baddeit
Goto Top

SmartCards, Windows Server 2019, Windows 10

Hallo allerseits,

ich grüble gerade darüber, wie man in einer Windows 2019 Umgebung (Clients alle Windows 10) SmartCards zur Anmeldung verwendet. Die CA ist installiert, der Enrollment-Agent auch, die SmartCard Vorlage ist kopiert, nur am Client, wenn ich MMC aufrufe und das Zertifikat anfordern möchte, stehen alle Zertifikate auf "Status: nicht verfügbar".

Oder vielleicht ganz anders: Ich verfolge die Anleitung hier:
https://www.winteach.de/windows-server/active-directory/smartcard-login- ...

Ist das grundsätzlich noch aktuell? Ich habe zwar andere Reader und SmartCards, möchte aber gerne ohne Zusatzsoftware auskommen. Falls mir die Zusatzsoftware aber erheblich Arbeit abnimmt gegenüber der Anleitung, wäre ich da gerne bereit, mir diese anzuschauen.

Servus,

Badde

Content-ID: 606987

Url: https://administrator.de/forum/smartcards-windows-server-2019-windows-10-606987.html

Ausgedruckt am: 27.12.2024 um 16:12 Uhr

C.R.S.
C.R.S. 23.09.2020 um 19:07:01 Uhr
Goto Top
Hi,

die Fehlermeldung sollte Aufschluss geben, warum die Vorlage nicht verfügbar ist. Wahrscheinlich hast Du keine Rechte für den Enrollment-Agent konfiguriert. Je nachdem, ob das Enrollment direkt auf der Smartcard erfolgen soll oder im Speicher des Enrollment-Agents, muss auch der CSP entsprechend gewählt werden.

Grüße
Richard
baddeit
baddeit 23.09.2020 aktualisiert um 19:53:34 Uhr
Goto Top
Hi Richard,

danke für die Antwort. Ich bin jetzt ein wenig weiter. Ich hab die eigenen Zertifikate (Enroll, SmartCards) zu den Vorlagen hinzugefügt (ich Held hab das komplett vergessen) und kann diese nun nutzen. Ferner habe ich auch im SmartCard Template die Ausstellungsvoraussetzungen angepasst und konnte auf dem Client schon mal ein Zertifikat ausstellen als Admin für einen Benutzer.

Was ich jetzt noch gar nicht überblickt habe: Wie kommt jetzt das Zertifikat auf die SmartCard, die im Reader steckt?

Installiert sind die Standardtreiber vom System. Der Reader hängt an einer HP Tastatur, die Karten sind von G+D.

EDIT:
Was ich bisher gelesen habe, brauche ich trotzdem entsprechende Software, um überhaupt die SmartCard in Betrieb nehmen zu können. Mit der Software, die in der Anleitung steht (Gemalto Mini Driver) komme ich nicht sonderlich weit. Ferner kann ich auch den Microsoft Treiber für den HP Reader in der Tastatur nicht gegen den von HP tauschen.
C.R.S.
C.R.S. 23.09.2020 um 20:00:11 Uhr
Goto Top
Zitat von @baddeit:

danke für die Antwort. Ich bin jetzt ein wenig weiter. Ich hab die eigenen Zertifikate (Enroll, SmartCards) zu den Vorlagen hinzugefügt (ich Held hab das komplett vergessen) und kann diese nun nutzen.

Verstehe ich nicht ganz (Zertifikate werden an sich nicht "zu den Vorlagen hinzugefügt"). Du brauchst für die administrative Ausstellung das Enrollment-Agent- und das Smartcard-Template, jeweils passend konfiguriert und mit Zugriffsrechten. Dann holst Du dir auf deinem Admin-Client ein Enrollment-Agent-Zertifikat und kannst damit das Enrollment für andere Nutzer durchführen. Aber geklappt hat es ja offenbar.

Was ich jetzt noch gar nicht überblickt habe: Wie kommt jetzt das Zertifikat auf die SmartCard, die im Reader steckt?

Das kommt darauf an. Wenn man mit einem Enrollment-Agent arbeitet, ist es in der Regel sinnvoll (auf einem entsprechend gesicherten Rechner) die Zertifikate in den Nutzerspeicher des Enrollment-Agents auszustellen, als pfx zu exportieren und dann die pfx auf die SC zu schreiben. Das geht mit certutil, man wird aber meist ein Verwaltungstool des Herstellers benutzen.
Das geht natürlich nicht mit größeren Nutzerzahlen, da würde man das anders aufsetzen: Dort erhalten die Nutzer das Recht, Zertifikate anzufordern bzw. werden per Auto-Enrollment dazu aufgefordert. Die Festlegung des Smartcard-CSP im entsprechenden Template sorgt dann dafür, dass der Endnutzer-Client das Zertifikat direkt auf der Smartcard erzeugt (einmalig bis zur Erneuerung).

Letzteres ist an sich eleganter, führt aber mit vielen Smartcard-Produkten nicht immer zum gewünschten Ergebnis. Der Grund es nach dem ersteren Verfahren anzugehen (und ein Hersteller-Tool zu verwenden) ist, dass sich die Verwaltungsoptionen von Smartcards in der Regel je nach Provisionierung unterscheiden. Eine Hierarchie von PIN/PUK/Admin-PIN lässt sich nur über den administrativen Ansatz realisieren. Die Nutzerprovisionierung setzt entsprechend z.B. ein Challenge-Response-Verfahren für das Entsperren gesperrter Karten voraus.
baddeit
baddeit 23.09.2020 um 20:17:49 Uhr
Goto Top
Zitat von @c.r.s.:

Zitat von @baddeit:

danke für die Antwort. Ich bin jetzt ein wenig weiter. Ich hab die eigenen Zertifikate (Enroll, SmartCards) zu den Vorlagen hinzugefügt (ich Held hab das komplett vergessen) und kann diese nun nutzen.

Verstehe ich nicht ganz (Zertifikate werden an sich nicht "zu den Vorlagen hinzugefügt"). Du brauchst für die administrative Ausstellung das Enrollment-Agent- und das Smartcard-Template, jeweils passend konfiguriert und mit Zugriffsrechten. Dann holst Du dir auf deinem Admin-Client ein Enrollment-Agent-Zertifikat und kannst damit das Enrollment für andere Nutzer durchführen. Aber geklappt hat es ja offenbar.

Genau, es müssen natürlich die kopierten Vorlagen noch in "Zertifizierungsvorlagen" in der Zertifizierungsstelle hinzugefügt werden. Das hatte ich vergessen bzw. überlesen.

Was ich jetzt noch gar nicht überblickt habe: Wie kommt jetzt das Zertifikat auf die SmartCard, die im Reader steckt?

Das kommt darauf an. Wenn man mit einem Enrollment-Agent arbeitet, ist es in der Regel sinnvoll (auf einem entsprechend gesicherten Rechner) die Zertifikate in den Nutzerspeicher des Enrollment-Agents auszustellen, als pfx zu exportieren und dann die pfx auf die SC zu schreiben. Das geht mit certutil, man wird aber meist ein Verwaltungstool des Herstellers benutzen.
Das geht natürlich nicht mit größeren Nutzerzahlen, da würde man das anders aufsetzen: Dort erhalten die Nutzer das Recht, Zertifikate anzufordern bzw. werden per Auto-Enrollment dazu aufgefordert. Die Festlegung des Smartcard-CSP im entsprechenden Template sorgt dann dafür, dass der Endnutzer-Client das Zertifikat direkt auf der Smartcard erzeugt (einmalig bis zur Erneuerung).

Letzteres ist an sich eleganter, führt aber mit vielen Smartcard-Produkten nicht immer zum gewünschten Ergebnis. Der Grund es nach dem ersteren Verfahren anzugehen (und ein Hersteller-Tool zu verwenden) ist, dass sich die Verwaltungsoptionen von Smartcards in der Regel je nach Provisionierung unterscheiden. Eine Hierarchie von PIN/PUK/Admin-PIN lässt sich nur über den administrativen Ansatz realisieren. Die Nutzerprovisionierung setzt entsprechend z.B. ein Challenge-Response-Verfahren für das Entsperren gesperrter Karten voraus.

Danke für die Erleuchtung. Bis jetzt ist die SmartCard komplett nackt. Um diese vorzubereiten, braucht es anscheinend einen "Mini Treiber", der mit den entsprechenden Karten funktioniert. Dafür, so wie ich es bisher verstanden habe, gibt es kein Windows Boardmittel. In meinem Fall wäre das dann wohl der "Safe Sign Minidriver" https://www.aeteurope.com/our-solutions/safesign-identity-client/, den scheint es aber nicht als Testversion zu geben. Das ist der Teil, den ich eben nicht verstehe. Wenn ich das auch richtig gelesen habe, kann ich dann mit dem Programm auch gleich entsprechend das Zertifikat zuordnen, oder eben via certutil, wie Du geschrieben hast. Das muß ich mir noch genauer anschaun.

Es werden max. 40 Leute, die mit SmartCards arbeiten werden. Somit wäre die manuelle Vorgehensweise noch überschaubar, denke ich.