E-imza-Aktif Dizin Entegrasyonu ile Akıllı Kart (Smart Card Logon) Oturum Açma Yapılandırma Adımları

Kamu Kurumları Elektronik Sertifika Hizmet (ESHS) Sağlayıcılardan aldıkları elektronik imza kartlarını kendi etki alanlarında oturum açmak için de kullanmak istemektedirler. Kurumlar, elektronik imza talebinde bulunurken ESHS tarafından niteliksiz ama oturum açma (logon) özellikli sertifika da eklenmesini isterlerse bu durumu akıllı kartları ile oturum açabilirler. Uzun zamandır yazmayı istediğim bu yazıyı Microsoft personeli Sertaç Topal’ın katkılarıyla ve onunla birlikte yayınlamanın mutluluğunu yaşıyorum. Kendisine teşekkürlerimi sunarım.

Günümüzde güvenlik konusu giderek önemini arttıran bir başlık haline geldi. Kullandığımız bilgisayarımızda da güvenlik, açılış için kullandığımız parola ile başlamaktadır. Gelişen teknoloji ile birlikte çeşitli güvenlik önlemleri, kullandığımız bilgisayarlara bütünleşmiş halde gelmektedir. Bunlara örnek olarak parmak izi okuyucular ve yüz tanıma özelliğine sahip kameraları bulunmaktadır. Bir diğer ve kullanışlı yöntem de Akıllı Kart ile oturum açma şeklidir.

Bu y072213_1010_EimzaAktifD1.pngazıda akıllı kart oturum açma (smart card logon) işlemini kamu kurumlarının birçoğunda Kamu Sertifikasyon Merkezi tarafından verilen ve içinde “logon” özellikli niteliksiz sertifika bulunduran “token” ile kurum etki alanında nasıl yapılandırıldığını bulabilirsiniz. Benzer yapılandırma Kamu Sertifikasyon Merkezi dışındaki diğer Elektronik Sertifika Hizmet Sağlayıcılar tarafından üretilen sertifikalar ile de yapılabilecektir.


1.     
Yapılandırmaya Başlamadan Önce Yapılması Gerekenler ve Ön Koşullar
·         Akıllı kart ile oturum açılması düşünülen bilgisayarlarda kart okuyucusu (token) ve akıllı kart yongası (Chip) sürücülerinin (driver) mutlaka kurulu olduğundan emin olunmalıdır. ESHS’den aldığınız akıllı kart ve akıllı kart okuyucu da denilen “token”ların sürücülerinin tüm istemci bilgisayarlarında kurulu olması gerekmektedir. Bu yazımızda Kamu Sertifikasyon Merkezinden alınmış olan akıllı kart ve kart okuyucu sürücülerinin kurulmuş olduğunu varsayıyoruz. Bu sürücüler kurulu değil ise gerekli olan sürücü paketleri Kamu SM’den alından sertifikalar için http://www.akiskart.com.tr/tr/destek.htmladresinden ya da http://www.kamusm.gov.tr/islemler/surucu_yukleme_servisi/adreslerinden indirilebilir. Siz de kendi kurumunuza ait akıllı kart ve kart okuyucu sürücülerini etki alanınızda yer alan istemcilere kurmalısınız.
·         Oturum açma işleminin aktif dizin hesapları ile entegre edilebilmesi için Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretilen nitelikli elektronik imza bulunduran kart içerisinde Niteliksiz (Logon özellikli) Sertifika olması gerekmektedir. Bunun kontrolü için Kamu SM’den alınan sertifikalar için internetten indirilen Akis yazılımıyla birlikte gelen Akis Kart İzleme Aracı kullanılarak aşağıdaki resimdeki gibi yapılabilir. Bu yazılımın çalışması için Java (JRE) programınaihtiyaç duyulmaktadır. 64 bit işletim sistemine sahip kullanıcılar JRE paketinin hem 32 bit hem de 64 bit sürümünü kurmalıdırlar.
·         Eğer elinizde bu sertifikaya sahip bir akıllı kart yok ise logon işlemini yapamazsınız. Elektronik Sertifika Hizmet Sağlayıcınız tarafından üretilen akıllı kartlar içerisinde nitelikli elektronik imza sertifikası ile birlikte “logon” özellikli sertifika talebi yapmanız gerekmektedir.
072213_1010_EimzaAktifD2.png
o   NES               : Nitelikli Elektronik Sertifika
o   ENCR            : Niteliksiz şifreleme işlemleri özellikli sertifika
o   SIGN             : Niteliksiz İmza özellikli sertifika. (Bu sertifikanın mutlaka “logon” özellikli de olması gerekmektedir.)
·         Logon işlemi için kullanılan sertifikanın varsayılan olarak seçili olması gereklidir. (Arka plan renk mavi ise varsayılan demektir.)
·         Logon sertifikası Akis kart izleme aracı ile yukarıda resimdeki “Sertifika Yönetimi” butonuna basılarak dışarı çıkartılarak sertifika özelliklerinden “Subject Alternative Name” başlığı tıklanır.
Burada mutlakakullanıcının kendi kurumu etki alanında oturum açarken kullandığı UPN, [email protected]  gibi tanımlı olmalıdır.
072213_1015_EimzaAktifD3.png
2.      Yapılandırma: Etki Alanı ve Sunucu Yapılandırma İşlemleri
·         Etki alanında var olan bir CA yok ise bir Certificate Authority (CA) kurulur.
·         Bu CA tarafından üretilen KÖK sertifikanın tüm DC’lerin “Trusted Root Certification Authorities” sertifika deposu altında göründüğünden emin olunur. Aktif Dizin ortamlarında AD üyesi bir sunucuya CA rolü kurulduğunda CA’nın KÖK sertifikası otomatik olarak etki alanı üyesi bilgisayarlara yüklenir. Yükleme işlemi için bilgisayarı “yeniden başlatmak” ya da “gpupdate /force” komutunu çalıştırmak yeterlidir.
·         Daha sonra Elektronik Sertifika Hizmet Sağlayıcının KÖK sertifikalarının güvenilen kök sertifika depolarına yüklenmesi gerekir. Tüm istemci ve sunucuların “Trusted Root Certification Authorities” sertifika deposu altında sertifika alınmış olan ESHS’nin KÖK sertifikalarının yüklenmesi gerekmektedir. Çünkü ESHS’den alınan sertifikaların güvenilen KÖK sertifikalar tarafından üretilmiş olması gerekir. Kamu SM’den alından sertifikaların KÖK sertifikaları http://www.kamusm.gov.tr/depo/sertifikalar/depo.jspadresinden indirilebilir. Siteden, hangi sürüm KÖK sertifikaları indireceğinizi Akis yöneticisi programından sertifikanın özelliklerine bakarak öğrenebilirsiniz.

072213_1015_EimzaAktifD5.png

072213_1015_EimzaAktifD6.png

·         İndirilen sertifikaların sertifika (CA) sunucusunda, ortamda bulunan tüm DC’lerde ve tüm istemci bilgisayarlarda “Local Computer\Trusted Root Certificaton Authorities” altında yüklü olması gerekmektedir. Bu işlemi GPO ile ilerleyen adımlarda anlatacağız. Ancak ilk olacak CA sunucusuna manual olarak yüklemeliyiz (import). Bunun için MMC konsolundan “Certificates Snap-in” ekleyerek aşağıdaki konsola erişmeliyiz.

072213_1015_EimzaAktifD7.png

072213_1015_EimzaAktifD8.png

·         Sertifikaları yükleme (Import) işlemini iki kere tekrarlayarak indirilen 2 KÖK sertifika da mutlaka yüklenmelidir.

·         Daha sonra sertifika (CA) sunucusunda “pkiview.msc” komutu girilir.
072213_1015_EimzaAktifD9.png
·         Açılan konsoldan Enterprise PKI başlığına sağ tıklanarak “Manage AD Containers” menüsüne girilir.
072213_1015_EimzaAktifD10.png
·         Gelen Pencereden ilk olarak “NTAuthCertificates” başlığı kontrol edilmelidir. Aşağıdaki açılan ekranda ESHS’nin sitesinden indirilen iki sertifika da görünmelidir. Eğer görünmüyorsa “Add” butonuna basarak bütün KÖK sertifikaları yüklemeliyiz.
072213_1015_EimzaAktifD11.png
·         İndirdiğiniz sertifikaların uzantıları “.crt” ise yukarıdaki ekrandan ADD dediğiniz de açılan sihirbazı “.cer” uzantılı KÖK sertifikaları isteyeceğinden, uzantıları elle değiştirerek ekleme yapabilirsiniz.
·         Ekleme işlemi bittikten sonra eklenen sertifikaları aşağıdaki sekmeler altında görmelisiniz.
o   NTAuthCertificates
o   AIA (Authority Information Access)
o   Certification Authorities Container
·         Ancak yüksek ihtimalle AIA ve Certification Authorities Container başlıklarının altında sertifikaları göremeyeceksiniz. Bu alanlara eklemek için komut satırından aşağıdaki komutları girmelisiniz.
·         Komut satırı (CMD) sağ tıklanarak Run As Admin diyerek açılmalıdır.
AIA için Sekmesine Ekleme Yapmak için

–          certutil –dspublish –f KOKSHS.v3.cer SubCA

–          certutil –dspublish –f NESHS.v3.cer SubCA
Certification Authorities Container Sekmesine Ekleme Yapmak için

–          certutil –dspublish –f KOKSHS.v3.cer RootCA

–          certutil –dspublish –f NESHS.v3.cer RootCA
İki KÖK sertifikası da yukarıdaki komutlarla eklendikten sonra “pkiview.msc” ekranında görülen son durum aşağıdaki gibi olmalıdır.
072213_1015_EimzaAktifD12.png
072213_1015_EimzaAktifD13.png
·         Bütün elektronik sertifikalar belirli süreler içinde geçerliliğini yitirir. Genellikle kullanıcı elektronik imza sertifikaları 3 yıllık geçerlilik süreler ile üretilirler. Oturum açma esnasında kullanıcının elektronik imzasının yani sertifikasının geçerliliği de kontrol edilir. Kullanıcı bilgisayarlarının sertifikanın geçerliliği kontrol edebilmesi için Sertifika İptal Listesi-SİL (Certificate Revocation List-CRL)  adresine erişebilmesi gerekmektedir. Sertifika İptal Listesi-SİL adı verilen bu liste iptal edilen sertifikaların seri numaralarını tutan listedir ve bu liste ESHS tarafından internetten yayınlanır. Bu adresi http://www.kamusm.gov.tr/depo/sertifikalar/depo.jspadresinden indirdiğiniz sertifikanın özelliklerinde yer alan SİL Dağıtım Noktası  (CRL Distribution Point-CDP) başlığı altından öğrenebilirsiniz. Ortamda internet erişiminde engellemeler var ise bu adrese mutlaka izin verilmelidir.
072213_1015_EimzaAktifD14.png

 

Eğer ortamda internet erişimi yok ise http://www.kamusm.gov.tr/depo/sertifikalar/depo.jspadresinden indireceğiniz iptal listelerini Local CA’ nıza import ederek kullanabilirsiniz.

072213_1015_EimzaAktifD15.png

3.      Yapılandırma: İstemcilerde Yapılması Gereken İşlemler
·         ESHS tarafından üretilen KÖK sertifikaların tüm istemci bilgisayarların güvenlik kök sertifika otoriteleri deposunda yüklü olması gerekir. Bunun için ESHS’nin internet adresi olan http://www.kamusm.gov.tr/depo/sertifikalar/depo.jspadresinden indirdiğimiz sertifikaları AD üyesi tüm bilgisayarlara dağıtmanız gerekmektedir. Bunun için yeni bir GPO oluşturulur.
Computer Configuration \ Windows Settings \ Security Settings \ Public Key Policies \ Trusted Root Certification Authorities bölümüne gelinerek sağ tıklanır “import” seçeneği seçilerek indirdiğimiz iki sertifika buraya import edilir. Bu sayede domaine üye bilgisayarların sertifikayı veren Sertifika Makamına-SM (Certification Authority-CA) ye güvenmesi sağlanmaktadır.
072213_1015_EimzaAktifD16.png
072213_1015_EimzaAktifD17.png

·         Akıllı Kart Oturum Açma (Smart Card logon) özelliğinin devreye girmesi için aynı GPO’da (farklı gpo’da olabilir) aşağıdaki servislerin bilgisayarlarda otomatik olarak başlamış olması sağlanmalıdır.

Computer Configuration \ Windows Settings \ Security Settings \ System Services sekmesine gelinir ve aşağıdaki resimdeki gibi ayarlanır.
o   Smart Card
o   Smart Card Removal Policy  ( Bu servis, akıllı kart çıkarma davranışını etkin hale getirmek için otomatik olarak çalıştırılmalıdır.)
·         Smart Card Removal Policy servisi gerekli olan GPO ayarı yapıldığı takdirde kullanıcı bilgisayarından akıllı kartını çıkarttığında bilgisayar otomatik olacak kilitlenmesini (LOCK) sağlama işine yaramaktadır.

 

072213_1015_EimzaAktifD18.png

Şu an gerekli olan yapılandırmalar tamamlanmış durumdadır. Aşağıdaki GPO ayarı karar vereceğiniz kullanım senaryosuna göre ayarlanmalıdır.

Akıllı Kart Oturum Açma işlemi ilgi 2 adet GPO bulunmakta. Bunlara aşağıdaki şekilde erişilebilir.
·         Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options  –  seçeneği tıklanır. Sağ tarafta bizi ilgilendiren iki politika bulunmaktadır:
o   Interactive logon: Require smart card                          : Bu seçenek “Enable” yapılırsa bu GPO’nun uygulandığı OU’da bulunan bilgisayarlarda Smart Kart olmadan oturum açılamaz.
o   Interactive logon: Smart card removal behavior      : Bu seçenek aşağıdaki resimdeki gibi de ayarlanabilir. Bu ayarların çalışabilmesi için mutlaka yukarıdaki servisler adımındaki “Smart Card Removal Policy” servisinin otomatik başlatılması gerekmektedir.
19
·         GPO olmadan akıllı kart kullanımı zorlanmak istenirse Active Directory Users and Computers’den ayar yapılması istenilen kullanıcı bulunur ve kullanıcı özelliklerinden Account sekmesine gelinir ve “Smart card is required for interactive logon” kutucuğu işaretlenir.

 20

4.      Akıllı Kart ile Kullanarak Oturum Açmak
5.      Soru – Cevap
Soru      :“Smart card is required for interactive logon” seçeneğini seçtiğimizde kullanıcılar Exchange OWA ekranından oturum açarken sorun yaşarlar mı?
Cevap   : Hayır sorun olmaz. Eskisi gibi user/pass girerek oturum açabilir.
Soru      :Domain suffix imiz ile ESHS’den aldığımız niteliksiz sertifikanın içindeki suffix eşleşmiyor ne yapabilirim?
Cevap   : Sorun sadece suffix ise (user logon name aynı olduğunu varsayıyorum) Active Directory Domain and Trust ekranından ESHS’den aldığınız sertifikada bulunan suffix i eklemeniz mümkün.
23
24
Bu işlemden sonra kullanıcın özelliklerinde iki suffix de görünmeye başlayacaktır. Burada varsayılan olan suffix sertifikada olan olmalıdır. Tüm kullanıcı (user) nesnelerini seçerek sağ tık özellikler seçeneği ile toplu olarak su suffix değiştirilebilir. Yada Script kullanarak tüm kullanıcılarda bu değişkeni değiştirebilirsiniz.
Dikkat: Aşağıdaki resimdeki User Logon Name kısmındaki isim de ESHS’den gelen sertifikadaki UPN ile eşleşmek zorundadır.
25
Soru      :Windows oturum açma prosedürü nasıl işliyor?
Cevap   :
26
Soru      :Akıllı kart ile kimlik doğrulama işlemi nasıl işliyor?
Cevap   :
27

Akıllı Kart ile Kimlik Doğrulama

  1. Kullanıcı akıllı kartını kart okuyucuya yerleştirdiğinde Windows Oturum Açma Servisi (Winlogon) kullanıcıdan PIN (Personal Identification Number) girmesini ister.
  2. Kullanıcı tarafından girilen PIN, Local Security Authority (LSA) ya gönderilir.
  3. LSA girilen PIN i kullanarak akıllı karta erişir ve kullanıcının sertifikasını açık anahtarı ile birlikte çeker ve Kerberos servis sağlayıcısına gönderir.
  4. Kerberos kimlik doğrulama servis isteğini (X.509 sertifikası ile birlikte) Domain Controller (DC) üzerindeki KDC (Key DistributionCenter) servisine gönderir.
  5. KDC ilk olarak sertifikasyon yolunu doğrular. Bunun için KDC CryptoAPI kullanarak kullanıcı sertifikasından Kök Sertifika Makamı Sertifikasına  kadar doğrulama yapar. Bu doğrulama sırasında KDC kullanıcı sertifikasındaki Konu Diğer Adı (Subject Alternative Name) ile Aktif Dizindeki kullanıcı UPN (User Principal Name) ile karşılaştırır. Aynı zamanda kullanıcı sertifikasındaki imzanın yetkili Sertifika Makamı tarafından verildiği de doğrulanmış olur.
  6. KDC aktif dizindeki kullanıcı hesap bilgileri ile oturum için bir TGT (Ticket Granting Service) oluşturur. KDC oluşturduğu TGT’yi rastgele oluşturduğu bir anahtar ile şifreler. Bu anahtar kullanıcın açık anahtarı ile şifrelenir ve bu şifrelenmiş anahtar da KDC’nin veri alanına eklenir. Böylece sadece istemcinin kendi özel anahtarı ile şifresini çözebileceği bir oturum açma anahtarı oluşturulmuş olur.
  7. İstemci kendi özel anahtarı ile oturum açma anahtarının şifresini çözer ve TGT’yi doğrulama servisine (ticket granting service) sunar.
  8. Böylece Akıllı Kart ile kimlik doğrulama işlemi tamamlanmış olur.

 

Soru    : Akıllı kartım ile Uzak Masaüstü ile sunucu ya da bilgisayarlara bağlanabilir miyim?
Cevap : Evet. RDP ile bağlanmak istediğiniz sunucu/client bilgisayarda kart okuyucusu (token) ve akıllı kart yongası (Chip) sürücülerinin (drvier) mutlaka kurulu olması gerekli. Daha sonra Uzak masaüstü programında aşağıdaki resimdeki kutucuk işaretlenerek bağlantı kurulabilir.
28