Dell Endpoint Security 智能卡配置指南

Summary: 本指南可帮助管理员配置其环境,并提供配置智能卡身份验证的指导。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

受影响的产品:

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

受影响的版本:

  • 8.0 版及更高版本

本指南概述了由受信任的管理员执行的证书创建和颁发,将证书写入终端用户使用的智能卡。

管理员必须:

  • 设置和配置模板
  • 完成 Dell Security Management Server 配置
  • 完成 智能卡注册

此外,还有附录的信息。选择相应的步骤以了解更多信息。

要通过 Dell Endpoint Security 预启动环境使用智能卡身份验证,我们必须配置 Active Directory 以允许证书注册和生成。

必须向尝试将证书分配给其他用户的智能卡的任何用户分配注册代理证书。

要设置和配置模板, 请启用注册代理的证书模板,然后 添加新的智能卡用户模板

要为注册代理启用证书模板,请执行以下操作:

  1. 打开证书颁发机构 Microsoft Management Console (MMC)。
    打开证书颁发机构
  2. 展开到 Certificate Templates
  3. 右键单击右侧窗格,然后单击 Manage
    单击 Manage
  4. 右键单击 Enrollment Agent,然后单击 Duplicate Template
    单击 Duplicate Template
  5. 转到常规选项卡。
  6. 选择选项 Publish certificate in Active Directory
  7. (可选)更新模板显示名称模板名称
    更新模板显示名称和模板名称

要添加智能卡用户模板,请执行以下操作:

  1. 在证书颁发机构的证书模板控制台中,右键单击 Smartcard User 模板,然后单击 Duplicate Template
    单击 Duplicate Template
  2. Request Handling 选项卡下,将 Purpose 修改为 Signature and smartcard logon
    将 Purpose 更改为 Signature and smartcard logon
  3. 接受生成的提示。
    单击 Yes
  4. 确保选中 Allow private key to be exported
    确保选中 Allow private key to be exported
  5. Subject Name 选项卡中,默认情况下存在选项,要求定义的电子邮件地址用作备用验证方法。某些环境可能希望清除这些选项,以免出现用户可能没有 Active Directory 定义的电子邮件地址的问题。
    1. 清除 Include e-mail name in subject name 复选框。
      清除 Include e-mail name in subject name 复选框
    2. 清除“Include this information in alternate subject name”部分下电子邮件名称
      清除电子邮件名称
  6. 在“ 颁发要求 ”选项卡下,选中 “此授权签名数”框
    1. This number of authorized signatures 设置为 1
    2. 将签名中所需的 Policy Type 保留为 Application Policy
    3. Application Policy 修改为 Certificate Request Agent
      更新 This Number of authorized signature 框
  7. 单击 OK 发布此模板。
  8. 右键单击证书颁发机构 MMC 中的 Certificate Templates,然后单击 Certificate Template to Issue,允许发布两个模板。
    单击 Certificate Template to Issue
  9. 选择您创建的两个新的证书模板
    选择两个新的证书模板
  10. 单击 OK

本节介绍了对 Dell Security Management Server 的一些必要更改,以在预启动身份验证环境中允许智能卡正常工作。

管理员必须导入根 CA修改策略。单击相应的过程以了解更多信息。

导入根 CA

由于智能卡证书由本指南中的内部证书颁发机构 (CA) 签署,因此,我们必须确保将根 CA 和任何中间方(本指南中未显示)导入到证书链中。

  1. 从证书 Microsoft Management Console (MMC) 导出根证书颁发机构的证书。
    1. 启动 MMC。
    2. 单击File(文件)。
    3. 单击 Add/Remove Snap-in
    4. 选择 Certificates
    5. 单击 Add
    6. 选择 Computer account 单选按钮。
    7. 单击 Finish
    8. 单击 OK
      导出根证书颁发机构的证书
    9. 展开 Certificates
    10. 展开 Trusted Root Certification Authorities
    11. 选择 Certificates
    12. 右键单击由您的域 CA 颁发的证书。这些与组策略同步。
      右键单击由您的域 CA 颁发的证书
    13. 选择 All Tasks,然后单击 Export
    14. 将证书导出为 DER encoded binary X.509 (.CER)
    15. 保存它,然后记录位置,因为很快就会用到。
  2. 将此证书导入 Java 密钥库的受信任证书。
    1. 打开管理员命令提示符
    2. 通过键入以下命令修改路径以允许运行 keytool 命令: Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" ,然后键入 Enter。
      提醒:对于 Dell Security Management Server 版本 9.2 及更低版本,键入 Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" 分析文件,然后按 Enter 键。
    3. 通过键入以下命令,转至安全服务器的 conf 目录 %INSTALLDIR%\Enterprise Edition\Security Server\conf\ 分析文件,然后按 Enter 键。
      键入 %INSTALLDIR%\Enterprise Edition\Security Server\conf\
    4. 将我们在步骤 1 中导出的 .cer 文件导入到 Java 密钥库 (cacerts) 中,方法是键入 Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts 分析文件,然后按 Enter 键。
      键入 Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts
    5. 输入 cacerts 文件密码。
    6. 通过键入以下内容接受信任证书的提示 Y
      键入 Y
    7. 重新启动 Security Server 以完成导入。

修改策略

单击 Dell Data Security server 版本以获得相应的策略配置。有关版本信息,请参阅如何确定 Dell Data Security/Dell Data Protection Server 版本

v9.8.0 和更高版本

要修改策略以允许 PBA 身份验证机制使用智能卡,请执行以下操作:
  1. 打开 Dell Data Security 管理控制台
    提醒:有关更多信息,请参阅如何访问 Dell Data Security/Dell Data Protection 服务器管理控制台
  2. 以可以修改和提交策略的用户身份登录。
  3. 转到要更改其策略的填充。例如,选择 Populations,然后单击 Enterprise
  4. 选择 Security Policies 选项卡。
    单击“Security Policies”选项卡
  5. 选择 Pre-Boot Authentication
  6. 将 SED Authentication Method 从 Password 修改为 Smartcard
    提醒:确保自加密驱动器策略设置为 on ,以便为整个企业启用此功能。

    将 SED Authentication Method 从 Password 修改为 Smartcard
  7. 保存提交策略。
    提醒:有关更多信息,请参阅如何为 Dell Data Security/Dell Data Protection 服务器提交策略

v9.2.0 至 9.7.0

要修改策略以允许 PBA 身份验证机制使用智能卡,请执行以下操作:
  1. 打开 Dell Data Protection Administration Console
    提醒:有关更多信息,请参阅如何访问 Dell Data Security/Dell Data Protection 服务器管理控制台
  2. 以可以修改和提交策略的用户身份登录。
  3. 转到要更改其策略的填充。例如,选择 Populations,然后单击 Enterprise
  4. 选择 Security Policies 选项卡。
    单击“Security Policies”选项卡
  5. 单击 Self-Encrypting Drive (SED)
  6. 将 SED Authentication Method 从 Password 修改为 Smartcard
    提醒:确保自加密驱动器策略设置为 on ,以便为整个企业启用此功能。

    将 SED Authentication Method 从 Password 修改为 Smartcard
  7. 保存提交策略。
    提醒:有关更多信息,请参阅如何为 Dell Data Security / Dell Data Protection Server 提交策略

v8.0.0 至 9.1.5

要修改策略以允许 PBA 身份验证机制使用智能卡,请执行以下操作:
  1. 修改策略以允许智能卡作为 PBA 的身份验证机制。
    1. 打开 Remote Management Console
      提醒:有关更多信息,请参阅如何访问 Dell Data Security/Dell Data Protection 服务器管理控制台
    2. 以可以修改和提交策略的用户身份登录。
    3. 转至 Enterprise
    4. 单击顶部的 Security Policies
    5. 覆盖(在 Virtual Edition 中不提供)。
    6. 将 Policy Category 下拉菜单修改为 Self-Encrypting Drives
      将 Policy Category 下拉列表修改为 Self-Encrypting Drives
    7. 展开 SED Administration
    8. 将 SED Authentication Method 从 Password 修改为 Smartcard
      将 SED Authentication Method 从 Password 修改为 Smartcard
      提醒:确保 Enable SED ManagementActivate PBA 设置为 True,以便为整个企业启用此功能。
    9. 保存此策略。
    10. 单击左侧的 Commit Policies
    11. 单击 Apply Changes

默认情况下,智能卡为空。每个智能卡都必须有一个分配给它的证书,才能添加用于身份验证的证书。证书通常通过中间件应用程序分配给智能卡。下面的示例概述了通过企业级智能卡的传统 Charismathics 软件的导入以及通过用于基于个人身份验证 (PIV) 的智能卡的 VersaSec 的导入。管理员必须在分配证书后使用智能卡启用对 Windows 的单点登录。选择相应的过程以了解更多信息。

Charismathics

要利用智能卡,我们必须有一名可以将证书分配给设备的注册代理和一个中间方,其会将来自 Microsoft 证书颁发机构的证书信息转换为该卡可以使用的内容。

大多数智能卡上没有预设安全令牌。管理员必须在新智能卡上设置安全令牌为注册工程师代理添加证书,然后注册用户和推送证书。单击相应的过程以了解更多信息。

在新智能卡上设置安全令牌

  1. 打开加密服务提供程序 (CSP)。
  2. 当我们插入没有活动令牌的卡时,会获得基本信息。
    活动令牌的基本信息
  3. 创建安全令牌后,我们必须确保为 PKCS15 配置文件进行设置
    确保已设置 PKCS15
  4. 创建此选项后,我们将有更多的选项,并且可以正确导入证书。
    在新智能卡上设置的安全令牌

为注册代理添加证书

  1. 打开 Microsoft Management Console (MMC)。
  2. 单击File(文件)。
  3. 单击 Add/Remove snap-ins
  4. 选择 Certificates
  5. 单击 Add
  6. 选择 My user account 的单选按钮。
  7. 单击 Finish
  8. 单击 OK
  9. 展开 Certificates - Current User
  10. 展开个人
  11. 展开 Certificates(如果存在)。
  12. 在中心窗格中右键单击,选择 All Tasks,然后选择 Request New Certificate
    单击“Request New Certificate”
  13. 单击 Next
  14. Active Directory Enrollment Policy 保留为选中状态。
  15. 单击 Next
  16. 选择我们之前创建和发布的 Enrollment Agent Certificate。
    选择 Enrollment Agent Certificate
  17. 单击 Enroll
  18. 完成后,单击 Finish

注册用户和推送证书

现在,我们可以将用户注册到我们生成的智能卡中,并使用证书 MMC 将证书推送到卡。

要注册用户和推送证书:

  1. 打开 Microsoft Management Console (MMC)。
  2. 单击File(文件)。
  3. 单击 Add/Remove snap-ins
  4. 选择 Certificates
  5. 单击 Add
  6. 选择 My user account 的单选按钮。
  7. 单击 Finish
  8. 单击 OK
  9. 展开 Certificates - Current User
  10. 展开个人
  11. 展开 Certificates(如果存在)。
  12. 在中心窗格中右键单击,选择 All TasksAdvanced OperationsEnroll on Behalf Of
    单击“Enroll on Behalf Of”
  13. 单击 Next
  14. Active Directory Enrollment Policy 保留为选中状态。
  15. 单击 Next
  16. 单击 Browse
  17. 选择我们之前生成的 Enrollment Agent Certificate,然后单击 OK
    选择 Enrollment Agent Certificate
  18. 单击 Next
  19. 选择我们之前生成的 Smartcard User Template 的单选按钮。
    选择 Smartcard User Template 的单选按钮
  20. 选择 Details 下拉列表,然后单击 Properties
    单击 Properties
  21. 将加密服务提供程序修改为您正在使用的应用程序。在本例中,它是 Charismathics
    修改加密服务提供程序
  22. 单击 OK
  23. 单击Next(下一步)。
  24. 单击 Browse,然后修改要从域中提取的 Locations
    单击 locations

    域上的位置
  25. 输入要注册的用户的用户名。
  26. 单击 Check Names 以验证用户。
    单击 Check Names
  27. 单击 OK
  28. 单击 Enroll
  29. 按照提示进行操作。
    “插入智能卡”提示

    Charismathics Smart Security Interface CSP 提示

    证书安装结果提示
  30. 单击 Next User 以使用相同的方法注册更多用户,或单击 Close 继续。

现在可以利用智能卡进行 PBA 身份验证。

VersaSec

VersaSec 使用以前生成的证书进行新证书注册。此过程使用通过 Active Directory 创建的证书模板,使员工能够生成登录证书,供其他员工在其登录会话期间使用。管理员必须完成证书注册证书导出,然后将证书分配智能卡。单击相应的过程以了解更多信息。

证书注册

要注册证书,请执行以下操作:

  1. 以管理员身份打开 Microsoft Management Console (MMC),该管理员在已配置证书模板的域中加入的设备上分配证书。
    打开 Microsoft Management Console
  2. 选择 Add/Remove Snap-in 选项。
    单击 Add/Remove Snap-in
  3. 选择 Certificates,然后选择 Add
    单击Add(添加)
  4. 确保选择了 My user account 选项。
    确保选择了 My user account 选项
  5. 选择 OK 以加载所选的插件。
    单击“OK”
  6. 展开 Certificates - Current User 窗格,右键单击右侧窗格,然后依次选择 All TasksRequest New Certificate
    单击“Request New Certificate”
  7. 确保已选择 Active Directory Enrollment Policy 选项,然后单击 Next
    单击 Next
  8. 选择允许为当前用户创建注册代理的证书模板,然后选择 Enroll。此示例使用以前创建的 Enrollment Agent Registration 模板。
    单击“Enroll”
  9. 注册完成后,单击 Finish
    单击 Finish
  10. 使用注册代理证书,通过选择左窗格中的 Certificates 文件夹,生成基于预生成模板的智能卡用户证书。选择 All TasksAdvanced Operations,然后选择 Enroll On Behalf Of
    单击“Enroll on Behalf of”
  11. 确保已选择 Active Directory Enrollment Policy 选项,然后单击 Next
    单击 Next
  12. 请求注册代理证书时,选择 Browse
    单击“Browse”
  13. 确保选择了相应的证书,然后单击 OK
    单击“OK”
  14. 确认定义了相应的用户,然后单击 Next
    单击 Next
  15. 选择已为智能卡用户注册预先创建的模板,然后单击 Next。本示例使用一个名为 Smartcard User Enrollment 的模板。
    单击 Next
  16. 选择 Browse 以查找相应的用户。
    单击“Browse”
  17. 通过单击 Location 修改位置以搜索整个目录。
    单击 Location
  18. 选择相应的域或组织单位,然后单击 OK
    单击“OK”
  19. 输入要为其生成智能卡证书的用户,然后选择 Check Names 以验证用户主体名称 (UPN)。
    单击 Check Names
  20. 如果找到多个用户,请确认正确的用户,然后选择 OK
    单击“OK”
  21. 确认用户信息,然后单击 OK
    单击“OK”
  22. 再次确认用户信息,然后单击 Enroll
    单击“Enroll”
  23. 注册将快速完成。选择 Next User 以生成另一个用户证书,或选择 Close 以完成证书生成过程。将来可随时为其他用户创建更多证书。
    单击 Next User

证书导出

证书首先以 PKCS12 格式导出,以分配给智能卡。证书必须包括私钥和完整的证书链。

要导出证书,请执行以下操作:

  1. 以管理员身份打开 Microsoft Management Console (MMC),此管理员在加入到配置证书模板的域的设备上分配证书。
    打开 Microsoft Management Console
  2. 选择 Add/Remove Snap-in 选项。
    单击 Add/Remove Snap-in
  3. 选择 Certificates,然后选择 Add
    单击Add(添加)
  4. 确保选择了 My user account 选项。
    确保选择了 My user account 选项
  5. 选择 OK 以加载所选的插件。
    单击“OK”
  6. 展开 Certificates - Current User 窗格,然后右键单击要导出的用户。选择 All Tasks,然后单击 Export
    单击 Export
  7. 选择选项 Yes, export the private key,然后选择 Next
    单击 Next
  8. 清除 Enable certificate privacy 的选项,选择 Export all extended properties,然后单击 Next
    单击 Next
  9. 选择 Password 选项,为证书分配安全密码,然后选择 Next
    单击 Next
    提醒:请勿修改 Encryption 选项。
  10. 分配文件名和位置,然后选择 Next
    单击 Next
  11. 确认详细信息,然后选择 Finish 以完成导出。
    单击 Finish

将证书分配给智能卡

安装并下载 VersaSec 软件以及调配的智能卡可能需要的任何管理中间件。

要将证书分配给智能卡,请执行以下操作:

  1. 启动 VersaSec 代理并插入智能卡。
  2. 转至 Card Actions - Certificates and Keys,然后选择 Import
    在 VersaSec 代理中单击 Import
  3. 浏览并选择要绑定到智能卡的导出证书。在 Password 字段中输入证书密码,然后选择 Import
    单击 Import
  4. 出现密码提示时输入用户 pin,然后选择 OK
    单击“OK”
  5. 完成写入证书后,它会显示在列表中。
    证书显示在列表中
  6. 一旦所有帐户的所有证书都写入智能卡,就可以使用它登录到 Windows 或戴尔预启动身份验证环境。

使用智能卡启用对 Windows 的单点登录

使用智能卡启用单点登录 Windows 的过程因正在使用的 Dell Encryption Enterprise 版本而异。选择相应的版本以了解更多信息。有关版本信息,请参阅如何确定 Dell Encryption Enterprise 或 Dell Encryption Personal 版本

Dell Encryption Enterprise、v8.18 和更高版本

无需任何端点更改。通过管理控制台设置策略后,所有端点更改都会自动发生。

智能卡本身可能需要中间件。咨询您的智能卡供应商,以确定是否必须在每个端点上安装中间件解决方案,以允许在 Windows 中进行身份验证。

Dell Encryption Enterprise、v8.17.2 和更早版本
警告:下一步是 Windows 注册表编辑:

默认情况下,客户端计算机不会单点登录。必须添加注册表项才能执行此操作。

注册表项为:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. 打开 Registry Editor
  2. 展开 HKEY Local Machine
  3. 展开 Software
  4. 展开 DigitalPersona
  5. 展开 Policies
  6. 展开 Default
  7. 创建一个密钥,然后为其命名 Smartcards
    打开 Registry Editor
  8. 创建一个 DWORD,然后为其命名 MSSmartcardSupport
    创建 DWORD,然后将其命名为 MSSmartcardSupport
  9. 将 Value 数据设置为 1
    将 Value 数据设置为 1

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Additional Information

附录 A

配置 Microsoft 证书颁发机构

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx 此超链接会将您带往 Dell Technologies 之外的网站。

所需角色服务:

  • 证书颁发机构
  • 证书颁发机构 Web 注册
  • 联机响应程序

附录 B

故障情景和生成的日志

PBA 中不接受证书。

PBA 日志显示:

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

解决方案:

通过证书 MMC 而不是通过 CSP 分配证书。

无法使用在 Windows 中正常工作的有效智能卡登录 PBA:

  • 安全服务器的输出(v8.5 之后)或安全服务器的 SED.log 文件出现证书无效的错误。

原因:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

解决方案:

将证书颁发机构的根证书或中间证书导入到安全服务器的 Java 密钥库中,然后重新启动安全服务器服务。

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.