Smartcards für die Windows-Authentifizierung

Die in Windows integrierte Smartcard-Lösung ist nicht die eleganteste Variante, erfüllt aber für kleinere Netzwerke ihren Zweck.

Artikel erschienen in Swiss IT Magazine 2005/15

     

Die Vorbereitung von Smartcards mit Hilfe der Zertifikatdienste des Windows Server 2003 gelingt erst nach etlichen vorbereitenden administrativen Schritten. Die Zertifikatvorlagen müssen freigegeben und mit Sicherheitseinstellungen versehen werden. Erst danach können Zertifikate angefordert werden.
Nachdem die Zertifikatvor-
lagen für den Enrollment Agent
(Registrierungs-Agent) und die Smartcard-Benutzer im Bereich Zertifikatvorlagen vorbereitet wurden, müssen diese noch aktiviert werden. Dazu verwendet man im Kontextmenü des Knotens Zertifikatvorlagen beim Verwaltungsprogramm Zertifizierungsstelle den Befehl Neu – Auszustellende Zertifikatvorlage. Im angezeigten Dialogfeld lassen sich darauf die Vorlagen auswählen und mit OK in die Liste der Zertifikatvorlagen der Zertifizierungsstelle übernehmen. Dieser Schritt wirkt zunächst vielleicht etwas redundant, stellt aber sicher, dass Zertifikatvorlagen erst nach einer expliziten «Freigabe» auch von einer Zertifizierungsstelle genutzt werden können.


Registrierung des Enrollment-Agenten

Der nächste Schritt ist die Vorbereitung der Enrollment-Stationen, also der Systeme, an denen die Registrierung der Zertifikate für die Smartcards und die weitere Vorbereitung der Smartcards erfolgt. Man kann diesen Schritt entweder über die Webschnittstelle der Zertifikatdienste oder mit Hilfe der MMC-Anwendung Zertifikate durchführen. Letztere ist nicht standardmässig ins System integriert, man muss also das entsprechende MMC-Snap-in zunächst einfügen. Die MMC-Anwendung ist allerdings für das Enrollment von Smartcards die besser geeignete Anwendung, weshalb sich der Aufwand jedenfalls lohnt.





Ein Zertifikat für den Registrierungs-Agenten lässt sich am einfachsten über Eigene Zertifikate – Zertifikate mit dem Kontextmenü-Befehl Alle Tasks – Neues Zertifikat anfordern aufrufen. Es wird ein Assistent gestartet, indem sich der Registrierungs-Agent für den entsprechenden Zertifikattyp auswählen lässt. Falls man die Schaltfläche Erweitert wählt, lässt sich hier unter anderem auch noch die CA auswählen. Das ist immer dann wichtig, wenn der Registrierungs-Agent über eine andere CA als die Standard-CA registriert wird. Nach der Anforderung hängt es von den bei der Zertifikatvorlage konfigurierten Ausstellungsvoraussetzungen ab, ob und welche Genehmigung erforderlich ist. Bei dieser Art von Zertifikaten sollte aber immer mit einer Genehmigung gearbeitet werden. Nach der Genehmigung und dem Abholen des Zertifikats steht dieses im Zertifikatspeicher zur Verfügung.






Die Alternative dazu ist die Nutzung der Webschnittstelle für die Zertifikatanforderung. Dort wählt man zunächst Ein Zertifikat anfordern. Als Typ verwendet man Erweiterte Zertifikatanforderung. Anschliessend lässt sich Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen anklicken, um im folgenden Schritt die Zertifikatvorlage für den Registrierungs-Agent auswählen und die weiteren erforderlichen Informationen eingeben zu können.
Ein Zertifikat lässt sich für die Registrierung anderer Zertifikate auch auf einer Smartcard speichern. Das setzt allerdings voraus, dass zwei Smartcard-Reader am System angeschlossen sind – einer für die Smartcard des registrierenden Benutzers und einer für die neu zu erstellenden Smartcards.


Die Registrierung von Benutzerzertifikaten

Für die Anforderung der Benutzerzertifikate wird anschliessend die Webschnittstelle verwendet. Dort wählt man wieder Ein Zertifikat anfordern und anschliessend die erweiterte Zertifikatanforderung. Hier lässt sich nun die Option Ein Smartcard-Zertifikat für einen anderen Benutzer mit Hilfe der Smartcard-Zertifikatregistrierungsstelle anfordern auswählen.
Anschliessend kann es je nach Sicherheitseinstellungen des Browsers zu einer Fehlermeldung kommen, weil das verwendete ActiveX-Control als nicht sicher erkannt wird. Man muss deshalb bei den Sicherheitseinstellungen des Internet Explorer in der entsprechenden Zone konfigurieren, dass nicht sichere ActiveX-Controls entweder generell oder (besser) nach Bestätigung ausgeführt werden dürfen.






Ist die Seite korrekt geladen, lässt sich nun eine der beiden Zertifikatvorlagen Smartcard-Benutzer oder Smartcard-Anmeldung auswählen, je nach Konfiguration und verwendeten Smartcards. Darunter muss man die Zertifizierungsstelle und den Kryptografiedienstanbieter auswählen. Welcher hier verwendet wird, hängt von dem verwendeten Smartcard-Reader ab.
Als Administratorsignaturzertifikat wählt man das Zertifikat für den Registrierungs-Agent aus, das zuvor erstellt worden ist. Nachdem diese Standardeinstellungen gesetzt sind, muss bloss noch bei Einzuschreibender Benutzer der Benutzer aus dem Active Directory ausgewählt werden, für den die Smartcard erzeugt werden soll.
Nach der Auswahl des Benutzers wird man nun im unteren Bereich bei Status aufgefordert, die Smartcard in das Lesegerät einzulegen und auf Registrieren zu klicken, worauf die eigentliche Smartcard erstellt wird. Die Prozeduren bezüglich der PIN hängen dabei wiederum von der verwendeten Hardware ab. Die Smartcard kann anschliessend entsprechend der definierten Prozedur an den Benutzer weitergeleitet werden.


Die Authentifizierung mit Smartcards

Mit dieser Smartcard kann sich ein Benutzer nun anmelden. Solange es bei den Kontoeinstellungen im Active Directory nicht konfiguriert ist, ist die Verwendung der Smartcard optional. Die Authentifizierung per Smartcard kann aber, wie im ersten Teil der Serie ausgeführt, auch erzwungen werden.
Sobald ein Smartcard-Reader bei einem Windows-System ab Windows 2000 konfiguriert ist, wird automatisch bei der Anmeldung die Option der Smartcard-Authentifizierung angeboten. Statt Strg+Alt+Entf zu drücken, kann einfach die Smartcard eingelegt und entsperrt werden. Damit ist die Authentifizierung durchgeführt.
Das gesamte Prozedere für die Erstellung von Smartcards im eigenen Unternehmen ist nicht ganz einfach, lässt sich aber – wenn die Voraussetzungen erst einmal geschaffen sind – mit wenig Aufwand durchführen. Die in Windows standardmässig integrierte Lösung ist sicherlich nicht die eleganteste Variante, die es gibt. Sie erfüllt aber vor allem in kleineren Netzwerken durchaus ihren Zweck. In grösseren Umgebungen ist dagegen, wie schon im ersten Teil ausgeführt wurde, eine zusätzliche Management-Infrastruktur für Smartcards empfehlenswert.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER