Dell Endpoint Security: guida alla configurazione delle smart card

Summary: Questa guida aiuta un amministratore a configurare il proprio ambiente e offre indicazioni per configurare l'autenticazione con smart card.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Prodotti interessati:

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

Versioni interessate:

  • 8.0 e versioni successive

Questa guida descrive la creazione e l'emissione di certificati da parte di un amministratore attendibile, con la scrittura dei certificati sulle smart card utilizzate dagli utenti finali.

Un amministratore deve:

  • Installazione e configurazione di modelli
  • Completare la configurazione di Dell Security Management Server
  • Completare la registrazione della smart card.

È disponibile anche un'appendice contenente informazioni. Per maggiori informazioni, selezionare la sezione appropriata.

Per sfruttare l'autenticazione delle smart card con Dell Endpoint Security Pre-Boot Environment, è necessario configurare Active Directory per consentire la registrazione e la generazione dei certificati.

È necessario assegnare un certificato Agente di registrazione a tutti gli utenti che tentano di assegnare certificati alle smart card per altri utenti.

Per installare e configurare i modelli, selezionare Abilitare il modello di certificato per Agente di registrazione, quindi aggiungere un nuovo modello di utente di smart card.

Per abilitare il modello di certificato per Agente di registrazione:

  1. Aprire Autorità di certificazione in Microsoft Management Console (MMC).
    Aprire Autorità di certificazione
  2. Espandere fino a Modelli di certificato.
  3. Cliccare con il pulsante destro del mouse sul riquadro destro, quindi scegliere Gestisci.
    Fare clic su Gestisci
  4. Cliccare con il pulsante destro del mouse su Agente di registrazione, quindi scegliere Duplica modello.
    Cliccare su Duplica modello
  5. Selezionare la scheda Generale.
  6. Selezionare l'opzione Pubblica certificato in Active Directory.
  7. Opzionalmente, aggiornare i campi Nome visualizzato modello e Nome modello.
    Aggiornare i campi Nome visualizzato modello e Nome modello

Per aggiungere un modello di utente di smart card:

  1. In Console dei modelli di certificato di Autorità di certificazione cliccare con il pulsante destro del mouse sul modello Utente con smart card , quindi scegliere su Duplica modello.
    Cliccare su Duplica modello
  2. Nella scheda Gestione richiesta modificare Scopo in Accesso con firma e smart card.
    Modificare Scopo in Accesso con firma e smart card
  3. Accettare il prompt risultante.
    Cliccare su Sì
  4. Assicurarsi che l'opzione Rendi la chiave privata esportabile sia selezionata.
    Assicurarsi che l'opzione Rendi la chiave privata esportabile sia selezionata
  5. Nella scheda Nome soggetto sono presenti per impostazione predefinita le opzioni che richiedono l'utilizzo di un indirizzo e-mail definito come metodo di convalida alternativo. Alcuni ambienti potrebbero scegliere di deselezionare queste opzioni per evitare problemi con gli utenti sprovvisti di indirizzi e-mail definiti da Active Directory.
    1. Deselezionare la casella di controllo Includi nome posta elettronica nel nome soggetto.
      Deselezionare la casella di controllo Includi nome posta elettronica nel nome soggetto
    2. Deselezionare Nome posta elettronica nella sezione Includere le seguenti informazioni nel nome soggetto alternativo.
      Deselezionare Nome posta elettronica
  6. Nella scheda Requisiti di rilascio selezionare la casella Numero di firme autorizzate.
    1. Lasciare Numero di firme digitali autorizzate impostato su 1.
    2. Lasciare il Tipo di criterio richiesto nella firma come Criterio di applicazione.
    3. Modificare Criterio di applicazione in Agente di richiesta del certificato.
      Aggiornare la casella Numero di firme digitali autorizzate
  7. Cliccare su OK per pubblicare questo modello.
  8. Consentire l'emissione di entrambi i modelli cliccando con il pulsante destro del mouse su Modelli di certificato in Autorità di certificazione di MMC, quindi scegliendo Modello di certificato da rilasciare.
    Cliccare su Modello di certificato da rilasciare
  9. Selezionare i due nuovi modelli di certificato creati.
    Selezionare i due nuovi modelli di certificato
  10. Cliccare su OK.

Questa sezione descrive le modifiche necessarie a Dell Security Management Server per consentire la funzionalità smart card nell'ambiente di autenticazione al preavvio.

Un amministratore deve eseguire l'importazione della CA radice e la modifica della policy. Per maggiori informazioni, cliccare sulla procedura appropriata.

Importazione della CA radice

Poiché i certificati smart card sono firmati dalla CA interna in questa guida, è necessario assicurarsi che la CA radice ed eventuali intermedie (non presenti in questa guida) vengano importate nella catena di certificati.

  1. Esportare il certificato della CA radice dal certificato Microsoft Management Console (MMC).
    1. Avviare MMC.
    2. Cliccare su File.
    3. Cliccare su Aggiungi/Rimuovi snap-in.
    4. Selezionare Certificati.
    5. Cliccare su Add.
    6. Selezionare il radiale Account del computer.
    7. Cliccare su Finish.
    8. Cliccare su OK.
      Esportare il certificato della CA radice
    9. Espandere Certificati.
    10. Espandere Autorità di certificazione radice attendibili.
    11. Selezionare Certificati.
    12. Cliccare con il pulsante destro del mouse sul certificato emesso dalla CA del dominio. È sincronizzato con Criteri di gruppo.
      Cliccare con il pulsante destro del mouse sul certificato emesso dalla CA del dominio
    13. Selezionare Tutte le attività, quindi cliccare su Esporta.
    14. Esportare il certificato come DER encoded binary X.509 (.CER).
    15. Salvarlo e quindi registrare la posizione come verrà utilizzata a breve.
  2. Importare questo certificato nei certificati attendibili dell'archivio di chiavi Java.
    1. Aprire un prompt dei comandi con privilegi da amministratore.
    2. Modificare il percorso per consentire l'esecuzione dei comandi keytool digitando Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" quindi digitare Invio.
      Nota: Per Dell Security Management Server versione 9.2 e precedenti, digitare Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" e premere INVIO.
    3. Passare alla directory conf del Security Server digitando %INSTALLDIR%\Enterprise Edition\Security Server\conf\ e premere INVIO.
      Digitare %INSTALLDIR%\Enterprise Edition\Security Server\conf\
    4. Importare il file .cer esportato nel passaggio 1 nell'archivio chiavi Java (cacerts) digitando Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts e premere INVIO.
      Digitare Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts
    5. Inserire la password del file cacerts.
    6. Accettare la richiesta di considerare attendibile il certificato digitando Y.
      Digitare Y
    7. Riavviare Security Server per completare l'importazione.

Modifica della policy

Cliccare sulla versione del server Dell Data Security per le configurazioni della policy appropriate. Per informazioni sull'identificazione della versione, consultare Come identificare la versione del server Dell Data Security/Dell Data Protection.

v9.8.0 e versioni successive

Per modificare il criterio in modo da consentire smart card per il meccanismo di autenticazione PBA:
  1. Aprire Dell Data Security Administration Console.
    Nota: Per ulteriori informazioni, fare riferimento a Come accedere alla console di amministrazione del server Dell Data Security/Dell Data Protection (in inglese).
  2. Accedere come utente con privilegi di modifica e commit della policy.
  3. Passare all'elemento in cui si desidera apportare la modifica della policy. Ad esempio, selezionare Populations e quindi cliccare su Enterprise.
  4. Selezionare la scheda Security Policies.
    Cliccare sulla scheda Security Policies
  5. Selezionare Pre-Boot Authentication.
  6. Modificare il campo Authentication Method dell'unità SED da Password in Smartcard.
    Nota: Assicurarsi che una policy self-encrypting drive sia impostata su On per abilitare questa opzione per l'intera azienda.

    Modificare il campo Authentication Method dell'unità SED da Password in Smartcard
  7. Salvare ed eseguire il commit delle policy.
    Nota: Per ulteriori informazioni fare riferimento a Come eseguire il commit delle policy per i server Dell Data Security/Dell Data Protection.

Da 9.2.0 a 9.7.0

Per modificare il criterio in modo da consentire smart card per il meccanismo di autenticazione PBA:
  1. Aprire Dell Data Protection Administration Console.
    Nota: Per ulteriori informazioni, fare riferimento a Come accedere alla console di amministrazione del server Dell Data Security/Dell Data Protection (in inglese).
  2. Accedere come utente con privilegi di modifica e commit della policy.
  3. Passare all'elemento in cui si desidera apportare la modifica della policy. Ad esempio, selezionare Populations e quindi cliccare su Enterprise.
  4. Selezionare la scheda Security Policies.
    Cliccare sulla scheda Security Policies
  5. Selezionare Self-Encrypting Drive (SED).
  6. Modificare il campo Authentication Method dell'unità SED da Password in Smartcard.
    Nota: Assicurarsi che una policy self-encrypting drive sia impostata su On per abilitare questa opzione per l'intera azienda.

    Modificare il campo Authentication Method dell'unità SED da Password in Smartcard
  7. Salvare ed eseguire il commit delle policy.
    Nota: per ulteriori informazioni fare riferimento a Come eseguire il commit delle policy per i server Dell Data Security/Dell Data Protection.

Da 8.0.0 a 9.1.5

Per modificare il criterio in modo da consentire smart card per il meccanismo di autenticazione PBA:
  1. Modificare il criterio per consentire le smart card come meccanismo di autenticazione per PBA.
    1. Aprire Remote Management Console.
      Nota: Per ulteriori informazioni, fare riferimento a Come accedere alla console di amministrazione del server Dell Data Security/Dell Data Protection (in inglese).
    2. Accedere come utente con privilegi di modifica e commit della policy.
    3. Accedere a Enterprise.
    4. Cliccare su Security Policies in alto.
    5. Override (non disponibile in Virtual Edition).
    6. Modificare l'elenco a discesa Policy Category in Self-Encrypting Drives.
      Modificare l'elenco a discesa Policy Category in Self-Encrypting Drives
    7. Espandere SED Administration.
    8. Modificare il campo Authentication Method dell'unità SED da Password in Smartcard.
      Modificare il campo Authentication Method dell'unità SED da Password in Smartcard
      Nota: Assicurarsi che Enable SED Management e Activate PBA siano impostate su true per abilitare questa opzione per l'intera azienda.
    9. Salvare questa policy.
    10. Cliccare su Commit Policies a sinistra.
    11. Cliccare su Apply Changes.

Le smart card sono vuote per impostazione predefinita. Ogni smart card deve disporre di un certificato assegnato per aggiungere un certificato per l'autenticazione. I certificati vengono in genere assegnati alle smart card tramite un'applicazione middleware. Gli esempi riportati di seguito descrivono l'importazione tramite un software Charismathics legacy per smart card di livello enterprise e VersaSec per le smart card basate su Personal Identity Verification (PIV). Un amministratore deve eseguire l'abilitazione di Single Sign-On in Windows mediante smart card dopo aver assegnato il certificato. Per maggiori informazioni, selezionare il processo appropriato.

Charismathics

Per un utilizzo ottimale delle smart card, è necessario disporre di un account Enrollment Agent autorizzato ad assegnare certificati al dispositivo e di un middleware che converta le informazioni sul certificato provenienti dalla CA Microsoft in un formato utilizzabile dalla scheda.

La maggior parte delle smart card non dispone di token di sicurezza preimpostati. Un amministratore deve eseguire lo staging di un token di sicurezza su una nuova smart card, l'aggiunta di un certificato per Agente di registrazione e le operazioni di registrazione di utenti e push di certificati. Per maggiori informazioni, cliccare sulla procedura appropriata.

Staging di un token di sicurezza su una nuova smart card

  1. Aprire il provider del servizio di crittografia (CSP).
  2. Quando inseriamo una scheda senza un token attivo, otteniamo informazioni di base.
    Informazioni di base di un token attivo
  3. Una volta creato un token di sicurezza, è necessario assicurarsi che sia impostato per un profilo PKCS15.
    Assicurarsi che PKCS15 sia impostato
  4. Dopo la creazione sono disponibili molte altre opzioni ed è possibile importare un certificato.
    Token di sicurezza sottoposto a staging su una nuova smart card

Aggiunta di un certificato per Agente di registrazione

  1. Aprire Microsoft Management Console (MMC).
  2. Cliccare su File.
  3. Cliccare su Aggiungi/Rimuovi snap-in.
  4. Selezionare Certificati.
  5. Cliccare su Add.
  6. Selezionare il radiale Account dell'utente.
  7. Cliccare su Finish.
  8. Cliccare su OK.
  9. Espandere Certificati - Utente corrente.
  10. Espandere Personale.
  11. Espandere Certificati, se presente.
  12. Cliccare con il pulsante destro del mouse nel riquadro centrale, selezionare Tutte le attività, quindi Richiedi nuovo certificato.
    Cliccare su Richiedi nuovo certificato
  13. Cliccare su Next.
  14. Lasciare selezionata l'opzione di Criteri di registrazione Active Directory.
  15. Cliccare su Next.
  16. Selezionare il certificato Agente di registrazione creato e pubblicato in precedenza.
    Selezionare il certificato Agente di registrazione
  17. Cliccare su Registrazione.
  18. Al termine, cliccare su Fine.

Registrazione di utenti e push di certificati

Ora è possibile registrare gli utenti nella smart card generata ed eseguire il push dei certificati alla scheda utilizzando il certificato in MMC.

Per registrare gli utenti ed eseguire il push dei certificati:

  1. Aprire Microsoft Management Console (MMC).
  2. Cliccare su File.
  3. Cliccare su Aggiungi/Rimuovi snap-in.
  4. Selezionare Certificati.
  5. Cliccare su Add.
  6. Selezionare il radiale Account dell'utente.
  7. Cliccare su Finish.
  8. Cliccare su OK.
  9. Espandere Certificati - Utente corrente.
  10. Espandere Personale.
  11. Espandere Certificati, se presente.
  12. Cliccare con il pulsante destro del mouse nel riquadro centrale, scegliere Tutte le attività, Operazioni avanzate, quindi Registra per conto di.
    Cliccare su Registra per conto di
  13. Cliccare su Next.
  14. Lasciare selezionata l'opzione di Criteri di registrazione Active Directory.
  15. Cliccare su Next.
  16. Cliccare su Sfoglia.
  17. Selezionare il certificato Agente di registrazione generato in precedenza, quindi cliccare su OK.
    Selezionare il certificato Agente di registrazione
  18. Cliccare su Next.
  19. Selezionare il radiale per il modello di utente di smart card generato in precedenza.
    Selezionare il radiale per il modello di utente di smart card
  20. Selezionare l'elenco a discesa Dettagli, quindi cliccare su Proprietà.
    Cliccare su Proprietà
  21. Modificare il provider del servizio di crittografia per l'applicazione in uso. In questo caso, si tratta di Charismathics.
    Modificare il provider del servizio di crittografia
  22. Cliccare su OK.
  23. Cliccare su Avanti.
  24. Cliccare su Sfoglia e quindi modificare i percorsi da estrarre dal dominio.
    Cliccare su Percorsi

    Percorsi nel dominio
  25. Inserire il nome dell'utente da registrare.
  26. Cliccare su Controlla nomi per convalidare l'utente.
    Cliccare su Controlla nomi
  27. Cliccare su OK.
  28. Cliccare su Registrazione.
  29. Seguire i prompt.
    Prompt Inserire la smart card

    Prompt Charismathics Smart Security Interface CSP

    Prompt Risultati installazione certificati
  30. Cliccare su Utente successivo per registrare altri utenti utilizzando lo stesso metodo oppure su Chiudi per continuare.

È ora possibile utilizzare le smart card per l'autenticazione PBA.

VersaSec

VersaSec utilizza certificati generati in precedenza per la registrazione di un nuovo certificato. Questo processo utilizza modelli di certificato creati tramite Active Directory per consentire a un dipendente di generare certificati di accesso da utilizzare durante la sessione di accesso di altri dipendenti. Un amministratore deve completare la registrazione del certificato, l'esportazione del certificato e l'assegnazione di un certificato a una smart card. Per maggiori informazioni, cliccare sulla procedura appropriata.

Registrazione del certificato

Per registrare un certificato:

  1. Aprire Microsoft Management Console (MMC) come amministratore autorizzato ad assegnare certificati su un dispositivo aggiunto al dominio in cui sono stati configurati i modelli di certificato.
    Aprire Microsoft Management Console
  2. Selezionare l'opzione Aggiungi/Rimuovi snap-in.
    Cliccare su Aggiungi/Rimuovi snap-in
  3. Selezionare Certificati e quindi Aggiungi.
    Cliccare su Add (Aggiungi)
  4. Assicurarsi che l'opzione Account dell'utente sia selezionata.
    Assicurarsi che l'opzione Account dell'utente sia selezionata
  5. Selezionare OK per caricare gli snap-in selezionati.
    Cliccare su OK.
  6. Espandere il riquadro Certificati - Utente corrente, cliccare con il pulsante destro del mouse sul riquadro destro, scegliere Tutte le attività, quindi Richiedi nuovo certificato.
    Cliccare su Richiedi nuovo certificato
  7. Assicurarsi che l'opzione di Criteri di registrazione Active Directory sia selezionata, quindi cliccare su Avanti.
    Cliccare su Next.
  8. Selezionare il modello di certificato che consente la creazione di un account Agente di registrazione per l'utente corrente, quindi selezionare Registrazione. Questo esempio utilizza il modello Enrollment Agent Registration creato in precedenza.
    Cliccare su Registrazione
  9. Al termine della registrazione, cliccare su Fine.
    Cliccare su Finish
  10. Con un certificato Agente di registrazione generare un certificato utente di smart card basato su un modello generato in precedenza selezionando la cartella Certificati nel riquadro a sinistra. Selezionare Tutte le attività, Operazioni avanzate, quindi Registra per conto di.
    Cliccare su Registra per conto di
  11. Assicurarsi che l'opzione di Criteri di registrazione Active Directory sia selezionata, quindi cliccare su Avanti.
    Cliccare su Next.
  12. Selezionare Sfoglia quando è richiesto un certificato Agente di registrazione.
    Cliccare su Browse
  13. Verificare che sia selezionato il certificato appropriato, quindi cliccare su OK.
    Cliccare su OK.
  14. Verificare che sia definito il certificato appropriato, quindi cliccare su Avanti.
    Cliccare su Next.
  15. Selezionare il modello creato in precedenza per la registrazione dell'utente di smart card, quindi cliccare su Avanti. Questo esempio utilizza un modello denominato Smartcard User Enrollment.
    Cliccare su Next.
  16. Selezionare Sfoglia per trovare l'utente appropriato.
    Cliccare su Browse
  17. Modificare il percorso per cercare l'intera directory cliccando su Percorso.
    Cliccare su Percorso
  18. Selezionare il dominio o l'unità organizzativa appropriata, quindi cliccare su OK.
    Cliccare su OK.
  19. Inserire l'utente per il quale si desidera generare un certificato smart card, quindi selezionare Controlla nomi per convalidare il nome dell'entità utente (UPN).
    Cliccare su Controlla nomi
  20. Verificare l'utente corretto se vengono trovati più utenti, quindi selezionare OK.
    Cliccare su OK.
  21. Verificare le informazioni utente, quindi cliccare su OK.
    Cliccare su OK.
  22. Verificare nuovamente le informazioni utente, quindi cliccare clic su Registrazione.
    Cliccare su Registrazione
  23. La registrazione viene rapidamente completata. Selezionare Utente successivo per generare un altro certificato utente oppure Chiudi per completare il processo di generazione del certificato. È possibile creare altri certificati per utenti aggiuntivi in qualsiasi momento in futuro.
    Cliccare su Utente successivo

Esportazione del certificato

I certificati vengono prima esportati nel formato PKCS12 per essere assegnati alle smart card. I certificati devono includere la chiave privata e la catena completa.

Per esportare un certificato:

  1. Aprire Microsoft Management Console (MMC) come amministratore autorizzato ad assegnare certificati su un dispositivo aggiunto al dominio in cui sono stati configurati i modelli di certificato.
    Aprire Microsoft Management Console
  2. Selezionare l'opzione Aggiungi/Rimuovi snap-in.
    Cliccare su Aggiungi/Rimuovi snap-in
  3. Selezionare Certificati e Aggiungi.
    Cliccare su Add (Aggiungi)
  4. Assicurarsi che l'opzione Account dell'utente sia selezionata.
    Assicurarsi che l'opzione Account dell'utente sia selezionata
  5. Selezionare OK per caricare gli snap-in selezionati.
    Cliccare su OK.
  6. Espandere il riquadro Certificati - Utente corrente e cliccare con il pulsante destro del mouse sull'utente da esportare. Selezionare Tutte le attività, quindi cliccare su Esporta.
    Cliccare su Esporta
  7. Selezionare l'opzione Sì, esporta la chiave privata, quindi selezionare Avanti.
    Cliccare su Next.
  8. Deselezionare l'opzione Abilita privacy certificati, selezionare Esporta tutte le proprietà estese, quindi cliccare su Avanti.
    Cliccare su Next.
  9. Selezionare l'opzione per Password, assegnare una password sicura per il certificato, quindi selezionare Avanti.
    Cliccare su Next.
    Nota: Non modificare l'opzione Crittografia.
  10. Assegnare un nome file e un percorso, quindi selezionare Avanti.
    Cliccare su Next.
  11. Verificare i dettagli, quindi selezionare Fine per completare l'esportazione.
    Cliccare su Finish

Assegnazione di un certificato a una smart card

Installare e scaricare il software VersaSec e qualsiasi middleware amministrativo necessario per le smart card di cui viene eseguito il provisioning.

Per assegnare un certificato a una smart card:

  1. Avviare l'agent VersaSec e inserire una smart card.
  2. Passare a Card Actions - Certificates and Keys, quindi selezionare Import.
    Cliccare su Import nell'agent VersaSec
  3. Individuare e selezionare il certificato esportato da associare alla smart card. Inserire la password del certificato nel campo Password e selezionare Import.
    Cliccare su Import
  4. Inserire il pin utente quando richiesto per Passcode e selezionare OK.
    Cliccare su OK.
  5. Una volta finalizzato, il certificato viene visualizzato all'interno dell'elenco.
    Il certificato viene visualizzato nell'elenco
  6. Una volta scritti tutti i certificati per tutti gli account sulla smart card, è possibile utilizzarla per accedere a Windows o all'ambiente di preautenticazione all'avvio Dell.

Abilitazione di Single Sign-On in Windows mediante smart card

Il processo di abilitazione di Single Sign-On in Windows tramite smart card varia a seconda della versione di Dell Encryption Enterprise in uso. Per maggiori informazioni, selezionare la versione appropriata. Per ulteriori informazioni, fare riferimento a Come identificare la versione di Dell Encryption Enterprise o Dell Encryption Personal.

Dell Encryption Enterprise v8.18 e versioni successive

Non sono richieste modifiche agli endpoint. Una volta impostata la policy tramite la console di gestione, tutte le modifiche agli endpoint si verificano automaticamente.

Le smart card stesse potrebbero richiedere un middleware. Contattare il fornitore di smart card per determinare se è necessario installare una soluzione middleware su ciascun endpoint per consentire l'autenticazione in Windows.

Dell Encryption Enterprise v8.17.2 e versioni precedenti
Avvertenza: la procedura che segue prevede una modifica del Registro di sistema di Windows:

Per impostazione predefinita, i computer client non eseguono l'autenticazione il Single Sign-on. A tale scopo, è necessario aggiungere una chiave del Registro di sistema.

La chiave del Registro di sistema è:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. Aprire l'Editor del Registro di sistema.
  2. Espandere HKEY_LOCAL_MACHINE.
  3. Espandere Software.
  4. Espandere DigitalPersona.
  5. Espandere Policies.
  6. Espandere Default.
  7. Creare una chiave e denominarla Smartcards.
    Aprire l'Editor del Registro di sistema
  8. Crea un DWORD e poi assegnagli un nome MSSmartcardSupport.
    Creare un valore DWORD e denominarlo MSSmartcardSupport
  9. Impostare Dati valore su 1.
    Impostare Dati valore su 1

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Additional Information

Appendice A

Configurazione di una CA Microsoft

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Servizi richiesti per i ruoli:

  • Autorità di certificazione
  • Registrazione Web Autorità di certificazione
  • Risponditore online

Appendice B

Scenari di errore e registri risultanti

I certificati non vengono accettati in PBA.

I registri PBA mostrano:

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

Risoluzione:

Assegnare un certificato tramite Certificati in MMC anziché tramite il provider del servizio di crittografia.

Impossibile accedere a PBA con una smart card valida che funziona correttamente in Windows:

  • L'output di Security Server (v8.5 e versioni successive) o i file SED.log di Security Server generano errori di certificato non valido.

Caused by:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

Risoluzione:

Importare il certificato radice o intermedio della CA nell'archivio di chiavi Java per Security Server e riavviare il servizio Security Server.

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.