Dell Endpoint Security Smartcard – Konfigurationsleitfaden

Summary: Dieses Handbuch hilft AdministratorInnen bei der Konfiguration der Umgebung und bietet Anweisungen zum Konfigurieren der SmartCard-Authentifizierung.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Betroffene Produkte:

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

Betroffene Versionen:

  • v8.0 oder höher

In diesem Handbuch werden die Zertifikaterstellung und -ausgabe durch vertrauenswürdige AdministratorInnen beschrieben und das Schreiben von Zertifikaten auf Smartcards, die von EndnutzerInnen genutzt werden.

Ein Administrator muss:

  • Einrichten und Konfigurieren von Vorlagen
  • Schließen Sie die Konfiguration des Dell Security Management Servers ab
  • Smartcard-Registrierung abschließen.

Es gibt auch einen Anhang mit Informationen. Wählen Sie den entsprechenden Abschnitt aus, um weitere Informationen zu erhalten.

Um die Smartcard-Authentifizierung mit der Dell Endpoint Security Pre-Boot-Umgebung zu nutzen, müssen wir Active Directory so konfigurieren, dass die Zertifikatregistrierung und -erzeugung ermöglicht wird.

Ein Registrierungs-Agent-Zertifikat muss allen NutzerInnen zugewiesen werden, die versuchen, Smartcards Zertifikate für andere NutzerInnen zuzuweisen.

Um Vorlagen einzurichten und zu konfigurieren, aktivieren Sie die Zertifikatvorlage für den Registrierungs-Agent und fügen Sie dann eine neue Smartcard-Nutzervorlage hinzu.

So aktivieren Sie die Zertifikatvorlage für den Registrierungs-Agent:

  1. Öffnen Sie die Microsoft Management Console (MMC) der Zertifizierungsstelle.
    Öffnen Sie die „Certification Authority“.
  2. Erweitern Sie auf Certificate Templates.
  3. Klicken Sie mit der rechten Maustaste auf den rechten Fensterbereich und klicken Sie dann auf Manage.
    Klicken Sie auf Verwalten.
  4. Klicken Sie mit der rechten Maustaste auf Enrollment Agent und klicken Sie dann auf Duplicate Template.
    Klicken Sie auf „Duplicate Template“.
  5. Gehen Sie zur Registerkarte Allgemein.
  6. Wählen Sie die Option Publish certificate in Active Directory aus.
  7. Aktualisieren Sie optional den Template display name und den Template name.
    Aktualisieren Sie den „Template display name“ und den „Template name“.

So fügen Sie eine Smartcard-Nutzervorlage hinzu:

  1. Klicken Sie in der Zertifikatvorlagenkonsole der Zertifizierungsstelle mit der rechten Maustaste auf die Smartcard User Template und klicken Sie dann auf Duplicate Template.
    Klicken Sie auf „Duplicate Template“.
  2. Ändern Sie auf der Registerkarte Request Handling den Purpose zu Signature and smartcard logon.
    Ändern Sie den „Purpose“ zu „Signature and smartcard logon“.
  3. Akzeptieren Sie die daraufhin angezeigte Eingabeaufforderung.
    Klicken Sie auf Ja
  4. Stellen Sie sicher, dass Allow private key to be exported aktiviert ist.
    Stellen Sie sicher, dass „Allow private key to be exported“ aktiviert ist.
  5. Auf der Registerkarte Subject Name sind standardmäßig Optionen vorhanden, für die eine definierte E-Mail-Adresse als alternative Validierungsmethode verwendet werden muss. Einige Umgebungen möchten diese Optionen möglicherweise löschen, um Probleme mit NutzerInnen zu vermeiden, die möglicherweise keine von Active Directory definierten E-Mail-Adressen haben.
    1. Deaktivieren Sie das Kontrollkästchen Include e-mail name in subject name .
      Deaktivieren Sie das Kontrollkästchen für „Include e-mail name in subject name“.
    2. Löschen Sie den E-mail name unter dem Abschnitt Include this information in alternate subject name.
      Löschen Sie den „E-mail name“
  6. Wählen Sie auf der Registerkarte Ausstellungsanforderungen das Feld Diese Anzahl autorisierter Signaturen aus.
    1. Lassen Sie This number of authorized signatures auf 1 festgelegt.
    2. Behalten Sie für den in der Signatur erforderlichen Policy Type die Option Application Policy bei.
    3. Ändern Sie die Application Policy zu Certificate Request Agent.
      Aktualisieren Sie das Feld „This Number of authorized signature“.
  7. Klicken Sie auf OK, um diese Vorlage zu veröffentlichen.
  8. Erlauben Sie die Ausgabe beider Vorlagen, indem Sie mit der rechten Maustaste auf Certificate Templates in der MMC der Zertifizierungsstelle klicken und dann auf Certificate Template to Issue klicken.
    Klicken Sie auf „Certificate Template to Issue“.
  9. Wählen Sie die zwei neuen Certificate Templates aus, die Sie erstellt haben.
    Wählen Sie die zwei neuen „Certificate Templates“ aus.
  10. Klicken Sie auf OK.

In diesem Abschnitt werden die Änderungen beschrieben, die am Dell Security Management Server erforderlich sind, um Smartcard-Funktionen in der Pre-Boot-Authentifizierungsumgebung zu ermöglichen.

Eine/Ein AdministratorIn muss die Import the Root CA und die Modify Policy. Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

Importieren der Stammzertifizierungsstelle

Da die Smartcard-Zertifikate in diesem Handbuch von der internen Zertifizierungsstelle (CA) signiert sind, müssen wir sicherstellen, dass die Stammzertifizierungsstelle und alle Zwischenstellen (nicht in diesem Handbuch dargestellt) in die Zertifikatkette importiert werden.

  1. Exportieren Sie das Zertifikat der Stammzertifizierungsstelle aus dem Microsoft Management Console (MMC) für Zertifikate.
    1. Starten Sie die MMC.
    2. Klicken Sie auf Datei.
    3. Klicken Sie auf Add/Remove Snap-in.
    4. Wählen Sie Certificates aus.
    5. Klicken Sie auf Hinzufügen.
    6. Wählen Sie das Fenster Computer account aus.
    7. Klicken Sie auf Fertig stellen.
    8. Klicken Sie auf OK.
      Exportieren Sie das Zertifikat der Stammzertifizierungsstelle.
    9. Erweitern Sie Certificates.
    10. Erweitern Sie Trusted Root Certification Authorities.
    11. Wählen Sie Certificates aus.
    12. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das von der Zertifizierungsstelle Ihrer Domäne ausgestellt wurde. Dieses wird mit der Gruppen-Policy synchronisiert.
      Klicken Sie mit der rechten Maustaste auf das Zertifikat, das von der Zertifizierungsstelle Ihrer Domäne ausgestellt wurde.
    13. Wählen Sie All Tasks (Alle Aufgaben) aus und klicken Sie dann auf Export.
    14. Zertifikat exportieren als DER encoded binary X.509 (.CER).
    15. Speichern Sie es und notieren Sie den Speicherort, sobald er in Kürze verwendet wird.
  2. Importieren Sie dieses Zertifikat in die vertrauenswürdigen Zertifikate des Java-Keystore.
    1. Öffnen Sie eine Command Prompt mit administrativen Rechten.
    2. Ändern Sie den Pfad, damit keytool-Befehle ausgeführt werden können, indem Sie Folgendes eingeben: Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" und geben Sie dann Enter ein.
      Hinweis: Geben Sie für Dell Security Management Server Version 9.2 und früher Folgendes ein: Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" ein, und drücken Sie anschließend die Eingabetaste.
    3. Navigieren Sie zum Verzeichnis conf des Security Servers, indem Sie Folgendes eingeben: %INSTALLDIR%\Enterprise Edition\Security Server\conf\ ein, und drücken Sie anschließend die Eingabetaste.
      Geben Sie %INSTALLDIR%\Enterprise Edition\Security Server\conf\ ein.
    4. Importieren Sie die .cer Datei, die wir in Schritt 1 exportiert haben, in den Java-Keystore (cacerts), indem Sie Folgendes eingeben: Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts ein, und drücken Sie anschließend die Eingabetaste.
      Geben Sie Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts ein.
    5. Geben Sie das cacerts-Dateikennwort ein.
    6. Akzeptieren Sie die Aufforderung, dem Zertifikat zu vertrauen, indem Sie Folgendes eingeben: Y.
      Geben Sie „Y“ ein.
    7. Starten Sie den Security Server neu, um den Import abzuschließen.

Ändern der Policy

Klicken Sie auf die Dell Data Security Server-Version für die entsprechenden Policy-Konfigurationen. Informationen zur Versionsverwaltung finden Sie unter Identifizieren der Version von Dell Data Security/Dell Data Protection Server.

v9.8.0 und höher

So ändern Sie die Policy, um Smartcards für den PBA-Authentifizierungsmechanismus zuzulassen:
  1. Öffnen Sie die Dell Data Security-Verwaltungskonsole.
    Hinweis: Weitere Informationen finden Sie unter So konfigurieren Sie die Verwaltungskonsole für Dell Data Security / Dell Data Protection Server.
  2. Melden Sie sich als NutzerIn an, die/der Policy ändern und bestätigen kann.
  3. Navigieren Sie zu der Population, in der Sie die Policy-Änderung vornehmen möchten. Wählen Sie beispielsweise Populations aus und klicken Sie dann auf Enterprise.
  4. Wählen Sie die Registerkarte Security Policies aus.
    Klicken Sie auf die Registerkarte „Security Policies“.
  5. Wählen Sie Pre-Boot Authentication aus.
  6. Ändern Sie die SED-Authentifizierungsmethode von „Password“ zu Smartcard.
    Hinweis: Stellen Sie sicher, dass die Policy für selbstverschlüsselnde Festplatten aktiviert ist, um dies für das gesamte Unternehmen zu aktivieren.

    Ändern Sie die SED-Authentifizierungsmethode von „Password“ zu Smartcard.
  7. Speichern und bestätigen Sie die Policys mit Save und Commit.
    Hinweis: Weitere Informationen finden Sie unter Festlegen von Richtlinien für Dell Data Security/Dell Data Protection Server.

v9.2.0 bis 9.7.0

So ändern Sie die Policy, um Smartcards für den PBA-Authentifizierungsmechanismus zuzulassen:
  1. Öffnen Sie die Dell Data Protection-Verwaltungskonsole.
    Hinweis: Weitere Informationen finden Sie unter So konfigurieren Sie die Verwaltungskonsole für Dell Data Security / Dell Data Protection Server.
  2. Melden Sie sich als NutzerIn an, die/der Policy ändern und bestätigen kann.
  3. Navigieren Sie zu der Population, in der Sie die Policy-Änderung vornehmen möchten. Wählen Sie beispielsweise Populations aus und klicken Sie dann auf Enterprise.
  4. Wählen Sie die Registerkarte Security Policies aus.
    Klicken Sie auf die Registerkarte „Security Policies“.
  5. Wählen Sie Self-Encrypting Drive (SED) aus.
  6. Ändern Sie die SED-Authentifizierungsmethode von „Password“ zu Smartcard.
    Hinweis: Stellen Sie sicher, dass die Policy für selbstverschlüsselnde Festplatten aktiviert ist, um dies für das gesamte Unternehmen zu aktivieren.

    Ändern Sie die SED-Authentifizierungsmethode von „Password“ zu Smartcard.
  7. Speichern und bestätigen Sie die Policys mit Save und Commit.
    Hinweis: Weitere Informationen finden Sie unter Festlegen von Policys für Dell Data Security/Dell Data Protection Server.

v8.0.0 bis 9.1.5

So ändern Sie die Policy, um Smartcards für den PBA-Authentifizierungsmechanismus zuzulassen:
  1. Ändern Sie die Policy, um Smartcards als Authentifizierungsmechanismus für PBA zuzulassen.
    1. Öffnen Sie die Remote-Verwaltungskonsole.
      Hinweis: Weitere Informationen finden Sie unter So konfigurieren Sie die Verwaltungskonsole für Dell Data Security / Dell Data Protection Server.
    2. Melden Sie sich als NutzerIn an, die/der Policy ändern und bestätigen kann.
    3. Gehen Sie zu Enterprise.
    4. Klicken Sie oben auf Security Policies.
    5. Überschreiben Sie sie (nicht verfügbar in Virtual Edition).
    6. Ändern Sie die Drop-down-Liste „Policy Category“ zu Self-Encrypting Drives.
      Ändern Sie die Drop-down-Liste „Policy Category“ zu „Self-Encrypting Drives“.
    7. Erweitern Sie SED Administration.
    8. Ändern Sie die SED-Authentifizierungsmethode von „Password“ zu Smartcard.
      Ändern Sie die SED-Authentifizierungsmethode von „Password“ zu Smartcard.
      Hinweis: Stellen Sie sicher, dass Enable SED Management und Activate PBA auf True gesetzt sind, um dies für das gesamte Unternehmen zu aktivieren.
    9. Speichern Sie diese Policy mit Save.
    10. Klicken Sie auf der linken Seite auf Commit Policies.
    11. Klicken Sie auf Apply Changes.

Smartcards sind standardmäßig leer. Jeder Smartcard muss ein Zertifikat zugewiesen sein, um ein Zertifikat für die Authentifizierung hinzuzufügen. Zertifikate werden in der Regel Smartcards über eine Middleware-Anwendung zugewiesen. In den folgenden Beispielen wird der Import über eine Legacy-Charismathics-Software für Smartcards für Unternehmenszwecke und VersaSec für PIV-basierte Smartcards (Personal Identity Verification) beschrieben. Eine/Ein AdministratorIn muss Enable Single Sign-on to Windows Using Smartcards, nachdem das Zertifikat zugewiesen wurde. Wählen Sie das entsprechende Verfahren für weitere Informationen.

Charismathics

Um Smartcards nutzen zu können, benötigen wir einen Registrierungsagenten, der dem Gerät Zertifikate zuweisen kann, und eine Middleware, die die Zertifikatinformationen der Microsoft-Zertifizierungsstelle in Informationen verwandelt, die die Karte verwenden kann.

Für die meisten Smartcards sind keine Sicherheitstoken voreingestellt. Eine/Ein AdministratorIn muss Stage a Security Token on a New Smartcard, Add a Certificate for the Enrollment Agent und dann Enroll Users and Push Certificates. Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

Bereitstellen eines Sicherheitstokens auf einer neuen Smartcard

  1. Öffnen Sie den CSP (Cryptographic Service Provider).
  2. Wenn wir eine Karte ohne aktives Token einsetzen, erhalten wir grundlegende Informationen.
    Grundlegende Informationen zum aktiven Token
  3. Sobald wir ein Sicherheitstoken erstellt haben, müssen wir sicherstellen, dass es für ein PKCS15-Profil eingestellt ist.
    Stellen Sie sicher, dass PKCS15 eingestellt ist.
  4. Nachdem dies erstellt wurde, haben wir viele weitere Optionen und können ein Zertifikat ordnungsgemäß importieren.
    Auf einer neuen Smartcard bereitgestelltes Sicherheitstoken

Hinzufügen eines Zertifikats für den Registrierungsagent

  1. Öffnen Sie die Microsoft Management Console (MMC).
  2. Klicken Sie auf Datei.
  3. Klicken Sie auf Add/Remove Snap-ins.
  4. Wählen Sie Certificates aus.
  5. Klicken Sie auf Hinzufügen.
  6. Wählen Sie das Fenster My user account aus.
  7. Klicken Sie auf Fertig stellen.
  8. Klicken Sie auf OK.
  9. Erweitern Sie Certificates - Current User.
  10. Erweitern Sie Personal.
  11. Erweitern Sie Certificates, falls vorhanden.
  12. Klicken Sie mit der rechten Maustaste in den mittleren Fensterbereich, wählen Sie All Tasks und dann Request New Certificate aus.
    Klicken Sie auf „Request New Certificate“.
  13. Klicken Sie auf Next.
  14. Lassen Sie Active Directory Enrollment Policy aktiviert.
  15. Klicken Sie auf Next.
  16. Wählen Sie das Registrierungsagentzertifikat aus, das wir zuvor erstellt und veröffentlicht haben.
    Wählen Sie das Registrierungsagentzertifikat aus.
  17. Klicken Sie auf Enroll.
  18. Klicken Sie auf Finish, sobald der Vorgang abgeschlossen ist.

NutzerInnen registrieren und Zertifikate übertragen

Jetzt können wir NutzerInnen bei der Smartcard registrieren, die wir erzeugt haben, und Zertifikate mithilfe der Zertifikat-MMC auf die Karte übertragen.

So registrieren Sie NutzerInnen und übertragen Zertifikate:

  1. Öffnen Sie die Microsoft Management Console (MMC).
  2. Klicken Sie auf Datei.
  3. Klicken Sie auf Add/Remove Snap-ins.
  4. Wählen Sie Certificates aus.
  5. Klicken Sie auf Hinzufügen.
  6. Wählen Sie das Fenster My user account aus.
  7. Klicken Sie auf Fertig stellen.
  8. Klicken Sie auf OK.
  9. Erweitern Sie Certificates - Current User.
  10. Erweitern Sie Personal.
  11. Erweitern Sie Certificates, falls vorhanden.
  12. Klicken Sie mit der rechten Maustaste in den mittleren Fensterbereich, wählen Sie All Tasks und dann Advanced Operations und dann Enroll on Behalf Of aus.
    Klicken Sie auf „Enroll on Behalf Of“.
  13. Klicken Sie auf Next.
  14. Lassen Sie Active Directory Enrollment Policy aktiviert.
  15. Klicken Sie auf Next.
  16. Klicken Sie auf Browse.
  17. Wählen Sie das zuvor erzeugte Registrierungsagentzertifikat aus und klicken Sie dann auf OK.
    Wählen Sie das Registrierungsagentzertifikat aus.
  18. Klicken Sie auf Next.
  19. Wählen Sie das Feld für die Smartcard-Nutzervorlage aus, das wir zuvor erstellt haben.
    Wählen Sie das Fenster für die Smartcard-Nutzervorlage aus.
  20. Wählen Sie das Drop-down-Menü Details aus und klicken Sie dann auf Properties.
    Klicken Sie auf Eigenschaften.
  21. Ändern Sie den CSP (Cryptographic Service Provider) in die Anwendung, die Sie nutzen. In diesem Fall handelt es sich um Charismathics.
    Ändern Sie den Cryptographic Service Provider.
  22. Klicken Sie auf OK.
  23. Klicken Sie auf Next (Weiter).
  24. Klicken Sie auf Browse und ändern Sie dann die Locations, die Sie aus Ihrer Domain abrufen möchten.
    Klicken Sie auf „Locations“.

    Speicherorte in Ihrer Domäne
  25. Geben Sie den Nutzernamen der Nutzerin/des Nutzers ein, die/der registriert werden soll.
  26. Klicken Sie auf Check Names, um die/den NutzerIn zu validieren.
    Klicken Sie auf „Check Names“.
  27. Klicken Sie auf OK.
  28. Klicken Sie auf Enroll.
  29. Folgen Sie den Anweisungen.
    Fügen Sie eine Smartcard-Eingabeaufforderung hinzu.

    Charismathics Smart Security-Schnittstellen-CSP-Eingabeaufforderung

    Eingabeaufforderung „Certificate Installation Results“
  30. Klicken Sie entweder auf Next User, um weitere NutzerInnen mit derselben Methode zu registrieren, oder klicken Sie auf Close, um fortzufahren.

Smartcards können jetzt für die PBA-Authentifizierung genutzt werden.

VersaSec

VersaSec verwendet zuvor erzeugte Zertifikate für die Registrierung neuer Zertifikate. Dieser Prozess verwendet Zertifikatvorlagen, die über Active Directory erstellt werden, damit MitarbeiterInnen Anmeldezertifikate generieren können, die andere MitarbeiterInnen während der Anmeldesitzung verwenden können. Eine/Ein AdministratorIn muss die Certificate Enrollment und den Certificate Export abschließen und dann den Vorgang Assign a Certificate zu einer Smartcard abschließen. Klicken Sie auf den entsprechenden Prozess für weitere Informationen.

Zertifikatregistrierung

So registrieren Sie ein Zertifikat:

  1. Öffnen Sie die Microsoft Management Console (MMC) als AdministratorIn, die/der Zertifikate auf einem Gerät zuweist, das mit der Domäne verbunden ist, in der Zertifikatvorlagen konfiguriert wurden.
    Öffnen Sie die Microsoft Management Console.
  2. Wählen Sie die Option zum Add/Remove Snap-in aus.
    Klicken Sie auf „Add/Remove Snap-in“.
  3. Wählen Sie Certificates aus und klicken Sie dann auf Add.
    Klicken Sie auf Hinzufügen
  4. Stellen Sie sicher, dass die Option My user account ausgewählt ist.
    Stellen Sie sicher, dass die Option „My user account“ ausgewählt ist.
  5. Wählen Sie OK aus, um die ausgewählten Snap-ins zu laden.
    Klicken Sie auf OK.
  6. Erweitern Sie den Fensterbereich Certificates - Current User, klicken Sie mit der rechten Maustaste auf den rechten Fensterbereich, wählen Sie dann All Tasks und dann Request New Certificate aus.
    Klicken Sie auf „Request New Certificate“.
  7. Stellen Sie sicher, dass die Option für Active Directory Enrollment Policy ausgewählt ist, und klicken Sie dann auf Next.
    Klicken Sie auf „Weiter“.
  8. Wählen Sie die Zertifikatvorlage aus, mit der ein Registrierungsagent für die/den aktuellen NutzerIn erstellt werden kann, und wählen Sie dann Enroll aus. In diesem Beispiel wird die zuvor erstellte Registrierungsagent-Registrierungsvorlage verwendet.
    Klicken Sie auf „Enroll“ (Registrieren).
  9. Sobald die Registrierung abgeschlossen ist, klicken Sie auf Finish.
    Klicken Sie auf Fertig stellen.
  10. Erzeugen Sie mit einem Registrierungsagentzertifikat ein Smartcard-Nutzerzertifikat, das auf einer bereits generierten Vorlage basiert, indem Sie den Ordner Certificates im linken Fensterbereich auswählen. Wählen Sie All Tasks, Advanced Operations und dann Enroll On Behalf Of aus.
    Klicken Sie auf „Enroll on Behalf Of“.
  11. Stellen Sie sicher, dass die Option für Active Directory Enrollment Policy ausgewählt ist, und klicken Sie dann auf Next.
    Klicken Sie auf „Weiter“.
  12. Wählen Sie Browse aus, wenn ein Registrierungsagentzertifikat angefordert wird.
    Klicken Sie auf „Browse“.
  13. Stellen Sie sicher, dass das entsprechende Zertifikat ausgewählt ist, und klicken Sie dann auf OK.
    Klicken Sie auf OK.
  14. Vergewissern Sie sich, dass die/der entsprechende NutzerIn definiert ist, und klicken Sie dann auf Next.
    Klicken Sie auf „Weiter“.
  15. Wählen Sie die Vorlage aus, die für die Smartcard-Nutzerregistrierung erstellt wurde, und klicken Sie dann auf Next. In diesem Beispiel wird eine Vorlage namens Smartcard User Enrollment verwendet.
    Klicken Sie auf „Weiter“.
  16. Wählen Sie Browse aus, um die/den entsprechende(n) NutzerIn zu suchen.
    Klicken Sie auf „Browse“.
  17. Ändern Sie den Speicherort, um das gesamte Verzeichnis zu durchsuchen, indem Sie auf Location klicken.
    Klicken Sie auf „Location“.
  18. Wählen Sie die entsprechende Domain oder Abteilung aus und klicken Sie dann auf OK.
    Klicken Sie auf OK.
  19. Geben Sie die/den NutzerIn ein, für die/den Sie ein Smartcard-Zertifikat erzeugen möchten, und wählen Sie dann Check Names aus, um den Hauptnutzernamen zu validieren.
    Klicken Sie auf „Check Names“.
  20. Bestätigen Sie die/den richtigen NutzerIn, wenn mehrere NutzerInnen gefunden werden, und wählen Sie dann OK aus.
    Klicken Sie auf OK.
  21. Bestätigen Sie die Nutzerinformationen und klicken Sie dann auf OK.
    Klicken Sie auf OK.
  22. Bestätigen Sie die Nutzerinformationen erneut und klicken Sie dann auf Enroll.
    Klicken Sie auf „Enroll“ (Registrieren).
  23. Die Registrierung wird schnell abgeschlossen. Wählen Sie entweder Next User aus, um ein weiteres Nutzerzertifikat zu erzeugen, oder wählen Sie Close aus, um den Zertifikaterstellungsprozess abzuschließen. Weitere Zertifikate können jederzeit für zusätzliche NutzerInnen erstellt werden.
    Klicken Sie auf „Next User“.

Zertifikatexport

Zertifikate werden zunächst im PKCS12-Format exportiert, um Smartcards zugewiesen zu werden. Zertifikate müssen den privaten Schlüssel und die vollständige Zertifikatkette enthalten.

So exportieren Sie ein Zertifikat:

  1. Öffnen Sie die Microsoft Management Console (MMC) als AdministratorIn, die/der Zertifikate auf einem Gerät zuweist, das mit der Domäne verbunden ist, in der Zertifikatvorlagen konfiguriert werden.
    Öffnen Sie die Microsoft Management Console.
  2. Wählen Sie die Option zum Add/Remove Snap-in aus.
    Klicken Sie auf „Add/Remove Snap-in“.
  3. Wählen Sie Certificates aus und klicken Sie dann auf Add.
    Klicken Sie auf Hinzufügen
  4. Stellen Sie sicher, dass die Option My user account ausgewählt ist.
    Stellen Sie sicher, dass die Option „My user account“ ausgewählt ist.
  5. Wählen Sie OK aus, um die ausgewählten Snap-ins zu laden.
    Klicken Sie auf OK.
  6. Erweitern Sie den Fensterbereich Certificates - Current User und klicken Sie dann mit der rechten Maustaste auf die/den zu exportierende(n) NutzerIn. Wählen Sie All Tasks (Alle Aufgaben) aus und klicken Sie dann auf Export.
    Klicken Sie auf „Export“.
  7. Wählen Sie die Option Yes, export the private key und dann Next aus.
    Klicken Sie auf „Weiter“.
  8. Deaktivieren Sie die Option Enable certificate privacy, wählen Sie Export all extended properties aus und klicken Sie dann auf Next.
    Klicken Sie auf „Weiter“.
  9. Wählen Sie die Option Password aus, weisen Sie ein sicheres Kennwort für das Zertifikat zu und wählen Sie dann Next aus.
    Klicken Sie auf „Weiter“.
    Hinweis: Ändern Sie die Verschlüsselungsoption nicht.
  10. Weisen Sie einen Dateinamen und einen Speicherort zu und wählen Sie dann Next aus.
    Klicken Sie auf „Weiter“.
  11. Bestätigen Sie die Details und wählen Sie Finish aus, um den Export abzuschließen.
    Klicken Sie auf Fertig stellen.

Zuweisen eines Zertifikats zu einer Smartcard

Laden Sie die VersaSec-Software und sämtliche administrative Middleware, die möglicherweise für die bereitgestellten Smartcards erforderlich sind, herunter und installieren Sie diese.

So weisen Sie einer Smartcard ein Zertifikat zu:

  1. Starten Sie den VersaSec-Agent und fügen Sie eine Smartcard ein.
  2. Navigieren Sie zu Card Actions - Certificates and Keys und wählen Sie dann Import aus.
    Klicken Sie auf „Import In VersaSec agent“.
  3. Navigieren Sie zu dem exportierten Zertifikat, das an die Smartcard gebunden werden soll, und wählen Sie es aus. Geben Sie das Zertifikatkennwort in das Feld Password ein und wählen Sie dann Import aus.
    Klicken Sie auf „Import“.
  4. Geben Sie die Nutzer-PIN ein, wenn Sie zur Eingabe des Passcodes aufgefordert werden, und wählen Sie dann OK aus.
    Klicken Sie auf OK.
  5. Sobald das Zertifikat fertig geschrieben wurde, wird es in der Liste angezeigt.
    Das Zertifikat wird in der Liste angezeigt.
  6. Sobald alle Zertifikate für alle Konten auf die Smartcard geschrieben wurden, kann sie verwendet werden, um sich bei Windows oder der Dell Preboot-Authentifizierungsumgebung anzumelden.

Single Sign-On bei Windows mithilfe von Smartcards aktivieren

Der Prozess zum Aktivieren der von Single Sign-On bei Windows mithilfe von Smartcards variiert je nach verwendeter Version von Dell Encryption Enterprise. Klicken Sie auf die entsprechende Version für weitere Informationen. Weitere Informationen zu den Versionen finden Sie unter Ermitteln der Dell Encryption Enterprise- oder Dell Encryption Personal-Version.

Dell Encryption Enterprise, Version 8.18 und höher

Es sind keine Endpunktänderungen erforderlich. Sobald die Policy über die Verwaltungskonsole festgelegt wurde, werden alle Endpunktänderungen automatisch durchgeführt.

Smartcards selbst benötigen möglicherweise eine Middleware. Wenden Sie sich an Ihren Smartcard-Anbieter, um festzustellen, ob auf jedem Endpunkt eine Middleware-Lösung installiert werden muss, um eine Authentifizierung in Windows zu ermöglichen.

Dell Encryption Enterprise, Version 8.17.2 und früher
Warnung: Der nächste Schritt ist eine Bearbeitung der Windows-Registrierung:

Die Clientrechner melden sich standardmäßig nicht per Single Sign-On an. Ein Registrierungsschlüssel muss hinzugefügt werden, damit dies geschieht.

Der Registrierungsschlüssel lautet:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. Öffnen Sie den Registry Editor.
  2. Erweitern Sie HKEY Local Machine.
  3. Erweitern Sie Software.
  4. Erweitern Sie DigitalPersona.
  5. Erweitern Sie Policies.
  6. Erweitern Sie Default.
  7. Erstellen eines Schlüssels und anschließendes Benennen des Schlüssels Smartcards.
    Öffnen Sie den „Registry Editor.
  8. Erstellen Sie ein DWORD und benennen Sie es MSSmartcardSupport.
    Erstellen Sie ein DWORD und nennen Sie es dann MSSmartcardSupport.
  9. Legen Sie die Wertedaten auf 1 fest.
    Legen Sie die Wertedaten auf 1 fest.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Additional Information

Anhang A

Konfigurieren einer Microsoft-Zertifizierungsstelle

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Erforderliche Rollendienste:

  • Zertifizierungsstelle
  • Webregistrierung der Zertifizierungsstelle
  • Online-Responder

Anhang B

Fehlerszenarien und resultierende Protokolle

Zertifikate werden in der PBA nicht akzeptiert.

PBA-Protokolle zeigen Folgendes an:

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

Lösung:

Weisen Sie ein Zertifikat über die Zertifikat-MMC statt über den CSP zu.

Die Anmeldung bei PBA mit einer gültigen Smartcard, die unter Windows einwandfrei funktioniert, ist nicht möglich:

  • Die Ausgabe von Security Server (nach Version 8.5) oder die SED.log-Dateien von Security Server geben Fehler mit ungültigen Zertifikatfehlern aus.

Caused by:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

Lösung:

Importieren Sie das Stammzertifikat oder Zwischenzertifikat der Zertifizierungsstelle in den Java-Keystore für Security Server und starten Sie den Security Server-Service neu.

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.