jeschero
Goto Top

Windows-Domain-Amneldung mir Nitrokey Pro

Guten Tag alle zusammen und ein froher neues Jahr,

und zwar komme ich nicht weiter.
Ich habe eine Nitrokey Pro und möchte ihn jetzt zur Anmeldung in eine Windoes-Domain nutzen.
Die Zertifikate wurden über gpg2 direkt auf den Stick erstellt.
Das Anmelde-Zertifikat wurde nach folgender Post erstellt:
How to generate certificate signing request?

Die Zertifikatenfrage würde über den Webdienst der Regestrierungsstelle erstellt.
Das Zertifikat würde mit RSA2048 ausgestellt.
Die CA-Zertifikate sind in den Windows-Rechner eingebunden.

Das Zertifikat für die Smart-Card würde über dies Programm eingerichtet:
Smart Policy

Anleitung:
Nitrokey Applications
Login With Nitrokey HSM on Windows Domain Computers Using MS Active Directory

Nachdem alles eingerichtet ist, wird der PC am neugestartet und es gibt jetzt bei der Anmeldung die Möglichkeit eine Smartcard zu nutzen.

Es taucht aber nach korrketer Pin-Eingabe folgernde Fehlermeldung auf:

Diese Smartcard konnte nicht verwendet werden. Weitere Details finden Sie im Systemereignisprotokoll. Melden Sie diesen Fehler dem Administrator.

Die Ereignissanzeige gibt folgende Fehlermeldung unter Anwendung aus:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="Smart Card Logon" />  
  <EventID Qualifiers="1">7</EventID>  
  <Level>2</Level> 
  <Task>0</Task> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2017-01-04T13:59:03.726736700Z" />  
  <EventRecordID>28431</EventRecordID> 
  <Channel>Application</Channel> 
  <Computer>XXXX</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data>Eine interne Konsistenzüberprüfung ist fehlgeschlagen.</Data> 
  <Binary>01001080</Binary> 
  </EventData>
  </Event>

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="Microsoft-Windows-CertificateServicesClient-CertEnroll" Guid="{54164045-7C50-4905-963F-E5BC1EEF0CCA}" EventSourceName="CertEnroll" />  
  <EventID Qualifiers="33370">82</EventID>  
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2017-01-04T13:59:36.483879100Z" />  
  <EventRecordID>28443</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="0" ThreadID="0" />  
  <Channel>Application</Channel> 
  <Computer>XXXX</Computer> 
  <Security UserID="S-1-5-21-4083564931-3465205976-1799466934-1109" />  
  </System>
- <EventData>
  <Data Name="Context">JESCHONNECK\kay</Data>  
  <Data Name="ServerID">{3E7097AC-982C-4912-9BBF-3C6C1E82805D}</Data>  
  <Data Name="TemplateName">Smartcard-BenutzerfürNitrokey</Data>  
  <Data Name="ErrorCode">Der Anbieter konnte den Vorgang nicht ausführen, da der Kontext als "silent" erworben wurde. 0x80090022 (-2146893790 NTE_SILENT_CONTEXT)</Data>  
  </EventData>
  </Event>

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="Microsoft-Windows-CertificateServicesClient-CertEnroll" Guid="{54164045-7C50-4905-963F-E5BC1EEF0CCA}" EventSourceName="CertEnroll" />  
  <EventID Qualifiers="49754">13</EventID>  
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2017-01-04T13:59:36.483879100Z" />  
  <EventRecordID>28444</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="0" ThreadID="0" />  
  <Channel>Application</Channel> 
  <Computer>XXXX</Computer> 
  <Security UserID="S-1-5-21-4083564931-3465205976-1799466934-1109" />  
  </System>
- <EventData>
  <Data Name="Context">JESCHONNECK\kay</Data>  
  <Data Name="TemplateName">Smartcard-BenutzerfürNitrokey</Data>  
  <Data Name="CA">YYYY</Data>  
  <Data Name="RequestId">N/A</Data>  
  <Data Name="ErrorCode">Der Anbieter konnte den Vorgang nicht ausführen, da der Kontext als "silent" erworben wurde. 0x80090022 (-2146893790 NTE_SILENT_CONTEXT)</Data>  
  </EventData>
  </Event>

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="Microsoft-Windows-CertificateServicesClient-AutoEnrollment" Guid="{F0DB7EF8-B6F3-4005-9937-FEB77B9E1B43}" EventSourceName="AutoEnrollment" />  
  <EventID Qualifiers="16384">6</EventID>  
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2017-01-04T13:59:36.499600300Z" />  
  <EventRecordID>28445</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="0" ThreadID="0" />  
  <Channel>Application</Channel> 
  <Computer>XXXX</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="Context">ZZZZ</Data>  
  <Data Name="ErrorCode">0x80090022</Data>  
  <Data Name="ErrorMsg">Der Anbieter konnte den Vorgang nicht ausführen, da der Kontext als "silent" erworben wurde.</Data>  
  </EventData>
  </Event>

Außerdem unter System:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="Microsoft-Windows-Smartcard-Server" Guid="{4FCBF664-A33A-4652-B436-9D558983D955}" EventSourceName="SCardSvr" />  
  <EventID Qualifiers="0">610</EventID>  
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2017-01-04T13:59:31.691824800Z" />  
  <EventRecordID>445832074</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="0" ThreadID="0" />  
  <Channel>System</Channel> 
  <Computer>XXXXe</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="Message">Unzulässige Funktion.</Data>  
  <Data Name="Reader">Nitrokey Nitrokey Pro 0</Data>  
  <Data Name="IOCTL">0x19</Data>  
  <Data Name="CommandHeader">XX XX XX XX</Data>  
  </EventData>
  </Event>

Zu Fehlerbehebung habe ich das Gefunde:
AD CS: Certificate Authority installation fails: "Provider could not perform the action since the context was acquired as silent. 0x80090022 (-2146893790)"

Die Sicherheitsrichtline: "Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen" wurde auf "Bei jeder Verwendung eines Schlüssels Kennwort eingeben".


Update 1:
Es tauchte jetzt ein Fenster auf zur Zertifikaterneuerung für dem Nitrokey, warum auch immer.
Nach erfolgreicher Pin-Eingabe kommt folgende Meldung:


Ich hoffe mir kan jemand helfen. Habe mich zwischen den Feiertage damit rumgeärgert, leider ohne Erfolg.

Besten Dank und wenn die Rubik falsch ist, tut es mir leid.
zertifikatregestrierung

Content-ID: 324562

Url: https://administrator.de/forum/windows-domain-amneldung-mir-nitrokey-pro-324562.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

jan333
jan333 13.01.2017 um 18:10:34 Uhr
Goto Top
Windows erwartet einen Schlüssel der gleichzeitig zum Verschlüsseln und zum Signieren verwendet werden kann. Nitrokey Pro orientiert sich an ISO Standards nach denen zum Verschlüsseln und zum Signieren unterschiedliche Schlüssel verwendet werden. Um dies Dilemma aufzulösen, kenne ich nur folgenden Workaround: Du generierst einen Schlüssel auf Deinem Computer und importierst ein und den gleichen Schlüssel in die beiden Slots der Verschlüsselungs- und Entschlüsselungs-Schlüssel des Nitrokey Pro.
jeschero
jeschero 24.01.2017 um 18:02:26 Uhr
Goto Top
Danke für den Hinweis.
Habe jetzt über gpg eine Masterkey und eine Subkey erstellt.
Der Subkey ist für Signatur und Verschlüsselung.
Über "edit-key, toogle, key 1, keytocard" konnte ich den Subkey für die Signatur ablegen.
Wenn ich jetzt aber die Verschlüsselung auswähle kommt:
"Geheimer Schlüssel bereits auf einer Karte gespeichert"

Muss ich für Signatur und Verschlüsselung jeweils einen eigenen Subkey erstellen?
Sind die dann nicht wieder verschieden?

Danke für eure Hilfe
jan333
jan333 05.02.2017 um 16:19:56 Uhr
Goto Top
Der Ansatz ist richtig. Wenn Du einen eigenen Subkey erstellen würdest, wären die wieder verschieden.

Am Besten fragst Du mal auf der GnuPG-users Mailingliste nach.