Podręcznik konfiguracji kart SmartCard Dell Endpoint Security

Summary: Ten przewodnik pomaga administratorowi skonfigurować środowisko i oferuje wskazówki dotyczące konfiguracji uwierzytelniania kart SmartCard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dotyczy produktów:

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

Dotyczy wersji:

  • 8.0 lub nowsza

W tym przewodniku opisano tworzenie i wydawanie certyfikatów przez zaufanego administratora oraz zapisywanie certyfikatów na kartach smart, z których korzysta użytkownik końcowy.

Administrator musi:

  • Konfiguracja i ustawianie szablonów
  • Dokończ konfigurację serwera Dell Security Management Server
  • Dokończ rejestrację karty SmartCard.

Istnieje również Załącznik do informacji. Wybierz odpowiednią sekcję, aby uzyskać więcej informacji.

Aby wykorzystać uwierzytelnianie kart Smart Card przy użyciu środowiska Dell Endpoint Security Pre-Boot, musimy skonfigurować usługę Active Directory, aby umożliwić rejestrację i generowanie certyfikatów.

Certyfikat agenta rejestracji musi zostać przypisany do wszystkich użytkowników, którzy próbują przypisać certyfikaty do kart SmartCard dla innych użytkowników.

Aby skonfigurować i ustawić szablony, włącz szablon certyfikatu dla agenta rejestracji, a następnie dodaj nowy szablon użytkownika karty SmartCard.

Aby włączyć szablon certyfikatu dla agenta rejestracji:

  1. Otwórz program Microsoft Management Console (MMC) instytucji certyfikującej.
    Otwarta instytucja certyfikująca
  2. Rozwiń do szablonów certyfikatów.
  3. Kliknij prawym przyciskiem myszy okienko po prawej, a następnie kliknij pozycję Zarządzaj.
    Kliknij opcję Zarządzaj
  4. Kliknij prawym przyciskiem pozycję Agent rejestracji), a następnie kliknij opcję Powiel szablon.
    Kliknij Duplicate Template (Powiel szablon)
  5. Przejdź do karty Ogólne.
  6. Wybierz opcję Opublikuj certyfikat w usłudze Active Directory.
  7. Opcjonalnie zaktualizuj nazwę wyświetlaną szablonu i nazwę szablonu.
    Zaktualizuj nazwę wyświetlaną szablonu i nazwę szablonu

Aby dodać szablon użytkownika kart Smart Card:

  1. W konsoli szablonu certyfikatu urzędu certyfikacji kliknij prawym przyciskiem myszy szablon użytkownika karty SmartCard, a następnie kliknij opcję Powiel szablon.
    Kliknij Duplicate Template (Powiel szablon)
  2. Na karcie Obsługa żądań zmodyfikuj Przeznaczenie na Podpis i logowanie kartą Smart Card.
    Modyfikacja celu na podpis i logowanie kartą Smart Card
  3. Zaakceptuj monit, który się pojawi.
    Kliknij przycisk Yes (Tak)
  4. Upewnij się, że opcja Zezwalaj na eksport klucza prywatnego jest zaznaczona.
    Upewnij się, że opcja Zezwalaj na eksport klucza prywatnego jest zaznaczona
  5. Na karcie Nazwa podmiotu domyślnie dostępne są opcje wymagające użycia określonego adresu e-mail jako alternatywnej metody weryfikacji. Niektóre środowiska mogą chcieć wyczyścić te opcje, aby uniknąć problemów z użytkownikami, którzy mogą nie mieć zdefiniowanych adresów e-mail w usłudze Active Directory.
    1. Usuń zaznaczenie pola wyboru Uwzględnij nazwę e-mail w nazwie podmiotu.
      Usuń zaznaczenie pola wyboru Uwzględnij nazwę wiadomości e-mail w nazwie podmiotu
    2. Wyczyść nazwę e-mailw sekcji Uwzględnij te informacje w sekcji Alternatywna nazwa podmiotu.
      Wyczyść nazwę e-mail
  6. Na karcie Wymagania dotyczące wystawiania zaznacz pole Ta liczba autoryzowanych podpisów.
    1. Pozostaw liczbę autoryzowanych podpisów ustawioną na 1.
    2. Pozostaw Typ zasad wymagany w podpisie jako Zasady aplikacji.
    3. Zmodyfikuj Zasady aplikacji na Agent żądań certyfikatu.
      Zaktualizuj pole Ta liczba autoryzowanego podpisu
  7. Kliknij przycisk OK, aby opublikować ten szablon.
  8. Poczekaj, aż oba szablony zostaną wydane przez kliknięcie prawym przyciskiem myszy Certificate Templates (szablony certyfikatów) w MMC instytucji certyfikującej, a następnie kliknij szablon certyfikatu aby utworzyć.
    Kliknij Certificate Template (Szablon certyfikatu), aby utworzyć
  9. Wybierz dwa nowo utworzone szablony certyfikatów.
    Wybierz dwa nowe szablony certyfikatów
  10. Kliknij przycisk OK.

W tej sekcji opisano zmiany niezbędne do działania serwera Dell Security Management Server w celu umożliwienia funkcji kart Smart Card w środowisku uwierzytelniania przed rozruchem.

Administrator musi zaimportować główną instytucję certyfikującą i zmodyfikować zasady. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Importowanie głównej instytucji certyfikującej

Ponieważ w tym przewodniku certyfikaty Smart Card są podpisywane przez wewnętrzną instytucję certyfikującą (CA), należy upewnić się, że główna instytucja certyfikująca i wszyscy pośrednicy (niewymienieni w tym przewodniku) są zaimportowani do łańcucha certyfikatów.

  1. Wyeksportuj certyfikat głównej instytucji certyfikującej konsoli Microsoft Management Console (MMC).
    1. Uruchom aplikację MMC.
    2. Kliknij Plik.
    3. Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).
    4. Wybierz Certificates (Certyfikaty).
    5. Kliknij przycisk Add.
    6. Wybierz Konto komputera.
    7. Kliknij przycisk Zakończ.
    8. Kliknij przycisk OK.
      Eksport certyfikatu głównej instytucji certyfikującej
    9. Rozwiń Certificates (certyfikaty).
    10. Rozwiń Trusted Root Certification Authorities (Zaufane główne instytucje certyfikujące).
    11. Wybierz Certificates (Certyfikaty).
    12. Kliknij prawym przyciskiem myszy certyfikat wystawiony przez instytucję certyfikującą domeny. Są one zsynchronizowane z zasadami grupy.
      Kliknij prawym przyciskiem myszy certyfikat wystawiony przez instytucję certyfikującą domeny
    13. Wybierz opcję Wszystkie zadania, a następnie kliknij przycisk Eksportuj.
    14. Eksportuj certyfikat jako DER encoded binary X.509 (.CER).
    15. Zapisz go, a następnie zapisz lokalizację w takiej postaci, w jakiej będzie wkrótce używana.
  2. Zaimportuj ten certyfikat do zaufanych certyfikatów magazynu kluczy Java.
    1. Uruchom Command Prompt jako administrator.
    2. Zmodyfikuj ścieżkę, aby umożliwić uruchamianie poleceń narzędzia keytool przez wpisanie Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" , a następnie wpisz Enter.
      Uwaga: W przypadku programu Dell Security Management Server w wersji 9.2 lub starszej wpisz Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" i naciśnij klawisz Enter.
    3. Przejdź do katalogu conf programu Security Server, wpisując %INSTALLDIR%\Enterprise Edition\Security Server\conf\ i naciśnij klawisz Enter.
      Wpisz polecenie %INSTALLDIR%\Enterprise Edition\Security Server\conf\
    4. Zaimportuj plik .cer wyeksportowany w kroku 1 do magazynu kluczy Java (cacerts), wpisując Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts i naciśnij klawisz Enter.
      Wpisz Keytool –import –alias RootCA –plik C:\exportedroot.cer –keystore cacerts
    5. Wprowadź hasło pliku cacerts.
    6. Zaakceptuj monit o zaufanie do certyfikatu, wpisując Y.
      Wpisz Y
    7. Uruchom ponownie serwer zabezpieczeń, aby zakończyć import.

Modyfikacja zasad

Kliknij wersję serwera Dell Data Security, aby uzyskać odpowiednie konfiguracje zasad. Aby uzyskać więcej informacji na temat rozpoznawania wersji, zapoznaj się z artykułem Identyfikacja wersji oprogramowania Dell Data Security / Dell Data Protection.

wersja 9.8.0 lub nowsza

Aby zmodyfikować zasady zezwalające kartom smart na mechanizm uwierzytelniania PBA:
  1. Otwórz konsolę Dell Data Security Administration Console.
    Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Uzyskiwanie dostępu do konsoli administracyjnej Dell Data Security / Dell Data Protection Server.
  2. Zaloguj się jako użytkownik, który może modyfikować i zatwierdzać zasady.
  3. Przejdź do populacji, w której chcesz wprowadzić zmiany w zasadach. Na przykład wybierz opcję Populacje, a następnie kliknij pozycję Enterprise.
  4. Wybierz kartę Zasady zabezpieczeń.
    Wybierz kartę Zasady zabezpieczeń
  5. Wybierz Pre-boot Authentication (Uwierzytelnianie przed rozruchem).
  6. Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card).
    Uwaga: Upewnij się, że zasady dysków samoszyfrujących są włączone włączone, aby włączyć to dla całego przedsiębiorstwa.

    Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card)
  7. Zapisz i zatwierdź zasady.
    Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Stosowanie zasad w przypadku serwerów Dell Data Security / Dell Data Protection.

Wersja od 9.2.0 do 9.7.0

Aby zmodyfikować zasady zezwalające kartom smart na mechanizm uwierzytelniania PBA:
  1. Otwórz konsolę Dell Data Protection Administration Console.
    Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Uzyskiwanie dostępu do konsoli administracyjnej Dell Data Security / Dell Data Protection Server.
  2. Zaloguj się jako użytkownik, który może modyfikować i zatwierdzać zasady.
  3. Przejdź do populacji, w której chcesz wprowadzić zmiany w zasadach. Na przykład wybierz opcję Populacje, a następnie kliknij pozycję Enterprise.
  4. Wybierz kartę Zasady zabezpieczeń.
    Wybierz kartę Zasady zabezpieczeń
  5. Kliknij opcję Self-Encrypting Drive (SED) (dysk samoszyfrujący).
  6. Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card).
    Uwaga: Upewnij się, że zasady dysków samoszyfrujących są włączone włączone, aby włączyć to dla całego przedsiębiorstwa.

    Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card)
  7. Zapisz i zatwierdź zasady.
    Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Stosowanie zasad w przypadku serwerów Dell Data Security / Dell Data Protection.

Wersja od 8.0.0 do 9.1.5

Aby zmodyfikować zasady zezwalające kartom smart na mechanizm uwierzytelniania PBA:
  1. Zmodyfikuj zasady zezwalające kartom Smart Card na mechanizm uwierzytelniania PBA.
    1. Otwórz konsolę Remote Management Console.
      Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Uzyskiwanie dostępu do konsoli administracyjnej Dell Data Security / Dell Data Protection Server.
    2. Zaloguj się jako użytkownik, który może modyfikować i zatwierdzać zasady.
    3. Przejdź do Enterprise.
    4. Kliknij Security Policies (Zasady zabezpieczeń) u góry.
    5. Zastąp (niedostępne w Virtual Edition).
    6. Zmodyfikuj kategorię zasad na Self-Encrypting Drives (dyski samoszyfrujące).
      Zmodyfikuj kategorię zasad na Self-Encrypting Drives (dyski samoszyfrujące).
    7. Rozwiń SED Administration (Administracja SED).
    8. Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card).
      Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card)
      Uwaga: Upewnij się, że opcja Enable SED Management (Włącz zarządzanie SED) oraz Activate PBA (Aktywuj PBA) są ustawione na True (Prawda), aby włączyć to dla całego przedsiębiorstwa.
    9. Zapisz tę zasadę.
    10. Kliknij Commit Policies (wprowadź zasady) z lewej strony.
    11. Kliknij przycisk Apply Changes (Zastosuj zmiany)

Karty Smart Card są domyślnie puste. Każdej karcie Smart Card trzeba przypisać certyfikat, aby dodać certyfikat do uwierzytelniania. Certyfikaty są zazwyczaj przypisywane do kart Smart Card za pośrednictwem aplikacji pośredniczącej. W poniższych przykładach przedstawiono import za pośrednictwem starszego oprogramowania Charismathics dla kart Smart Card klasy Enterprise i VersaSec do weryfikacji tożsamości osobistej (PIV), opartej na kartach Smart Card. Po przypisaniu certyfikatu administrator musi włączyć logowanie jednokrotne w systemie Windows za pomocą kart SmartCard. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Charismathics

Aby korzystać z kart Smart Card, musimy mieć agenta rejestracji, który może przypisać certyfikaty do urządzenia oraz oprogramowanie pośredniczące, które tłumaczy informacje o certyfikatach pochodzące z urzędu certyfikacji firmy Microsoft na coś, z czego karta może korzystać.

Większość kart Smart Card nie ma wstępnie zaprogramowanych tokenów zabezpieczeń. Administrator musi zapisać token zabezpieczeń na nowej karcie Smart Card, dodać certyfikat dla agenta rejestracji, a następnie zarejestrować użytkowników i przesłać certyfikaty. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Tworzenie tokena zabezpieczeń na nowej karcie Smart Card

  1. Otwórz Cryptographic Service Provider (CSP).
  2. Po włożeniu karty bez aktywnego tokena otrzymujemy podstawowe informacje.
    Podstawowe informacje aktywnego tokena
  3. Po utworzeniu tokena zabezpieczeń należy upewnić się, że jest on ustawiony dla profilu PKCS15.
    Upewnij się, że ustawiono PKCS15
  4. Po utworzeniu będziemy mieli o wiele więcej opcji i będziemy mogli poprawnie zaimportować certyfikat.
    Token zabezpieczeń utworzony na nowej karcie Smart Card

Dodaj certyfikat dla agenta rejestracji

  1. Otwórz program Microsoft Management Console (MMC).
  2. Kliknij Plik.
  3. Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).
  4. Wybierz Certificates (Certyfikaty).
  5. Kliknij przycisk Add.
  6. Wybierz opcję dla My user account (moje konto użytkownika).
  7. Kliknij przycisk Zakończ.
  8. Kliknij przycisk OK.
  9. Rozwiń Certyfikaty — bieżący użytkownik.
  10. Rozwiń pozycję Personal (Osobiste).
  11. Rozwiń Certyfikaty, jeśli istnieje.
  12. Kliknij prawym przyciskiem myszy w środkowym okienku, wybierz opcję Wszystkie zadania, a następnie Zażądaj nowego certyfikatu.
    Kliknij Request New Certificate (zażądaj nowego certyfikatu)
  13. Kliknij przycisk Next.
  14. Pozostaw zaznaczoną zasadę rejestracji usługi Active Directory .
  15. Kliknij przycisk Next.
  16. Wybierz certyfikat agenta rejestracji, który został utworzony i opublikowany wcześniej.
    Wybierz certyfikat agenta rejestracji
  17. Kliknij Enroll (Zarejestruj).
  18. Po zakończeniu kliknij przycisk Finish (Zakończ) .

Rejestracja użytkowników i przesyłanie certyfikatów

Teraz możemy zarejestrować użytkowników na wygenerowanej karcie smart i wysłać certyfikaty na kartę przy użyciu MMC certyfikatów.

Aby zarejestrować użytkowników i przesłać certyfikaty:

  1. Otwórz program Microsoft Management Console (MMC).
  2. Kliknij Plik.
  3. Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).
  4. Wybierz Certificates (Certyfikaty).
  5. Kliknij przycisk Add.
  6. Wybierz opcję dla My user account (moje konto użytkownika).
  7. Kliknij przycisk Zakończ.
  8. Kliknij przycisk OK.
  9. Rozwiń Certyfikaty — bieżący użytkownik.
  10. Rozwiń pozycję Personal (Osobiste).
  11. Rozwiń Certyfikaty, jeśli istnieje.
  12. Kliknij prawym przyciskiem myszy w środkowym okienku, wybierz opcję Wszystkie zadania, Advanced Operations (działania zaawansowane), a następnie Enroll on Behalf of (Zarejestruj w imieniu).
    Kliknij Enroll on Behalf Of (Zarejestruj w imieniu)
  13. Kliknij przycisk Next.
  14. Pozostaw zaznaczoną zasadę rejestracji usługi Active Directory .
  15. Kliknij przycisk Next.
  16. Kliknij przycisk Browse.
  17. Wybierz certyfikat agenta rejestracji, który został utworzony i opublikowany wcześniej i kliknij OK.
    Wybierz certyfikat agenta rejestracji
  18. Kliknij przycisk Next.
  19. Wybierz opcję szablonu użytkownika kart Smart Card, który wygenerowaliśmy wcześniej.
    Wybierz opcję szablonu użytkownika kart Smart Card
  20. Wybierz Details (Szczegóły), a następnie kliknij Properties (Właściwości).
    Kliknij polecenie Właściwości
  21. Zmodyfikuj dostawcę usług kryptograficznych na aplikację, z której korzystasz. W tym przypadku jest to Charismathics.
    Modyfikacja dostawcy usług kryptograficznych
  22. Kliknij przycisk OK.
  23. Kliknij przycisk Next (Dalej).
  24. Kliknij przycisk Przeglądaj , a następnie zmodyfikuj lokalizacje, aby pobrać je z domeny.
    Kliknij Locations (Lokalizacje).

    Lokalizacje w domenie
  25. Wprowadź nazwę użytkownika do zarejestrowania.
  26. Kliknij Sprawdź nazwy, aby zweryfikować użytkownika.
    Kliknij Check Names (sprawdź nazwy)
  27. Kliknij przycisk OK.
  28. Kliknij Enroll (Zarejestruj).
  29. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
    Monit o włożenie karty smart

    Monit Charismathics CSP interfejsu Smart Security

    Monit o wyniki instalacji certyfikatu
  30. Kliknij przycisk Next User (Dalej użytkownik ), aby zarejestrować kolejnych użytkowników przy użyciu tej samej metody, lub kliknij przycisk Close (Zamknij), aby kontynuować.

Karty Smart Card mogą być teraz wykorzystywane do uwierzytelniania PBA.

VersaSec

VersaSec używa wcześniej wygenerowanych certyfikatów do rejestracji nowych certyfikatów. Ten proces używa szablonów certyfikatów utworzonych za pośrednictwem usługi Active Directory, aby umożliwić pracownikom generowanie certyfikatów logowania dla innych pracowników podczas sesji logowania. Administrator musi ukończyć rejestrację certyfikatów, eksport certyfikatu, a następnie przypisać certyfikat do karty Smart Card. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Rejestracja certyfikatu

Aby zarejestrować certyfikat:

  1. Otwórz program Microsoft Management Console (MMC) jako administrator przypisujący certyfikaty na urządzeniu przyłączonym do domeny, w której skonfigurowano szablony certyfikatów.
    Otwórz konsolę zarządzania Microsoft Management Console
  2. Wybierz opcję Add/Remove Snap-in (Dodaj/Usuń przystawkę).
    Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).
  3. Wybierz Certyfikaty , a następnie wybierz Dodaj.
    Kliknij przycisk Add
  4. Upewnij się, że opcja dla My user account (moje konto użytkownika) jest wybrana.
    Upewnij się, że opcja dla My user account (moje konto użytkownika) jest wybrana
  5. Wybierz OK, aby załadować wybrane przystawki.
    Kliknij przycisk OK
  6. Rozwiń sekcję Certyfikaty — bieżący użytkownik, kliknij prawym przyciskiem myszy prawy panel, a następnie wybierz opcję Wszystkie zadania, po czym Zażądaj nowego certyfikatu.
    Kliknij Request New Certificate (zażądaj nowego certyfikatu)
  7. Upewnij się, że opcja Zasady rejestracji usługi Active Directory jest zaznaczona, a następnie kliknij przycisk Dalej.
    Kliknij przycisk Next.
  8. Wybierz szablon certyfikatu, który umożliwia utworzenie agenta rejestracji dla bieżącego użytkownika, a następnie wybierz opcję Zarejestruj. W tym przykładzie wykorzystano wcześniej utworzony szablon rejestracji agenta rejestracji.
    Kliknij przycisk Enroll (Zarejestruj)
  9. Po zakończeniu procesu rejestracji kliknij przycisk Finish (Zakończ).
    Kliknij przycisk Zakończ.
  10. Za pomocą certyfikatu agenta rejestracji wygeneruj certyfikat użytkownika kart SmartCard oparty na wstępnie wygenerowanym szablonie, wybierając folder Certyfikaty w lewym okienku. Wybierz Wszystkie zadania, Advanced Operations (działania zaawansowane), a następnie Enroll on Behalf of (Zarejestruj w imieniu).
    Kliknij Enroll on Behalf Of (Zarejestruj w imieniu)
  11. Upewnij się, że opcja Zasady rejestracji usługi Active Directory jest zaznaczona, a następnie kliknij przycisk Dalej.
    Kliknij przycisk Next.
  12. Wybierz opcję Przeglądaj, gdy pojawi się żądanie certyfikatu agenta rejestracji.
    Kliknij opcję Przeglądaj
  13. Upewnij się, że wybrano odpowiedni certyfikat, a następnie kliknij OK.
    Kliknij przycisk OK
  14. Upewnij się, że zdefiniowano odpowiedniego użytkownika, a następnie kliknij Next (Dalej).
    Kliknij przycisk Next.
  15. Wybierz szablon utworzony w celu rejestracji użytkownika kart Smart Card, a następnie kliknij przycisk Dalej. W tym przykładzie wykorzystano szablon o nazwie Smartcard User Enrollment.
    Kliknij przycisk Next.
  16. Wybierz Przeglądaj , aby znaleźć odpowiedniego użytkownika.
    Kliknij opcję Przeglądaj
  17. Zmodyfikuj lokalizację, aby przeszukać cały katalog, klikając opcję Lokalizacja.
    Kliknij Location (Lokalizacja).
  18. Wybierz odpowiednią domenę lub jednostkę organizacyjną (OU), a następnie kliknij OK.
    Kliknij przycisk OK
  19. Wprowadź użytkownika, dla którego chcesz wygenerować certyfikat Smart Card, a następnie wybierz opcję Sprawdź nazwy , aby zweryfikować nazwę użytkownika nadrzędnego (UPN).
    Kliknij Check Names (sprawdź nazwy)
  20. Potwierdź prawidłowego użytkownika, jeśli znaleziono wielu użytkowników, a następnie wybierz OK.
    Kliknij przycisk OK
  21. Potwierdź informacje o użytkowniku, a następnie kliknij OK.
    Kliknij przycisk OK
  22. Potwierdź informacje o użytkowniku ponownie, a następnie kliknij Zarejestruj.
    Kliknij przycisk Enroll (Zarejestruj)
  23. Rejestracja zostanie szybko zakończona. Wybierz pozycję Następny użytkownik , aby wygenerować kolejny certyfikat użytkownika, lub wybierz pozycję Zamknij , aby ukończyć proces generowania certyfikatu. W każdej chwili w przyszłości można utworzyć więcej certyfikatów dla dodatkowych użytkowników.
    Kliknij Next User (Następny użytkownik)

Eksport certyfikatu

Certyfikaty najpierw należy wyeksportować w formacie PKCS12, aby zostały przypisane do kart Smart Card. Certyfikaty muszą zawierać klucz prywatny i pełny łańcuch certyfikatu.

Aby wyeksportować certyfikat:

  1. Otwórz program Microsoft Management Console (MMC) jako administrator przypisujący certyfikaty na urządzeniu przyłączonym do domeny, w której skonfigurowano szablony certyfikatów.
    Otwórz konsolę zarządzania Microsoft Management Console
  2. Wybierz opcję Add/Remove Snap-in (Dodaj/Usuń przystawkę).
    Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).
  3. Wybierz Certyfikaty, a następnie kliknij przycisk Dodaj.
    Kliknij przycisk Add
  4. Upewnij się, że opcja dla My user account (moje konto użytkownika) jest wybrana.
    Upewnij się, że opcja dla My user account (moje konto użytkownika) jest wybrana
  5. Wybierz OK, aby załadować wybrane przystawki.
    Kliknij przycisk OK
  6. Rozwiń sekcję Certyfikaty — bieżący użytkownik, a następnie kliknij prawym przyciskiem myszy użytkownika, aby wyeksportować. Wybierz opcję Wszystkie zadania, a następnie kliknij przycisk Eksportuj.
    Kliknij przycisk Export (Eksportuj)
  7. Kliknij opcję Yes, export the private key (Tak, wyeksportuj klucz prywatny), a następnie kliknij przycisk Next (Dalej).
    Kliknij przycisk Next.
  8. Usuń zaznaczenie opcji Włącz prywatność certyfikatu, zaznacz opcję Eksportuj wszystkie właściwości rozszerzone, a następnie kliknij przycisk Dalej.
    Kliknij przycisk Next.
  9. Wybierz opcję Password (Hasło), przypisz bezpieczne hasło do certyfikatu, a następnie wybierz Next (Dalej).
    Kliknij przycisk Next.
    Uwaga: Nie modyfikuj opcji szyfrowania.
  10. Przypisz nazwę pliku i lokalizację, a następnie wybierz przycisk Dalej.
    Kliknij przycisk Next.
  11. Potwierdź szczegóły, a następnie wybierz opcję Zakończ, aby zakończyć eksport.
    Kliknij przycisk Zakończ.

Przypisywanie certyfikatu do kary Smart Card

Zainstaluj i pobierz oprogramowanie VersaSec oraz wszelkie administracyjne oprogramowanie pośredniczące, które mogą być wymagane dla kart SmartCard, które są przydzielane.

Aby przypisać certyfikat do kary Smart Card:

  1. Uruchom agenta VersaSec i włóż kartę Smart Card.
  2. Przejdź do Card Actions — Certificates and Keys ( Certyfikaty i klucze), a następnie wybierz Import.
    Kliknij Import in VersaSec agent (Importuj w agencie VersaSec)
  3. Przejdź do wyeksportowanego certyfikatu i wybierz go, aby powiązać go z kartą SmartCard. Wprowadź hasło certyfikatu w polu Hasło, a następnie wybierz Import.
    Kliknij przycisk Import (Importuj)
  4. Po wyświetleniu monitu o Kod dostępu wprowadź kod PIN użytkownika, a następnie wybierz przycisk OK.
    Kliknij przycisk OK
  5. Po zakończeniu pisania certyfikatu pojawi się on na liście.
    Certyfikat pojawia się na liście
  6. Po zapisaniu wszystkich certyfikatów dla wszystkich kont na karcie Smart Card można go użyć do zalogowania się do systemu Windows lub środowiska uwierzytelniania przedrozruchowego Dell.

Włączanie logowania jednokrotnego w systemie Windows za pomocą kart SmartCard

Proces włączania logowania jednokrotnego do systemu Windows za pomocą kart Smart Card różni się w zależności od używanej wersji oprogramowania Dell Encryption Enterprise. Wybierz odpowiednią wersję, aby uzyskać więcej informacji. Aby uzyskać więcej informacji, zapoznaj się z artykułem Identyfikowanie wersji oprogramowania Dell Encryption Enterprise lub Dell Enryption Personal.

Dell Encryption Enterprise, wersja 8.18 lub nowsza

Nie są wymagane żadne zmiany w punktach końcowych. Po ustawieniu zasad za pośrednictwem konsoli zarządzania wszystkie zmiany punktów końcowych następują automatycznie.

Same karty Smart Card mogą wymagać oprogramowania pośredniczącego. Skontaktuj się z dostawcą kart Smart Card, aby ustalić, czy w każdym punkcie końcowym musi być zainstalowane oprogramowanie pośredniczące, aby umożliwić uwierzytelnianie w systemie Windows.

Dell Encryption Enterprise, wersja 8.17.2 lub starsza
Ostrzeżenie: Następnym krokiem jest edycja rejestru systemu Windows:

Domyślnie komputery klienckie nie logują się jednoetapowo. Aby można było na to zezwolić, należy dodać klucz rejestru.

Klucz rejestru:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. Uruchom Edytor rejestru
  2. Rozwiń HKEY Local Machine.
  3. Rozwiń Software.
  4. Rozwiń DigitalPersona.
  5. Rozwiń Policies.
  6. Rozwiń Default.
  7. Utwórz klucz, a następnie nadaj mu nazwę Smartcards.
    Uruchom Edytor rejestru
  8. Utwórz DWORD, a następnie nadaj mu nazwę MSSmartcardSupport.
    Utwórz wartość DWORD, a następnie nazwij ją .
  9. Ustaw wartość danych na 1.
    Ustaw wartość danych na 1

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Additional Information

Załącznik A

Konfigurowanie instutucji certyfikującej Microsoft

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Wymagane usługi roli:

  • Instytucja certyfikująca
  • Rejestracja w sieci instytucji certyfikującej
  • Online Responder

Załącznik B

Scenariusze awarii i wynikające z nich dzienniki

Certyfikaty nie są akceptowane w PBA.

Dzienniki PBA pokazują:

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

Rozwiązanie:

Przypisz certyfikat za pośrednictwem certyfikatów MMC, a nie za pośrednictwem CSP.

Nie można zalogować się do PBA z prawidłową kartą Smart Card, która działa prawidłowo w systemie Windows:

  • Dane wyjściowe serwera zabezpieczeń (po wersji 8.5) lub pliki SED.log serwera zabezpieczeń dają błędy z błędami nieprawidłowego certyfikatu.

Caused by:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

Rozwiązanie:

Zaimportuj certyfikat główny lub pośredniczący urzędu certyfikacji do magazynu kluczy Java dla serwera zabezpieczeń i uruchom ponownie usługę Security Server.

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.