Obsah

Použití SmartCard

The certificate template requires too many RA signatures

Clicking Show all templates you may see the following error message for the template:

The certificate template requires too many RA signatures.  Only one RA signature is allowed.
Multiple request agent signatures are not permitted on a certificate request.

This is because Windows 2008 R2 requires an application policy to be defined for the EoBo operation (W2k3 did not enforce this requirement).

Zdroj: http://blogs.technet.com/b/instan/archive/2012/05/24/the-certificate-template-requires-too-many-ra-signatures.aspx

Instalace a zprovoznění

Ovladače

Pro gemaltí karty není middleware potřeba minidriver se stáhne z windows updatu, ale pokud je třeba ho předinstalovat, tak na http://catalog.update.microsoft.com se dá balíček stáhnout, jedná se o Gemalto - Input - Gemalto Minidriver for .NET Smart Card gemalto-input-gemalto-minidriver-for-.net-smart-card.rar ten balíček stáhnout, rozbalit a pravým tlačítkem na inf soubor dát Install. tohle je potřeba hlavně při připojení přes RDP, kdy RDP neprohledává Windows update.

Práce s kartou

Změna PINu

Jde pomocí SDK od Gemalta, pomocí CardExplorer.exe.

smazání certifikátu z karty

Do delete certificate on Smart Card use the following command:

certutil –delkey –csp "Microsoft Base Smart Card Crypto Provider" KeyContainerName

Of course you need to know KeyContainerName before you can run above command.

To find the right container name on the card you can run the following command:

certutil –key –csp "Microsoft Base Smart Card Crypto Provider"

This command will show container names, but it will not show associated certificates with containers.

To list all certificates on the card use the following command:

certutil –scinfo

Make sure to find container corresponding to expired certificate that you want to remove from Smart Card. If you specify wrong container it will delete valid certificate and your card will become useless and then you’ll definitively have to contact help desk.

viz http://blogs.technet.com/b/dmitrii/archive/2009/03/07/deleting-old-keys-on-smart-card.aspx

Problémy

Nedostatečná síla klíče

Chyba

A signature algorithm or public key length does not meet the systems minimum required strength.

znamená, že šablona obsahuje nedostatečně dlouhý klíč. Jelikož výchozí šablony nelze změnit, je nutné vytvořit kopii a v ní Properties → Cryptography → Minimum key size zvětšit na vyšší hodnotu.

Nejde přihlášení

pokud naskočí chyba: The system could not log you on. You cannot use a smart card to log in becaouse smart card logon is not supported for your user account. contact your system administrator to ensure that smart card logon is configured for your organization.

Tohle se mi stalo když jsem neměl kořenový certifikát autority mezi trusted. Pomohlo jej přidat do Default domain policy.

  1. Click the Default Domain Policy Group Policy object, and then click Edit. A new window opens.
  2. In the left pane, expand the following items:
    1. Computer Configuration → Policies → Windows Settings → Security Settings → Public Key Policy → Trusted Root Certification Authorities
    2. Select All Tasks, and then click Import.

viz

Co dále

Zdroje

Group policy pro smart karty

Removal Policy na Vista a novějších vyžaduje, aby byla spuštěná služba Smart Card Removal Policy (Zásady odebrání čipové karty) pro automatické odhlašování při vytáhnutí karty. Tato služba ve výchozím stavu má nastaveno spouštění ručně.

viz: http://technet.microsoft.com/cs-cz/library/ff404291(v=ws.10).aspx

Rozcestník odkazů

Přidělení

0316140005468007 - sebi (xxx3) 0316140005468833 - vlada (6xxx) 0316140005468015 - honza (def)