Smart Card Login mit YubiKey funktioniert nicht
Hallo zusammen,
ich baue gerade bei meinem Arbeitgeber ein neues und sauberes Active Directory auf, ehe wir uns mit Microsoft 365 beschäftigen. Das hat einfach den Grund, dass unser jetziges AD 2003 aus einer NT-Domäne entstanden ist, aber der damalige Dienstleister hat dieses ohne Rücksicht auf Verluste durchgezogen. In letzter Zeit sind dadurch immer mehr Unzulänglichkeiten aufgefallen, deren Behebung einfach zu viel Zeit fressen würde.
Das neue AD hat den Forest und Domain Level von Windows Server 2016 und wird auf Server 2022 betrieben. Aktuell sind in dem AD zwei DC, eine CA-Server und ein Server für den Entra Connect Sync (alles Server 2022 Datacenter).
Die CA ist zweistufig, eine Root-CA (Offline und kein Mitglied des AD) und eine Herausgeber-CA, die auf zuvor erwähntem CA-Server betrieben wird.
Das Zertifikat der Root-CA ist mit folgenden Parametern SHA256 mit RSA4096, gültig bis 2055. Das Zertifikat der Herausgeber-CA ist ebenfalls ein SHA256 mit RSA4096, gültig bis 2040. Die Ausgabe der Zertifikate funktioniert problemlos, sowohl Computer als auch Benutzer des AD erhalten über die automatische Registrierung ihre Zertifikate zugewiesen und für die WLAN-Authentifizierung funktionieren diese. Andere Dienste, die die PKI nutzen, sind aktuell noch nicht im Betrieb.
Für die adminstrativen Benutzer sollen USB Token zur Smart Card-Authentifizierung eingeführt werden. Dazu wurden im ersten Schritt YubiKey 5 NFC beschafft. In einem ersten Test wurden einem dieser YubiKeys für den Zertifikatsteil die PIN geändert, anschließend gemäß der Anleitung von Yubico eine Zertifikatsvorlage angelegt und zu letzt das Smart Card-Zertifikat auf den YubiKey geladen. Dieses war auch erfolgreich, was man im Yubico Authenticator sehen kann.
Die Zertifikatsvorlage wurde mit RSA2048 und SHA256 angelegt, ECDH wurde noch nicht probiert. Um sicher zu gehen, wurde aber per GPO die Nutzung von ECC für die Smart Card-Anmeldung erlaubt. (ECC ist zwar kein Hashalgorithmus, aber sicher ist sicher)
Wenn man diesen YubiKey jetzt bei der Anmeldung nutzen will, dann wird dieser auch als Smart Card erkannt, ich kann die PIN eingeben und dann endet alles mit der Fehlermeldung (bzw. bei uns ist die Fehlermeldung in Deutsch, den genauen Wortlaut hab ich aber gerade nicht greifbar). Die selbe Fehlermeldung erhält man, wenn man den YubiKey nutzen will, um sich per RDP mit einem Server zu verbinden und hierfür auch die Smart Card nutzen will.
Auf dem Client (Windows 11 24H2, frisch installiert) und dem DC wurde der Yubico Mini Driver installiert.
Leider findet man dazu nichts, weder auf deutsch noch auf englisch. Alle Google-Treffer dazu beziehen sich auf die Winerror.h, also listen einfach nur alle Fehlermeldungen auf, die Windows so im Programm hat.
Hat von euch schonmal jemand die YubiKeys im AD als Smart Card genutzt und es erfolgreich zum Laufen gebracht?
Leider habe ich keinen Angriffspunkt, um den Fehler zu erschießen, da es, außer dieser Fehlermeldung, nichts gibt. Im Eventviewer findet sich nichts, was zum Fehler gehören könnte, das Internet gibt nichts her und selbst im Test-AD, was ähnlich aufgebaut ist, habe ich den gleichen Fehler.
Der Benutzer kann sich problemlos anmelden, wenn man das Passwort eingibt. Im Test-AD wurde es auch mit einem nicht-administrativen Benutzer getestet, ebenso erfolglos mit derselben Fehlermeldung.
In der Hoffnung, dass ich nicht der erste und einzige mit diesem Problem bin, wünsche ich einen schönen Abend
Gruß tikayevent
ich baue gerade bei meinem Arbeitgeber ein neues und sauberes Active Directory auf, ehe wir uns mit Microsoft 365 beschäftigen. Das hat einfach den Grund, dass unser jetziges AD 2003 aus einer NT-Domäne entstanden ist, aber der damalige Dienstleister hat dieses ohne Rücksicht auf Verluste durchgezogen. In letzter Zeit sind dadurch immer mehr Unzulänglichkeiten aufgefallen, deren Behebung einfach zu viel Zeit fressen würde.
Das neue AD hat den Forest und Domain Level von Windows Server 2016 und wird auf Server 2022 betrieben. Aktuell sind in dem AD zwei DC, eine CA-Server und ein Server für den Entra Connect Sync (alles Server 2022 Datacenter).
Die CA ist zweistufig, eine Root-CA (Offline und kein Mitglied des AD) und eine Herausgeber-CA, die auf zuvor erwähntem CA-Server betrieben wird.
Das Zertifikat der Root-CA ist mit folgenden Parametern SHA256 mit RSA4096, gültig bis 2055. Das Zertifikat der Herausgeber-CA ist ebenfalls ein SHA256 mit RSA4096, gültig bis 2040. Die Ausgabe der Zertifikate funktioniert problemlos, sowohl Computer als auch Benutzer des AD erhalten über die automatische Registrierung ihre Zertifikate zugewiesen und für die WLAN-Authentifizierung funktionieren diese. Andere Dienste, die die PKI nutzen, sind aktuell noch nicht im Betrieb.
Für die adminstrativen Benutzer sollen USB Token zur Smart Card-Authentifizierung eingeführt werden. Dazu wurden im ersten Schritt YubiKey 5 NFC beschafft. In einem ersten Test wurden einem dieser YubiKeys für den Zertifikatsteil die PIN geändert, anschließend gemäß der Anleitung von Yubico eine Zertifikatsvorlage angelegt und zu letzt das Smart Card-Zertifikat auf den YubiKey geladen. Dieses war auch erfolgreich, was man im Yubico Authenticator sehen kann.
Die Zertifikatsvorlage wurde mit RSA2048 und SHA256 angelegt, ECDH wurde noch nicht probiert. Um sicher zu gehen, wurde aber per GPO die Nutzung von ECC für die Smart Card-Anmeldung erlaubt. (ECC ist zwar kein Hashalgorithmus, aber sicher ist sicher)
Wenn man diesen YubiKey jetzt bei der Anmeldung nutzen will, dann wird dieser auch als Smart Card erkannt, ich kann die PIN eingeben und dann endet alles mit der Fehlermeldung
Hash generation for the specified version and hash type is not enabled on server.Auf dem Client (Windows 11 24H2, frisch installiert) und dem DC wurde der Yubico Mini Driver installiert.
Leider findet man dazu nichts, weder auf deutsch noch auf englisch. Alle Google-Treffer dazu beziehen sich auf die Winerror.h, also listen einfach nur alle Fehlermeldungen auf, die Windows so im Programm hat.
Hat von euch schonmal jemand die YubiKeys im AD als Smart Card genutzt und es erfolgreich zum Laufen gebracht?
Leider habe ich keinen Angriffspunkt, um den Fehler zu erschießen, da es, außer dieser Fehlermeldung, nichts gibt. Im Eventviewer findet sich nichts, was zum Fehler gehören könnte, das Internet gibt nichts her und selbst im Test-AD, was ähnlich aufgebaut ist, habe ich den gleichen Fehler.
Der Benutzer kann sich problemlos anmelden, wenn man das Passwort eingibt. Im Test-AD wurde es auch mit einem nicht-administrativen Benutzer getestet, ebenso erfolglos mit derselben Fehlermeldung.
In der Hoffnung, dass ich nicht der erste und einzige mit diesem Problem bin, wünsche ich einen schönen Abend
Gruß tikayevent
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672399
Url: https://administrator.de/forum/smart-card-login-mit-yubikey-funktioniert-nicht-672399.html
Ausgedruckt am: 07.05.2025 um 06:05 Uhr
11 Kommentare
Neuester Kommentar
Moin.
Das läuft hier ohne Weiteres nach Yubicos Anleitung.
Prüfe jeden einzelnen Schritt.
Unsere Zertvorlage ist kompatibel zu CA Server 2016 und Zertifikatsempfänger Win8.1/Server 2012R2 - das erwähnt Yubico nicht 8ist vermutlich unerheblich, aber setze es doch ebenso auf).
Das läuft hier ohne Weiteres nach Yubicos Anleitung.
Prüfe jeden einzelnen Schritt.
Unsere Zertvorlage ist kompatibel zu CA Server 2016 und Zertifikatsempfänger Win8.1/Server 2012R2 - das erwähnt Yubico nicht 8ist vermutlich unerheblich, aber setze es doch ebenso auf).
Ich hab die Vorlage auf CA Server 2016 und Empfänger Win10/Server 2016 konfiguriert, da selbst Windows 10 für uns im neuen AD eigentlich nicht mehr relevant ist. Ich werde es morgen nochmal mit deiner Kompatiblität probieren, da es die einzige Abweichung ist.
Der Rest ist exakt nach Anleitung eingetragen. Ich habe die Vorlage sogar zur Kontrolle mehrfach angelegt. Einzig der Vorlagenname weicht zur Anleitung ab.
Zur Gegenprüfung für morgen hab ich sogar meine alten Gemalto-Smart Cards von 2010 rausgeholt und der Kollege versucht irgendwie ein Thales eToken zu beschaffen.
Der Rest ist exakt nach Anleitung eingetragen. Ich habe die Vorlage sogar zur Kontrolle mehrfach angelegt. Einzig der Vorlagenname weicht zur Anleitung ab.
Zur Gegenprüfung für morgen hab ich sogar meine alten Gemalto-Smart Cards von 2010 rausgeholt und der Kollege versucht irgendwie ein Thales eToken zu beschaffen.
Hallo,
die kryptografisch bedingten Fehlermeldungen beim Login sind meist nicht sehr präzise, da muss man prinzipiell alles in Betracht ziehen. Was fällt im Eventlog an?
Die Yubico-Anleitung erwähnt den DC nicht: Hat der ein Zertifikat mit Server-Authentifizierung, Client-Authentifizierung und KDC-Authentifizierung?
Grüße
Richard
die kryptografisch bedingten Fehlermeldungen beim Login sind meist nicht sehr präzise, da muss man prinzipiell alles in Betracht ziehen. Was fällt im Eventlog an?
Die Yubico-Anleitung erwähnt den DC nicht: Hat der ein Zertifikat mit Server-Authentifizierung, Client-Authentifizierung und KDC-Authentifizierung?
Grüße
Richard
Ich habe es so eben nochmal alles neu aufgebaut.
Ich habe eine Zertifikatsvorlage gebaut, komplett am Wortlaut der Anleitungen entlang. Selbst den Namen YubicoSC habe ich übernommen. Die Kompatiblität habe ich gemaß des Vorschlags von @DerWoWusste hinterlegt. Diesmal sogar mit ECDH_P256, um hier noch einen Fehler auszuschließen.
Dazu habe ich auch den beiden DC noch ein Zertifikat aus der Vorlage "Kerberos-Authentifizierung" verpasst und anschließend neugestartet.
Beim Yubikey habe ich auch den PIV-Teil auf Werkseinstellungen zurückgesetzt.
Geändert hat es nichts.
Im Eventlog des Clients finde ich bis auf einen Eintrag unter Sicherheit, mit dem Fehlercode 0xC000A100 (was meiner Fehlermeldung aus dem Eröffnungsbeitrag entspricht), nichts was damit zu tun haben könnte.
Ganz am Anfang ein NETLOGON 5719, der aber daher kommt, dass NETLOGON schnell ist, als die Netzwerkverbindung. Mein Problem tritt aber auch auf, wenn ich mich ab- und wieder anmelde(n will), hier erscheint der NETLOGON 5719 nicht.
Auf den DC ist im Eventlog nichts zu finden. Eine Warnung zur NTLM-Nutzung für die RDP-Sitzung (mein Rechner ist noch im alten AD).
Ich habe eine Zertifikatsvorlage gebaut, komplett am Wortlaut der Anleitungen entlang. Selbst den Namen YubicoSC habe ich übernommen. Die Kompatiblität habe ich gemaß des Vorschlags von @DerWoWusste hinterlegt. Diesmal sogar mit ECDH_P256, um hier noch einen Fehler auszuschließen.
Dazu habe ich auch den beiden DC noch ein Zertifikat aus der Vorlage "Kerberos-Authentifizierung" verpasst und anschließend neugestartet.
Beim Yubikey habe ich auch den PIV-Teil auf Werkseinstellungen zurückgesetzt.
Geändert hat es nichts.
Im Eventlog des Clients finde ich bis auf einen Eintrag unter Sicherheit, mit dem Fehlercode 0xC000A100 (was meiner Fehlermeldung aus dem Eröffnungsbeitrag entspricht), nichts was damit zu tun haben könnte.
Ganz am Anfang ein NETLOGON 5719, der aber daher kommt, dass NETLOGON schnell ist, als die Netzwerkverbindung. Mein Problem tritt aber auch auf, wenn ich mich ab- und wieder anmelde(n will), hier erscheint der NETLOGON 5719 nicht.
Auf den DC ist im Eventlog nichts zu finden. Eine Warnung zur NTLM-Nutzung für die RDP-Sitzung (mein Rechner ist noch im alten AD).
Magst Du Bilder aller Einstellungen des Templates hochladen?
Kein Problem, sind schon da.
Ok, alles wie bei uns bis auf die Ausstellungsvoruassetzungen, aber die haben mit dem fertigen Zertifikat nichts zu tun und tun nichts zur Sache.
Somit bleibt bei Verwendung von ECC256 nur sicherzustellen, dass die Clients ECC auch erlauben, also wie bei yubico genannt eine GPO auf die rechnerobjekte anwenden mit:
Computer Configuration > Policies > Administrative Templates > Windows Components > Smart Card.
Right-click on Allow ECC certificates to be used for logon and authentication and select Edit.
On the Edit window select Enabled.
Somit bleibt bei Verwendung von ECC256 nur sicherzustellen, dass die Clients ECC auch erlauben, also wie bei yubico genannt eine GPO auf die rechnerobjekte anwenden mit:
Computer Configuration > Policies > Administrative Templates > Windows Components > Smart Card.
Right-click on Allow ECC certificates to be used for logon and authentication and select Edit.
On the Edit window select Enabled.
ECC hatte ich erlaubt und habe es auch nochmal per rsop auf dem Client kontrolliert. Mit RSA2048 hatte ich ja das gleiche Verhalten.
Ich bin jetzt aber einen Schritt weiter, die Anmeldung am Client funktioniert jetzt. Es liegt nicht am Zertifikat, sondern irgendwas in der MS Security Baseline konfiguriert etwas so, dass es nicht funktioniert. Ich habe jetzt mal alle GPOs der Baseline deaktiviert und versuche jetzt herauszufinden, welche Einstellung in welchem GPO für das Problem sorgt.
Ist super, wenn eine Sicherheitsrichtlinie dafür sorgt, dass man es unsicherer machen muss, damit es funktioniert.
Ich bin jetzt aber einen Schritt weiter, die Anmeldung am Client funktioniert jetzt. Es liegt nicht am Zertifikat, sondern irgendwas in der MS Security Baseline konfiguriert etwas so, dass es nicht funktioniert. Ich habe jetzt mal alle GPOs der Baseline deaktiviert und versuche jetzt herauszufinden, welche Einstellung in welchem GPO für das Problem sorgt.
Ist super, wenn eine Sicherheitsrichtlinie dafür sorgt, dass man es unsicherer machen muss, damit es funktioniert.
LOL. Sehr schön! Teil mal mit, welche GPO das war, das klingt interessant.
Ich weiß nicht, welche es genau war, aber es gibt zwei Richtlinien, bei denen es um Hashes geht.
In der Baseline setzt Microsoft diese beide in MSFT Windows 11 24H2 - Computer
Die eine ist
Die andere ist
Beide Richtlinien sind so konfiguriert, dass SHA1 deaktiviert und SHA256/384/512 aktiviert ist, aber scheinbar klappt hier irgendwas nicht. Ich hab die Richtlinie auf nicht konfiguriert gesetzt und seit dem ist alles schön.
Vielen Dank für eure Hilfe, auch wenn das Problem am Ende an einer ganz anderen Stelle lag, als zu erst vermutet.
In der Baseline setzt Microsoft diese beide in MSFT Windows 11 24H2 - Computer
Die eine ist
Computer => Richtlinien => Administrative Vorlagen => System => Kerberos => Hashalgorithmen für die Zertifikatsanmeldung konfigurierenDie andere ist
Computer => Richtlinien => Administrative Vorlagen => System => KDC => Hashalgorithmen für die Zertifikatsanmeldung konfigurierenBeide Richtlinien sind so konfiguriert, dass SHA1 deaktiviert und SHA256/384/512 aktiviert ist, aber scheinbar klappt hier irgendwas nicht. Ich hab die Richtlinie auf nicht konfiguriert gesetzt und seit dem ist alles schön.
Vielen Dank für eure Hilfe, auch wenn das Problem am Ende an einer ganz anderen Stelle lag, als zu erst vermutet.
3
Danke fürs Teilen.
