Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- windows:pouziti-smartcard [23.02.2011 11:56]
wladik vytvořeno
+++ windows:pouziti-smartcard [06.02.2013 14:08]
wladik
@@ Řádek 1: / Řádek 1: @@
 ====== Použití SmartCard ======
-Rozcestník:
+===== Instalace a zprovoznění =====
+  * Je potřeba na server nainstalovat Enterprise CA (Standalone nestačí)
+    * Stačí Certification authority, CA Web a Online responder, zbylé jsou pro přístup mimo počítače v doméně.
+  * Po nainstalování je třeba povolit šablony
+    * Certificate Templates -> pravým tlačítkem New -> Certificate Template to Issue -> vybrat Enrollment Agent, Smartcard logon, Smartcard user
+  * Vytvořit uživatele, který bude enrollovat certifikáty pro ostatní
+  * Tomu přidat práva Enroll pro tyhle 3 šablonky
+    * Pravým tlačítkem na Certificate templates -> Manage -> pro jednotlivé šablony pravým tlačítkem Properties -> záložka Security -> přidat enrollovacího uživatele a povolit mu Enroll právo
+  * Na klientovi nyní MMC -> přidat snap-in Certificates
+  * Enrollment certifikát
+    * Personal -> Certificates -> All tasks -> Request new certificate
+      * zažádat o Enrollment certifikát, kterým se potom budou zažádávat další
+  * žádost o certifikát pro uživatele
+    * Personal -> Certificates -> All tasks -> Advanced operations -> Enroll on behalf of...
+      * vybrat enrollment certifiktát
+      * vybrat Smartcard user -> Details -> Properties -> Private key -> Cryptographic service provider -> změnit na Microsoft Base Smart Card Crypto Provider (Encryption)
+      * zeptá se to na kartu, pin a je hotovo
+==== Ovladače ====
+Pro gemaltí karty není middleware potřeba minidriver se stáhne z windows updatu, ale pokud je třeba ho předinstalovat, tak na [[http://catalog.update.microsoft.com]] se dá balíček stáhnout, jedná se o **Gemalto - Input - Gemalto Minidriver for .NET Smart Card ** {{:windows:gemalto-input-gemalto-minidriver-for-.net-smart-card.rar}} ten balíček stáhnout, rozbalit a pravým tlačítkem na inf soubor dát Install.
+tohle je potřeba hlavně při připojení přes RDP, kdy RDP neprohledává Windows update.
+==== Práce s kartou ====
+=== Změna PINu ===
+Jde pomocí SDK od Gemalta, pomocí **CardExplorer.exe**.
+=== smazání certifikátu z karty ===
+Do delete certificate on Smart Card use the following command:
+  certutil –delkey –csp "Microsoft Base Smart Card Crypto Provider" KeyContainerName
+Of course you need to know KeyContainerName before you can run above command.
+To find the right container name on the card you can run the following command:
+  certutil –key –csp "Microsoft Base Smart Card Crypto Provider"
+This command will show container names, but it will not show associated certificates with containers.
+To list all certificates on the card use the following command:
+  certutil –scinfo
+Make sure to find container corresponding to expired certificate that you want to remove from Smart Card. If you specify wrong container it will delete valid certificate and your card will become useless and then you’ll definitively have to contact help desk.
+viz [[http://blogs.technet.com/b/dmitrii/archive/2009/03/07/deleting-old-keys-on-smart-card.aspx]]
+==== Problémy ====
+=== Nejde přihlášení ===
+pokud naskočí chyba: The system could not log you on. You cannot use a smart card to log in becaouse smart card logon is not supported for your user account. contact your system administrator to ensure that smart card logon is configured for your organization.
+Tohle se mi stalo když jsem neměl kořenový certifikát autority mezi trusted. Pomohlo jej přidat do Default domain policy.
+  - Click the Default Domain Policy Group Policy object, and then click Edit. A new window opens.
+  - In the left pane, expand the following items:
+    - Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policy -> Trusted Root Certification Authorities
+    - Select All Tasks, and then click Import.
+viz
+  * [[http://support.microsoft.com/kb/281245/en-us]]
+  * [[http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/ef8aa8cb-4a84-4868-af7b-2bea3d32c099/]]
+==== Co dále ====
+  * šifrování složky -- [[http://www.gemalto.com/enterprise/solutions/download/Gemalto_ACS_Smart_Card_with_Microsoft_Windows_Vista_EFS.pdf]]
+  * Gemaltí SDK -- [[http://www.gemalto.com/products/dotnet_card/resources/development.html]]
+  * Migrace Standalone na Enterprise CA -- [[http://technet.microsoft.com/en-us/library/cc785411(v=ws.10).aspx]]
+==== Zdroje ====
+  * [[http://www.networksteve.com/forum/topic.php/win_2008_how_to_generate_smart_card_certificates_for_users./?TopicId=19165&Posts=1]]
+==== Group policy pro smart karty ====
+Removal Policy na Vista a novějších vyžaduje, aby byla spuštěná služba **Smart Card Removal Policy** (Zásady odebrání čipové karty) pro automatické odhlašování při vytáhnutí karty. Tato služba ve výchozím stavu má nastaveno spouštění ručně.
+viz: [[http://technet.microsoft.com/cs-cz/library/ff404291(v=ws.10).aspx]]
+===== Rozcestník odkazů =====
   * V jednom z příspěvků je Step By Step návod pro 2008 [[http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/8a4c127b-2a21-4d0c-99f5-fb6651337c4b]]
   * Enrolling for smartcard certificate [[http://technet.microsoft.com/en-us/library/cc775505(WS.10).aspx]]
@@ Řádek 16: / Řádek 93: @@
   * [[http://poweradmin.se/blog/2010/01/04/always-include-your-smart-card-drivers-in-your-deployment-image/]]
+===== Přidělení =====
+0316140005468007 - sebi (xxx3)
+0316140005468833 - vlada (6xxx)
+0316140005468015 - honza (def)

Uživatelské nástroje

Rozdíly

Nástroje pro stránku