Obsah
Použití SmartCard
The certificate template requires too many RA signatures
Clicking Show all templates
you may see the following error message for the template:
The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request.
This is because Windows 2008 R2 requires an application policy to be defined for the EoBo operation (W2k3 did not enforce this requirement).
Instalace a zprovoznění
- Je potřeba na server nainstalovat Enterprise CA (Standalone nestačí)
- Stačí Certification authority, CA Web a Online responder, zbylé jsou pro přístup mimo počítače v doméně.
- Po nainstalování je třeba povolit šablony
- Certificate Templates → pravým tlačítkem New → Certificate Template to Issue → vybrat Enrollment Agent, Smartcard logon, Smartcard user
- Vytvořit uživatele, který bude enrollovat certifikáty pro ostatní
- Tomu přidat práva Enroll pro tyhle 3 šablonky
- Pravým tlačítkem na Certificate templates → Manage → pro jednotlivé šablony pravým tlačítkem Properties → záložka Security → přidat enrollovacího uživatele a povolit mu Enroll právo
- Na klientovi nyní MMC → přidat snap-in Certificates
- Enrollment certifikát
- Personal → Certificates → All tasks → Request new certificate
- zažádat o Enrollment certifikát, kterým se potom budou zažádávat další
- žádost o certifikát pro uživatele
- Personal → Certificates → All tasks → Advanced operations → Enroll on behalf of…
- vybrat enrollment certifiktát
- vybrat Smartcard user → Details → Properties → Private key → Cryptographic service provider → změnit na Microsoft Base Smart Card Crypto Provider (Encryption)
- zeptá se to na kartu, pin a je hotovo
Ovladače
Pro gemaltí karty není middleware potřeba minidriver se stáhne z windows updatu, ale pokud je třeba ho předinstalovat, tak na http://catalog.update.microsoft.com se dá balíček stáhnout, jedná se o Gemalto - Input - Gemalto Minidriver for .NET Smart Card gemalto-input-gemalto-minidriver-for-.net-smart-card.rar ten balíček stáhnout, rozbalit a pravým tlačítkem na inf soubor dát Install. tohle je potřeba hlavně při připojení přes RDP, kdy RDP neprohledává Windows update.
Práce s kartou
Změna PINu
Jde pomocí SDK od Gemalta, pomocí CardExplorer.exe.
smazání certifikátu z karty
Do delete certificate on Smart Card use the following command:
certutil –delkey –csp "Microsoft Base Smart Card Crypto Provider" KeyContainerName
Of course you need to know KeyContainerName before you can run above command.
To find the right container name on the card you can run the following command:
certutil –key –csp "Microsoft Base Smart Card Crypto Provider"
This command will show container names, but it will not show associated certificates with containers.
To list all certificates on the card use the following command:
certutil –scinfo
Make sure to find container corresponding to expired certificate that you want to remove from Smart Card. If you specify wrong container it will delete valid certificate and your card will become useless and then you’ll definitively have to contact help desk.
viz http://blogs.technet.com/b/dmitrii/archive/2009/03/07/deleting-old-keys-on-smart-card.aspx
Problémy
Nedostatečná síla klíče
Chyba
A signature algorithm or public key length does not meet the systems minimum required strength.
znamená, že šablona obsahuje nedostatečně dlouhý klíč. Jelikož výchozí šablony nelze změnit, je nutné vytvořit kopii a v ní Properties → Cryptography → Minimum key size zvětšit na vyšší hodnotu.
Nejde přihlášení
pokud naskočí chyba: The system could not log you on. You cannot use a smart card to log in becaouse smart card logon is not supported for your user account. contact your system administrator to ensure that smart card logon is configured for your organization.
Tohle se mi stalo když jsem neměl kořenový certifikát autority mezi trusted. Pomohlo jej přidat do Default domain policy.
- Click the Default Domain Policy Group Policy object, and then click Edit. A new window opens.
- In the left pane, expand the following items:
- Computer Configuration → Policies → Windows Settings → Security Settings → Public Key Policy → Trusted Root Certification Authorities
- Select All Tasks, and then click Import.
viz
Co dále
- Migrace Standalone na Enterprise CA – http://technet.microsoft.com/en-us/library/cc785411(v=ws.10).aspx
Zdroje
Group policy pro smart karty
Removal Policy na Vista a novějších vyžaduje, aby byla spuštěná služba Smart Card Removal Policy (Zásady odebrání čipové karty) pro automatické odhlašování při vytáhnutí karty. Tato služba ve výchozím stavu má nastaveno spouštění ručně.
viz: http://technet.microsoft.com/cs-cz/library/ff404291(v=ws.10).aspx
- rozpis všech možných nastavení: http://technet.microsoft.com/en-us/library/ff404287(v=ws.10).aspx
Rozcestník odkazů
- V jednom z příspěvků je Step By Step návod pro 2008 http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/8a4c127b-2a21-4d0c-99f5-fb6651337c4b
- Enrolling for smartcard certificate http://technet.microsoft.com/en-us/library/cc775505(WS.10).aspx
- Prepare a certification authority to issue smart card certificates http://technet.microsoft.com/en-us/library/cc740258(WS.10).aspx
- Set up a smart card for user logon http://technet.microsoft.com/en-us/library/cc775842(WS.10).aspx
- Thread: Configuring CA on Windows 2008 R2 for smart card logon http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/4632a923-7687-400a-a324-164f23507e07
- The Smart Card Deployment Cookbook http://technet.microsoft.com/en-us/library/dd277386.aspx#ECAA
- Deploying smartcards http://technet.microsoft.com/en-us/library/dd277383.aspx
- Solution Accelerator: The Secure Access Using Smart Cards Planning Guide http://technet.microsoft.com/en-us/library/cc170941.aspx
- Kniha o PKI ve win2008 http://www.microsoft.com/learning/en/us/book.aspx?ID=9549&locale=en-us
- Understanding and Implementing Smart Card Authentication http://www.tech-faq.com/understanding-and-implementing-smart-card-authentication.html
- Prepare a smart card certificate enrollment station http://technet.microsoft.com/en-us/library/cc781592(WS.10).aspx
Přidělení
0316140005468007 - sebi (xxx3) 0316140005468833 - vlada (6xxx) 0316140005468015 - honza (def)