Windows işletim sistemine kart okuyucu ve kart kullanılarak logon işleminin gerçekleştirilmesi için aşağıdaki adımların tamamlanmış olması gerekir. Bu makalede aşağıdaki adımlara kısaca değineceğiz.
· Windows logon için kullanılacak kart okuyucu sürücüsünün yada token programının kurulması. Bu konuda KOBIL firmasının kullandığı kart okuyucu EMV TriCAP yada mIDentity token, mIDentity smart ürünlerinden birini kullanarak işlemi gerçekleştirebilirsiniz.
· KOBIL firmasının ürünü kullanılacak ise bunun için sertifika otoritesinde kullanılacak olan KOBIL CSP tanımının yapılması.
· Sertifika otoritesinden EMV TriCAP kart okuyucu, mIDentity Token yada mIDentity Smart üzerinde kullanılacak kart’a yazılacak sertifikanın talep edilmesi.
· KOBIL ürünlerinden biri kullanılarak kart üzerindeki sertifika ile windows’a login olunması.
Sertifika alımı öncesinde yapılması gereken birkaç adım bulunmaktadır. Bunlar aşağıda sıralanmıştır.
· 2003 Server Enterprise kurulumu ve DC kurulumunun tamamlanması.
· Serverda kullanılacak ürünlerin sürücüleri yada programının kurulumunun tamamlanması.
· Sertifika dağıtımında admin kullanıcının bu işlerde yardımcı olacak kullanıcı yaratılması gerekir. Bu kullanıcı Enrollment Agent olarak ayarlanacaktır.
· CA den sertifika alımının Web arayüzden gerçekleştirilmesi için IIS ‘in kurulumu tamamlanmalıdır.
· CA kurulumu yapılmalıdır. Burada kullanılacak CA tipinin Entreprise seçilmesi gerekir.
· CA kurulumu tamamlandıktan sonra Enrollment Agent sertifikasının alımı için MMC konsolundan gerekli ayarlamalar yapılmalıdır.
· CA template ekranından KOBIL CSP tanıtım işlemleri tamamlanmalıdır.
· IE den Active X için hak verilmesi gerekir.
· Client makinenin domain’e eklenmesi ve logon işleminin öncelikle admin kullanıcı ile login olunabildiğinin kontrolü yapıldıktan sonra smartcard ile login işlemi test edilmelidir. Gerekli policy ayarları ile kullanıcılarınızın sadece smartcard ile login olmasınıda sağlayabilirsiniz.
Talep Edilen Sertifikaların Otomatize Edilmesi:
Sertifika otoritesinden talep edilen sertifikanın eğer gerekli ayarlar yapılmamış ise yayımlanması önlenir. Talep edilen sertifika sadece admin kullanıcı tarafından onaylanır ise yayımlanır. Default ayar bu şekilde ayarlanmıştır. Bu ayarın değiştirilmesi için CA’in özelliklerine ulaşınız. Policy Modül ekranından özelliklere ulaşınız. Request Handling ekranından “Follow the settings in the certificate template, if applicable Otherwise automatically issue the certificate.” Seçilmesinden sonra CA otomatik olarak restart edilir. Bu işlemden sonra talep edilen sertifikalar admin kullanıcı tarafından onaylanmaya gerek kalmadan yayımlanır.
KOBIL CSP Tanıtımı:
· Kullanılacak kart okuyucu programının ve kart okuyucu sürücüsünün Server üzerine kurulumunun tamamlanması.
· Veya Smart Token kullanılacak ise programın server üzerine kurulumunun tamamlanması.
· Server üzerinde CA yönetim panelinde Certificate Template alanından Manage menüsü seçilerek template’lere ulaşınız.
· Smartcard user template’i seçiniz ve duplicate ile bu template’i kopyalayınız.
· Yukarıdaki şablon şifreleme,deşifreleme ve e-mail şifreleme işlemleri için kullanılır. General tabından “KOBIL Smarcard user” olarak değiştiriniz. Request Handling tabından CSP butonuna tıklayınız ve ” KOBIL CSP V1.0” seçiniz.
· Sertifika Otoritesinden certificate template menüsü içerisinde new certificate template issue menüsünü seçerek “Smartcard user” ve “Enrollment Agent” template leri seçilerek eklenmesi gerekir.
Enrollment Agent Sertifikasının Tanıtımı:
· MMC konsoluna ulaşınız.
· Add/Remove Snap –in menüsünden certificate seçimini yapınız.
· Ardından My user account seçeneğini seçiniz.
· Current user- Certificate > Personel > Certificates alanına ulaşınız.
· All Task > Request New Certificate ile sihirbazı başlatınız.
· Bu sihirbazda karşınıza gelen listeden Enrollment Agent seçeneğini seçiniz ve sihirbazdaki adımları takip ediniz.
· Sihirbazı tamamladıktan sonra Enrollment Agent sertifikası alınmış olacaktır.
Enrollment Agent Sertifikası almadan önce CA web arayüzünden administrator için enrollment agent sertifikası seçilmek istendiğinde ekrana herhangi bir sertifika gelmeyecektir. Çünkü Enrollment Agnet Sertifikası tanımlanmadan önce bu ekranda sertifikayı göremezsiniz.
Gerekli tüm adımlar tamamlandıktan sonra CA web arayüzünde ilgili kullanıcı için sertifika talep edilebilir durumda olacaktır.
CA web arayüzü kullanılarak karta sertifika yazılması:
· CA web arayüzüne ulaşınız. (Örn: http://127.0.0.1/certsrv)
· Request a certificate linkine tıklayınız.
· Advance certificate request linkine tıklayınız.
· Request a certificate for smart card….. linkine tıklayınız.
· Enrollment Options alanından aşağıdaki bilgileri eksiksiz doldurunuz.
o Certificate Template > Smartcarduser seçilmeli.
o Certificate Authority > Kurmuş olduğunuz CA seçilmeli.
o Cryptographic Service Provider > KOBIL Smart CSP V1.0 seçmelisiniz.
o Administrator Signing Certificate > Enrollment Agent için alınan sertifika seçilmeli.
o Use To Enroll alanından sertifikanın kimin adına basılacağı bilgisi gelmeli. Burada domainde tanımlı kişi seçimi yapılmalı bu kişi windows işletim sistemine kart ve kart okuyucu kullanarak giriş yapacaktır.
· Yukarıdaki bilgiler eksiksiz doldurulduktan sonra kart okuyucunuz yada Smart Tokeni bilgisayarın usb girişine takınız ve kartınızı yerleştiriniz.
· Enroll butonuna tıkladığınızda kart üzerine gerekli sertifika yazılmaya başlayacaktır.
View butonuna basaral talep ettiğiniz sertifikayı görebilirsiniz.
Yukarıdaki ekran görüntüsünden görülebileceği üzere alınan sertifika sadece windows smart card logon özelliği barındırmamakta ayrıca güvenli e-mail gönderimindede kullanılmaktadır.
Kullanım:
Client kullanıcıların bilgisayarlarında öncelikle hangi tip kart okuyucu veya smart token kullanılacak ise bu kart okuyucu programı ve sürücüsü yada smart token programı kurulmalıdır. Daha sonra kullanıcıya basılan kart üzerindeki sertifika ile kullanıcı sisteme giriş için token’i yada kart okuyucusunu usb girişine takmalı aşağıdaki ekran ile karşılaşmalı. Bu ekranda klavye yanında kart okuyucu simgesi belirecek.
Daha sonra kart üzerinde set edilen kartın pin kodu sorulacak .
Eğer kullanıcı kart pin kodunu doğru girerse sisteme giriş yapabilecek. Sistem adminler tarafından bu kullanım kullanıcı adı, şifre yada sadece smart card logon şeklinde kullanılabilir. Group policy de bu kullanım set edilirse kullanıcılar sadece kart ile login olabilecek kullanıcı adı şifre ile giriş yapamayacaklardır. Bu kullanımda sistem güvenliğini arttıracaktır.
Bir sonraki makalemde windows smart card kullanım ve konfigürasyonunda karşılaşılabilecek sorunlar ve çözümleri hakkında bilgileri paylaşacağım.
Hiç yorum yok:
Yorum Gönder