Guide de configuration de la carte à puce Dell Endpoint Security

Summary: Ce guide aide les administrateurs à configurer leur environnement et fournit des conseils pour configurer l'authentification par carte à puce.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Produits concernés :

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

Versions concernées :

  • v8.0 et versions supérieures

Ce guide décrit le processus de création et d'émission de certificats par un administrateur de confiance, via l'écriture de certificats sur des cartes à puce utilisées par les utilisateurs finaux.

L’administrateur doit :

  • Configurer des modèles
  • Terminer la configuration de Dell Security Management Server
  • Terminez l’inscription par carte à puce.

Vous trouverez également une annexe d'informations. Sélectionnez la section appropriée pour obtenir plus d'informations.

Pour tirer parti de l'authentification par carte à puce avec l'environnement de prédémarrage Dell Endpoint Security, vous devez configurer Active Directory pour permettre l'inscription et la génération de certificats.

Un certificat d'agent d'inscription doit être attribué à tous les utilisateurs qui tentent d'attribuer des certificats à des cartes à puce pour d'autres utilisateurs.

Pour configurer des modèles, activez le modèle de certificat pour l’agent d’inscription, puis ajoutez un nouveau modèle d’utilisateur de carte à puce.

Pour activer le modèle de certificat pour l'agent d'inscription :

  1. Ouvrez l'autorité de certification Microsoft Management Console (MMC).
    Ouvrez l'autorité de certification
  2. Développez jusqu'à Modèles de certificats.
  3. Cliquez avec le bouton droit de la souris dans le volet droit, puis cliquez sur Gérer.
    Cliquez sur Gérer.
  4. Cliquez avec le bouton droit de la souris sur Agent d'inscription, puis cliquez sur Dupliquer le modèle.
    Cliquez sur Dupliquer le modèle.
  5. Cliquez sur l’onglet Général.
  6. Sélectionnez l'option Publier le certificat dans Active Directory.
  7. Si vous le souhaitez, mettez à jour le nom d'affichage du modèle et le nom du modèle.
    Mettez à jour le nom d'affichage du modèle et le nom du modèle

Pour ajouter un modèle d’utilisateur de carte à puce :

  1. Dans la console de modèle de certificat de l'autorité de certification, cliquez avec le bouton droit de la souris sur le modèle d'utilisateur de carte à puce, puis cliquez sur Dupliquer le modèle.
    Cliquez sur Dupliquer le modèle.
  2. Dans l'onglet Gestion des demandes, définissez l'objectif sur Signature et connexion par carte à puce.
    Définissez l'objectif sur Signature et connexion par carte à puce
  3. Acceptez l'invite qui s'affiche.
    Cliquez sur Oui
  4. Assurez-vous que l'option Permettre l'exportation de la clé privée est cochée.
    Assurez-vous que l'option Permettre l'exportation de la clé privée est cochée.
  5. Dans l'onglet Nom d'objet, des options sont présentes par défaut pour exiger l'utilisation d'une adresse e-mail définie comme méthode de validation alternative. Il arrive que certains environnements cherchent à effacer ces options afin d'éviter les problèmes avec les utilisateurs qui ne disposent peut-être pas d'adresses e-mail définies par Active Directory.
    1. Décochez la case Inclure le nom de l'e-mail dans le nom d'objet.
      Décochez la case Inclure le nom de l'e-mail dans le nom d'objet.
    2. Effacez le Nom de l'e-mail dans la section Inclure ces informations dans un autre nom d'objet.
      Effacez le nom de l'e-mail
  6. Sous l’onglet Exigences d’émission , cochez la case Ce nombre de signatures autorisées.
    1. Laissez Ce nombre de signatures autorisées sur 1.
    2. Laissez le Type de stratégie requis dans la signature en tant que Politique d’application.
    3. Définissez la Stratégie d'application sur Agent de demande de certificat.
      Mettez à jour la case Ce nombre de signatures autorisées
  7. Cliquez sur OK pour publier ce modèle.
  8. Autorisez l'émission des deux modèles en cliquant avec le bouton droit de la souris sur Modèles de certificat dans la MMC de l'autorité de certification, puis en cliquant sur Modèle de certificat à émettre.
    Cliquez sur Modèle de certificat à émettre.
  9. Sélectionnez les deux nouveaux modèles de certificat que vous avez créés.
    Sélectionnez les deux nouveaux modèles de certificat
  10. Cliquez sur OK.

Cette section décrit les modifications nécessaires à apporter à Dell Security Management Server pour permettre l'utilisation de la fonctionnalité de carte à puce dans l'environnement d'authentification de prédémarrage.

L'administrateur doit importer l'autorité de certification racine et modifier la stratégie. Cliquez sur le processus approprié pour obtenir plus d’informations.

Importer l'autorité de certification racine

Les certificats de carte à puce étant signés par l’autorité de certification interne (AC) indiquée dans ce guide, vous devez vous assurer que l’autorité de certification racine et tous les intermédiaires éventuels (non indiqués dans ce guide) sont importés dans la chaîne de certificats.

  1. Exportez le certificat de l'autorité de certification racine à partir de Microsoft Management Console (MMC).
    1. Lancez MMC.
    2. Cliquez sur Fichier.
    3. Cliquez sur Ajouter ou supprimer des composants logiciels enfichables.
    4. Sélectionnez Certificats.
    5. Cliquez sur Ajouter.
    6. Sélectionnez le Compte d'ordinateur radial.
    7. Cliquez sur Terminer.
    8. Cliquez sur OK.
      Exportez le certificat de l'autorité de certification racine
    9. Développez les certificats.
    10. Développez les autorités de certification racines de confiance.
    11. Sélectionnez Certificats.
    12. Cliquez avec le bouton droit de la souris sur le certificat émis par l'autorité de certification de votre domaine. Il est synchronisé avec la stratégie de groupe.
      Cliquez avec le bouton droit de la souris sur le certificat émis par l'autorité de certification de votre domaine.
    13. Sélectionnez Toutes les tâches, puis cliquez sur Exporter.
    14. Exporter le certificat en tant que DER encoded binary X.509 (.CER).
    15. Enregistrez-le et notez l’emplacement tel qu’il est utilisé sous peu.
  2. Importez ce certificat dans les certificats de confiance du magasin de clés Java.
    1. Ouvrez une invite de commande d'administration.
    2. Modifiez le chemin pour permettre l’exécution des commandes keytool en saisissant Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" , puis saisissez Entrée.
      Remarque : Pour Dell Security Management Server versions 9.2 et antérieures, saisissez Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" puis appuyez sur Entrée.
    3. Accédez au répertoire conf du Security Server en saisissant %INSTALLDIR%\Enterprise Edition\Security Server\conf\ puis appuyez sur Entrée.
      Saisissez %INSTALLDIR%\Enterprise Edition\Security Server\conf\
    4. Importez le fichier .cer que nous avons exporté à l’étape 1 dans le magasin de clés Java (cacerts) en saisissant Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts puis appuyez sur Entrée.
      Saisie de Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts
    5. Saisissez le mot de passe du fichier cacerts.
    6. Acceptez l’invite de faire confiance au certificat en saisissant Y.
      Saisissez Y
    7. Redémarrez Security Server pour terminer l'importation.

Modifier une stratégie

Cliquez sur la version du serveur Dell Data Security pour connaître les configurations de stratégies appropriées. Pour plus d’informations sur les versions, consultez l’article Identification de la version de Dell Data Security/Dell Data Protection Server (en anglais).

v9.8.0 et versions supérieures

Pour modifier la règle afin d’autoriser les cartes à puce pour le mécanisme d’authentification PBA :
  1. Ouvrez la console d'administration Dell Data Security.
    Remarque : Pour plus d’informations, consultez l’article Comment accéder à la console d’administration du serveur Dell Data Security / Dell Data Protection (en anglais).
  2. Connectez-vous en tant qu'utilisateur pouvant modifier et valider la stratégie.
  3. Accédez à la population pour laquelle vous souhaitez modifier la stratégie. Par exemple, sélectionnez Populations, puis cliquez sur Enterprise.
  4. Sélectionnez l'onglet Security Policies.
    Sélectionnez l'onglet Security Policies.
  5. Sélectionnez Pre-Boot Authentication.
  6. Définissez la méthode d'authentification SED du mot de passe sur Smartcard.
    Remarque : Assurez-vous qu’une stratégie de disque à autochiffrement est activée pour activer cette option pour l’ensemble de l’entreprise.

    Définissez la méthode d'authentification SED du mot de passe sur Smartcard
  7. Enregistrez et validez les stratégies.
    Remarque : Pour plus d’informations, consultez l’article Validation des stratégies pour les serveurs Dell Data Security/Dell Data Protection (en anglais).

v9.2.0 à 9.7.0

Pour modifier la règle afin d’autoriser les cartes à puce pour le mécanisme d’authentification PBA :
  1. Ouvrez la console d'administration Dell Data Protection.
    Remarque : Pour plus d’informations, consultez l’article Comment accéder à la console d’administration du serveur Dell Data Security / Dell Data Protection (en anglais).
  2. Connectez-vous en tant qu'utilisateur pouvant modifier et valider la stratégie.
  3. Accédez à la population pour laquelle vous souhaitez modifier la stratégie. Par exemple, sélectionnez Populations, puis cliquez sur Enterprise.
  4. Sélectionnez l'onglet Security Policies.
    Sélectionnez l'onglet Security Policies.
  5. Sélectionnez Self-Encrypting Drive (SED).
  6. Définissez la méthode d'authentification SED du mot de passe sur Smartcard.
    Remarque : Assurez-vous qu’une stratégie de disque à autochiffrement est activée pour activer cette option pour l’ensemble de l’entreprise.

    Définissez la méthode d'authentification SED du mot de passe sur Smartcard
  7. Enregistrez et validez les stratégies.
    Remarque : Pour plus d’informations, voir l’article Validation des stratégies pour les serveurs Dell Data Security/Dell Data Protection.

v8.0.0 à 9.1.5

Pour modifier la règle afin d’autoriser les cartes à puce pour le mécanisme d’authentification PBA :
  1. Modifiez la règle afin d’autoriser les cartes à puce comme mécanisme d’authentification pour PBA.
    1. Ouvrez Remote Management Console.
      Remarque : Pour plus d’informations, consultez l’article Comment accéder à la console d’administration du serveur Dell Data Security / Dell Data Protection (en anglais).
    2. Connectez-vous en tant qu'utilisateur pouvant modifier et valider la stratégie.
    3. Accédez à Enterprise.
    4. Cliquez sur Security Policies en haut de la page.
    5. Override (non disponible dans Virtual Edition).
    6. Définissez la liste déroulante Policy Category sur Self-Encrypting Drives.
      Définissez la liste déroulante Policy Category sur Self-Encrypting Drives
    7. Développez SED administration (Administration des disques à autochiffrement).
    8. Définissez la méthode d'authentification SED du mot de passe sur Smartcard.
      Définissez la méthode d'authentification SED du mot de passe sur Smartcard
      Remarque : Assurez-vous que les options Enable SED Management et Activate PBA sont définies sur True pour l'ensemble de l'entreprise.
    9. Enregistrez cette stratégie.
    10. Cliquez sur Commit Policies sur la gauche.
    11. Cliquez sur Apply Changes.

Par défaut, les cartes à puce sont vierges. Un certificat doit être attribué à chaque carte à puce pour pouvoir ajouter un certificat pour l'authentification. Les certificats sont généralement attribués aux cartes à puce via une application middleware. Les exemples ci-dessous décrivent le processus d'importation via un logiciel Charismathics existant pour les cartes à puce d'entreprise, et via VersaSec pour les cartes de vérification d'identité personnelle (PIV). L'administrateur doit activer l'authentification unique (SSO) pour Windows à l'aide de cartes à puce après l'attribution du certificat. Sélectionnez le processus approprié pour obtenir plus d’informations.

Charismathics

Pour utiliser les cartes à puce, vous devez disposer d'un agent d'inscription qui peut attribuer des certificats à l'appareil et d'un middleware qui convertit les informations du certificat provenant de l'autorité de certification Microsoft dans un format utilisable par la carte.

La plupart des cartes à puce n'ont pas de jetons de sécurité prédéfinis. L'administrateur doit placer un jeton de sécurité sur la nouvelle carte à puce, ajouter un certificat pour l'agent d'inscription, puis inscrire des utilisateurs et transmettre les certificats. Cliquez sur le processus approprié pour obtenir plus d’informations.

Placer un jeton de sécurité sur une nouvelle carte à puce

  1. Ouvrez le fournisseur de services cryptographiques (CSP).
  2. Lorsque vous insérez une carte sans jeton actif, vous obtenez des informations de base.
    Informations de base du jeton actif
  3. Une fois que vous avez créé le jeton de sécurité, vous devez vous assurer qu'il est configuré pour un profil PKCS15.
    Assurez-vous que le profil PKCS15 est défini
  4. Une fois cette opération créée, de nombreuses autres options sont disponibles et vous pourrez importer un certificat correctement.
    Jeton de sécurité placé sur une nouvelle carte à puce

Ajouter un certificat pour l'agent d'inscription

  1. Ouvrez Microsoft Management Console (MMC).
  2. Cliquez sur Fichier.
  3. Cliquez sur Ajouter ou supprimer des composants logiciels enfichables.
  4. Sélectionnez Certificats.
  5. Cliquez sur Ajouter.
  6. Sélectionnez l'option Radial pour Mon compte utilisateur.
  7. Cliquez sur Terminer.
  8. Cliquez sur OK.
  9. Développez Certificats - Utilisateur actuel.
  10. Développez Personnel.
  11. Développez Certificats si l'option est présente.
  12. Cliquez avec le bouton droit de la souris dans le volet central, sélectionnez Toutes les tâches, puis Demander un nouveau certificat.
    Cliquez sur Demander un nouveau certificat.
  13. Cliquez sur Next.
  14. Conservez la Stratégie d'inscription à Active Directory sélectionnée.
  15. Cliquez sur Next.
  16. Sélectionnez le certificat de l'agent d'inscription que vous avez créé et publié précédemment.
    Sélectionnez le certificat de l'agent d'inscription.
  17. Cliquez sur Inscrire.
  18. Cliquez sur Terminer une fois que vous avez terminé.

Inscrire des utilisateurs et transmettre des certificats

Vous pouvez maintenant inscrire des utilisateurs sur la carte à puce que vous avez générée et transmettre des certificats à la carte à l'aide du certificat MMC.

Pour inscrire des utilisateurs et transmettre des certificats :

  1. Ouvrez Microsoft Management Console (MMC).
  2. Cliquez sur Fichier.
  3. Cliquez sur Ajouter ou supprimer des composants logiciels enfichables.
  4. Sélectionnez Certificats.
  5. Cliquez sur Ajouter.
  6. Sélectionnez l'option Radial pour Mon compte utilisateur.
  7. Cliquez sur Terminer.
  8. Cliquez sur OK.
  9. Développez Certificats - Utilisateur actuel.
  10. Développez Personnel.
  11. Développez Certificats si l'option est présente.
  12. Cliquez avec le bouton droit de la souris dans le volet central, sélectionnez Toutes les tâches, Opérations avancées, puis Inscrire pour le compte de.
    Cliquez sur Inscrire pour le compte de
  13. Cliquez sur Next.
  14. Conservez la Stratégie d'inscription à Active Directory sélectionnée.
  15. Cliquez sur Next.
  16. Cliquez sur Parcourir
  17. Sélectionnez le certificat d'agent d'inscription que vous avez généré précédemment, puis cliquez sur OK.
    Sélectionnez le certificat de l'agent d'inscription.
  18. Cliquez sur Next.
  19. Sélectionnez le radial du modèle d'utilisateur de carte à puce que vous avez généré précédemment.
    Sélectionnez le radial du modèle d'utilisateur de carte à puce
  20. Sélectionnez la liste déroulante Détails, puis cliquez sur Propriétés.
    Cliquez sur Propriétés.
  21. Modifiez le fournisseur de services cryptographiques en fonction de l'application que vous utilisez. Dans ce cas, il s'agit d'un Charismathics.
    Modifiez le fournisseur de services cryptographiques
  22. Cliquez sur OK.
  23. Cliquez sur Suivant.
  24. Cliquez sur Parcourir, puis modifiez les emplacements de votre domaine.
    Cliquez sur Emplacements.

    Emplacements de votre domaine
  25. Saisissez le nom de l'utilisateur à inscrire.
  26. Cliquez sur Vérifier les noms pour valider l'utilisateur.
    Cliquez sur Vérifier les noms
  27. Cliquez sur OK.
  28. Cliquez sur Inscrire.
  29. Suivez les invites.
    Invite Insérer la carte à puce

    Invite Charismathics Smart Security Interface CSP

    Invite Résultats de l'installation du certificat
  30. Cliquez sur Utilisateur suivant pour inscrire d'autres utilisateurs à l'aide de la même méthode ou cliquez sur Fermer pour continuer.

Les cartes à puce peuvent désormais être utilisées pour l'authentification PBA.

VersaSec

VersaSec utilise des certificats précédemment générés pour l'inscription de nouveaux certificats. Ce processus utilise des modèles de certificat créés via Active Directory pour permettre à un collaborateur de générer des certificats de connexion que d’autres collaborateurs peuvent utiliser lors de leur session de connexion. L'administrateur doit effectuer l'inscription de certificat, l'exportation de certificat, puis attribuer un certificat à une carte à puce. Cliquez sur le processus approprié pour obtenir plus d’informations.

Inscrire un certificat

Pour inscrire un certificat :

  1. Ouvrez Microsoft Management Console (MMC) en tant qu'administrateur attribuant des certificats, sur un appareil lié au domaine dans lequel des modèles de certificat ont été configurés.
    Ouvrez Microsoft Management Console
  2. Sélectionnez l'option Ajouter/Supprimer un composant logiciel enfichable.
    Cliquez sur Ajouter/Supprimer un composant logiciel enfichable
  3. Sélectionnez Certificats, puis cliquez sur Ajouter.
    Cliquez sur Ajouter
  4. Assurez-vous que l'option Mon compte utilisateur est sélectionnée.
    Assurez-vous que l'option Mon compte utilisateur est sélectionnée.
  5. Sélectionnez OK pour charger les composants logiciels enfichables sélectionnés.
    Cliquez sur OK
  6. Développez le volet Certificats - Utilisateur actuel, cliquez avec le bouton droit de la souris dans le volet de droite, sélectionnez Toutes les tâches, puis Demander un nouveau certificat.
    Cliquez sur Demander un nouveau certificat.
  7. Assurez-vous que l'option Stratégie d'inscription à Active Directory est sélectionnée, puis cliquez sur Suivant.
    Cliquez sur Suivant.
  8. Sélectionnez le modèle de certificat qui permet de créer un agent d'inscription pour l'utilisateur actuel, puis sélectionnez Inscrire. Cet exemple utilise le modèle d'enregistrement de l'agent d'inscription précédemment créé.
    Cliquez sur Inscrire
  9. Une fois l'inscription terminée, cliquez sur Terminer.
    Cliquez sur Finish (Terminer).
  10. Avec un certificat d'agent d'inscription, générez un certificat d'utilisateur de carte à puce basé sur un modèle prégénéré en sélectionnant le dossier Certificats dans le volet de gauche. Sélectionnez Toutes les tâches, Opérations avancées, puis Inscrire pour le compte de.
    Cliquez sur Inscrire pour le compte de
  11. Assurez-vous que l'option Stratégie d'inscription à Active Directory est sélectionnée, puis cliquez sur Suivant.
    Cliquez sur Suivant.
  12. Sélectionnez Parcourir lorsque le certificat d'agent d'inscription est demandé.
    Cliquez sur Parcourir
  13. Assurez-vous que le certificat approprié est sélectionné, puis cliquez sur OK.
    Cliquez sur OK
  14. Vérifiez que l'utilisateur approprié est défini, puis cliquez sur Suivant.
    Cliquez sur Suivant.
  15. Sélectionnez le modèle précréé pour l'inscription des utilisateurs de carte à puce, puis cliquez sur Suivant. Cet exemple s'appuie sur un modèle appelé Inscription des utilisateurs de carte à puce.
    Cliquez sur Suivant.
  16. Sélectionnez Parcourir pour trouver l'utilisateur approprié.
    Cliquez sur Parcourir
  17. Modifiez l'emplacement pour effectuer une recherche dans l'ensemble du répertoire en cliquant sur Emplacement.
    Cliquez sur Emplacement
  18. Sélectionnez le domaine ou l'unité d'organisation approprié, puis cliquez sur OK.
    Cliquez sur OK
  19. Saisissez l'utilisateur pour lequel vous souhaitez générer un certificat de carte à puce, puis sélectionnez Vérifier les noms pour valider le nom principal d'utilisateur (UPN).
    Cliquez sur Vérifier les noms
  20. Si plusieurs utilisateurs sont trouvés, confirmez l'utilisateur approprié, puis sélectionnez OK.
    Cliquez sur OK
  21. Confirmez les informations utilisateur, puis cliquez sur OK.
    Cliquez sur OK
  22. Confirmez à nouveau les informations utilisateur, puis cliquez sur Inscrire.
    Cliquez sur Inscrire
  23. L'inscription se termine rapidement. Sélectionnez Utilisateur suivant pour générer un autre certificat utilisateur, ou sélectionnez Fermer pour terminer le processus de génération de certificat. Vous pourrez créer d'autres certificats pour des utilisateurs supplémentaires à l'avenir.
    Cliquez sur Utilisateur suivant

Exporter un certificat

Les certificats doivent d'abord être exportés au format PKCS12 pour être attribués à des cartes à puce. Les certificats doivent inclure la clé privée et la chaîne de certificats complète.

Pour exporter un certificat :

  1. Ouvrez Microsoft Management Console (MMC) en tant qu'administrateur attribuant des certificats, sur un appareil lié au domaine dans lequel des modèles de certificat sont configurés.
    Ouvrez Microsoft Management Console
  2. Sélectionnez l'option Ajouter/Supprimer un composant logiciel enfichable.
    Cliquez sur Ajouter/Supprimer un composant logiciel enfichable
  3. Sélectionnez Certificats, puis cliquez sur Ajouter.
    Cliquez sur Ajouter
  4. Assurez-vous que l'option Mon compte utilisateur est sélectionnée.
    Assurez-vous que l'option Mon compte utilisateur est sélectionnée.
  5. Sélectionnez OK pour charger les composants logiciels enfichables sélectionnés.
    Cliquez sur OK
  6. Développez le volet Certificats - Utilisateur actuel, puis cliquez avec le bouton droit de la souris sur l'utilisateur à exporter. Sélectionnez Toutes les tâches, puis cliquez sur Exporter.
    Cliquez sur Exporter
  7. Cliquez sur Oui, exporter la clé privée, puis sur Suivant.
    Cliquez sur Suivant.
  8. Désactivez l'option Activer la confidentialité du certificat, sélectionnez Exporter toutes les propriétés étendues, puis cliquez sur Suivant.
    Cliquez sur Suivant.
  9. Sélectionnez l'option Mot de passe, attribuez un mot de passe sécurisé pour le certificat, puis sélectionnez Suivant.
    Cliquez sur Suivant.
    Remarque : Ne modifiez pas l'option Chiffrement.
  10. Attribuez un nom de fichier et un emplacement, puis sélectionnez Suivant.
    Cliquez sur Suivant.
  11. Confirmez les détails, puis sélectionnez Terminer pour terminer l'exportation.
    Cliquez sur Finish (Terminer).

Attribuer un certificat à une carte à puce

Installez et téléchargez le logiciel VersaSec et tout middleware d'administration requis pour les cartes à puce en cours de provisionnement.

Pour attribuer un certificat à une carte à puce :

  1. Lancez l'agent VersaSec et insérez une carte à puce.
  2. Accédez à Card Actions - Certificates and Keys, et sélectionnez Import.
    Cliquez sur Import dans l'agent VersaSec.
  3. Recherchez et sélectionnez le certificat exporté à lier à la carte à puce. Saisissez le mot de passe du certificat dans le champ Password, puis sélectionnez Import.
    Cliquez sur Import
  4. Saisissez le code PIN de l'utilisateur lorsque vous êtes invité à entrer un mot de passe, puis sélectionnez OK.
    Cliquez sur OK
  5. Une fois que le certificat est finalisé en cours d’écriture, il apparaît dans la liste.
    Le certificat s'affiche dans la liste
  6. Une fois que les certificats de tous les comptes sont écrits sur la carte à puce, celle-ci peut être utilisée pour se connecter à Windows ou à l'environnement d'authentification de prédémarrage Dell.

Activer l'authentification unique (SSO) pour Windows à l'aide des cartes à puce

Le processus d'activation de l'authentification unique (SSO) pour Windows à l'aide de cartes à puce varie en fonction de la version de Dell Encryption Enterprise que vous utilisez. Sélectionnez la version appropriée pour obtenir plus d’informations. Pour plus d'informations sur les versions, voir l'article Comment identifier la version de Dell Encryption Enterprise ou de Dell Encryption Personal.

Dell Encryption Enterprise, v8.18 et versions supérieures

Aucune modification du point de terminaison n'est requise. Une fois que la règle a été définie via la console de gestion, toutes les modifications apportées aux points de terminaison se produisent automatiquement.

Les cartes à puce elles-mêmes peuvent nécessiter un middleware. Consultez votre fournisseur de cartes à puce pour déterminer si une solution middleware doit être installée sur chaque point de terminaison pour permettre l'authentification dans Windows.

Dell Encryption Enterprise, v8.17.2 et versions antérieures
Avertissement : L’étape suivante consiste à modifier le registre Windows :

Par défaut, l'authentification unique (SSO) n'est pas activée sur les machines clientes. Une clé de registre doit être ajoutée pour ce faire.

Pour ajouter une clé de registre :

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. Ouvrez l'Éditeur du registre
  2. Développez HKEY Local Machine.
  3. Développez Logiciel.
  4. Développez DigitalPersona.
  5. Développez Stratégies.
  6. Développez Par défaut.
  7. Créez une clé, puis nommez-la Smartcards.
    Ouvrez l'Éditeur du registre
  8. Créez un DWORD, puis nommez-le MSSmartcardSupport.
    Créez un DWORD, puis nommez-le MSSmartcardSupport
  9. Définissez la valeur sur 1.
    Définissez la valeur sur 1.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Additional Information

Annexe A

Configuration d'une autorité de certification Microsoft

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Services requis pour les rôles :

  • Autorité de certification
  • Inscription Web de l'autorité de certification
  • Répondeur en ligne

Annexe B

Scénarios d'échec et journaux résultants

Les certificats ne sont pas acceptés dans PBA.

Les journaux PBA affichent les éléments suivants :

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

Résolution :

Attribuez un certificat via les certificats MMC et non via le CSP.

Impossible de se connecter à PBA avec une carte à puce valide qui fonctionne correctement dans Windows :

  • La sortie de Security Server (version supérieure à la v8.5) ou les fichiers SED.log de Security Server génèrent des erreurs de certificat non valides.

Caused by:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

Résolution :

Importez le certificat racine ou intermédiaire de l'autorité de certification dans le magasin de clés Java pour Security Server et redémarrez le service Security Server.

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.