Dell Endpoint Securityスマートカード構成ガイド

Summary: このガイドは、管理者が環境を設定するのに役立ち、スマートカード認証を設定するためのガイダンスを提供します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

対象製品:

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

影響を受けるバージョン:

  • v8.0以降

このガイドでは、信頼できる管理者による証明書の作成と発行の概要を説明し、エンド ユーザーが使用するスマートカードに証明書を書き込みます。

管理者は、次の操作を行う必要があります。

  • テンプレートのセットアップと設定
  • Dell Security Management Serverの設定を完了する
  • スマートカード登録を完了します

また、情報の付録もあります。詳細については、以下の該当するセクションを選択してください。

Dell Endpoint Security Pre-Boot Environmentでスマートカード認証を活用するには、証明書の登録と生成を許可するようにActive Directoryを設定する必要があります。

他のユーザーのスマートカードに証明書を割り当てようとしているすべてのユーザーに、登録エージェント証明書を割り当てる必要があります。

テンプレートをセットアップおよび構成するには、 登録エージェントの証明書テンプレートを有効にしてから、 新しいスマートカード ユーザー テンプレートを追加します

登録エージェントの証明書テンプレートを有効にするには、次の手順を実行します。

  1. 証明機関のMicrosoft Management Console (MMC)を開きます。
    証明機関を開く
  2. Certificate Templates]に展開します。
  3. 右ペインを右クリックし、[Manage]をクリックします。
    [管理]をクリックします。
  4. Enrollment Agent]を右クリックし、[Duplicate Template]をクリックします。
    [Duplicate Template]をクリックする
  5. 全般]タブに移動します。
  6. Publish certificate in Active Directory]オプションを選択します。
  7. 必要に応じて、[Template display name]と[Template name]をアップデートします。
    テンプレートの表示名とテンプレート名をアップデート

スマートカード ユーザー テンプレートを追加するには、次の手順を実行します。

  1. 証明機関の証明書テンプレート コンソールで、[Smartcard User]テンプレートを右クリックし、[Duplicate Template]をクリックします。
    [Duplicate Template]をクリックする
  2. Request Handling]タブで、[Purpose]を[Signature and smartcard logon]に変更します。
    [Purpose]を[Signature and smartcard logon]に変更する
  3. 表示されるプロンプトを受け入れます。
    [はい]をクリック
  4. Allow private key to be exported]がオンになっていることを確認します。
    [Allow private key to be exported]がオンになっていることを確認する
  5. Subject Name]タブでは、デフォルトで、定義されたEメール アドレスを代替検証方法として使用する必要があるオプションが表示されます。一部の環境では、Active Directoryに定義されたEメール アドレスを持たないユーザーの問題を回避するために、これらのオプションをクリアしたほうがよい場合があります。
    1. Include e-mail name in subject name]チェックボックスをオフにします。
      [Include e-mail name in subject name]チェックボックスをオフにする
    2. Include this information in alternate subject name]セクションで[E-mail name]をオフにします。
      [E-mail name]をオフにする
  6. [ 発行要件 ] タブで、[ この承認済み署名の数] ボックスを選択します。
    1. This number of authorized signatures]は1に設定しておきます。
    2. 署名で必要な ポリシー タイプ[Application Policy]のままにします。
    3. Application Policy]を[Certificate Request Agent]に変更します。
      [This Number of authorized signature]ボックスをアップデートする
  7. OK]をクリックして、このテンプレートを公開します。
  8. 証明機関MMCで[Certificate Templates]を右クリックし、[Certificate Template to Issue]をクリックして、両方のテンプレートを発行できるようにします。
    [Certificate Template to Issue]をクリックする
  9. 作成した2つの新しい証明書テンプレートを選択します。
    2つの新しい証明書テンプレートを選択する
  10. 「OK」をクリックします。

このセクションでは、起動前認証環境でスマートカード機能を許可するためにDell Security Management Serverに必要な変更について説明します。

管理者は、ルートCAのインポートポリシーの変更を行う必要があります。詳細については、適切なプロセスをクリックしてください。

ルートCAのインポート

このガイドでは、スマートカード証明書は、内部認証局(CA)によって署名されるため、ルートCAとすべての中間CA(このガイドに示されていない)が証明書チェーンにインポートされていることを確認する必要があります。

  1. 証明書Microsoft Management Console (MMC)からルート認証局の証明書をエクスポートします。
    1. MMCを起動します。
    2. [ファイル]をクリックします。
    3. スナップインの追加と削除]をクリックします。
    4. 証明書]を選択します。
    5. [Add](追加)をクリックします。
    6. コンピューター アカウント]ラジアル ボタンを選択します。
    7. [Finish](完了)をクリックします。
    8. 「OK」をクリックします。
      ルート認証局の証明書をエクスポートする
    9. 証明書]を展開します。
    10. 信頼されたルート証明機関]を展開します。
    11. 証明書]を選択します。
    12. ドメインのCAから発行された証明書を右クリックします。これらはグループ ポリシーと同期されます。
      ドメインのCAから発行された証明書を右クリックする
    13. すべてのタスク]を選択し、[エクスポート]をクリックします。
    14. 証明書を次のようにエクスポートします DER encoded binary X.509 (.CER)間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。
    15. 保存して、後で使用する場所を記録します。
  2. この証明書をJavaキーストアの信頼できる証明書にインポートします。
    1. 管理者用コマンド プロンプトを開きます。
    2. 次のように入力して、keytoolコマンドを実行できるようにパスを変更します Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" をクリックし、Enter キーを押します。
      注:Dell Security Management Serverバージョン9.2以前の場合は、を入力します。 Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" と入力して、Enterを押します。
    3. 次のように入力して、Security Serverのconfディレクトリーに移動します。 %INSTALLDIR%\Enterprise Edition\Security Server\conf\ と入力して、Enterを押します。
      「%INSTALLDIR%\Enterprise Edition\Security Server\conf\」と入力する
    4. 次のように入力して、ステップ1でエクスポートした.cerファイルをJavaキーストア(cacerts)にインポートします。 Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts と入力して、Enterを押します。
      「Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts」と入力する
    5. cacertsファイルのパスワードを入力します。
    6. 次のように入力して、証明書を信頼するプロンプトを受け入れます。 Y間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。
      「Y」と入力する
    7. Security Serverを再起動して、インポートを完了します。

ポリシーの変更

Dell Data Security Serverのバージョンをクリックして、適切なポリシー設定を行います。バージョン情報については、「Dell Data Security/Dell Data Protection Serverのバージョンを識別する方法(英語)」を参照してください。

v9.8.0以降

PBA認証メカニズムでスマートカードを許可するようにポリシーを変更するには、次の手順を実行します。
  1. Dell Data Security管理コンソールを開きます。
    注:詳細については、「Dell Data Security/Dell Data Protection Server管理コンソールにアクセスする方法」を参照してください。
  2. ポリシーの変更とコミットが可能なユーザーとしてログインします。
  3. ポリシーを変更する構成に移動します。たとえば、[Populations]を選択し、[Enterprise]をクリックします。
  4. Security Policies]タブを選択します。
    [Security Policies]タブをクリックする
  5. Pre-Boot Authentication]を選択します。
  6. SED認証方法をパスワードからスマートカードに変更します。
    注:企業全体でこの機能を有効にするには、自己暗号化ドライブ ポリシーが オン に設定されていることを確認します。

    SED認証方法をパスワードからスマートカードに変更する
  7. ポリシーを保存してコミットします。
    注:詳細については、「Dell Data Security Server/Dell Data Protection Serverのポリシーをコミットする方法」を参照してください。

v9.2.0~9.7.0

PBA認証メカニズムでスマートカードを許可するようにポリシーを変更するには、次の手順を実行します。
  1. Dell Data Protection管理コンソールを開きます。
    注:詳細については、「Dell Data Security/Dell Data Protection Server管理コンソールにアクセスする方法」を参照してください。
  2. ポリシーの変更とコミットが可能なユーザーとしてログインします。
  3. ポリシーを変更する構成に移動します。たとえば、[Populations]を選択し、[Enterprise]をクリックします。
  4. Security Policies]タブを選択します。
    [Security Policies]タブをクリックする
  5. Self-Encrypting Drive (SED)]を選択します。
  6. SED認証方法をパスワードからスマートカードに変更します。
    注:企業全体でこの機能を有効にするには、自己暗号化ドライブ ポリシーが オン に設定されていることを確認します。

    SED認証方法をパスワードからスマートカードに変更する
  7. ポリシーを保存してコミットします。
    注:詳細については、「Dell Data Security Server/Dell Data Protection Serverのポリシーをコミットする方法」を参照してください。

v8.0.0~9.1.5

PBA認証メカニズムでスマートカードを許可するようにポリシーを変更するには、次の手順を実行します。
  1. PBAの認証メカニズムとしてスマートカードを許可するようにポリシーを変更します。
    1. リモート管理コンソールを開きます。
      注:詳細については、「Dell Data Security/Dell Data Protection Server管理コンソールにアクセスする方法」を参照してください。
    2. ポリシーの変更とコミットが可能なユーザーとしてログインします。
    3. Enterprise]に移動します。
    4. 上部の[Security Policies]をクリックします。
    5. オーバーライド(Virtual Editionでは使用できません)。
    6. [Policy Category]ドロップダウンを[Self-Encrypting Drives]に変更します。
      [Policy Category]ドロップダウンを[Self-Encrypting Drives]に変更する
    7. SED Administration]を展開します。
    8. SED認証方法をパスワードからスマートカードに変更します。
      SED認証方法をパスワードからスマートカードに変更する
      注:企業全体でこの機能を有効にするには、[Enable SED Management]と[Activate PBA]が[True]に設定されていることを確認します。
    9. このポリシーを保存します。
    10. 左側の[Commit Policies]をクリックします。
    11. Apply Changes]をクリックします。

スマートカードはデフォルトでは空白です。認証用の証明書を追加するには、各スマートカードに証明書が割り当てられている必要があります。証明書は通常、ミドルウェア アプリケーションを介してスマートカードに割り当てられます。次の例では、エンタープライズ クラスのスマートカードにはレガシーなCharismathicsソフトウェア、個人ID検証(PIV)ベースのスマートカードにはVersaSecを使用したインポートの概要を示します。証明書を割り当てた後、管理者は、スマートカードを使用したWindowsへのシングル サインオンを有効にする必要があります。詳細については、該当するプロセスを選択してください。

Charismathics

スマートカードを活用するには、デバイスに証明書を割り当てる登録エージェントと、Microsoft証明機関から送られてくる証明書情報をカードが利用できるように変換するミドルウェアが必要です。

ほとんどのスマートカードには、セキュリティ トークンが事前に設定されていません。管理者は、新しいスマートカードでセキュリティ トークンをステージングし、登録エージェントの証明書を追加してから、ユーザーの登録と証明書のプッシュを行う必要があります。詳細については、適切なプロセスをクリックしてください。

新しいスマートカードでのセキュリティ トークンのステージング

  1. 暗号化サービス プロバイダー(CSP)を開きます。
  2. アクティブなトークンのないカードを挿入すると、基本的な情報が得られます。
    アクティブ トークンの基本情報
  3. セキュリティ トークンを作成したら、[PKCS15 profile]に設定されていることを確認する必要があります。
    PKCS15が設定されていることを確認する
  4. これが作成されると、さらに多くのオプションが表示され、証明書を適切にインポートできます。
    新しいスマートカードにステージングされたセキュリティ トークン

登録エージェントの証明書の追加

  1. Microsoft Management Console (MMC)を開きます。
  2. [ファイル]をクリックします。
  3. スナップインの追加と削除]をクリックします。
  4. 証明書]を選択します。
  5. [Add](追加)をクリックします。
  6. ユーザー アカウント]ラジアル ボタンを選択します。
  7. [Finish](完了)をクリックします。
  8. 「OK」をクリックします。
  9. 証明書 - 現在のユーザー]を展開します。
  10. 個人]を展開します。
  11. 証明書が存在する場合は、[証明書]を展開します。
  12. 中央のペインで右クリックし、[すべてのタスク]を選択してから、[新しい証明書の要求]を選択します。
    [新しい証明書の要求]をクリックする
  13. 次へ]をクリックします
  14. Active Directory登録ポリシー]を選択したままにします。
  15. 次へ]をクリックします
  16. 以前に作成して公開した登録エージェント証明書を選択します。
    登録エージェント証明書を選択する
  17. 登録]をクリックします。
  18. 完了したら、[完了]をクリックします。

ユーザーの登録と証明書のプッシュ

これで、生成したスマートカードにユーザーを登録し、証明書MMCを使用してカードに証明書をプッシュできるようになりました。

ユーザーを登録して証明書をプッシュするには、次の手順を実行します。

  1. Microsoft Management Console (MMC)を開きます。
  2. [ファイル]をクリックします。
  3. スナップインの追加と削除]をクリックします。
  4. 証明書]を選択します。
  5. [Add](追加)をクリックします。
  6. ユーザー アカウント]ラジアル ボタンを選択します。
  7. [Finish](完了)をクリックします。
  8. 「OK」をクリックします。
  9. 証明書 - 現在のユーザー]を展開します。
  10. 個人]を展開します。
  11. 証明書が存在する場合は、[証明書]を展開します。
  12. 中央のペインで右クリックし、[すべてのタスク]、[詳細設定操作]、[代理登録]の順に選択します。
    [代理登録]をクリックする
  13. 次へ]をクリックします
  14. Active Directory登録ポリシー]を選択したままにします。
  15. 次へ]をクリックします
  16. 「参照」をクリックします。
  17. 以前に生成した登録エージェント証明書を選択し、[OK]をクリックします。
    登録エージェント証明書を選択する
  18. 次へ]をクリックします
  19. 先ほど生成したスマートカード ユーザー テンプレートのラジアル ボタンを選択します。
    スマートカード ユーザー テンプレートのラジアル ボタンを選択する
  20. 詳細]ドロップダウンを選択し、[プロパティ]をクリックします。
    [プロパティ]をクリックします。
  21. [暗号化サービス プロバイダー]を、利用しているアプリケーションに変更します。この例では、Charismathicsです。
    暗号化サービス プロバイダーを変更する
  22. 「OK」をクリックします。
  23. 「Next(次へ)」をクリックします
  24. 参照]をクリックし、[場所]を変更してドメインから取得します。
    場所をクリックする

    ドメイン上の場所
  25. 登録するユーザーのユーザー名を入力します。
  26. 名前の確認]をクリックして、ユーザーを検証します。
    [名前の確認]をクリックする
  27. 「OK」をクリックします。
  28. 登録]をクリックします。
  29. プロンプトに従います。
    スマート カード挿入のプロンプト

    Charismathics Smart Security Interface CSPプロンプト

    [証明書インストールの結果]プロンプト
  30. 次のユーザー]をクリックして、同じ方法でユーザーをさらに登録するか、[閉じる]をクリックして続行します。

スマートカードをPBA認証に活用できるようになりました。

VersaSec

VersaSecは、以前に生成された証明書を使用して新しい証明書を登録します。このプロセスでは、Active Directory を介して作成された証明書テンプレートを使用して、従業員がログインセッション中に使用する他の従業員がログイン証明書を生成できるようにします。管理者は、証明書の登録証明書のエクスポート、およびスマートカードへの証明書の割り当てを完了する必要があります。詳細については、適切なプロセスをクリックしてください。

証明書の登録

証明書を登録するには、次の手順を実行します。

  1. 証明書テンプレートが設定されたドメインに参加するデバイスの証明書を割り当てる管理者として、Microsoft Management Console (MMC)を開きます。
    Microsoft Management Consoleを開く
  2. スナップインの追加と削除]のオプションを選択します。
    [スナップインの追加と削除]をクリックする
  3. 証明書]を選択し、[追加]を選択します。
    [追加]をクリックします。
  4. ユーザー アカウント]のオプションが選択されていることを確認します。
    [ユーザー アカウント]オプションが選択されていることを確認する
  5. OK]を選択して、選択したスナップインをロードします。
    [OK]をクリックします。
  6. 証明書 - 現在のユーザー]ペインを展開し、右ペインを右クリックして[すべてのタスク]を選択してから、[新しい証明書の要求]を選択します。
    [新しい証明書の要求]をクリックする
  7. Active Directory登録ポリシー]オプションが選択されていることを確認し、[次へ]をクリックします。
    [Next](次へ)クリックします。
  8. 現在のユーザーに対して登録エージェントを作成することができる証明書テンプレートを選択し、[登録]を選択します。この例では、以前に作成したEnrollment Agent Registrationテンプレートを使用します。
    [登録]をクリックする
  9. 登録が完了したら、[完了]をクリックします。
    「Finish(完了)」をクリックします。
  10. 登録エージェント証明書を使用して、左側のペインで証明書フォルダーを選択し、事前に生成されたテンプレートに基づいてスマートカード ユーザー証明書を生成します。[すべてのタスク]、[詳細設定操作]を選択し、[代理登録]を選択します。
    [代理登録]をクリックする
  11. Active Directory登録ポリシー]オプションが選択されていることを確認し、[次へ]をクリックします。
    [Next](次へ)クリックします。
  12. 登録エージェント証明書が要求されたら、[参照]を選択します。
    [Browse]をクリックします
  13. 適切な証明書が選択されていることを確認し、[OK]をクリックします。
    [OK]をクリックします。
  14. 適切なユーザーが定義されていることを確認し、[次へ]をクリックします。
    [Next](次へ)クリックします。
  15. スマートカード ユーザー登録用に事前に作成されたテンプレートを選択し、[次へ]をクリックします。この例では、Smartcard User Enrollmentというテンプレートを活用しています。
    [Next](次へ)クリックします。
  16. 参照]を選択して、適切なユーザーを探します。
    [Browse]をクリックします
  17. 場所]をクリックして、ディレクトリー全体を検索するように変更します。
    [場所]をクリックする
  18. 適切なドメインまたは組織単位を選択し、[OK]をクリックします。
    [OK]をクリックします。
  19. スマートカード証明書を生成するユーザーを入力し、[名前の確認]を選択してユーザー プリンシパル名(UPN)を検証します。
    [名前の確認]をクリックする
  20. 複数のユーザーが見つかった場合は、正しいユーザーを確認し、[OK]を選択します。
    [OK]をクリックします。
  21. ユーザー情報を確認し、[OK]をクリックします。
    [OK]をクリックします。
  22. ユーザー情報をもう一度確認し、[登録]をクリックします。
    [登録]をクリックする
  23. 登録はすぐに完了します。[次のユーザー]を選択して別のユーザー証明書を生成するか、[閉じる]を選択して証明書生成プロセスを完了します。今後、いつでも追加ユーザー用に証明書を作成することができます。
    [次のユーザー]をクリックする

証明書のエクスポート

証明書は最初にPKCS12形式でエクスポートされ、スマートカードに割り当てられます。証明書には、プライベート キーおよび完全な証明書チェーンを含める必要があります。

証明書をエクスポートするには、次の手順を実行します。

  1. 証明書テンプレートが設定されたドメインに参加するデバイスの証明書を割り当てる管理者として、Microsoft Management Console (MMC)を開きます。
    Microsoft Management Consoleを開く
  2. スナップインの追加と削除]のオプションを選択します。
    [スナップインの追加と削除]をクリックする
  3. 証明書]を選択してから、[追加]を選択します。
    [追加]をクリックします。
  4. ユーザー アカウント]のオプションが選択されていることを確認します。
    [ユーザー アカウント]オプションが選択されていることを確認する
  5. OK]を選択して、選択したスナップインをロードします。
    [OK]をクリックします。
  6. 証明書 - 現在のユーザー]ペインを展開し、エクスポートするユーザーを右クリックします。[すべてのタスク]を選択し、[エクスポート]をクリックします。
    [エクスポート]をクリックする
  7. はい、秘密キーをエクスポートします]オプションを選択し、[次へ]を選択します。
    [Next](次へ)クリックします。
  8. 証明書のプライバシーを有効にする]オプションをクリアし、[すべての拡張プロパティをエクスポートする]を選択して、[次へ]をクリックします。
    [Next](次へ)クリックします。
  9. パスワード]オプションを選択し、証明書に安全なパスワードを割り当て、[次へ]を選択します。
    [Next](次へ)クリックします。
    注:[暗号化]オプションは変更しないでください。
  10. ファイル名と場所を割り当て、[次へ]を選択します。
    [Next](次へ)クリックします。
  11. 詳細を確認してから、[完了]を選択してエクスポートを完了します。
    「Finish(完了)」をクリックします。

スマートカードへの証明書の割り当て

プロビジョニングするスマートカードに必要なVersaSecソフトウェアおよび管理用ミドルウェアをインストールし、ダウンロードします。

スマートカードに証明書を割り当てるには、次の手順を実行します。

  1. VersaSecエージェントを起動し、スマートカードを挿入します。
  2. Card Actions - Certificates and Keys]に移動し、[Import]を選択します。
    VersaSecエージェントで[Import]をクリックする
  3. エクスポートした証明書を参照して選択し、スマートカードにバインドします。[Password]フィールドに証明書パスワードを入力し、[Import]を選択します。
    [Import]をクリックする
  4. パスコードの入力を求められたらユーザーPINを入力し、[OK]を選択します。
    [OK]をクリックします。
  5. 証明書の書き込みが完了すると、リスト内に表示されます。
    証明書がリストに表示される
  6. すべてのアカウントの証明書がスマートカードに書き込まれると、それを使ってWindowsやDellのプリブート認証環境にログインできるようになります。

スマートカードを使用してWindowsへのシングル サインオンを有効にする

スマートカードを使用してWindowsへのシングル サインオンを有効にするプロセスは、使用中のDell Encryption Enterpriseのバージョンによって異なります。詳細については、適切なバージョンをクリックしてください。詳細については、「Dell Encryption EnterpriseまたはDell Encryption Personalのバージョンを特定する方法」を参照してください。

Dell Encryption Enterprise、v8.18以降

エンドポイントの変更は必要ありません。管理コンソールを使用してポリシーを設定すると、すべてのエンドポイントの変更が自動的に行われます。

スマートカード自体にはミドルウェアが必要になる場合があります。Windowsへの認証を可能にするために、各エンドポイントにミドルウェア ソリューションをインストールする必要があるかどうかについては、スマートカード ベンダーに相談してください。

Dell Encryption Enterprise、v8.17.2以前
Warning: 次の手順は、Windowsレジストリーの編集です。

クライアント マシンは、デフォルトではシングル サインオンを行いません。これを実行するには、レジストリー キーを追加する必要があります。

レジストリー キーは次のとおりです。

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. Registry Editor]を開きます
  2. HKEYローカルマシン]を展開します。
  3. ソフトウェア]を展開します。
  4. DigitalPersona]を展開します。
  5. ポリシー]を展開します。
  6. デフォルト]を展開します。
  7. キーを作成し、名前を付けます Smartcards間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。
    Registry Editorを開く
  8. DWORDを作成し、名前を付けます MSSmartcardSupport間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。
    DWORDを作成し、「MSSmartcardSupport」と命名する
  9. 値データを1に設定します。
    値データを1に設定する

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Additional Information

付録A

Microsoft認証局の設定

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

必要な役割サービス:

  • 証明機関
  • 証明機関のWeb登録
  • オンラインレスポンダ

付録B

障害シナリオと結果ログ

PBAで証明書の受付は行っておりません。

PBAログには次の情報が表示されます。

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

解決策:

CSPではなく、証明書MMCを使用して証明書を割り当てます。

Windowsで正常に動作する有効なスマートカードを使用してPBAにログインできません。

  • Security Serverの出力(v8.5以降)またはSecurity ServerのSED.logファイルに、無効な証明書のエラーが表示されます。

Caused by:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

解決策:

証明機関のルート証明書または中間証明書をSecurity Server用のJavaキーストアにインポートし、Security Serverサービスを再起動します。

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.