Virtuelle SmartCards mit Windows 10

In vielen Unternehmen wir gerne für besonders schützenswerte Anwendungen die zusätzliche Verwendung von Smartcards vorgeschrieben. Smartcards bedeutet immer extra Lesegeräte und extra Smartcards. Seit Windows 8 gab es die Möglichkeit dies durch Virtuelle Smartcards zu ersetzten. Mit Windows 10 wurde das Ganze noch etwas erweitert. Virtuelle Smartcards können wie normale Smartcards genutzt werden, zum Beispiel zur Anmeldung an Windows, an Webseiten oder zur Authentifizierung als zweiter Faktor zu Benutzername und Kennwort.

Voraussetzungen

  • Der Computer der die virtuelle Smartcard benutzten soll, benötigt ein TPM (Trusted Plattform Modul) in der Version 1.2 oder 2.0. In diesen Sicherheitschip wird das entsprechende Zertifikat, nichts anderes sind Smartcards, sicher gespeichert. Durch Eingabe eines PIN wird der Zugriff freigeschaltet. Ähnlich wie bei BitLocker auch.
  • Eine Microsoft Active Directory Domäne in der der Computer Mitglied ist. Wir brauchen ja was zum Anmelden und zum Konfigurieren.
  • Eine AD integrierte Zertifizierungsstelle. Die muss keine CA mit Offline-Root-CA sein, eine Einstufige-Zertifizierungsstelle reicht aus.

Konfiguration der Zertifikatsvorlagen

  • Starten sie die MMC.exe mit administrativen Berechtigungen auf dem Server auf dem die Zertifizierungsstelle läuft, oder auf dem Sie die “Remote Server Administration Tools” (RSAT) installiert haben.
  • Fügen Sie das Snap-In “Zertifikatsvorlagen” hinzu.
    Fügen Sie das Snap-In Zertifikatsvorlagen hinzu.
  • Öffnen Sie den Punkt “Zertifikatsvorlagen” in dem Navigationsbaum und suchen Sie die Vorlage “Smartcard-Anmeldung
    Öffnen Sie den Punkt Zertifikatsvorlagen in dem Navigationsbaum und suchen Sie die Vorlage Smartcard-Anmeldung
  • Klicken Sie mit der rechten Maustaste und wählen den Punkt “Vorlage duplizieren
    Klicken Sie mit der rechten Maustaste und wählen den Punkt Vorlage duplizieren
  • Passen Sie die Vorgaben im Reiter “Kompatibilität” nach Ihren Bedürfnissen an.
  • Passen Sie im Reiter “Allgemein” den Vorlagennamen und die entsprechende Gültigkeitsdauer entsprechend an.
  • Ändern Sie im Reiter “Anforderungsverarbeitung” den Zweck der Vorlage auf “Signatur und Smartcard-Anmeldung
  • Bestätigen Sie den Hinweis wegen der Änderung des Zertifikatszweckes.
  • Ändern Sie im Reiter “Kryptografie” die Schlüssellänge auf mindestens 2048 Bit. Und aktivieren Sie die Einstellung “Für Anforderung muss einer der folgenden Anbieter verwendet werden:” uns selektieren dort “Microsoft Base Smart Card Crypto Provider
  • Im Reiter “Sicherheit” geben sie bitte der entsprechenden Nutzergruppe das Recht “Registrieren” (Für alle einfach die Gruppe “Authentifizierte Benutzer” verwenden)
  • Bestätigen Sie die Eigenschaften mit OK.
  • Zum Veröffentlichen der Vorlage fügen Sie bitte das MMC Snap-In “Zertifizierungsstelle” hinzu und wählen den Computer auf dem die Zertifizierungsstelle ausgeführt wird.
  • Klicken Sie nun auf die Zertifizierungsstelle und navigieren Sie bis zum Punkt “Zertifikatsvorlagen
  • Klicken Sie mit der rechten Maustaste auf “Zertifikatsvorlagen” und wählen den Punkt “Neu” > “Auszustellende Zertifikatsvorlage
  • Wählen Sie im Dialog die von Ihnen erstellte Zertifikatsvorlage aus
  • Stoppen Sie die Zertifizierungsstelle mit einem rechten Mausklick auf die CA und dann “Alle Aufgaben” > “Dienst anhalten” und starten Sie diese wieder mit “Dienst starten

Erzeugen der virtuellen Smartcard

Melden Sie sich mit dem Benutzer an dem Client PC an. Prüfen Sie ggf. vorher im BIOS oder im UEFI, das das TPM aktiviert ist.

  • Starten Sie eine Eingabeaufforderung oder PowerShell mit administrativen Rechten
  • Führen Sie den Befehl “tpmvscmgr.exe create /name VSC /pin prompt /adminkey random /generate” aus, und geben eine Pin ein und bestätigen diese. Alternativ können Sie auch den Parameter “/pin default” verwenden, dann wird die PIN auf 12345678 gesetzt.

Erstellen des Zertifikats für SmartCards

  • Starten Sie die Zertifikatskonsole mit dem Befehl “Certmgr.msc

  • In der Zertifikatskonsole erweitern Sie bitte den Punkt “Eigene Zertifikate” und “Zertifikate” sofern vorhanden. Klicken Sie mit der rechten Maustaste und wählen die Einträge “Alle Aufgaben” und “Neues Zertifikat anfordern…
  • Wählen Sie AD Basierte Zertifikatsrichtlinie
  • Wählen Sie die erstelle Zertifikatsvorlage
  • Nachdem auswählen muss die SmartCard PIN eingegeben werden
  • Nach kurzer Zeit ist das Zertifikat ausgestellt und installiert
  • Und schon kann sich über die Virtuelle Smart Card angemeldet werden.
Bitte warten...

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs und arbeitet bei der steep GmbH in Bonn. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Reginal Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte und Historische Lieder.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.