Guía de configuración de tarjetas inteligentes de Dell Endpoint Security

Summary: Esta guía ayuda a un administrador a configurar el entorno y ofrece orientación para establecer la autenticación de las tarjetas inteligentes.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Productos afectados:

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

Versiones afectadas:

  • v8.0 y versiones posteriores

Esta guía describe la creación y emisión de certificados por parte de un administrador de confianza, que escribe los certificados en las tarjetas inteligentes que utilizan los usuarios finales.

Un administrador debe:

  • Preparar y configurar plantillas
  • Completar la configuración de Dell Security Management Server
  • Complete la inscripción de tarjetas inteligentes.

También hay un apéndice de información. Seleccione la sección correspondiente para obtener más información.

Para aprovechar la autenticación de tarjetas inteligentes con el entorno previo al arranque de Dell Endpoint Security, debemos configurar Active Directory para permitir la inscripción y generación de certificados.

Se debe asignar un certificado de agente de inscripción a cualquier usuario que intente asignar certificados a tarjetas inteligentes para otros usuarios.

Para preparar y configurar plantillas, habilite la plantilla de certificado para el agente de inscripción y, a continuación, agregue una nueva plantilla de usuario de tarjeta inteligente.

Si desea habilitar la plantilla de certificado para el agente de inscripción, siga estos pasos:

  1. Abra el complemento Microsoft Management Console (MMC) de la entidad de certificación.
    Abrir la entidad de certificación
  2. Expanda hasta Plantillas de certificado.
  3. Haga clic con el botón secundario y, luego, haga clic en Administrar.
    Haga clic en Administrar
  4. Haga clic con el botón secundario en Agente de inscripción y, a continuación, haga clic en Plantilla duplicada.
    Hacer clic en Plantilla duplicada
  5. Vaya a la pestaña General.
  6. Seleccione la opción Publicar certificado en Active Directory.
  7. De manera opcional, actualice el nombre para mostrar de la plantilla y el nombre de la plantilla.
    Actualizar el nombre para mostrar de la plantilla y el nombre de la plantilla

Para agregar una plantilla de usuario de tarjeta inteligente:

  1. En la consola de plantilla de certificado de la entidad de certificación, haga clic con el botón secundario en la plantilla Usuario de tarjeta inteligente y, a continuación, haga clic en Plantilla duplicada.
    Hacer clic en Plantilla duplicada
  2. En la pestaña Administración de solicitudes, modifique el propósito a Firma e inicio de sesión mediante tarjeta inteligente.
    Modificar el propósito a Firma e inicio de sesión mediante tarjeta inteligente
  3. Acepte el símbolo del sistema resultante.
    Haga clic en Yes
  4. Asegúrese de que la opción Permitir que la clave privada se pueda exportar esté seleccionada.
    Comprobar que la opción Permitir que la clave privada se pueda exportar esté seleccionada
  5. En la pestaña Nombre de sujeto, las opciones están presentes de manera predeterminada para requerir que se utilice una dirección de correo electrónico definida como método de validación alternativo. Es posible que algunos entornos deseen borrar estas opciones para evitar problemas con los usuarios que no tengan direcciones de correo electrónico definidas por Active Directory.
    1. Anule la selección de la casilla de verificación Incluir el nombre de correo electrónico en el nombre del sujeto.
      Anular la selección de la casilla de verificación Incluir el nombre de correo electrónico en el nombre del sujeto
    2. Borre el nombre de correo electrónico en la sección Incluir esta información en un nombre de sujeto alternativo.
      Borrar el nombre de correo electrónico
  6. En la pestaña Requisitos de emisión , seleccione la casilla Este número de firmas autorizadas.
    1. Establezca Este nombre de firmas autorizadas en 1.
    2. Deje el tipo de política necesario en la firma como Application Policy.
    3. Modifique la Directiva de aplicación a Agente de solicitud de certificados.
      Actualizar la casilla Este nombre de firmas autorizadas
  7. Haga clic en Aceptar para publicar esta plantilla.
  8. Para permitir la emisión de ambas plantillas, haga clic con el botón secundario en Plantillas de certificado en el complemento MMC de entidad de certificación y, a continuación, en Plantilla de certificado que se va a emitir.
    Hacer clic en Plantilla de certificado que se va a emitir
  9. Seleccione las dos plantillas de certificado nuevas que creó.
    Seleccionar las dos plantillas de certificado nuevas
  10. Haga clic en Aceptar.

En esta sección, se describen los cambios necesarios en Dell Security Management Server para permitir la funcionalidad de tarjetas inteligentes en el entorno de autenticación previa al arranque.

Un administrador debe importar la CA raíz y modificar la política. Haga clic en el proceso correspondiente para obtener más información.

Importar la CA raíz

Dado que los certificados de tarjeta inteligente están firmados por la entidad de certificación (CA) interna en esta guía, debemos garantizar que la CA raíz y los intermediarios (que no se muestran en esta guía) se importen a la cadena de certificados.

  1. Exporte el certificado de la entidad de certificación raíz desde el complemento Microsoft Management Console (MMC) del certificado.
    1. Inicie MMC.
    2. Haga clic en Archivo.
    3. Haga clic en Agregar o quitar complemento.
    4. Seleccione Certificados.
    5. Haga clic en Add (Agregar).
    6. Seleccione la opción Cuenta de equipo.
    7. Haga clic en Finish.
    8. Haga clic en Aceptar.
      Exportar el certificado de la entidad de certificación raíz
    9. Expanda los certificados.
    10. Expanda las entidades de certificación raíz de confianza.
    11. Seleccione Certificados.
    12. Haga clic con el botón secundario en el certificado emitido por la CA de su dominio. Este se sincroniza con la política de grupo.
      Hacer clic con el botón secundario en el certificado emitido por la CA de su dominio
    13. Seleccione Todas las tareas y, a continuación, haga clic en Exportar.
    14. Exportar el certificado como DER encoded binary X.509 (.CER).
    15. Guárdela y, a continuación, registre la ubicación a medida que se utiliza en breve.
  2. Importe este certificado a los certificados de confianza del almacén de claves de Java.
    1. Abra un símbolo del sistema administrativo.
    2. Modifique la ruta para permitir la ejecución de comandos de keytool escribiendo Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" y, a continuación, escriba Intro.
      Nota: Para Dell Security Management Server versión 9.2 y anteriores, escriba Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" y, luego, presione Intro.
    3. Escriba lo siguiente para ir al directorio conf de Security Server %INSTALLDIR%\Enterprise Edition\Security Server\conf\ y, luego, presione Intro.
      Escribir %INSTALLDIR%\Enterprise Edition\Security Server\conf\
    4. Importe el archivo de .cer exportado en el paso 1 al almacén de claves de Java (cacerts); para ello, escriba lo siguiente: Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts y, luego, presione Intro.
      Escriba Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts
    5. Ingrese la contraseña del archivo cacerts.
    6. Acepte el símbolo del sistema para confiar en el certificado; para ello, escriba Y.
      Escribir Y
    7. Reinicie el servidor de Security para completar la importación.

Modificar la política

Haga clic en la versión del servidor de Dell Data Security para obtener las configuraciones de política adecuadas. Para obtener más información sobre la versión, consulte Cómo identificar la versión de Dell Data Security/Dell Data Protection Server.

v9.8.0 y posterior

Para modificar la política a fin de permitir tarjetas inteligentes para el mecanismo de autenticación de PBA:
  1. Abra la consola de administración de Dell Data Security.
    Nota: Para obtener más información, consulte Cómo acceder a la Consola de administración de Dell Data Security/Dell Data Protection Server.
  2. Inicie sesión como un usuario que puede modificar y confirmar la política.
  3. Vaya a la población donde desea realizar el cambio de política. Por ejemplo, seleccione Populations y, a continuación, haga clic en Enterprise.
  4. Seleccione la pestaña Security Policies.
    Hacer clic en la pestaña Security Policies
  5. Seleccione Pre-Boot Authentication.
  6. Modifique el método de autenticación del SED de Password a Smartcard.
    Nota: Asegúrese de que la política de unidad de autocifrado esté activada a fin de permitir esto para toda la empresa.

    Modificar el método de autenticación del SED de Password a Smartcard
  7. Guarde y confirme las políticas.
    Nota: Para obtener más información, consulte Cómo confirmar políticas de Dell Data Security/Dell Data Protection Servers.

Versión 9.2.0 a la 9.7.0

Para modificar la política a fin de permitir tarjetas inteligentes para el mecanismo de autenticación de PBA:
  1. Abra la consola de administración de Dell Data Protection.
    Nota: Para obtener más información, consulte Cómo acceder a la Consola de administración de Dell Data Security/Dell Data Protection Server.
  2. Inicie sesión como un usuario que puede modificar y confirmar la política.
  3. Vaya a la población donde desea realizar el cambio de política. Por ejemplo, seleccione Populations y, a continuación, haga clic en Enterprise.
  4. Seleccione la pestaña Security Policies.
    Hacer clic en la pestaña Security Policies
  5. Seleccione Self-Encrypting Drive (SED).
  6. Modifique el método de autenticación del SED de Password a Smartcard.
    Nota: Asegúrese de que la política de unidad de autocifrado esté activada a fin de permitir esto para toda la empresa.

    Modificar el método de autenticación del SED de Password a Smartcard
  7. Guarde y confirme las políticas.
    Nota: Para obtener más información, consulte Cómo confirmar políticas de Dell Data Security/Dell Data Protection Servers.

Versiones 8.0.0 a 9.1.5

Para modificar la política a fin de permitir tarjetas inteligentes para el mecanismo de autenticación de PBA:
  1. Modifique la política para permitir que las tarjetas inteligentes sean el mecanismo de autenticación para PBA.
    1. Abra la consola de administración remota.
      Nota: Para obtener más información, consulte Cómo acceder a la Consola de administración de Dell Data Security/Dell Data Protection Server.
    2. Inicie sesión como un usuario que puede modificar y confirmar la política.
    3. Vaya a Enterprise.
    4. Haga clic en Security Policies en la parte superior.
    5. Seleccione Override (no disponible en Virtual Edition).
    6. Modifique el menú desplegable Policy Category a Self-Encrypting Drives.
      Modificar el menú desplegable Policy Category a Self-Encrypting Drives
    7. Expanda SED Administration.
    8. Modifique el método de autenticación del SED de Password a Smartcard.
      Modificar el método de autenticación del SED de Password a Smartcard
      Nota: Asegúrese de que Enable SED Management y Activate PBA estén configurados como True a fin de permitir esto para toda la empresa.
    9. Guarde esta política.
    10. Haga clic en Commit Policies a la izquierda.
    11. Haga clic en Apply Changes.

Las tarjetas inteligentes están en blanco de manera predeterminada. Cada tarjeta inteligente debe tener un certificado asignado a fin de agregar un certificado para la autenticación. Por lo general, los certificados se asignan a tarjetas inteligentes a través de una aplicación de middleware. Los siguientes ejemplos describen la importación a través de un software de Charismathics heredado para tarjetas inteligentes de clase empresarial, y VersaSec para tarjetas inteligentes basadas en la verificación de la identidad personal (PIV). Un administrador debe habilitar Single Sign On en Windows con tarjetas inteligentes después de asignar el certificado. Seleccione el proceso correspondiente para obtener más información.

Charismathics

Para aprovechar las tarjetas inteligentes, se debe tener un agente de inscripción que pueda asignar certificados al dispositivo y un middleware que traduzca la información del certificado proveniente de la entidad de certificación de Microsoft en algo que la tarjeta pueda utilizar.

La mayoría de las tarjetas inteligentes no tienen tokens de seguridad predefinidos. Un administrador debe configurar un token de seguridad en una nueva tarjeta inteligente, agregar un certificado para el agente de inscripción y, a continuación, inscribir usuarios y migrar certificados. Haga clic en el proceso correspondiente para obtener más información.

Configurar un token de seguridad en una nueva tarjeta inteligente

  1. Abra el proveedor de servicios criptográficos (CSP).
  2. Cuando se inserta una tarjeta sin un token activo, se obtiene información básica.
    Información básica del token activo
  3. Una vez creado el token de seguridad, se debe comprobar que esté configurado para un perfil PKCS15.
    Comprobar que PKCS15 esté configurado
  4. Después de crearlo, habrá muchas más opciones y se podrá importar un certificado correctamente.
    Token de seguridad configurado en etapas en una nueva tarjeta inteligente

Agregar un certificado para el agente de inscripción

  1. Abra Microsoft Management Console (MMC).
  2. Haga clic en Archivo.
  3. Haga clic en Agregar o quitar complemento.
  4. Seleccione Certificados.
  5. Haga clic en Add (Agregar).
  6. Seleccione la opción para Mi cuenta de usuario.
  7. Haga clic en Finish.
  8. Haga clic en Aceptar.
  9. Expanda Certificados: usuario actual.
  10. Expanda Personal.
  11. Expanda Certificados, si existe.
  12. Haga clic con el botón secundario en el panel central, seleccione Todas las tareas y, luego, Solicitar un nuevo certificado.
    Hacer clic en Solicitar un nuevo certificado
  13. Haga clic en Next (Siguiente).
  14. Deje seleccionada la opción Directiva de inscripción de Active Directory.
  15. Haga clic en Next (Siguiente).
  16. Seleccione el certificado del agente de inscripción que se creó y publicó anteriormente.
    Seleccionar el certificado del agente de inscripción
  17. Haga clic en Inscribir.
  18. Una vez que se haya completado la inscripción, haga clic en Finalizar.

Inscribir usuarios y migrar certificados

Ahora podemos inscribir usuarios en la tarjeta inteligente que se generó y migrar certificados a la tarjeta mediante el complemento MMC del certificado.

Para inscribir usuarios y migrar certificados, siga estos pasos:

  1. Abra Microsoft Management Console (MMC).
  2. Haga clic en Archivo.
  3. Haga clic en Agregar o quitar complemento.
  4. Seleccione Certificados.
  5. Haga clic en Add (Agregar).
  6. Seleccione la opción para Mi cuenta de usuario.
  7. Haga clic en Finish.
  8. Haga clic en Aceptar.
  9. Expanda Certificados: usuario actual.
  10. Expanda Personal.
  11. Expanda Certificados, si existe.
  12. Haga clic con el botón secundario en el panel central, seleccione Todas las tareas, Operaciones avanzadas y, a continuación, Inscribir en nombre de.
    Hacer clic en Inscribir en nombre de
  13. Haga clic en Next (Siguiente).
  14. Deje seleccionada la opción Directiva de inscripción de Active Directory.
  15. Haga clic en Next (Siguiente).
  16. Haga clic en Examinar.
  17. Seleccione el certificado del agente de inscripción que se generó anteriormente y, luego, haga clic en Aceptar.
    Seleccionar el certificado del agente de inscripción
  18. Haga clic en Next (Siguiente).
  19. Seleccione la opción para la plantilla de usuario de tarjeta inteligente que se generó anteriormente.
    Seleccionar la opción para la plantilla de usuario de tarjeta inteligente
  20. Seleccione el menú desplegable Detalles y haga clic en Propiedades.
    Haga clic en Propiedades.
  21. Modifique el proveedor de servicios criptográficos a la aplicación que está utilizando. En este caso, se trata de Charismathics.
    Modificar el proveedor de servicios criptográficos
  22. Haga clic en Aceptar.
  23. Haga clic en Siguiente.
  24. Haga clic en Examinar y, a continuación, modifique las ubicaciones que desea extraer del dominio.
    Hacer clic en Ubicaciones

    Ubicaciones en su dominio
  25. Ingrese el nombre de usuario del usuario que desea inscribir.
  26. Haga clic en Comprobar nombres para validar al usuario.
    Hacer clic en Comprobar nombres
  27. Haga clic en Aceptar.
  28. Haga clic en Inscribir.
  29. Siga las indicaciones.
    Insertar el símbolo del sistema de la tarjeta inteligente

    Símbolo del sistema de CSP de la interfaz de seguridad inteligente de Charismathics

    Símbolo del sistema de los resultados de la instalación del certificado
  30. Haga clic en Siguiente usuario para inscribir más usuarios con el mismo método o haga clic en Cerrar para continuar.

Las tarjetas inteligentes ahora se pueden aprovechar para la autenticación de PBA.

VersaSec

VersaSec utiliza los certificados generados anteriormente para la inscripción de certificados nuevos. Este proceso utiliza plantillas de certificado que se crean a través de Active Directory para permitir que un empleado genere certificados de inicio de sesión para que otros empleados los utilicen durante la sesión de inicio de sesión. Un administrador debe completar la inscripción de certificados, la exportación de certificados y, luego, la asignación de un certificado a una tarjeta inteligente. Haga clic en el proceso correspondiente para obtener más información.

Inscripción de certificados

Para inscribir un certificado, siga estos pasos:

  1. Abra Microsoft Management Console (MMC) como un administrador que asigna certificados en un dispositivo vinculado al dominio en el que se configuraron plantillas de certificado.
    Abrir Microsoft Management Console
  2. Seleccione la opción Agregar o quitar complemento.
    Hacer clic en Agregar o quitar complemento
  3. Seleccione Certificados y, luego, Agregar.
    Haga clic en Add (Agregar).
  4. Asegúrese de que la opción Mi cuenta de usuario esté seleccionada.
    Comprobar que la opción Mi cuenta de usuario esté seleccionada
  5. Seleccione Aceptar para cargar los complementos seleccionados.
    Haga clic en OK
  6. Expanda el panel Certificados: usuario actual, haga clic con el botón secundario en el panel derecho, seleccione Todas las tareas y, luego, Solicitar un nuevo certificado.
    Hacer clic en Solicitar un nuevo certificado
  7. Asegúrese de que la opción para Directiva de inscripción de Active Directory esté seleccionada y, a continuación, haga clic en Siguiente.
    Haga clic en Next (Siguiente)
  8. Seleccione la plantilla de certificado que permite crear un agente de inscripción para el usuario actual y, a continuación, seleccione Inscribir. En este ejemplo, se utiliza la plantilla de registro del agente de inscripción creada anteriormente.
    Hacer clic en Inscribir
  9. Una vez que se haya completado la inscripción, haga clic en Finalizar.
    Haga clic en Finalizar
  10. Con un certificado de agente de inscripción, seleccione la carpeta Certificados en el panel izquierdo para generar un certificado de usuario de tarjeta inteligente basado en una plantilla pregenerada. Seleccione Todas las tareas, Operaciones avanzadas y, a continuación, Inscribir en nombre de.
    Hacer clic en Inscribir en nombre de
  11. Asegúrese de que la opción para Directiva de inscripción de Active Directory esté seleccionada y, a continuación, haga clic en Siguiente.
    Haga clic en Next (Siguiente)
  12. Seleccione Examinar cuando se solicite un certificado de agente de inscripción.
    Haga clic en Examinar.
  13. Asegúrese de que el certificado correspondiente esté seleccionado y, a continuación, haga clic en Aceptar.
    Haga clic en OK
  14. Confirme que el usuario correspondiente esté definido y, luego, haga clic en Siguiente.
    Haga clic en Next (Siguiente)
  15. Seleccione la plantilla que se creó previamente para la inscripción de usuarios de tarjetas inteligentes y, a continuación, haga clic en Siguiente. En este ejemplo, se aprovecha una plantilla denominada Smartcard User Enrollment.
    Haga clic en Next (Siguiente)
  16. Seleccione Examinar para encontrar el usuario correspondiente.
    Haga clic en Examinar.
  17. Para modificar la ubicación a fin de buscar en todo el directorio, haga clic en Ubicación.
    Hacer clic en Ubicación
  18. Seleccione el dominio o la unidad organizacional correspondientes y, luego, haga clic en Aceptar.
    Haga clic en OK
  19. Ingrese el usuario para el que desea generar un certificado de tarjeta inteligente y, a continuación, seleccione Comprobar nombres a fin de validar el nombre principal del usuario (UPN).
    Hacer clic en Comprobar nombres
  20. Confirme el usuario correcto si se encuentran varios usuarios y, luego, seleccione Aceptar.
    Haga clic en OK
  21. Confirme la información del usuario y, luego, haga clic en Aceptar.
    Haga clic en OK
  22. Vuelva a confirmar la información del usuario y, a continuación, haga clic en Inscribir.
    Hacer clic en Inscribir
  23. La inscripción se completa rápidamente. Seleccione Siguiente usuario para generar otro certificado de usuario o seleccione Cerrar para completar el proceso de generación de certificados. Se pueden crear más certificados para usuarios adicionales en cualquier momento en el futuro.
    Hacer clic en Siguiente usuario

Exportación de certificados

Los certificados se exportarán primero en formato PKCS12 para asignarlos a las tarjetas inteligentes. Los certificados deben incluir la clave privada y la cadena de certificados completa.

Para exportar un certificado, siga estos pasos:

  1. Abra Microsoft Management Console (MMC) como un administrador que asigna certificados en un dispositivo vinculado al dominio en el que se configuran las plantillas de certificado.
    Abrir Microsoft Management Console
  2. Seleccione la opción Agregar o quitar complemento.
    Hacer clic en Agregar o quitar complemento
  3. Seleccione Certificados y, luego, Agregar.
    Haga clic en Add (Agregar).
  4. Asegúrese de que la opción Mi cuenta de usuario esté seleccionada.
    Comprobar que la opción Mi cuenta de usuario esté seleccionada
  5. Seleccione Aceptar para cargar los complementos seleccionados.
    Haga clic en OK
  6. Expanda el panel Certificados: usuario actual y, luego, haga clic con el botón secundario en el usuario que desea exportar. Seleccione Todas las tareas y, a continuación, haga clic en Exportar.
    Haga clic en Export (Exportar)
  7. Seleccione la opción Exportar la clave privada y, luego, haga clic en Siguiente.
    Haga clic en Next (Siguiente)
  8. Anule la selección de la opción Habilitar privacidad de certificado, seleccione Exportar todas las propiedades extendidas y, a continuación, haga clic en Siguiente.
    Haga clic en Next (Siguiente)
  9. Seleccione la opción Contraseña, asigne una contraseña segura para el certificado y, luego, seleccione Siguiente.
    Haga clic en Next (Siguiente)
    Nota: No modifique la opción Cifrado.
  10. Asigne un nombre de archivo y una ubicación y, luego, seleccione Siguiente.
    Haga clic en Next (Siguiente)
  11. Confirme los detalles y, a continuación, seleccione Finalizar para completar la exportación.
    Haga clic en Finalizar

Asignación de un certificado a una tarjeta inteligente

Instale y descargue el software de VersaSec y cualquier middleware administrativo que pueda ser necesario para las tarjetas inteligentes que se suministran.

Para asignar un certificado a una tarjeta inteligente, siga estos pasos:

  1. Inicie el agente de VersaSec e inserte una tarjeta inteligente.
  2. Vaya a Card Actions - Certificates and Keys y, a continuación, seleccione Import.
    Hacer clic en Import en el agente VersaSec
  3. Busque y seleccione el certificado exportado para vincularlo a la tarjeta inteligente. Ingrese la contraseña del certificado en el campo Password y, a continuación, seleccione Import.
    Hacer clic en Import
  4. Ingrese el PIN del usuario cuando se le solicite el código de acceso y, a continuación, seleccione OK.
    Haga clic en OK
  5. Una vez finalizada la escritura del certificado, aparece dentro de la lista.
    El certificado aparece en la lista
  6. Una vez que todos los certificados de todas las cuentas se escriben en la tarjeta inteligente, se pueden utilizar para iniciar sesión en Windows o en el entorno de autenticación previa al arranque de Dell.

Habilitar Single Sign On en Windows con tarjetas inteligentes

El proceso para habilitar Single Sign On en Windows con tarjetas inteligentes varía según la versión de Dell Encryption Enterprise que esté en uso. Seleccione la versión correspondiente para obtener más información. Para obtener información sobre la versión, consulte Instrucciones para identificar la versión de Dell Encryption Enterprise o Dell Encryption Personal.

Dell Encryption Enterprise v8.18 y versiones posteriores

No se requieren cambios en el terminal. Una vez establecida la política a través de la consola de administración, todos los cambios en los terminales se producen automáticamente.

Las tarjetas inteligentes pueden requerir un middleware. Consulte con su proveedor de tarjetas inteligentes para determinar si se debe instalar una solución de middleware en cada terminal a fin de permitir la autenticación en Windows.

Dell Encryption Enterprise v8.17.2 y versiones anteriores
Advertencia: El siguiente paso es una edición del registro de Windows:

Las máquinas cliente no tendrán Single Sign On de manera predeterminada. Se debe agregar una clave de registro para permitir que esto ocurra.

La clave de registro es:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. Abrir Editor del Registro
  2. Expanda HKEY Local Machine.
  3. Expanda Software.
  4. Expanda DigitalPersona.
  5. Expanda Policies.
  6. Expanda Default.
  7. Crear una clave y asignarle un nombre Smartcards.
    Abrir Editor del Registro
  8. Crear un DWORD y asignarle un nombre MSSmartcardSupport.
    Crear un DWORD y asignarle el nombre MSSmartcardSupport
  9. Establezca los datos del valor en 1.
    Establecer los datos del valor en 1

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Additional Information

Apéndice A

Configuración de una entidad de certificación de Microsoft

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Servicios de función necesarios:

  • Entidad de certificación
  • Inscripción web de la entidad de certificación
  • Respondedor en línea

Apéndice B

Situaciones de falla y registros resultantes

Los certificados no se aceptan en la PBA.

Los registros de PBA muestran la siguiente información:

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

Solución:

Asigne un certificado a través del complemento MMC de certificados en lugar de CSP.

No se puede iniciar sesión en PBA con una tarjeta inteligente válida que funciona correctamente en Windows:

  • El resultado (posterior a v8.5) o los archivos SED.log del servidor de Security generan errores de certificado no válidos.

Causado por:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

Solución:

Importe el certificado raíz o intermedio de la entidad de certificación al almacén de claves de Java para el servidor de Security y reinicie el servicio del servidor de Security.

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.