In vielen Unternehmen wir gerne für besonders schützenswerte Anwendungen die zusätzliche Verwendung von Smartcards vorgeschrieben. Smartcards bedeutet immer extra Lesegeräte und extra Smartcards. Seit Windows 8 gab es die Möglichkeit dies durch Virtuelle Smartcards zu ersetzten. Mit Windows 10 wurde das Ganze noch etwas erweitert. Virtuelle Smartcards können wie normale Smartcards genutzt werden, zum Beispiel zur Anmeldung an Windows, an Webseiten oder zur Authentifizierung als zweiter Faktor zu Benutzername und Kennwort.
Voraussetzungen
- Der Computer der die virtuelle Smartcard benutzten soll, benötigt ein TPM (Trusted Plattform Modul) in der Version 1.2 oder 2.0. In diesen Sicherheitschip wird das entsprechende Zertifikat, nichts anderes sind Smartcards, sicher gespeichert. Durch Eingabe eines PIN wird der Zugriff freigeschaltet. Ähnlich wie bei BitLocker auch.
- Eine Microsoft Active Directory Domäne in der der Computer Mitglied ist. Wir brauchen ja was zum Anmelden und zum Konfigurieren.
- Eine AD integrierte Zertifizierungsstelle. Die muss keine CA mit Offline-Root-CA sein, eine Einstufige-Zertifizierungsstelle reicht aus.
Konfiguration der Zertifikatsvorlagen
- Starten sie die MMC.exe mit administrativen Berechtigungen auf dem Server auf dem die Zertifizierungsstelle läuft, oder auf dem Sie die „Remote Server Administration Tools“ (RSAT) installiert haben.
- Fügen Sie das Snap-In „Zertifikatsvorlagen“ hinzu.
- Öffnen Sie den Punkt „Zertifikatsvorlagen“ in dem Navigationsbaum und suchen Sie die Vorlage „Smartcard-Anmeldung„
- Klicken Sie mit der rechten Maustaste und wählen den Punkt „Vorlage duplizieren„
- Passen Sie die Vorgaben im Reiter „Kompatibilität“ nach Ihren Bedürfnissen an.
- Passen Sie im Reiter „Allgemein“ den Vorlagennamen und die entsprechende Gültigkeitsdauer entsprechend an.
- Ändern Sie im Reiter „Anforderungsverarbeitung“ den Zweck der Vorlage auf „Signatur und Smartcard-Anmeldung„
- Bestätigen Sie den Hinweis wegen der Änderung des Zertifikatszweckes.
- Ändern Sie im Reiter „Kryptografie“ die Schlüssellänge auf mindestens 2048 Bit. Und aktivieren Sie die Einstellung „Für Anforderung muss einer der folgenden Anbieter verwendet werden:“ uns selektieren dort „Microsoft Base Smart Card Crypto Provider„
- Im Reiter „Sicherheit“ geben sie bitte der entsprechenden Nutzergruppe das Recht „Registrieren“ (Für alle einfach die Gruppe „Authentifizierte Benutzer“ verwenden)
- Bestätigen Sie die Eigenschaften mit OK.
- Zum Veröffentlichen der Vorlage fügen Sie bitte das MMC Snap-In „Zertifizierungsstelle“ hinzu und wählen den Computer auf dem die Zertifizierungsstelle ausgeführt wird.
- Klicken Sie nun auf die Zertifizierungsstelle und navigieren Sie bis zum Punkt „Zertifikatsvorlagen„
- Klicken Sie mit der rechten Maustaste auf „Zertifikatsvorlagen“ und wählen den Punkt „Neu“ > „Auszustellende Zertifikatsvorlage„
- Wählen Sie im Dialog die von Ihnen erstellte Zertifikatsvorlage aus
- Stoppen Sie die Zertifizierungsstelle mit einem rechten Mausklick auf die CA und dann „Alle Aufgaben“ > „Dienst anhalten“ und starten Sie diese wieder mit „Dienst starten„
Erzeugen der virtuellen Smartcard
Melden Sie sich mit dem Benutzer an dem Client PC an. Prüfen Sie ggf. vorher im BIOS oder im UEFI, das das TPM aktiviert ist.
- Starten Sie eine Eingabeaufforderung oder PowerShell mit administrativen Rechten
- Führen Sie den Befehl „tpmvscmgr.exe create /name VSC /pin prompt /adminkey random /generate“ aus, und geben eine Pin ein und bestätigen diese. Alternativ können Sie auch den Parameter „/pin default“ verwenden, dann wird die PIN auf 12345678 gesetzt.
Erstellen des Zertifikats für SmartCards
- Starten Sie die Zertifikatskonsole mit dem Befehl „Certmgr.msc„
- In der Zertifikatskonsole erweitern Sie bitte den Punkt „Eigene Zertifikate“ und „Zertifikate“ sofern vorhanden. Klicken Sie mit der rechten Maustaste und wählen die Einträge „Alle Aufgaben“ und „Neues Zertifikat anfordern…„
- Wählen Sie AD Basierte Zertifikatsrichtlinie
- Wählen Sie die erstelle Zertifikatsvorlage
- Nachdem auswählen muss die SmartCard PIN eingegeben werden
- Nach kurzer Zeit ist das Zertifikat ausgestellt und installiert
- Und schon kann sich über die Virtuelle Smart Card angemeldet werden.
Weitere Artikel zum Thema Active Directory Certificate Services
- Grundlegendes einer Zertifizierungsstellen (CA)
- Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA
- Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 2 – Erstellen der unter geordneten CA
- Virtuelle SmartCards mit Windows 10
- CodeSigning Zertifikate mit Windows Server 2019 Zertifikatsdienste
- Windows WinRM über HTTPs
