Configuratiehandleiding Dell Endpoint Security Smartcard

Summary: Deze handleiding helpt een beheerder bij het configureren van zijn omgeving en biedt richtlijnen voor het configureren van SmartCard-authenticatie.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Betreffende producten:

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

Betreffende versies:

  • v8.0 en later

Deze handleiding beschrijft het maken en uitgeven van certificaten door een vertrouwde beheerder, die de certificaten wegschrijft naar smartcards die door eindgebruikers worden gebruikt.

Een beheerder moet:

  • Sjablonen instellen en configureren
  • Voltooi de configuratie van de Dell Security Management Server
  • Voltooi de inschrijving met smartcard.

Er is ook een bijlage met informatie. Selecteer de gewenste sectie voor meer informatie.

Om smartcardverificatie te gebruiken met de Dell Endpoint Security Pre-Boot Environment, moeten we Active Directory configureren om de registratie en generatie van certificaten toe te staan.

Een Enrollment Agent-certificaat moet worden toegewezen aan gebruikers die proberen certificaten toe te wijzen aan smartcards voor andere gebruikers.

Als u sjablonen wilt instellen en configureren, schakelt u de certificaatsjabloon voor de inschrijvingsagent in en voegt u vervolgens een nieuwe smartcardgebruikerssjabloon toe.

Het certificaatsjabloon inschakelen voor de inschrijvingsagent:

  1. Open de Microsoft Management Console (MMC) van de certificeringsinstantie .
    Open certificeringsinstantie
  2. Uitbreiden naar Certificaatsjablonen.
  3. Klik met de rechtermuisknop op het rechterdeelvenster en klik vervolgens op Beheren.
    Klik op Beheren
  4. Klik met de rechtermuisknop op Enrollment Agent en klik vervolgens op Sjabloon dupliceren.
    Klik op Sjabloon dupliceren
  5. Ga naar het tabblad Algemeen .
  6. Selecteer de optie Certificaat publiceren in Active Directory.
  7. Werk eventueel de weergavenaam van de sjabloon en de naam van de sjabloon bij.
    Weergavenaam en sjabloonnaam bijwerken

U kunt als volgt een smartcard-gebruikerssjabloon toevoegen:

  1. Klik in de Certificate Template Console van de certificeringsinstantie met de rechtermuisknop op de Smartcard-gebruikerssjabloon en klik vervolgens op Sjabloon dupliceren.
    Klik op Sjabloon dupliceren
  2. Wijzig op het tabblad Request Handling de Purpose in Signature en smartcard-aanmelding.
    Doel wijzigen in aanmelding bij handtekening en smartcard
  3. Accepteer de resulterende prompt.
    Klik op Ja
  4. Zorg ervoor dat Exporteren van persoonlijke sleutel toestaan is aangevinkt.
    Zorg ervoor dat Exporteren van persoonlijke sleutel toestaan is aangevinkt
  5. Op het tabblad Onderwerpnaam zijn standaard opties aanwezig om te vereisen dat een gedefinieerd e-mailadres wordt gebruikt als alternatieve validatiemethode. Sommige omgevingen willen deze opties mogelijk uitschakelen om problemen te voorkomen met gebruikers die mogelijk geen door Active Directory gedefinieerde e-mailadressen hebben.
    1. Schakel het selectievakje E-mailnaam opnemen in onderwerpnaam uit.
      Schakel het selectievakje voor E-mailnaam opnemen in onderwerpnaam uit
    2. Wis de e-mailnaam onder de sectie Deze informatie opnemen in alternatieve onderwerpnaam .
      E-mailnaam wissen
  6. Selecteer op het tabblad Uitgiftevereisten het selectievakje Dit aantal geautoriseerde handtekeningen.
    1. Laat Dit aantal geautoriseerde handtekeningen op 1 staan.
    2. Laat het vereiste beleidstype in de handtekening staan als Applicatiebeleid.
    3. Wijzig het applicatiebeleid in de certificaataanvraagagent.
      Werk het vak Dit aantal geautoriseerde handtekeningen bij
  7. Klik op OK om deze sjabloon te publiceren.
  8. Sta toe dat beide sjablonen worden uitgegeven door met de rechtermuisknop te klikken op Certificaatsjablonen in de MMC van de certificeringsinstantie en vervolgens te klikken op Te verstrekken certificaatsjabloon.
    Klik op Certificaatsjabloon voor uitgifte
  9. Selecteer de twee nieuwe certificaatsjablonen die u hebt gemaakt.
    Selecteer de twee nieuwe certificaatsjablonen
  10. Klik op OK.

In dit gedeelte worden de wijzigingen beschreven die nodig zijn in de Dell Security Management Server om smartcard-functionaliteit toe te staan in de omgeving van voorafgaande opstartverificatie.

Een beheerder moet de basiscertificeringsinstantie importeren en het beleid wijzigen. Klik op de gewenste procedure voor meer informatie.

De basis-CA importeren

Aangezien de smartcardcertificaten in deze handleiding worden ondertekend door de interne certificeringsinstantie (CA), moeten we ervoor zorgen dat de basiscertificeringsinstantie en eventuele tussenpersonen (niet weergegeven in deze handleiding) in de certificaatketen worden geïmporteerd.

  1. Exporteer het certificaat van de basiscertificeringsinstantie van het certificaat Microsoft Management Console (MMC).
    1. Start MMC.
    2. Klik op Bestand.
    3. Klik op module toevoegen/verwijderen.
    4. Selecteer Certificaten.
    5. Klik op Add.
    6. Selecteer het Computeraccount radiaal.
    7. Klik op Finish.
    8. Klik op OK.
      Het basiscertificaat van de certificeringsinstantie exporteren
    9. Vouw de Certificaten uit.
    10. Vouw de vertrouwde basiscertificeringsinstanties uit.
    11. Selecteer Certificaten.
    12. Klik met de rechtermuisknop op het certificaat dat is uitgegeven door de CA van uw domein. Deze worden gesynchroniseerd met groepsbeleid.
      Klik met de rechtermuisknop op het certificaat dat is uitgegeven door de CA van uw domein
    13. Selecteer Alle taken en klik op Exporteren.
    14. Exporteer het certificaat als DER encoded binary X.509 (.CER)te installeren.
    15. Sla het op en noteer vervolgens de locatie zoals deze binnenkort wordt gebruikt.
  2. Importeer dit certificaat in de vertrouwde certificaten van de Java keystore.
    1. Open een opdrachtprompt voor beheerders.
    2. Wijzig het pad zodat opdrachten voor het hulpprogramma kunnen worden uitgevoerd door te typen Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" en typ vervolgens Enter.
      Opmerking: Voor Dell Security Management Server versie 9.2 en ouder typt u Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" en druk vervolgens op Enter.
    3. Ga naar de conf-directory van de Security Server door het volgende te typen: %INSTALLDIR%\Enterprise Edition\Security Server\conf\ en druk vervolgens op Enter.
      Typ %INSTALLDIR%\Enterprise Edition\Security Server\conf\
    4. Importeer het .cer bestand dat we in stap 1 hebben geëxporteerd in de Java Keystore (cacerts) door het volgende te typen Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts en druk vervolgens op Enter.
      Typing Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts
    5. Voer het wachtwoord van het cacerts-bestand in.
    6. Accepteer de prompt om het certificaat te vertrouwen door te typen Yte installeren.
      Type Y
    7. Start de Security Server opnieuw op om het importeren te voltooien.

Policy wijzigen

Klik op de Dell Data Security serverversie voor de juiste beleidsconfiguraties. Raadpleeg voor versie-informatie De versie van de Dell Data Security/Dell Data Protection Server bepalen (in het Engels).

v9.8.0 en hoger

U wijzigt als volgt het beleid om smartcards toe te staan voor het PBA-verificatiemechanisme:
  1. Open de Dell Data Security Administration Console.
    Opmerking: Raadpleeg voor meer informatie Toegang tot de beheerconsole van Dell Data Security/Dell Data Protection Server.
  2. Meld u aan als een gebruiker die beleid kan wijzigen en vastleggen.
  3. Ga naar de populatie waar u de beleidswijziging wilt doorvoeren. Selecteer bijvoorbeeld Populaties en klik vervolgens op Enterprise.
  4. Selecteer het tabblad Security Policies .
    Klik op het tabblad Beveiligingsbeleid
  5. Selecteer Pre-Boot Authentication.
  6. Wijzig de SED-authenticatiemethode van wachtwoord in smartcard.
    Opmerking: Zorg ervoor dat een beleid voor zelfversleutelende schijven is ingeschakeld om dit voor de hele onderneming in te schakelen.

    De SED-authenticatiemethode wijzigen van wachtwoord in smartcard
  7. Beleid opslaan en vastleggen .
    Opmerking: Raadpleeg voor meer informatie Beleidsregels vastleggen voor Dell Data Security/Dell Data Protection Servers.

v9.2.0 t/m 9.7.0

U wijzigt als volgt het beleid om smartcards toe te staan voor het PBA-verificatiemechanisme:
  1. Open de Dell Data Protection Administration Console.
    Opmerking: Raadpleeg voor meer informatie Toegang tot de beheerconsole van Dell Data Security/Dell Data Protection Server.
  2. Meld u aan als een gebruiker die beleid kan wijzigen en vastleggen.
  3. Ga naar de populatie waar u de beleidswijziging wilt doorvoeren. Selecteer bijvoorbeeld Populaties en klik vervolgens op Enterprise.
  4. Selecteer het tabblad Security Policies .
    Klik op het tabblad Beveiligingsbeleid
  5. Selecteer Zelfversleutelende schijf (SED).
  6. Wijzig de SED-authenticatiemethode van wachtwoord in smartcard.
    Opmerking: Zorg ervoor dat een beleid voor zelfversleutelende schijven is ingeschakeld om dit voor de hele onderneming in te schakelen.

    De SED-authenticatiemethode wijzigen van wachtwoord in smartcard
  7. Beleid opslaan en vastleggen .
    Opmerking: Raadpleeg voor meer informatie Beleidsregels vastleggen voor Dell Data Security/Dell Data Protection Servers.

v8.0.0 t/m 9.1.5

U wijzigt als volgt het beleid om smartcards toe te staan voor het PBA-verificatiemechanisme:
  1. Wijzig het beleid om smartcards toe te staan als verificatiemechanisme voor PBA.
    1. Open de Remote Management Console.
      Opmerking: Raadpleeg voor meer informatie Toegang tot de beheerconsole van Dell Data Security/Dell Data Protection Server.
    2. Meld u aan als een gebruiker die beleid kan wijzigen en vastleggen.
    3. Ga naar Enterprise.
    4. Klik bovenaan op Security Policys .
    5. Overschrijven (niet beschikbaar in Virtual Edition).
    6. Wijzig de vervolgkeuzelijst Beleidscategorie in Zelfversleutelende schijven.
      Wijzig de vervolgkeuzelijst van de beleidscategorie in zelfversleutelende schijven
    7. Vouw SED Administration uit.
    8. Wijzig de SED-authenticatiemethode van wachtwoord in smartcard.
      De SED-authenticatiemethode wijzigen van wachtwoord in smartcard
      Opmerking: Zorg ervoor dat SED Management inschakelen en PBA activeren zijn ingesteld op True om dit voor de hele onderneming in te schakelen.
    9. Sla dit beleid op.
    10. Klik aan de linkerkant op Commit Policies .
    11. Klik op Wijzigingen toepassen.

Smartcards zijn standaard leeg. Aan elke smartcard moet een certificaat zijn toegewezen om een certificaat voor authenticatie toe te voegen. Certificaten worden doorgaans toegewezen aan smartcards via een middleware-applicatie. In de onderstaande voorbeelden wordt het importeren via legacy Charismathics-software geschetst voor smartcards van bedrijfsklasse en VersaSec voor smartcards op basis van persoonlijke identiteitsverificatie (PIV). Een beheerder moet eenmalige aanmelding bij Windows inschakelen met behulp van smartcards nadat het certificaat is toegewezen. Selecteer het gewenste proces voor meer informatie.

Charismathics

Om gebruik te kunnen maken van smartcards, moeten we een registratieagent hebben die certificaten aan het apparaat kan toewijzen en een middleware die de certificaatinformatie van de Microsoft-certificeringsinstantie vertaalt naar iets dat de kaart kan gebruiken.

Op de meeste smartcards zijn geen beveiligingstokens vooraf ingesteld. Een beheerder moet een beveiligingstoken in scène zetten op een nieuwe smartcard, een certificaat toevoegen voor de inschrijvingsagent en vervolgens gebruikers inschrijven en certificaten pushen. Klik op de gewenste procedure voor meer informatie.

Een beveiligingstoken klaarzetten op een nieuwe smartcard

  1. Open de Cryptographic Service Provider (CSP).
  2. Wanneer we een kaart invoegen zonder een actief token, krijgen we basisinformatie.
    Basisinformatie van het actieve token
  3. Zodra we een beveiligingstoken hebben gemaakt, moeten we ervoor zorgen dat deze is ingesteld voor een PKCS15-profiel.
    Zorg ervoor dat PKCS15 is ingesteld
  4. Nadat dit is aangemaakt, hebben we veel meer opties en kunnen we een certificaat op de juiste manier importeren.
    Beveiligingstoken gefaseerd op een nieuwe smartcard

Een certificaat toevoegen voor de inschrijvingsagent

  1. Open de Microsoft Management Console (MMC).
  2. Klik op Bestand.
  3. Klik op Modules toevoegen/verwijderen.
  4. Selecteer Certificaten.
  5. Klik op Add.
  6. Selecteer de radiaal voor Mijn gebruikersaccount.
  7. Klik op Finish.
  8. Klik op OK.
  9. Vouw Certificaten - huidige gebruiker uit.
  10. Vouw Persoonlijk uit.
  11. Vouw Certificaten uit als deze bestaat.
  12. Klik met de rechtermuisknop in het middelste deelvenster, selecteer Alle taken en vervolgens Nieuw certificaat aanvragen.
    Klik op Nieuw certificaat aanvragen
  13. Klik op Volgende.
  14. Laat het Active Directory-registratiebeleid geselecteerd.
  15. Klik op Volgende.
  16. Selecteer het inschrijvingsagentcertificaat dat we eerder hebben gemaakt en gepubliceerd.
    Selecteer het Enrollment Agent-certificaat
  17. Klik op Enroll.
  18. Klik op Voltooien zodra het proces is voltooid.

Gebruikers inschrijven en certificaten pushen

Nu kunnen we gebruikers inschrijven voor de smartcard die we hebben gegenereerd en certificaten naar de kaart pushen met behulp van de certificaat-MMC.

Ga als volgt te werk om gebruikers in te schrijven en certificaten te pushen:

  1. Open de Microsoft Management Console (MMC).
  2. Klik op Bestand.
  3. Klik op Modules toevoegen/verwijderen.
  4. Selecteer Certificaten.
  5. Klik op Add.
  6. Selecteer de radiaal voor Mijn gebruikersaccount.
  7. Klik op Finish.
  8. Klik op OK.
  9. Vouw Certificaten - huidige gebruiker uit.
  10. Vouw Persoonlijk uit.
  11. Vouw Certificaten uit als deze bestaat.
  12. Klik met de rechtermuisknop in het middelste deelvenster, selecteer Alle taken, Geavanceerde bewerkingen en vervolgens Inschrijven namens.
    Klik op Inschrijven namens
  13. Klik op Volgende.
  14. Laat het Active Directory-registratiebeleid geselecteerd.
  15. Klik op Volgende.
  16. Klik op Browse.
  17. Selecteer het Registratieagentcertificaat dat we eerder hebben gegenereerd en klik vervolgens op OK.
    Selecteer het Enrollment Agent-certificaat
  18. Klik op Volgende.
  19. Selecteer de radiaal voor de Smartcard-gebruikerssjabloon die we eerder hebben gegenereerd.
    Selecteer de radiaal voor de Smartcard-gebruikerssjabloon
  20. Selecteer de vervolgkeuzelijst Details en klik vervolgens op Eigenschappen.
    Klik op Properties
  21. Wijzig de cryptografische serviceprovider in de toepassing die u gebruikt. In dit geval is het Charismathics.
    De cryptografische serviceprovider wijzigen
  22. Klik op OK.
  23. Klik op Volgende.
  24. Klik op Bladeren en wijzig vervolgens de locaties die u uit uw domein wilt ophalen.
    Klik op locaties

    Locaties op uw domein
  25. Voer de gebruikersnaam in van de gebruiker die u wilt inschrijven.
  26. Klik op Check Names om de gebruiker te valideren.
    Klik op Namen controleren
  27. Klik op OK.
  28. Klik op Enroll.
  29. Volg de aanwijzingen op het scherm.
    Prompt smartcard plaatsen

    Charismathics Smart Security Interface CSP-prompt

    Certificaatinstallatie Resultatenprompt
  30. Klik op Volgende gebruiker om meer gebruikers in te schrijven via dezelfde methode of klik op Sluiten om door te gaan.

Smartcards kunnen nu worden gebruikt voor PBA-authenticatie.

VersaSec

VersaSec gebruikt eerder gegenereerde certificaten voor de registratie van nieuwe certificaten. Dit proces maakt gebruik van certificaatsjablonen die via Active Directory worden gemaakt om een werknemer in staat te stellen aanmeldingscertificaten te genereren die andere werknemers tijdens hun aanmeldingssessie kunnen gebruiken. Een beheerder moet de certificaatinschrijving en het certificaatexport voltooien en vervolgens een certificaat toewijzen aan een smartcard. Klik op de gewenste procedure voor meer informatie.

Certificaatinschrijving

U kunt als volgt een certificaat inschrijven:

  1. Open Microsoft Management Console (MMC) als beheerder die certificaten toewijst op een apparaat dat is toegevoegd aan het domein waarvoor certificaatsjablonen zijn geconfigureerd.
    Open Microsoft Management Console
  2. Selecteer de optie voor het toevoegen/verwijderen van de module.
    Klik op module toevoegen/verwijderen
  3. Selecteer Certificaten en selecteer vervolgens Toevoegen.
    Klik op Add (Toevoegen)
  4. Zorg ervoor dat de optie Mijn gebruikersaccount is geselecteerd.
    Zorg ervoor dat de optie Mijn gebruikersaccount is geselecteerd
  5. Selecteer OK om de geselecteerde modules te laden.
    Klik op OK
  6. Vouw het deelvenster Certificaten - huidige gebruiker uit, klik met de rechtermuisknop op het rechterdeelvenster, selecteer Alle taken en vervolgens Nieuw certificaat aanvragen.
    Klik op Nieuw certificaat aanvragen
  7. Zorg ervoor dat de optie voor Active Directory Registratiebeleid is geselecteerd en klik vervolgens op Volgende.
    Klik op Next
  8. Selecteer de certificaatsjabloon waarmee een Enrollment Agent voor de huidige gebruiker kan worden gemaakt en selecteer vervolgens Enroll. In dit voorbeeld wordt de eerder gemaakte registratiesjabloon voor inschrijvingsagenten gebruikt.
    Klik op Inschrijven
  9. Zodra de inschrijving is voltooid, klikt u op Voltooien.
    Klik op Finish
  10. Met een Enrollment Agent-certificaat kunt u een smartcard-gebruikerscertificaat genereren dat is gebaseerd op een vooraf gegenereerde sjabloon door de map Certificaten in het linkerdeelvenster te selecteren. Selecteer Alle taken, Geavanceerde bewerkingen en vervolgens Inschrijven namens.
    Klik op Inschrijven namens
  11. Zorg ervoor dat de optie voor Active Directory Registratiebeleid is geselecteerd en klik vervolgens op Volgende.
    Klik op Next
  12. Selecteer Bladeren wanneer een Enrollment Agent Certificate wordt aangevraagd.
    Klik op Browse
  13. Zorg ervoor dat het juiste certificaat is geselecteerd en klik vervolgens op OK.
    Klik op OK
  14. Controleer of de juiste gebruiker is gedefinieerd en klik vervolgens op Volgende.
    Klik op Next
  15. Selecteer de sjabloon die vooraf is gemaakt voor de inschrijving van smartcardgebruikers en klik vervolgens op Volgende. In dit voorbeeld wordt gebruikgemaakt van een sjabloon met de naam Smartcard User Enrollment.
    Klik op Next
  16. Selecteer Browse om de juiste gebruiker te vinden.
    Klik op Browse
  17. Wijzig de locatie om de hele directory te doorzoeken door op Locatie te klikken.
    Klik op Locatie
  18. Selecteer het juiste domein of de juiste organisatie-eenheid en klik vervolgens op OK.
    Klik op OK
  19. Voer de gebruiker in waarvoor u een smartcardcertificaat wilt genereren en selecteer vervolgens Namen controleren om de UPN (User Principal Name) te valideren.
    Klik op Namen controleren
  20. Bevestig de juiste gebruiker als er meerdere gebruikers worden gevonden en selecteer vervolgens OK.
    Klik op OK
  21. Bevestig de gebruikersinformatie en klik vervolgens op OK.
    Klik op OK
  22. Bevestig de gebruikersinformatie nogmaals en klik vervolgens op Registreren.
    Klik op Inschrijven
  23. De inschrijving is snel voltooid. Selecteer Volgende gebruiker om een ander gebruikerscertificaat te genereren of selecteer Sluiten om het proces voor het genereren van certificaten te voltooien. In de toekomst kunnen er meer certificaten worden aangemaakt voor extra gebruikers.
    Klik op Volgende gebruiker

Certificaat exporteren

Certificaten worden eerst geëxporteerd in PKCS12-indeling om te worden toegewezen aan smartcards. Certificaten moeten de persoonlijke sleutel en de volledige certificaatketen bevatten.

U kunt als volgt een certificaat exporteren:

  1. Open Microsoft Management Console (MMC) als beheerder die certificaten toewijst op een apparaat dat is toegevoegd aan het domein waarvoor certificaatsjablonen zijn geconfigureerd.
    Open Microsoft Management Console
  2. Selecteer de optie voor het toevoegen/verwijderen van de module.
    Klik op module toevoegen/verwijderen
  3. Selecteer Certificaten en selecteer vervolgens Toevoegen.
    Klik op Add (Toevoegen)
  4. Zorg ervoor dat de optie Mijn gebruikersaccount is geselecteerd.
    Zorg ervoor dat de optie Mijn gebruikersaccount is geselecteerd
  5. Selecteer OK om de geselecteerde modules te laden.
    Klik op OK
  6. Vouw het deelvenster Certificaten - huidige gebruiker uit en klik met de rechtermuisknop op de gebruiker die u wilt exporteren. Selecteer Alle taken en klik op Exporteren.
    Klik op Exporteren
  7. Selecteer de optie Ja, exporteer de persoonlijke sleutel en selecteer vervolgens Volgende.
    Klik op Next
  8. Schakel de optie voor Certificaatprivacy inschakelen uit, selecteer Alle uitgebreide eigenschappen exporteren en klik op Volgende.
    Klik op Next
  9. Selecteer de optie voor Wachtwoord, wijs een veilig wachtwoord toe voor het certificaat en selecteer Volgende.
    Klik op Next
    Opmerking: Wijzig de optie Versleuteling niet.
  10. Wijs een bestandsnaam en locatie toe en selecteer Volgende.
    Klik op Next
  11. Bevestig de gegevens en selecteer vervolgens Voltooien om het exporteren te voltooien.
    Klik op Finish

Een certificaat toewijzen aan een smartcard

Installeer en download de VersaSec-software en eventuele administratieve middleware die nodig kan zijn voor de smartcards die worden ingericht.

Een certificaat toewijzen aan een smartcard:

  1. Start de VersaSec-agent en plaats een smartcard.
  2. Ga naar Kaartacties - Certificaten en sleutels en selecteer vervolgens Importeren.
    Klik op Importeren in VersaSec agent
  3. Blader naar en selecteer het geëxporteerde certificaat dat u aan de smartcard wilt koppelen. Voer het certificaatwachtwoord in het veld Wachtwoord in en selecteer vervolgens Importeren.
    Klik op Importeren
  4. Voer de gebruikerspincode in wanneer u om de toegangscode wordt gevraagd en selecteer vervolgens OK.
    Klik op OK
  5. Zodra het certificaat is geschreven, wordt het weergegeven in de lijst.
    Certificaat wordt weergegeven in lijst
  6. Zodra alle certificaten voor alle accounts naar de smartcard zijn geschreven, kan deze worden gebruikt om u aan te melden bij Windows of de Dell Preboot Authentication-omgeving.

Eenmalige aanmelding bij Windows inschakelen met behulp van smartcards

Het proces voor het inschakelen van eenmalige aanmelding bij Windows met behulp van smartcards verschilt afhankelijk van de versie van Dell Encryption Enterprise die wordt gebruikt. Selecteer de gewenste versie voor meer informatie. Raadpleeg voor informatie over het versiebeheer De Dell Encryption Enterprise of Dell Encryption Personal versie identificeren.

Dell Encryption Enterprise, v8.18 en hoger

Er zijn geen eindpuntwijzigingen vereist. Zodra het beleid is ingesteld via de beheerconsole, worden alle eindpuntwijzigingen automatisch doorgevoerd.

Smartcards zelf kunnen een middleware vereisen. Overleg met de leverancier van uw smartcard om te bepalen of er op elk eindpunt een middleware-oplossing moet worden geïnstalleerd om verificatie in Windows mogelijk te maken.

Dell Encryption Enterprise, v8.17.2 en eerder
Waarschuwing: De volgende stap is een bewerking van het Windows-register:

De clientcomputers zullen standaard geen eenmalige aanmelding uitvoeren. Hiervoor moet een registersleutel worden toegevoegd.

De registersleutel is:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. Open de Register-editor
  2. Vouw HKEY Local Machine uit.
  3. Vouw Software uit.
  4. Vouw DigitalPersona uit.
  5. Vouw Policy's uit.
  6. Vouw Standaard uit.
  7. Een sleutel maken en deze een naam geven Smartcardste installeren.
    Open de Register-editor
  8. Maak een DWORD en geef deze een naam MSSmartcardSupportte installeren.
    Maak een DWORD en noem deze MSSmartcardSupport
  9. Stel de Value-gegevens in op 1.
    Stel de waardegegevens in op 1

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Additional Information

Aanhangsel A

Een Microsoft-certificaatautoriteit configureren

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx Deze hyperlink leidt u naar een website buiten Dell Technologies.

Vereiste rolservices:

  • Certificeringsinstantie
  • Webinschrijving certificeringsinstantie
  • Online Responder

Bijlage B

Foutscenario's en daaruit voortvloeiende logboeken

Certificaten worden niet geaccepteerd in de PBA.

PBA-logboeken tonen:

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

Oplossing:

Wijs een certificaat toe via de MMC Certificaten in plaats van via de CSP.

Kan niet aanmelden bij PBA met een geldige smartcard die prima werkt in Windows:

  • De uitvoer van Security Server (post v8.5) of de SED.log bestanden van Security Server geven foutmeldingen met ongeldige certificaatfouten.

Caused by:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

Oplossing:

Importeer het basiscertificaat of tussencertificaat van de certificeringsinstantie in de Java Keystore for Security Server en start de Security Server-service opnieuw.

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.