Erstellen eines Benutzerzertifikats und Installation auf einer Smartcard
Öffnen der Zertifikatsansicht (wie unter Enrollmentagent auf Seite vorher->certmgr.msc).
Unter “KonsolenStamm”->”Zertifikate – Aktueller Benutzer” -> “Eigene Zertifikate” -> “zertifikate”.
Rechtsklick in freien Bereich und “Alle Aufgaben” -> “Erweiterte Vorgänge” -> “Registrieren im Auftrag von …” wählen.
“Durchsuchen” bei “Signaturzertifikat” auswählen.
Das zuvor erstellte Registrierungs- bzw. Enrollemntagent Zertifikat auswählen.
Gewünschte Zertifikatsvorlage auswählen.
Benutzerkonto, für das die Smartcard erstellt werden soll, auswählen.
Nach erfolgreicher Erstellung Dialog “Schließen” oder Zertifikate für weitere Benutzer anfordern.
Das erstellte Zertifikat mit einen Rechtsklick -> “alle Aufgaben” -> “Exportieren” anwählen.
“ja, privaten Schlüssel expotieren” wählen.
Diese Seite kann unverändert gelassen werden.
Kennwort zur Sicherung des privaten Schlüssels vergeben. Dieses Kennwort wird später bei der Installation des Zertifikates auf die Smartcard wieder benötigt.
Speicherort für die Zertifikatsdatei angeben.
Assistent “Fertig stellen”.
Falls noch nicht vorhanden, das “Mini Driver Manager” Tool von Gemalto installieren.
Dieses Tool funktioniert mit nahezu allen Karten, welche einen Mini-Treiber benötigen, auch wenn diese nicht von Gemalto stammen:
Update vom 03.12.2018
Gemalto hat den Mini Driver Manager scheinbar von seiner Webseite verbannt. Sämtliche Download Links scheinen nicht mehr zu funktionieren.
Hier bekommt man zur Zeit noch eine halbwegs aktuelle Version. Die Datei enthält den Mini Driver Manager in Version 2.3 (getestet) und ist laut “https://www.virustotal.com” zum aktuellen Zeitpunkt virenfrei (natürlich ohne Gewähr). Dennoch sollte beim Download über ein solches Portal immer entsprechende Vorsicht walten gelassen werden was heruntergeladen und was installiert wird.
Update vom 04.12.2018
Es gibt auch noch ein Alternatives Tool zum bespielen der Smart Cards welches auch Vorteile beim setzen und verwenden des Admin Keys bringt:
MGTEK SmartCard Tools
Mein Dank für den Hinweis an Herrn Kraß-Westerink (Kommentar vom 01.12.2018)
Update vom 07.02.2019
Mittlerweile ist der Gemalto Minidriver Manager wieder auf der Herstellerseite verfügbar (@Herrn Probst, danke für den Hinweis). Ich habe den Downloadlink gerade angepasst.
Öffnen des MiniDriver Managers.
“Connect…” wählen.
Smartcard Reader auswählen.
Button “Login” wählen und die PIN der Smartcard eintragen.
Rechtsklick auf “Container #0 {….}” -> “Load Container” wählen.
Gespeicherte Zertifikatsdatei auswählen und das beim Exportieren eingetragene Passwort mit hinterlegen. Der Containername kann frei gewählt werden.
Die Verbindung zur Smartcard über “Logout” trennen.
Die Smartcard ist nun einsatzbereit und kann für nahezu alle Authentifizierungszwecke verwendet werden.
Bei Fragen oder Verbesserungsvorschlägen können Sie gerne die Kommentarfunktion nutzen.
Guten Tag,
wir überlgen bei uns auch sowas anzuschaffen bzw. einzurichten.
Könnten Sie mir sagen welche Hardware (smartcard und reader ) Sie verwendet haben ?
Viele Grüße und schon mal besten Dank
Marcel
Hallo Marcel,
für die Demo Umgebung habe ich “Gemalto IDPrime .NET 510” Karten und einen “SCM SRC3311” Reader verwendet. Beide sind aktuell nicht mehr neu verfügbar.
Beim Reader gibt es nicht allzu viel worauf man achten muss, er sollte auch Karten beschrieben können (was aber so ziemlich jeder Reader kann und daher selten in der Produkbeschreibung mit aufgeführt wird) und am besten kein eigenes Pin Pad besitzen.
Erfolgreich mit den so erstellen Karten habe ich die Reader “SCM SCR335”, “OmniKey 3121” und verschiedene intern in Geräten verbaute Reader getestet. Probleme hingegen hatte ich mit einem “Reiner SCT Secoder” mit Pin Pad. Hier lief die Pin Abfrage in einer Endlosschleife.
Bei der Auswahl der Karte sollte es genügen darauf zu achten, dass Sie einen Minidriver benötigt. Bei Gemalto sind das alle Karten mit “.NET” im Namen, es gibt aber auch noch verschiedene andere Hersteller.
Ich hoffe, das hilft dir schon mal weiteren.
Tobias
Hallo,
Sie schrieben [“Update 28.10.2018: Da die Frage häufiger auftaucht: Bisher konnte ich keine RFID Karte mit passendem Mini-Treiber finden. Generell wird für die Zertifikatsbasierte Authentifizierung eine “Minidriver-enabled PKI Smartcard” benötigt.”] und ich habe dazu
von ReinerSCT den kleinsten Kartenleser für ~30 € – 40 € gesehen und der kann mittels
RFID Karte eine Anmeldung ermöglichen, was für Leute mit sehr langen Passwörtern
oder aber auch für Administratoren die sich nicht gerne “über die Schulter” gucken
lassen möchten! Also eine Karte gibt es immer dazu bei dem Kartenleser soweit ich
informiert bin. (Etwas spät, aber besser als nie)
Mit freundlichen Grüßen
Frank Schuhmann
Hallo,
den ReinerSCT RFID Basis Reader hatte ich bereits für andere Zwecke im Einsatz. Er kann RFID Karten bzw. Tokens lesen und schreiben, eine Karte war jedoch bei keinem der Reader die ich bisher hatte dabei. Wenn damit eine Anmeldung Möglich ist wäre interessant zu Wissen welche Karte hierzu notwendig ist. Ich könnte mir vorstellen, das Mifare Karten es in irgendeiner Form können, ich habe es aber wie gesagt bisher noch nie selbst testen können.
Besten Gruß,
Tobias Wintrich
Hallo
Funktioniert der Login auch mit Mifare Desfire EV1 Karten?
VG
Jan
Hallo Jan,
wenn ich das richtig sehe handelt es sich hierbei um eine RFID Karte. Mit Kontaktlosen Karten habe ich bisweilen leider noch keine Tests durchgeführt und mir liegen auch keine sonstigen Erkenntnisse hierzu vor.
Generell sollte es zwar möglich sein, die nach der Anleitung erstellten Nutzerzertifikate auf die Karte zu bringen, jedoch weiß ich nicht wie ein Windows System auf die Karte reagiert.
Tut mir leid, dass ich dir keine definitive Aussage hierzu geben kann.
Tobias
#Update 29.10.2018
Ich habe mich nochmal etwas umgesehen. Ich konnte keine RFID Karte finden welche einen Mini Treiber mit anbietet. Somit fallen diese Karten für einen Smartcard Login nach dieser Anleitung flach.
Sehr coole Anleitung.
Vielen Dank dafür!
Endlich stellt jemand mal das ganze Konstrukt verständlich dar 🙂
Danke für diese sehr ausführliche Anleitung.
Leider ist das MiniDriver Tool derzeit nicht (mehr) verfügbar. Der Link hier im Artikel funktioniert nicht (ist doppelt hinterlegt) und der Download unter https://www.gemalto.com/products/idgo_800_generic/resources/development.html
ist tot.
Gibt es eine alternative Software? Ich verwende (oder würde gerne verwenden) eine Gemalto IDPrime MD 830.
Vielen Dank für den Hinweis. Aktuell sind mir leider keine alternativen bekannt. Scheinbar hat Gemalto den Mini Driver Manager von deren Webseite entfernt. Ich habe noch ein Downloadarchiv gefunden welche eine funktionierende Version enthält. Dabei sollte aber immer die entsprechende Vorsicht wallten gelassen werden und stets geprüft werden was heruntergeladen wurde bevor es ausgeführt wird. Den Artikel habe ich entsprechend angepasst.
Könnten Sie mir das Archiv zukommen lassen? Suche verzweifelt nach dem Treiber :/
Habe hier etwas interessantes gefunden, scheint der Nachfolger zu sein ^^
https://supportportal.gemalto.com/csm?id=kb_article_view&sysparm_article=KB0018214
Konnte es jedoch noch nicht testen, da die Karte noch nicht da ist…
LG Torben
Hallo, das ist ein nützlicher Tutorial. Zum Thema NFC und PIV: der Yubikey NEO (und der gerade erschienene Yubikey 5 NFC) ermöglicht die Zertifikatsbasierte Domänenanmeldung via USB und NFC, letzteres getestet mit einem ACR1252. Praktisch auch, dass so Laptops, Tablets u.ä. ohne eingebauten Smart Card Reader eingebunden werden können, da der Stick sein eigener Leser ist.
Hallo,
haben Sie eventuell Alternativen zu den von Ihnen genannten “Test-Komponenten”, Grund dafür ist, dass es die “Gemalto IDPrime .NET 510” so nicht mehr zu kaufen gibt und auch wohl fehlerhaft zu sein scheint. Da ich mir damit wirklich schwer tue Alternativen zu finden, die auch funktionieren könnten, habe ich gehofft, dass Sie mir mit Ihrer Erfahrung auf die Sprünge helfen könnten ^^
Vielen Dank für das tolle Tutorial 🙂
Vielen Dank im Voraus 😉
Wir setzen ID Prime MD 830 ein.
Hallo Herr Kraß-Westerink,
vielen Dank für Ihre Hilfe… doch eine Frage hätte ich da noch^^
Welches Lese-/schreibgerät nutzen sie in Verbindung mit Ihrer Smartcard?
LG Torben
Generell sind die Gemalto Karten mit der Bezeichnung “MD” die Nachfolger der .NET Karten. Das “MD” steht hierbei für Minidriver und ist für die Verwendung des Microsoft Anmeldeproviders geeignet. Selbst habe ich die Karte zwar noch nicht testen können, aber da Herr Kraß-Westerink Sie bereits im Einsatz hat, sollten diese auch soweit funktionieren.
Vielen Lieben Dank für Ihre Antwort 🙂
Übrigens ließ sich die Zertifikatsvorlage bei uns (Windows Server 2016) auch ohne manuelles Bearbeiten ausstellen. Dafür war lediglich das entfernen des E-Mail-Attributs erforderlich. Hier beschrieben: https://sid-500.com/2017/04/01/active-directory-zertifikatsdienste-teil-3-eigene-zertifikatsvorlagen-erstellen/
Aktuell muss ich gestehen, dass mir ein wenig die benötigte Zeit und Muße den Artikel stets auf dem aktuellen Stand zu halten. Daher freut es mich umso mehr zu sehen, dass sich auch andere Nutzer helfend zu Wort melden.
An dieser Stelle erstmal ein großes Dankeschön für Ihre Mühen und dass Sie ihre Erkenntnisse auch mit allen anderen teilen.
Hi Tobias!
danke für diese 1A Anleitung die auch “mal eben” beinhaltet wie eine CA aufgesetzt wird. Ich steck zur Zeit total im SSO Dschungel drin in Verbindung Windows RDS und WebAccess.
Jetzt die Challenge:
Thin Client -> Authentifzierung eines Domänenbenutzers via Smartcard -> Passtrhough Login zum RDS.
Müsste doch auch gehen, oder?
Gemalto IDPrime MD 3811 + Classic 4k + Desfire EV1 &
Gemalto IDBridge CT30
Als Smartcard sowie Reader Lösung. Mit dem Minidriver unter Windows die Karte mit dem Domänenbenutzer Zertifikat beschreiben und gut ist. Muss die Windows CA eigentlich immer präsent sein für ausgestellte Zertifikate oder ist sie lediglich für die Ausstellung notwendig?
LG und danke für deine Zeit! 🙂 🙂
Hallo Dennis,
erst mal vielen Dank für die netten Worte.
Ich habe selber aufgrund einer Kundenanfrage ein wenig mit einer Passthrough Authentifizierung mit Smartcard, aber im Zusammenhang mit dem Citrix Webinterface getestet. Es war eine Heidenkonfigurationsarbeit das Ganze in meiner Demo Umgebung ins laufen zubekommen, hat dann aber auch ganz gut funktioniert. Da RDWeb generell auch eine Passthrough Authentifizierung unterstützt, sollte es also auch in deiner Konstellation funktionieren (passende Internet Explorer Version vorausgesetzt).
Ich würde mir an dieser Stelle aber eventuell die Frage stellen ob es überhaupt sinnvoll ist die Thin Clients mit in die Domäne aufzunehmen. Wenn sie nicht in der Domäne wären, könnte sich ein Default User (mit einfachen Userrechten) automatisch beim Systemstart anmelden und das RDWeb (oder eventuell sogar nur eine einfache RDP Datei, wenn alle den gleichen Desktop zugewiesen bekommen) öffnen. Die für den User stattfindende Authentifizierung fände dann ebenfalls nur an einer Stelle statt. Daraus ergeben sich aus meiner Sicht einige Vorteile. Der lokale am Client angemeldete User hat keinerlei Berechtigungen auf Domänenressourcen zuzugreifen. Das heißt, sollte sich dort ein Virus oder Verschlüsselungstrojaner einnisten, könnte er sich nicht mit den Domänennutzerberechtigungen im Netz ausbreiten. Wenn dann noch zusätzlich der in Windows Embedded Standard 7 enthaltene Schreibfilter EWF oder der UWF in neueren Versionen eingesetzt wird, könnte man sogar auf einen lokalen Virenschutz verzichten.
Ein Nachteil wäre es hingegen, dass man keine Gruppenrichtlinien verteilen kann und diese manuell auf dem Client setzen müsste (wenn gewünscht).
Ich muss gestehen, dass ich mir die Frage zu Verfügbarkeit der CA bisher nie gestellt habe, da Sie in allen bisher von mir installierten Systemen mit auf einem Domänencontroller oder einer anderen immer eingeschalteten Maschine installiert wurde. Wenn ich mich nicht Irre, sollte die CA aber die meiste Zeit online sein. Auf der CA sind Sperrlisten für die ausgestellten Zertifikate enthalten die von Zeit zu Zeit abgefragt werden müssen. Wenn die Sperrlisten auf den (Terminal-)Servern, ich habe im Hinterkopf 30 Tage lang, nicht mehr abgerufen werden können, werden die Zertifikate nicht mehr akzeptiert.
Tobias
Hi Tobias!
Vielen Dank für die ausführliche Antwort und deine kostbare Zeit.
Ich betreue bei uns auch die Demo- und Präsentationsumgebung. Die Thin Clients werden nur an Messeauftritten verwendet und haben erstmal keine weiteren Aufgaben außer, dass ich für die Messen nicht jedes mal 7- 10 Fat Clients manuell aufsetzen muss. (jaja …Deployment wäre das Stichwort..aber die Zeit fehlt einfach um mich einzuarbeiten. 🙂 )
Weshalb ich einen Domänenbenutzer brauche:
SSO beim RDS funktioniert soweit ich weiß nur mit Domäne und eine Collection musst du ja für OUs erreichbar machen. Das RDWeb ist nur die Kirsche oben drauf und “sollte funktionieren, wenn es einer sehen will”. Wichtig ist, dass die User per Smartcard am Thin Client auf den Terminalserver kommen.
Ai ai ai… um so mehr ich sehe, um so weniger weiß ich…
Danke für deine Antwort!
Hallo, habe den aktuellen MiniDriver gefunden
https://supportportal.gemalto.com/csm/?id=kb_article_view&sysparm_rank=1&sysparm_tsqueryId=7f350cd0db672b80d298728dae9619ab&sysparm_article=KB0017162
Hi Tobias,
tolle Erläuterung.
Ein Frage: Ist die 2-FA z.B. am Server oder über RDP dann Pflicht oder nur eine Option?
Also bekomm ich es irgendwie hin, das der Zugriff ausschließlich über 2-FA ermöglicht wird, Stichwort Secure-Login … Passwort klebt unter der Tastatur, aber der böse Hacker kommt trotzdem nicht rein :D.
Viele Grüße
Sven
Hallo Sven,
die Authentifizierung mittels der Smartcard ist zunächst nur optional, kann aber über die Kontooption “Benutzer muss sich mit einer Smartcard Anmelden” in der Eigenschaftenseite (unter Konto) des AD-User-Objekts erzwungen werden.
Besten Gruß,
Tobias
Moin,
fange gerade an mich mit der Thematik zwecks Absicherung unserer Administratorenzugänge zu beschäftigen – daher eine vielleicht eher allgemeine Frage:
Kann man Smartcard + Reader einfach durch einen USB Token ersetzen, oder stelle ich mir das zu einfach vor?
Viele Grüße
Paddy
Hallo Paddy,
ja, man Kann Smartcard + Reader durch ein passendes USB-Token ersetzen. Um eine zertifiktasbasierte Authentifizierung zu ermöglichen, muss das USB Token in der Lage sein eine PKI Authentifizierung durchzuführen und es muss eine geeignete Middleware für Windows Systeme vorhanden sein.
Aus meiner Erfahrung kann ich sagen, dass dies mit YubiKey 4 und 5 Sticks möglich ist, jedoch sollte der YubiKey Neo in diesem Zusammenhang gemieden werden da hier die maximale mögliche Zertifikatsgröße zu gering ist.
Tobias
Hallo, ich habe Ihre Anleitung genutzt und es war auch alles super nur leider bekomme ich das Zertifikat nicht auf meine Gemalto ID Prime 830 Karte.
Die Standard Pin von dieser Karte soll 0000 sein.
Die Karte ist nun nach mehreren Versuchen gesperrt und ich bekomme die Karte auch nicht über den Admin Key entsperrt.
Vielleich weiß jemand von Ihnen wie ich da weiter komme.
Danke schon mal im Vorraus
Hallo, ich habe die Anleitung Schritt für Schritt durchgeführt. leider kann ich aber das Zertifikat nicht auf die Smartcard laden. ich erhalte die Meldung, dass das Passwort falsch ist. Das Exportpasswort für das Zertifikat stimmt aber 100%.
Können Sie mir da einen Tipp geben?
Hallo, entschuldige die späte Antwort. ein entsprechendes Problem ist mir bisher nicht untergekommen.
Folgendes würde ich Testen bzw. Sicherstellen:
– Sind die Smartcard- Kartentreiber des Herstellers installiert
– Ist der Smartcard Reader Treiber des Hersteller installiert (nicht der Standard Windows Treiber)
– Alternativ vom Gemalto Tool könnte man es auch noch mit den “MGTEK SmartCard Tools” versuchen
– Test mit einem extrem einfachen Passwort wie 1234
Hallo Herr Wintrich,
ich scheitere aktuell an dem Punkt, an dem das Zertifikat auf die Karte gespielt werden soll.
Beide versuchten Softwares melden (mehr oder weniger) “die Karte sei für den Vorgang nicht kompatibel”.
Ihre Gemalto IDPrime .NET 510 ist schwer zu bekommen.
Haben Sie eine Aufstellung aktueller geeigneter Karten?
MfG
Hallo Herr Dalski,
eine Auflistung habe ich zwar nicht, zumal ich tatsächlich eher selten an einer entsprechenden praktischen Umsetzung arbeite. Es sollten allerdings alle “Gemalto IDPrime MD” (z.B.: https://www.cryptoshop.com/products/gemalto-idprime-md-840.html ) in der Lage sein auf beschriebene Art und Weise mit Zertifikaten bestückt zu werden.
Ebenfalls möglich ist es das Verfahren mit einem aktuellen Yubikey 4 oder 5 umzusetzen. Wobei es hier ein Modell gibt, dessen Speicher zu klein für ein Zertifikat ist (genaue Bezeichnung habe ich gerade nicht präsent, ich meine es war der Yubikey Neo).
Hallo,
vielenn Dank für die tolle Anleitung!
EIne Frage: Wie kann ich das Zertifikat der Smartcard in blockieren/löschen sodass sich der Benutzer nicht mehr via Smartcard anmelden kann?
Ich habe im Active Dircectory beim Benutzeraccount das veröffentlichte Zertifikat gelöscht doch man kann sich immer noch mit der Smartcard anmelden :-/
Nehmen wir den Fall: Benutzer verliert Laptop, Pin und Smartcard. Eine fremde Person meldet sich mit der Smartcard am System an. Wie kann ich die Anmeldung verhinden bzw. im Active Directory oder dem CA Server das Yubikey Zertifikat des Benutzers löschen, das die Smartcard abgelehnt wird?
Viele Grüße!
Hallo,
entschuldige die späte Rückmeldung, momentan ist es ein wenig stressig.. Um ein Zertifikat zu sperren Öffnet man zunächst die “Zertifizierungsstelle” (certsrv.msc). Dort wählt man anschließend unter “Ausgestellte Zertifikate” das entsprechende Nutzerzertifikat und spert es mit “Rechtsklick” -> “Alle Aufgaben” -> “Zertifikat sperren”.
Anschließend muss die Sperrliste noch (Neu-)Veröffentlicht werden. Hierzu führt man im certsrv.msc einen Rechtsklick auf “Gesperrte Zertifikate” und wählt hier “Alle Aufgaben” -> “Veröffentlichen”.
Anschließend sollte sich der Benutzer nicht mehr mit der Karte anmelden können.