a close up of a sign

Virtuelle SmartCards mit Windows 10

244c6963adeb4176ab3ec9c77e1acef9

In vielen Unternehmen wir gerne für besonders schützenswerte Anwendungen die zusätzliche Verwendung von Smartcards vorgeschrieben. Smartcards bedeutet immer extra Lesegeräte und extra Smartcards. Seit Windows 8 gab es die Möglichkeit dies durch Virtuelle Smartcards zu ersetzten. Mit Windows 10 wurde das Ganze noch etwas erweitert. Virtuelle Smartcards können wie normale Smartcards genutzt werden, zum Beispiel zur Anmeldung an Windows, an Webseiten oder zur Authentifizierung als zweiter Faktor zu Benutzername und Kennwort.

Voraussetzungen

  • Der Computer der die virtuelle Smartcard benutzten soll, benötigt ein TPM (Trusted Plattform Modul) in der Version 1.2 oder 2.0. In diesen Sicherheitschip wird das entsprechende Zertifikat, nichts anderes sind Smartcards, sicher gespeichert. Durch Eingabe eines PIN wird der Zugriff freigeschaltet. Ähnlich wie bei BitLocker auch.
  • Eine Microsoft Active Directory Domäne in der der Computer Mitglied ist. Wir brauchen ja was zum Anmelden und zum Konfigurieren.
  • Eine AD integrierte Zertifizierungsstelle. Die muss keine CA mit Offline-Root-CA sein, eine Einstufige-Zertifizierungsstelle reicht aus.

Konfiguration der Zertifikatsvorlagen

  • Starten sie die MMC.exe mit administrativen Berechtigungen auf dem Server auf dem die Zertifizierungsstelle läuft, oder auf dem Sie die „Remote Server Administration Tools“ (RSAT) installiert haben.
  • Fügen Sie das Snap-In „Zertifikatsvorlagen“ hinzu.
    Fügen Sie das Snap-In Zertifikatsvorlagen hinzu.
  • Öffnen Sie den Punkt „Zertifikatsvorlagen“ in dem Navigationsbaum und suchen Sie die Vorlage „Smartcard-Anmeldung
    Öffnen Sie den Punkt Zertifikatsvorlagen in dem Navigationsbaum und suchen Sie die Vorlage Smartcard-Anmeldung
  • Klicken Sie mit der rechten Maustaste und wählen den Punkt „Vorlage duplizieren
    Klicken Sie mit der rechten Maustaste und wählen den Punkt Vorlage duplizieren
  • Passen Sie die Vorgaben im Reiter „Kompatibilität“ nach Ihren Bedürfnissen an.
    013018 0534 VituelleSma4
  • Passen Sie im Reiter „Allgemein“ den Vorlagennamen und die entsprechende Gültigkeitsdauer entsprechend an.
    013018 0534 VituelleSma5
  • Ändern Sie im Reiter „Anforderungsverarbeitung“ den Zweck der Vorlage auf „Signatur und Smartcard-Anmeldung
    013018 0534 VituelleSma6
  • Bestätigen Sie den Hinweis wegen der Änderung des Zertifikatszweckes.
    013018 0534 VituelleSma7
  • Ändern Sie im Reiter „Kryptografie“ die Schlüssellänge auf mindestens 2048 Bit. Und aktivieren Sie die Einstellung „Für Anforderung muss einer der folgenden Anbieter verwendet werden:“ uns selektieren dort „Microsoft Base Smart Card Crypto Provider
    013018 0534 VituelleSma8
  • Im Reiter „Sicherheit“ geben sie bitte der entsprechenden Nutzergruppe das Recht „Registrieren“ (Für alle einfach die Gruppe „Authentifizierte Benutzer“ verwenden)
    013018 0534 VituelleSma9
  • Bestätigen Sie die Eigenschaften mit OK.
  • Zum Veröffentlichen der Vorlage fügen Sie bitte das MMC Snap-In „Zertifizierungsstelle“ hinzu und wählen den Computer auf dem die Zertifizierungsstelle ausgeführt wird.
    013018 0534 VituelleSma10
  • Klicken Sie nun auf die Zertifizierungsstelle und navigieren Sie bis zum Punkt „Zertifikatsvorlagen
    013018 0534 VituelleSma11
  • Klicken Sie mit der rechten Maustaste auf „Zertifikatsvorlagen“ und wählen den Punkt „Neu“ > „Auszustellende Zertifikatsvorlage
    013018 0534 VituelleSma12
  • Wählen Sie im Dialog die von Ihnen erstellte Zertifikatsvorlage aus
    013018 0534 VituelleSma13
  • Stoppen Sie die Zertifizierungsstelle mit einem rechten Mausklick auf die CA und dann „Alle Aufgaben“ > „Dienst anhalten“ und starten Sie diese wieder mit „Dienst starten
    013018 0534 VituelleSma14

Erzeugen der virtuellen Smartcard

Melden Sie sich mit dem Benutzer an dem Client PC an. Prüfen Sie ggf. vorher im BIOS oder im UEFI, das das TPM aktiviert ist.

  • Starten Sie eine Eingabeaufforderung oder PowerShell mit administrativen Rechten
  • Führen Sie den Befehl „tpmvscmgr.exe create /name VSC /pin prompt /adminkey random /generate“ aus, und geben eine Pin ein und bestätigen diese. Alternativ können Sie auch den Parameter „/pin default“ verwenden, dann wird die PIN auf 12345678 gesetzt.
    013018 0534 VituelleSma15

Erstellen des Zertifikats für SmartCards

  • Starten Sie die Zertifikatskonsole mit dem Befehl „Certmgr.msc
    013018 0534 VituelleSma16

    013018 0534 VituelleSma17
  • In der Zertifikatskonsole erweitern Sie bitte den Punkt „Eigene Zertifikate“ und „Zertifikate“ sofern vorhanden. Klicken Sie mit der rechten Maustaste und wählen die Einträge „Alle Aufgaben“ und „Neues Zertifikat anfordern…
    013018 0534 VituelleSma18
  • Wählen Sie AD Basierte Zertifikatsrichtlinie
    013018 0534 VituelleSma19
  • Wählen Sie die erstelle Zertifikatsvorlage
    013018 0534 VituelleSma20
  • Nachdem auswählen muss die SmartCard PIN eingegeben werden
    013018 0534 VituelleSma21
  • Nach kurzer Zeit ist das Zertifikat ausgestellt und installiert
    013018 0534 VituelleSma22
  • Und schon kann sich über die Virtuelle Smart Card angemeldet werden.
    013018 0534 VituelleSma23
Weitere Artikel zum Thema Active Directory Certificate Services

Veröffentlicht:

Autor:

Fabian Niesen

Kategorien:

, ,

Tags:

, , , , , ,

New articles in english

RSS-Fehler: https://www.infrastructureheroes.org/feed is invalid XML, likely due to invalid characters. XML error: Invalid document end at line 2504, column 84
Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.