Smartcard Anmeldung

[twenty 12]

Ich habe ein paar Smartcardreader und einige Karten "herumliegen". Wurden eingekauft und nie verwendet. Jetzt möchte ich die Reader und Karten in einer Testumgebung, für Winlogon, verwenden.

 

Smartcardreader: SMC Microsystems SCR111

Smartcard: GemSAFE 8k

Server: Windows 2003 Std.

Clients: Windows-XP inkl. SP2

 

Meine Frage: Ist dies mit den oben genannten Komponenten möglich?

 

Mir wurde gesagt, dass für das Zertifikat die 8k nicht reichen. Ist das wirlich so? Hat jemand Erfahrung mit oben genannter Konfiguration?

[grizzly999 11]

Das reicht. Du brauchts aber eine CA, eniiges an Wissen und dann kann's losgehen. Bei Microsoft gibt es einiges an Papers zum thema PKI und Smartcard.

 

grizzly999

[twenty 12]

Danke für die Antwort. Das nötige Wissen sollte ich haben (denke ich zu mindest). Sehr gute Hilfe habe ich im Technet gefunden.

 

Ich werde alles testen und dann berichten.

[twenty 12]

Funktoniert leider nicht.

 

Fehlermeldung:

Beim Erstellen der Zertifikatanforderung ist ein Fehler aufgetreten. Vergewissern Sie sich, dass der Kryptografiedienstabieter Ihre Einstellungen unterstützt, und dass Ihre Eingabe gültige Werte enthält.

Mögliche Ursache:

Das Sicherheitstoken hat keinen Speicherplatz für einen weiteren Container.

Fehler: 0x80090023 - NTE_TOKEN_KEYSET_STORAGE_FULL

[twenty 12]

In der Zwischenzeit habe ich ein Zertifkat auf die Karte schreiben können. Bei der Anmeldung auf dem Windows-XP PC, kommt nur eine Fehlermeldung mit dem Hinweis auf das Ereignisprotokoll.

 

Ereignisprototkoll: Beim Entschlüsseln einer Nachricht mit der eingelegten Smartcard ist ein Fehler aufgetreten: Diese Smartcart unterstützt das angeforderte Merkmal nicht.

 

Quelle: Smart Card Logon

Ereigniskennung: 11

 

Kennt jemand die Lösung? Bin für jeden Hinweis dankbar.

[grizzly999 11]

Nein, so einfach ist eine Beurteilung des Fehlers nicht. SmartCard Zertifikat und ~anmeldung ist keine einfache Sache. Welchen Zweck hat denn das Zertifikat? Sind die Richtlinien entsprechend gesetzt?

 

 

grizzly999

[twenty 12]

Das Zertifikat sollte eigentlich nur als Winlogon dienen. Ich denke, dass die Clients keine Rechte zum lesen des Zertifikats haben. Werde das am Abend ausführlich testen und dann berichten.

[Hr_Rossi 10]

hi

 

schau mal hier !

http://www.cryptoshop.com/de/downloads/testumgebungpki.pdf

 

lg

[grizzly999 11]

Das Zertifikat sollte eigentlich nur als Winlogon dienen. Ich denke, dass die Clients keine Rechte zum lesen des Zertifikats haben. Werde das am Abend ausführlich testen und dann berichten.

nein, ich meinte den ZWCK des Zertifikats, bzw. der Zertifikatsvorlage. Da ist immer ein Zweck angegeben, nennt sich auch Schlüsselverwendung oder erweiterte Schlüsselverwendung, und der muss SmartCard-Anmeldung sein (oder SmartCardBenutzer).

 

 

grizzly999

[twenty 12]

Zweck des Zertifikates ist Smartcart-Benutzer.

 

Ich habe folgendes installiert: Windows Server 2003 Std. - DNS - IIS - DCPROMO - Zertifikatserver

Smartcardreader wurde automatisch erkannt und installiert.

 

Die Zertifikatsvorlagen installiert: Smartcard-Benutzer, Smartcard-Anmeldung, Registrierungs-Agent, Registrierungs-Agent (Computer)

 

Über Active Directory-Standorte und Dienste die User auf die "Certificate Templates" berechtigt.

 

Über Active Directory-Standorte und Dienste den DC(=Zertifikatsserver) auf die "Certificate Templates","Certificate Authorities","Cerficate Services" Vollzugriff berechtigt.

 

Das Zertifikat angefordert über "http://localhost/certsrv" - Ein Zertifikat anfordern - erweiterte Zertifikatanforderung ein - Ein Smartcard... - alles ausgewählt und auf "Registrieren" geklickt.

 

Nun wird der PIN verlangt, danach das Zertifikat auf die Karte geschrieben.

 

Habe die Karte für den Admin erstellt und versucht mich damit anzumelden.

 

Fehler: Das Kryptosystem oder die Prüfsummenfunktion sind ungültig, weil eine erforderliche Funktion nicht verfügbar ist.

[twenty 12]

Zusätzlich habe ich noch die GemsAFE Enterprise Workstation installiert. Das Zertifikat wird beim User unter Veröffentlichte Zertifikate angezeigt.

[Hr_Rossi 10]

hmm

 

schaut so aus wie wenn dies ein falsches zertifikat ist ...

 

hier mal was zum troubleshooting

http://www.microsoft.com/technet/prodtechnol/windows2000serv/support/smrtcrdtrbl.mspx

 

 

lg

rossi

[twenty 12]

Habe die ganze Installation neu aufgebaut. Server 1 ist der DC (Windows Server 2003 Standard) der Domäne, Server 2 (Windows Server 2000 Standard) der Zertifikatsserver. Die Ausstellung eines Zertifikates funktioniert immer. Jedoch kann ich mich nur mit der Smartcard des "Enterpriseadmin" am DC anmelden. Rechte zum anmelden auf einem DC, habe ich auf alle Domänenuser erweitert. Nicht schlagen, ist nur eine Testumgebung. Auf dem Zertifikatsserver, auf dem ich das Zertifikat ausgestellt habe, ist keine Anmeldung möglich.

 

Sie können aufgrund foldenden Fehlers nicht angemeldet werden:

Unbekannter Kryptografiealgorithmus.

Wiederholen Sie den Vorgang, oder wenden Sie sich an Ihren Systemadministrator.

[twenty 12]

Habe soeben eine Enrollment Station, auf einem Laptop, eingerichtet. Verwendeter Kartenleser: Gemplus GRP-400.

 

Von 8 geschriebenen Karten funktioniert genau eine. Habe immer alles gleich gemacht. Ich verstehe die Welt nicht mehr.

 

Hat jemand von Euch ähnliche Erfahrungen gemacht?