SmartCards, Windows Server 2019, Windows 10

Mitglied: baddeit

baddeit (Level 1) - Jetzt verbinden

2020/09/23 um 18:31 Uhr, 546 Aufrufe, 4 Kommentare

Hallo allerseits,

ich grüble gerade darüber, wie man in einer Windows 2019 Umgebung (Clients alle Windows 10) SmartCards zur Anmeldung verwendet. Die CA ist installiert, der Enrollment-Agent auch, die SmartCard Vorlage ist kopiert, nur am Client, wenn ich MMC aufrufe und das Zertifikat anfordern möchte, stehen alle Zertifikate auf "Status: nicht verfügbar".

Oder vielleicht ganz anders: Ich verfolge die Anleitung hier:
https://www.winteach.de/windows-server/active-directory/smartcard-login- ...

Ist das grundsätzlich noch aktuell? Ich habe zwar andere Reader und SmartCards, möchte aber gerne ohne Zusatzsoftware auskommen. Falls mir die Zusatzsoftware aber erheblich Arbeit abnimmt gegenüber der Anleitung, wäre ich da gerne bereit, mir diese anzuschauen.

Servus,

Badde
Mitglied: C.R.S.
2020/09/23 um 19:07 Uhr
Hi,

die Fehlermeldung sollte Aufschluss geben, warum die Vorlage nicht verfügbar ist. Wahrscheinlich hast Du keine Rechte für den Enrollment-Agent konfiguriert. Je nachdem, ob das Enrollment direkt auf der Smartcard erfolgen soll oder im Speicher des Enrollment-Agents, muss auch der CSP entsprechend gewählt werden.

Grüße
Richard
Bitte warten ..
Mitglied: baddeit
2020/09/23, aktualisiert um 19:53 Uhr
Hi Richard,

danke für die Antwort. Ich bin jetzt ein wenig weiter. Ich hab die eigenen Zertifikate (Enroll, SmartCards) zu den Vorlagen hinzugefügt (ich Held hab das komplett vergessen) und kann diese nun nutzen. Ferner habe ich auch im SmartCard Template die Ausstellungsvoraussetzungen angepasst und konnte auf dem Client schon mal ein Zertifikat ausstellen als Admin für einen Benutzer.

Was ich jetzt noch gar nicht überblickt habe: Wie kommt jetzt das Zertifikat auf die SmartCard, die im Reader steckt?

Installiert sind die Standardtreiber vom System. Der Reader hängt an einer HP Tastatur, die Karten sind von G+D.

EDIT:
Was ich bisher gelesen habe, brauche ich trotzdem entsprechende Software, um überhaupt die SmartCard in Betrieb nehmen zu können. Mit der Software, die in der Anleitung steht (Gemalto Mini Driver) komme ich nicht sonderlich weit. Ferner kann ich auch den Microsoft Treiber für den HP Reader in der Tastatur nicht gegen den von HP tauschen.
Bitte warten ..
Mitglied: C.R.S.
2020/09/23 um 20:00 Uhr
Zitat von baddeit:

danke für die Antwort. Ich bin jetzt ein wenig weiter. Ich hab die eigenen Zertifikate (Enroll, SmartCards) zu den Vorlagen hinzugefügt (ich Held hab das komplett vergessen) und kann diese nun nutzen.

Verstehe ich nicht ganz (Zertifikate werden an sich nicht "zu den Vorlagen hinzugefügt"). Du brauchst für die administrative Ausstellung das Enrollment-Agent- und das Smartcard-Template, jeweils passend konfiguriert und mit Zugriffsrechten. Dann holst Du dir auf deinem Admin-Client ein Enrollment-Agent-Zertifikat und kannst damit das Enrollment für andere Nutzer durchführen. Aber geklappt hat es ja offenbar.

Was ich jetzt noch gar nicht überblickt habe: Wie kommt jetzt das Zertifikat auf die SmartCard, die im Reader steckt?

Das kommt darauf an. Wenn man mit einem Enrollment-Agent arbeitet, ist es in der Regel sinnvoll (auf einem entsprechend gesicherten Rechner) die Zertifikate in den Nutzerspeicher des Enrollment-Agents auszustellen, als pfx zu exportieren und dann die pfx auf die SC zu schreiben. Das geht mit certutil, man wird aber meist ein Verwaltungstool des Herstellers benutzen.
Das geht natürlich nicht mit größeren Nutzerzahlen, da würde man das anders aufsetzen: Dort erhalten die Nutzer das Recht, Zertifikate anzufordern bzw. werden per Auto-Enrollment dazu aufgefordert. Die Festlegung des Smartcard-CSP im entsprechenden Template sorgt dann dafür, dass der Endnutzer-Client das Zertifikat direkt auf der Smartcard erzeugt (einmalig bis zur Erneuerung).

Letzteres ist an sich eleganter, führt aber mit vielen Smartcard-Produkten nicht immer zum gewünschten Ergebnis. Der Grund es nach dem ersteren Verfahren anzugehen (und ein Hersteller-Tool zu verwenden) ist, dass sich die Verwaltungsoptionen von Smartcards in der Regel je nach Provisionierung unterscheiden. Eine Hierarchie von PIN/PUK/Admin-PIN lässt sich nur über den administrativen Ansatz realisieren. Die Nutzerprovisionierung setzt entsprechend z.B. ein Challenge-Response-Verfahren für das Entsperren gesperrter Karten voraus.
Bitte warten ..
Mitglied: baddeit
2020/09/23 um 20:17 Uhr
Zitat von C.R.S.:

Zitat von baddeit:

danke für die Antwort. Ich bin jetzt ein wenig weiter. Ich hab die eigenen Zertifikate (Enroll, SmartCards) zu den Vorlagen hinzugefügt (ich Held hab das komplett vergessen) und kann diese nun nutzen.

Verstehe ich nicht ganz (Zertifikate werden an sich nicht "zu den Vorlagen hinzugefügt"). Du brauchst für die administrative Ausstellung das Enrollment-Agent- und das Smartcard-Template, jeweils passend konfiguriert und mit Zugriffsrechten. Dann holst Du dir auf deinem Admin-Client ein Enrollment-Agent-Zertifikat und kannst damit das Enrollment für andere Nutzer durchführen. Aber geklappt hat es ja offenbar.

Genau, es müssen natürlich die kopierten Vorlagen noch in "Zertifizierungsvorlagen" in der Zertifizierungsstelle hinzugefügt werden. Das hatte ich vergessen bzw. überlesen.

Was ich jetzt noch gar nicht überblickt habe: Wie kommt jetzt das Zertifikat auf die SmartCard, die im Reader steckt?

Das kommt darauf an. Wenn man mit einem Enrollment-Agent arbeitet, ist es in der Regel sinnvoll (auf einem entsprechend gesicherten Rechner) die Zertifikate in den Nutzerspeicher des Enrollment-Agents auszustellen, als pfx zu exportieren und dann die pfx auf die SC zu schreiben. Das geht mit certutil, man wird aber meist ein Verwaltungstool des Herstellers benutzen.
Das geht natürlich nicht mit größeren Nutzerzahlen, da würde man das anders aufsetzen: Dort erhalten die Nutzer das Recht, Zertifikate anzufordern bzw. werden per Auto-Enrollment dazu aufgefordert. Die Festlegung des Smartcard-CSP im entsprechenden Template sorgt dann dafür, dass der Endnutzer-Client das Zertifikat direkt auf der Smartcard erzeugt (einmalig bis zur Erneuerung).

Letzteres ist an sich eleganter, führt aber mit vielen Smartcard-Produkten nicht immer zum gewünschten Ergebnis. Der Grund es nach dem ersteren Verfahren anzugehen (und ein Hersteller-Tool zu verwenden) ist, dass sich die Verwaltungsoptionen von Smartcards in der Regel je nach Provisionierung unterscheiden. Eine Hierarchie von PIN/PUK/Admin-PIN lässt sich nur über den administrativen Ansatz realisieren. Die Nutzerprovisionierung setzt entsprechend z.B. ein Challenge-Response-Verfahren für das Entsperren gesperrter Karten voraus.

Danke für die Erleuchtung. Bis jetzt ist die SmartCard komplett nackt. Um diese vorzubereiten, braucht es anscheinend einen "Mini Treiber", der mit den entsprechenden Karten funktioniert. Dafür, so wie ich es bisher verstanden habe, gibt es kein Windows Boardmittel. In meinem Fall wäre das dann wohl der "Safe Sign Minidriver" https://www.aeteurope.com/our-solutions/safesign-identity-client/, den scheint es aber nicht als Testversion zu geben. Das ist der Teil, den ich eben nicht verstehe. Wenn ich das auch richtig gelesen habe, kann ich dann mit dem Programm auch gleich entsprechend das Zertifikat zuordnen, oder eben via certutil, wie Du geschrieben hast. Das muß ich mir noch genauer anschaun.

Es werden max. 40 Leute, die mit SmartCards arbeiten werden. Somit wäre die manuelle Vorgehensweise noch überschaubar, denke ich.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server26 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server12 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
gelöst predator66FrageLAN, WAN, Wireless12 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

E-Mail
Ticketsystem mit mailflow
CraftdorFrageE-Mail8 Kommentare

Hallo, Ich bin auf der Suche nach einem Ticketsystem das am besten Freeware ist und einfach nur eine Ankommende ...

Netzwerkgrundlagen
PfSense Virtuele IP mit NAT auf eine IP im VLAN90 zum VLAN30
OIOOIOOIOIIOOOIIOIIOIOOOFrageNetzwerkgrundlagen8 Kommentare

Guten Tag, ich stehe hier mit einer neuen Herausforderung. Hab ein Internetradio, welches jedoch nur mit eine App gesteuert ...

Ähnliche Inhalte
Windows 10

Windows 10 Smartcard Login ohne Domäne?

gelöst anteNopeFrageWindows 103 Kommentare

Hallo zusammen, ich habe hier folgendes Szenario: 2 lokale Rechner Windows 10 Pro x64 Kein Mitglied einer Domäne (es ...

Windows 10

Windows 10 2019 LTSC unattend.xml

Ralus67FrageWindows 106 Kommentare

Hallo Forenmitglieder Ich stelle mal die Frage, ob jemand von Euch schon mit Windows 10 LTSC 2019 gearbeitet hat. ...

Microsoft

Windows 10 1809 und Server 2019 Rückzug

sabinesInformationMicrosoft5 Kommentare

Hier mal ein interessanter Artikel zum Rückzug von Windows 10 1809 und Server 2019 und dem allgemeinen Durcheinander bei ...

Windows Server

Windows Login mit SmartCard

FinneDEVFrageWindows Server10 Kommentare

Sehr geehrte Admins, ich weiß das es schon vile Beiträge über dieses Thema gibt, aber leider werde ich aus ...

Windows Server

Windows Server 2019 - Installation von Windows 10 Apps (Roaming-Profile)

c0d3.r3dFrageWindows Server

Hallo zusammen, mit dem geplanten Upgrade auf den Server 2019, welches immer näher rückt, bin ich vor kurzem von ...

Windows Server

Windows Server 2019 mit Exchange 2019

netshapeFrageWindows Server2 Kommentare

Hallo, Bin gerade dabei unsere Server neu einzurichten und die Frage Windows Server 2019 mit Exchange 2019 oder Windows ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT