Jump to content

Frage zu HA und Smartcard Authentifizierung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hey zusammen.

Ich befasse mich gerade für eine Prüfung mit dem Thema Smartcard und HA.

Unter anderem geht es um das Thema, wie man eine Smartcard Autentifzierung unter HA Gesichtspunkten ausfallsicher macht.

Meines Erachtens müsste man dann auf jeden Fall eine weitere CA aufbauen, denn wenn diese wegbricht kann man sich ja nicht mehr dagegen autorisieren, oder?

Was ist denn mit den CRL´s ?

Wenn der Client keine findet sollte er einfach keine auswerten und gut, oder?

Oder braucht er zwingend eine CRL um überhaupt anmelden zu können?

Irgendwie scheine ich da noch Defizite zu haben.....

 

 

Gruß

Link zu diesem Kommentar

Hi,

 

die Anmeldung / Authentifizierung selbst übernimmt nicht die CA, sondern die DCs.

 

Die CRL ist jedoch zwingend erforderlich (in den Standardeinstellungen) - ist keine aktuelle CRL erreichbar während der SmartCard Anmeldung, schlägt diese fehl.

 

Genau an diesem Punkt setzt also die "hohe Verfügbarkeit" für die CA ein bzw. sollte einsetzen.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hey olc.

Das hat mich google auch gelehrt.

Aber woher wissen die DC´s, dass das Zertifikat auch von der richtigen CA ist?

Ich meine, nur dass es nicht in der CRL ist bedeutet ja nicht automatisch dass es korrekt ist.

 

Meines Erachtens müsste doch der DC das Zertifikat bzw. dessen Richtigkeit bei der CA hinterfragen, oder?

Warum muss er nicht?

Brauch ich die CA also theoretisch im Betrieb nur für die Generierung neuer Zertifikate und die Generierung der CRL?

 

 

Gruß

Link zu diesem Kommentar

Hallo,

 

Aber woher wissen die DC´s, dass das Zertifikat auch von der richtigen CA ist?

 

Die ausstellende CA steht im Zertifikat selbst drinnen und das Zertifikat wurde von der ausgebenden CA signiert. Der DC überprüft diese Signatur anhand eines unter "Vertrauenswürdige Stammzertifikate (certmgr.msc)" gespeicherten Rootzertifikates, bzw. bei einer ZertifikatsKette auch mehrerer Rootzertifikate. Das gleiche Spielchen geschieht am Client, wenn dieser das Zertifikat des DCs überprüft.

Das ganze geschieht lokal auf dem Rechner, die CA ist bei der Zertifikatsvalidierung nicht beteiligt.

Eine weitere Validierung erfolgt dann wie schon gesagt gegen die CRL.

Sind alle Schritte erfolgreich durchgeführt, ist der User authentisiert (ein Unterschied zu authentifiziert)

 

Brauch ich die CA also theoretisch im Betrieb nur für die Generierung neuer Zertifikate und die Generierung der CRL?

nicht nur theoretisch ist das so.

 

blub

Link zu diesem Kommentar

Hi,

 

der "Trust" wie von blub beschrieben ist Voaussetzung.

 

Jedoch muß das Zertifikat der SC ausstellenden CA im NTAuth Speicher vorliegen, damit es am Client / DC für die SmartCard Authentifizierung genutzt werden kann.

 

Siehe dazu: Guidelines for enabling smart card logon with third-party certification authorities

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...