BitLocker 是自 Windows Vista 起微软在操作系统中内置的一项硬盘加密功能,用户可以选择使用密码或者智能卡对数据进行加密。而正好智能卡也是 YubiKey 的功能之一,如果你也像 reizhi 一样厌倦了每次输入密码进行解锁,不妨将 YubiKey 添加为 BitLocker 的解锁方式,这样每次解锁只需要输入 PIN 即可。
将 YubiKey 绑定到 BitLocker 之后并不能提高数据安全性,它仅仅只是提供了一种较为简便的解锁方式。在绑定之后,使用主密码或者 YubiKey PIN 都能够解锁硬盘,所以如果 YubiKey 意外丢失并不会导致无法解锁。除此之外,绑定 YubiKey 并不会改变 Bitlocker 已有的加密数据,瞬间即可完成。
1.修改组策略
为了使 BitLocker 能够正确识别自签名证书,我们需要在启用绑定的电脑上修改组策略的相关设置。如果只是解锁则可不修改,举例来说:需要将 YubiKey 绑定到移动硬盘,那么当前操作绑定的系统需要修改组策略,而在其他电脑上使用 YubiKey 对移动硬盘解锁不需要修改。
首先在开始菜单键入 gpedit.msc 并回车,在本地组策略编辑器窗口中定位到:计算机配置 – 管理模板 – BitLocker 驱动器加密 – 验证智能卡证书使用合规性,点选已启用。对象标识符保持默认,点击确定。
2.修改注册表
默认设置下 BitLocker 不接受自签名证书,所以我们在启用绑定的电脑上还需要对注册表稍作修改。同样的,如果只是解锁则可不修改。
在开始菜单键入 regedit.msc 并回车,在注册表编辑器窗口定位到:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
,右键新建一个名为 SelfSignedCertificates
的 Dword 值,数据为1。随后重启电脑使注册表生效。
3.生成自签名证书
将以下内容保存为一个 txt 文件,文件名任意。为了方便说明这里使用 cert.txt 做举例,保存在 D:\ 。
[NewRequest]
Subject = "CN=BitLocker"
KeyLength = 2048
HashAlgorithm = Sha256
Exportable = TRUE
KeySpec = "AT_KEYEXCHANGE"
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = Cert
SMIME = FALSE
ValidityPeriodUnits = 99
ValidityPeriod = Years
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.67.1.1
在开始菜单键入 powershell 并回车,依次执行以下两行:
cd d:
certreq -new .\cert.txt
此时会提示 CertReq: 已创建并安装证书,并弹出一个文件保存窗口。将这个文件保存在任意位置均可,我们用不到它,可以立即删除。此时 cert.txt 也可以一并删除。
在开始菜单键入 certmgr.msc 并回车,在证书管理器窗口中定位到:个人 – 证书,并找到刚刚创建的名为 BitLocker 的证书,右键点选 所有任务 – 导出。
在导出向导中的第一部选择“是,导出私钥”,第二步选择“如果导出成功,删除私钥”,其余均可默认。按照提示设置一个导出文件密码,保存证书到文件。为了方便说明这里使用 cert.pfx 做举例。
4.导入证书到 YubiKey
打开 YubiKey Manager ,定位到 Applications – PIV – Configure Certificates – Slot 9a ,点击 Import 。选择上一步中导出的 cert.pfx ,输入上一步中设置的密码,将证书导入到 YubiKey 中。
如果有多个 YubiKey ,重复该步骤逐个导入即可。这里不使用 YubiKey Manager 自带的生成证书功能主要原因是生成的证书无法导出私钥,也就无法复制到其他的 YubiKey 。
导入完成后请务必将 cert.pfx 保存在安全的地方或者进行文件粉碎。
5.绑定 BitLocker
做完了以上步骤之后我们终于可以将 YubiKey 绑定到 BitLocker 了,只需要先解锁磁盘,在控制面板中选择添加智能卡即可。添加和移除都是瞬间完成的,如果你有多个 YubiKey 只需要绑定一个即可,前提是导入了同样的 cert.pfx 证书。
后续解锁时选择“使用智能卡”解锁磁盘,只需要插入 YubiKey 并输入 PIN 即可。
6.其他说明
在绑定过程中使用过的 cert.txt 以及导出的申请文件没有泄密风险,且无需保留可直接删除。在系统中创建的 BitLocker 个人证书无需备份,也不需要删除,但请务必操作一次导出。无论是否选择删除私钥,私钥都只能被导出一次。
如果后续不会再增加新的 YubiKey 或者同类智能卡硬件,导出的 cert.pfx 可以直接文件粉碎。反之则请将其保存在安全的位置,并牢记导出时设置的证书密码。已经导入到 YubiKey 的证书,再导出时只包含公钥,无法用于解密和复制到其他的 YubiKey 。如果 cert.pfx 已经删除还需要增加 YubiKey ,则只能解除绑定重新开始。
如果需要解除绑定,可以解锁硬盘后在控制面板操作。
本文参考了 https://nathanaelfrey.com/2021/01/09/setting-up-bitlocker-with-yubikey-as-smart-card/ ,在此表示感谢。
您也可以联系文章作者本人进行修改,若内容侵权或非法,可以联系我们进行处理。
任何个人或组织,转载、发布本站文章到任何网站、书籍等各类媒体平台,必须在文末署名文章出处并链接到本站相应文章的URL地址。
本站文章如转载自其他网站,会在文末署名原文出处及原文URL的跳转链接,如有遗漏,烦请告知修正。
如若本站文章侵犯了原著者的合法权益,亦可联系我们进行处理。
hi5个月前0
请问有详细一点的自己搭建的教程吗你好6个月前0
你好,可以再帮我看看吗? 我已经按照你的方法设定了,还是一样,wordpress后台的 Purge Varnish Cache 插件还是清除不到cache,依旧显示 the varnish control terminal is not responding at。谢谢https://mjj.today/i/Srk2Tz https://mjj.today/i/Srkcoi你好6个月前0
对,你说的没错,我配置的时候改了一些东西,现在我按照你的教学,可以启动了,网页可以缓存了,不过wordpress 清除cache 那个插件没用的,我输入本地回环地址127.0.0.1 :6082 ,再输入API key ,插件显示the varnish control terminal is not responding at 127.0.0.1:6082,就你图片那样,然后试一下点击清除cache 那里,他显示error,研究了一天,还是没有不行。你好6个月前1
你好,为啥我按照你的方法,到第三部分,去到真正后源的服务器设定Varnish 部分,我填了真正后源的IP跟端口跟域名,然后重启 Varnish ,就出现这样了? 这是怎么回事? 谢谢[Linux] AMH 7.1 https://amh.sh[varnish-6.6 start] ================================================== =========== [OK] varnish-6.6 is already installed. Could not delete 'vcl_boot.1713549650.959259/vgc.sym': No such file or directory Error: Message from VCC-compiler: VCL version declaration missing Update your VCL to Version 4 syntax, and add vcl 4.1; on the first line of the VCL files. ('/home/usrdata/varnish/default.conf' Line 1 Pos 1) ...#---Running VCC-compiler failed, exited with 2 VCL compilation failedchu6个月前0
很完善的教程‘hu6个月前0
我用gmail EMAIL_SERVER="smtp://********@gmail.com:bpyfv*********chry@smtp.gmail.com:587"叽喳6个月前0
MAIL_SERVER="smtp://no-reply@vort.me:password123@wednesday.mxrouting.net:587"大佬 这个使用outlook 或者gmail 是什么样子的格式? 邮寄已经开启smtp了hu6个月前0
输入框的问题解决了,我没有设置反代,NEXTAUTH_URL改为域名+端口就好了