjordes följande. Kontrollera först om certifikatet är betrott eller inte genom att öppna filen. Är det inte det klicka på Installera Certifikat 1.2.1 Kontrollera NTAuth Store För att kontrollera om de önskade certifikaten ligger på plats, kör följande kommando. Certutil viewstore enterprise NTAuth

Tryck nästa. Följ guiden Importen lyckades, tryck slutför. Välj att själv välja var placera certifikatet. Välj Show physical stores och sedan bläddra fram till Trusted Root Certification Authorities Local Computer.

1.4 Certifikaten För att ett certifikat från SITHS ska kunna användas för inloggning i domänen så måste det vara förberett med ett alternativt ämnesnamn. Huvudnamn i certifikatet måste sedan matcha användaren i AD:t vilket innebär att användarens egenskaper måste ändras samt att domänen ev. måste prepareras med ett nytt domänsuffix. 1.5 Domänsuffix För att ett certifikat från en utomstående utfärdare ska kunna användas för inloggning i domänen måste fältet Alternativt ämnesnamn eller Subject Alternative Name matcha användarens User Logon Name i AD:t. Om det inte gör det kan en ny användare behöva skapas. Det kan även vara så att det s.k. UPN (User Principal Name) suffixet inte stämmer, då kan man behöva lägga till ett alternativt sådant och modifiera användaren så det matchar. För att lägga till ett alternativt UPN-suffix i domänen går man in under Active Directory Domains and Trusts. Markera sedan den översta nivån Active Directory Domains and Trusts och gå sedan in under Actions och välj sedan Properties.

Här kan man sedan lägga till ett alternativt UPN-suffix för att se till att kontot i AD:t matchar det alternativa ämnesnamnet från certifikatet.

2 Publicering av Root -certifikat via policy 2.1 AD I AD:t finns en Group Policy som får genomslag på samtliga användare i AD:t. Om man inte vill lägga detta överst i strukturen kan ett eget OU skapas där detta distribueras istället. Logga in på en domänkontrollant och starta Group Policy Management Editor, öppna Default Domain Policy. Bläddra fram de Root -certifikat som ska distribueras till samtliga maskiner i domänen. Bläddra fram till Computer Configuration Policies Windows Settings Security Settins Public Key Polices Trusted Root Certification Authorities. Klicka på Open Högerklicka på Trusted Root Certification Authorities och välj Import.

Förvalt blir nu Trusted Root Certification Authorities för att detta redan valts tidigare. Importen lyckades. Nu kommer samtliga datorer som ligger med i det ou detta lades på, i detta fall samtliga datorer eftersom detta lades på Default Domain Policy. Slutför importen.

3 Aktivering Autoenrollment för specifikt OU 3.1 OU För att aktivera autoenrollment för ett specifikt ou eller grupp av datorer måste först policyn för detta aktiveras. Detta görs genom att skapa ett nytt OU i domänen, alternativt skapa policyn på ett befintligt OU. Kryssa för båda rutorna för att möjliggöra autoenrollment. Bläddra fram till Computer Configuration Windows Settings Security Settins Public Key Polices. Editera policyn Certificate Services Client Auto Enrollment properties och sätt denna till Enabled. Samtliga datorer som i framtiden läggs in i detta OU kommer automatiskt få certifikat utgivna till sig om det finns en certifikatmall som tillåter detta, samt att den datorn finns med i en grupp som har rättigheten autoenrollment på den certifikatmallen.

4 Autoenroll datorcertifikat 4.1 Certifikatmall Gå in i CA:ns administration, högerklicka på Certificate Templates och välj Manage. Ge certifikatmallen ett nytt namn. Giltighetstiden sattes till ett år. Högerklicka på Computer och välj Duplicate Template. Välj vilka användare/datorer som ska få certifikat automatiskt utrullade genom att kryssa för Autoenroll -rättighet för den gruppen. I detta skede valdes att inte slå på autoenrollment, bara förbereda för det. Välj 2003-kompatibel eftersom de tjänster som normalt används inte behöver stöd för CNG (Cryptography API: Next Generation).

För att publicera mallen i AD:t högerklicka på Certificate Templates och välj New Certificate Template to Issue Välj det certifikat du just skapade. Certifikatet finns nu tillgängligt för datorerna i AD:t och kommer automatiskt skickas ut till de som ligger med i rätt OU.

5 Offlineåtkomst av SITHS Spärrlista Denna handlingsplan avser miljö under Windows 2008. Vid händelse av att all internetanslutning bryts i mer än 12 timmar kan all inloggning med SITHS kort mot domänen sluta att fungera. Detta för att kontroll av spärrlistor (CRL) inte längre kan utfärdas. Vid detta scenario bör en alternativ lösning vara förbered eller finnas på plats. För att säkra inloggning bör organisationen lagt upp en intern hämtningsplats för SITHS spärrlistor. Nedan beskrivs hur detta löses genom att skapa en intern DNS som pekar mot en intern Web tjänst. Den interna webb-tjänsten matas med en spärrlista (CRL) som måste laddas ner från externa sökvägen www.carelink.se/siths-ca/ca003.crl. Detta görs enklas från ett 3G-modem på en klient. 5.1 DNS 1. Öppna MMC för DNS i aktuell domän. 3. Skapa en Primary zone 4. Ange carelink.se som Zone Name 2. Skapa en ny Forward Lookup Zone 5. Skapa en ny DNS-fil eller välj att använda en befintlig

6. Denna zon behöver inte uppdateras dynamiskt. 2. Ange Name www och peka mot aktuell webbserver som skall vara värd för CRL-filen. 7. I den nyskapade zonen, skapa ett nytt A-host värde 5.2 IIS7 Inställningar 1. Gå till wwwroot-katalogen på aktuell webbserver och skapa en ny katalog siths-ca 3. Ladda ner CRL-filen från www.carelink.se/sithsca/ca003.crl och kopiera in denna till katalogen sithsca

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss