SmartCards, Windows Server 2019, Windows 10
Hallo allerseits,
ich grüble gerade darüber, wie man in einer Windows 2019 Umgebung (Clients alle Windows 10) SmartCards zur Anmeldung verwendet. Die CA ist installiert, der Enrollment-Agent auch, die SmartCard Vorlage ist kopiert, nur am Client, wenn ich MMC aufrufe und das Zertifikat anfordern möchte, stehen alle Zertifikate auf "Status: nicht verfügbar".
Oder vielleicht ganz anders: Ich verfolge die Anleitung hier:
https://www.winteach.de/windows-server/active-directory/smartcard-login- ...
Ist das grundsätzlich noch aktuell? Ich habe zwar andere Reader und SmartCards, möchte aber gerne ohne Zusatzsoftware auskommen. Falls mir die Zusatzsoftware aber erheblich Arbeit abnimmt gegenüber der Anleitung, wäre ich da gerne bereit, mir diese anzuschauen.
Servus,
Badde
ich grüble gerade darüber, wie man in einer Windows 2019 Umgebung (Clients alle Windows 10) SmartCards zur Anmeldung verwendet. Die CA ist installiert, der Enrollment-Agent auch, die SmartCard Vorlage ist kopiert, nur am Client, wenn ich MMC aufrufe und das Zertifikat anfordern möchte, stehen alle Zertifikate auf "Status: nicht verfügbar".
Oder vielleicht ganz anders: Ich verfolge die Anleitung hier:
https://www.winteach.de/windows-server/active-directory/smartcard-login- ...
Ist das grundsätzlich noch aktuell? Ich habe zwar andere Reader und SmartCards, möchte aber gerne ohne Zusatzsoftware auskommen. Falls mir die Zusatzsoftware aber erheblich Arbeit abnimmt gegenüber der Anleitung, wäre ich da gerne bereit, mir diese anzuschauen.
Servus,
Badde
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 606987
Url: https://administrator.de/forum/smartcards-windows-server-2019-windows-10-606987.html
Ausgedruckt am: 27.12.2024 um 16:12 Uhr
4 Kommentare
Neuester Kommentar
Hi,
die Fehlermeldung sollte Aufschluss geben, warum die Vorlage nicht verfügbar ist. Wahrscheinlich hast Du keine Rechte für den Enrollment-Agent konfiguriert. Je nachdem, ob das Enrollment direkt auf der Smartcard erfolgen soll oder im Speicher des Enrollment-Agents, muss auch der CSP entsprechend gewählt werden.
Grüße
Richard
die Fehlermeldung sollte Aufschluss geben, warum die Vorlage nicht verfügbar ist. Wahrscheinlich hast Du keine Rechte für den Enrollment-Agent konfiguriert. Je nachdem, ob das Enrollment direkt auf der Smartcard erfolgen soll oder im Speicher des Enrollment-Agents, muss auch der CSP entsprechend gewählt werden.
Grüße
Richard
Zitat von @baddeit:
danke für die Antwort. Ich bin jetzt ein wenig weiter. Ich hab die eigenen Zertifikate (Enroll, SmartCards) zu den Vorlagen hinzugefügt (ich Held hab das komplett vergessen) und kann diese nun nutzen.
danke für die Antwort. Ich bin jetzt ein wenig weiter. Ich hab die eigenen Zertifikate (Enroll, SmartCards) zu den Vorlagen hinzugefügt (ich Held hab das komplett vergessen) und kann diese nun nutzen.
Verstehe ich nicht ganz (Zertifikate werden an sich nicht "zu den Vorlagen hinzugefügt"). Du brauchst für die administrative Ausstellung das Enrollment-Agent- und das Smartcard-Template, jeweils passend konfiguriert und mit Zugriffsrechten. Dann holst Du dir auf deinem Admin-Client ein Enrollment-Agent-Zertifikat und kannst damit das Enrollment für andere Nutzer durchführen. Aber geklappt hat es ja offenbar.
Was ich jetzt noch gar nicht überblickt habe: Wie kommt jetzt das Zertifikat auf die SmartCard, die im Reader steckt?
Das kommt darauf an. Wenn man mit einem Enrollment-Agent arbeitet, ist es in der Regel sinnvoll (auf einem entsprechend gesicherten Rechner) die Zertifikate in den Nutzerspeicher des Enrollment-Agents auszustellen, als pfx zu exportieren und dann die pfx auf die SC zu schreiben. Das geht mit certutil, man wird aber meist ein Verwaltungstool des Herstellers benutzen.
Das geht natürlich nicht mit größeren Nutzerzahlen, da würde man das anders aufsetzen: Dort erhalten die Nutzer das Recht, Zertifikate anzufordern bzw. werden per Auto-Enrollment dazu aufgefordert. Die Festlegung des Smartcard-CSP im entsprechenden Template sorgt dann dafür, dass der Endnutzer-Client das Zertifikat direkt auf der Smartcard erzeugt (einmalig bis zur Erneuerung).
Letzteres ist an sich eleganter, führt aber mit vielen Smartcard-Produkten nicht immer zum gewünschten Ergebnis. Der Grund es nach dem ersteren Verfahren anzugehen (und ein Hersteller-Tool zu verwenden) ist, dass sich die Verwaltungsoptionen von Smartcards in der Regel je nach Provisionierung unterscheiden. Eine Hierarchie von PIN/PUK/Admin-PIN lässt sich nur über den administrativen Ansatz realisieren. Die Nutzerprovisionierung setzt entsprechend z.B. ein Challenge-Response-Verfahren für das Entsperren gesperrter Karten voraus.