Virtuelle SmartCards mit Windows 10

Virtuelle SmartCards mit Windows 10

In vielen Unternehmen wir gerne für besonders schützenswerte Anwendungen die zusätzliche Verwendung von Smartcards vorgeschrieben. Smartcards bedeutet immer extra Lesegeräte und extra Smartcards. Seit Windows 8 gab es die Möglichkeit dies durch Virtuelle Smartcards zu ersetzten. Mit Windows 10 wurde das Ganze noch etwas erweitert. Virtuelle Smartcards können wie normale Smartcards genutzt werden, zum Beispiel zur Anmeldung an Windows, an Webseiten oder zur Authentifizierung als zweiter Faktor zu Benutzername und Kennwort.

Virtuelle SmartCards mit Windows 10 - 244c6963adeb4176ab3ec9c77e1acef9 - 1

Voraussetzungen

  • Der Computer der die virtuelle Smartcard benutzten soll, benötigt ein TPM (Trusted Plattform Modul) in der Version 1.2 oder 2.0. In diesen Sicherheitschip wird das entsprechende Zertifikat, nichts anderes sind Smartcards, sicher gespeichert. Durch Eingabe eines PIN wird der Zugriff freigeschaltet. Ähnlich wie bei BitLocker auch.
  • Eine Microsoft Active Directory Domäne in der der Computer Mitglied ist. Wir brauchen ja was zum Anmelden und zum Konfigurieren.
  • Eine AD integrierte Zertifizierungsstelle. Die muss keine CA mit Offline-Root-CA sein, eine Einstufige-Zertifizierungsstelle reicht aus.

Konfiguration der Zertifikatsvorlagen

  • Starten sie die MMC.exe mit administrativen Berechtigungen auf dem Server auf dem die Zertifizierungsstelle läuft, oder auf dem Sie die „Remote Server Administration Tools“ (RSAT) installiert haben.
  • Fügen Sie das Snap-In „Zertifikatsvorlagen“ hinzu.
    Fügen Sie das Snap-In Zertifikatsvorlagen hinzu.
  • Öffnen Sie den Punkt „Zertifikatsvorlagen“ in dem Navigationsbaum und suchen Sie die Vorlage „Smartcard-Anmeldung
    Öffnen Sie den Punkt Zertifikatsvorlagen in dem Navigationsbaum und suchen Sie die Vorlage Smartcard-Anmeldung
  • Klicken Sie mit der rechten Maustaste und wählen den Punkt „Vorlage duplizieren
    Klicken Sie mit der rechten Maustaste und wählen den Punkt Vorlage duplizieren
  • Passen Sie die Vorgaben im Reiter „Kompatibilität“ nach Ihren Bedürfnissen an.
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma4 - 2
  • Passen Sie im Reiter „Allgemein“ den Vorlagennamen und die entsprechende Gültigkeitsdauer entsprechend an.
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma5 - 3
  • Ändern Sie im Reiter „Anforderungsverarbeitung“ den Zweck der Vorlage auf „Signatur und Smartcard-Anmeldung
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma6 - 4
  • Bestätigen Sie den Hinweis wegen der Änderung des Zertifikatszweckes.
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma7 - 5
  • Ändern Sie im Reiter „Kryptografie“ die Schlüssellänge auf mindestens 2048 Bit. Und aktivieren Sie die Einstellung „Für Anforderung muss einer der folgenden Anbieter verwendet werden:“ uns selektieren dort „Microsoft Base Smart Card Crypto Provider
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma8 - 6
  • Im Reiter „Sicherheit“ geben sie bitte der entsprechenden Nutzergruppe das Recht „Registrieren“ (Für alle einfach die Gruppe „Authentifizierte Benutzer“ verwenden)
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma9 - 7
  • Bestätigen Sie die Eigenschaften mit OK.
  • Zum Veröffentlichen der Vorlage fügen Sie bitte das MMC Snap-In „Zertifizierungsstelle“ hinzu und wählen den Computer auf dem die Zertifizierungsstelle ausgeführt wird.
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma10 - 8
  • Klicken Sie nun auf die Zertifizierungsstelle und navigieren Sie bis zum Punkt „Zertifikatsvorlagen
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma11 - 9
  • Klicken Sie mit der rechten Maustaste auf „Zertifikatsvorlagen“ und wählen den Punkt „Neu“ > „Auszustellende Zertifikatsvorlage
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma12 - 10
  • Wählen Sie im Dialog die von Ihnen erstellte Zertifikatsvorlage aus
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma13 - 11
  • Stoppen Sie die Zertifizierungsstelle mit einem rechten Mausklick auf die CA und dann „Alle Aufgaben“ > „Dienst anhalten“ und starten Sie diese wieder mit „Dienst starten
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma14 - 12

Erzeugen der virtuellen Smartcard

Melden Sie sich mit dem Benutzer an dem Client PC an. Prüfen Sie ggf. vorher im BIOS oder im UEFI, das das TPM aktiviert ist.

  • Starten Sie eine Eingabeaufforderung oder PowerShell mit administrativen Rechten
  • Führen Sie den Befehl „tpmvscmgr.exe create /name VSC /pin prompt /adminkey random /generate“ aus, und geben eine Pin ein und bestätigen diese. Alternativ können Sie auch den Parameter „/pin default“ verwenden, dann wird die PIN auf 12345678 gesetzt.
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma15 - 13

Erstellen des Zertifikats für SmartCards

  • Starten Sie die Zertifikatskonsole mit dem Befehl „Certmgr.msc
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma16 - 14

    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma17 - 15
  • In der Zertifikatskonsole erweitern Sie bitte den Punkt „Eigene Zertifikate“ und „Zertifikate“ sofern vorhanden. Klicken Sie mit der rechten Maustaste und wählen die Einträge „Alle Aufgaben“ und „Neues Zertifikat anfordern…
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma18 - 16
  • Wählen Sie AD Basierte Zertifikatsrichtlinie
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma19 - 17
  • Wählen Sie die erstelle Zertifikatsvorlage
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma20 - 18
  • Nachdem auswählen muss die SmartCard PIN eingegeben werden
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma21 - 19
  • Nach kurzer Zeit ist das Zertifikat ausgestellt und installiert
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma22 - 20
  • Und schon kann sich über die Virtuelle Smart Card angemeldet werden.
    Virtuelle SmartCards mit Windows 10 - 013018 0534 VituelleSma23 - 21

Weitere Artikel zum Thema Active Directory Certificate Services


Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -