lulimann 10 Geschrieben 21. Januar 2008 Melden Teilen Geschrieben 21. Januar 2008 Hallo, gibt es hier Leute mit KnowHow bzgl. RSA Smartcard Client Authetisierung? Ich habe einen Win2003 Server mit einer CA installiert und die Templates für Smartcard Logon und Smartcard Benutzer Zertifikate hinzugefügt. An einem Testclient kann ich mir auch über die CA ein Zertifikat installieren, welches ich auch auf den RSA-USB-Token installieren kann. Auf den Stück Software von RSA (RSA Authentication Client) sollte alles richtig eingestellt sein. Beim Windows Login kommt dann allerdings folgende Fehlermeldung nachdem ich die vierstellige Smartcard-PIN eingegeben habe: "You entered an invalid account and cannot log in to the computer. Check that you entered the correct account information." Da die Account-Informationen ebenfalls richtig eingegeben sind, vermute ich, dass es irgend etwas mit den Zertifikaten zu tun hat. Da in den RSA Dokumentationen absolut garnichts über die Zertifikate beschrieben ist, hoffe ich, dass evtl. hier Jemand einen Tipp hat. Beste Grüße Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 22. Januar 2008 Melden Teilen Geschrieben 22. Januar 2008 Hallo, mit RSA Smartcards habe ich noch nichts zutun gehabt, daher mal ein Schuss ins Blaue: Du schiebst aber das Zertifikat mit privatem Schlüssel auf die Smartcard? Zitieren Link zu diesem Kommentar
lulimann 10 Geschrieben 22. Januar 2008 Autor Melden Teilen Geschrieben 22. Januar 2008 Das Zertifikatsthema ist ganz neu für mich. Bin auch kein Win2003 Spezi. Vielleicht mache ich schon beim Ausstellen der Zertifikate einen Fehler. Ich habe in der Enterprise CA die Templates für Smartcard-Benutzer und Smartcard-Logon hinzugefügt. Ich schreibe hier einfach mal meine Schritte für das Ausstellen des Zertifikates rein. 1. Ich connecte vom Client, der sich übrigens in der von mir erstellten Domäne befindet, auf die http://x.x.x.x/certsrv. Um hier jedoch alle Zertifikats-Templates verfügbar zu haben, muss ich mich auf der Page mit dem Administrator des Servers anmelden. Der User hat bei Zertifikatsanfrage nur 2 Optionen. 2. ---> "Zertifikat anfordern" ausgewählt. 3. ---> "erweiterte Zertifikatsanforderung" ausgewählt. 4. ---> "Eine Anfrage an die Zertifizierungsstelle erstellen und einreichen" ausgewählt. (Hierzu muss ich noch sagen, das es hier eine dritte Option gibt, die sich "Ein Smartcard-Zertifikat für einen anderen Benutzer mit Hilfe der Smartcard-Zertifizierungsstelle anfordern" nennt. Wenn ich jedoch darauf gehe bekomme ich eine Fehlermeldung, dass ein Dialogfeld nicht geöffnet werden kann, da keine Pfade gefunden wurden + Die richtige Vers. der Active X Steuerelemente konnte nicht installiert werden. Übrigens auch bei anderen Clients, sollte also nicht an der Client-Konf. liegen. Daher o.g. Option genommen) 5. Bei der Ansicht für erweiterte Zertifikatserstellung habe ich nun folgende Details angegeben: Zertifikatsvorlage: Smartcard Logon Schlüsseloptionen: Neuen Schlüssel erstellen (default) Kryptografiedienstanbieter: RSA Sign-on Manager CSP Automatischer Schlüsselcontainername ausgewählt (default) Zusätzliche Optionen: Anforderungsformat CMC (default) Hashalgorithmus: SHA-1 (default) Habe hier sonst keine zusätzlichen Optionen ausgewählt. ____________________________________________________ Da von RSA absolut Garnichts über die Zertifikatserstellung beschrieben ist, kann es natürlich sein, dass ich hier gerade alles falsch mache. Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 22. Januar 2008 Melden Teilen Geschrieben 22. Januar 2008 Hallo, normalerweise macht man das Ganze über einen Registrierungsagenten. Das wäre die Option die du beschrieben hast: Ein Smartcard-Zertifikat für einen anderen Benutzer mit Hilfe der Smartcard-Zertifizierungsstelle anfordern. Der CSP (Cryptographic Service Provider) für die RSA Smartcards ist aber installiert, oder? Hier ist der genaue Vorgang beschrieben: Microsoft Corporation Zitieren Link zu diesem Kommentar
lulimann 10 Geschrieben 23. Januar 2008 Autor Melden Teilen Geschrieben 23. Januar 2008 Wenn ich über die mmc-Konsole mit einem Domain-User ein Zertifikat anfordern will, wie in dem Link beschrieben, bekomme ich die Fehlermeldung: "Der Assistent kann nicht gestartet werden, da keine Verbindung mit dem Active Directory besteht" Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 23. Januar 2008 Melden Teilen Geschrieben 23. Januar 2008 Die von dir installierte CA ist eine Enterprise CA? Der Client ist in der selben Active Directory Domain? Zitieren Link zu diesem Kommentar
lulimann 10 Geschrieben 23. Januar 2008 Autor Melden Teilen Geschrieben 23. Januar 2008 Genau. Melde mich in der Domäne mit dem Client an, enterprise CA ist installiert. Zitieren Link zu diesem Kommentar
lulimann 10 Geschrieben 23. Januar 2008 Autor Melden Teilen Geschrieben 23. Januar 2008 Ich denke mal, es liegt momentan vielleicht an den beiden Fehlermeldungen, die ich bekomme, wenn ich ein Zertifikat ausstellen will für einen Client mit Hilfe der certsrv-page. Dann kommen nacheinander die beiden Fehlermeldungen, die ich als Screenshot angefügt habe. Von der Microsoft Homepage habe ich jetzt auch schon wieder einiges an Info entnehmen können. Danke für den Link. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.