Руководство по настройке смарт-карты Dell Endpoint Security

Summary: Данное руководство поможет администратору настроить среду. Оно содержит инструкции по настройке аутентификации смарт-карты.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Затронутые продукты:

  • Dell Encryption Enterprise
  • Dell Data Protection | Enterprise Edition
  • Dell Security Management Server
  • Dell Data Protection | Enterprise Edition

Затронутые версии:

  • v8.0 и более поздние версии

В данном руководстве описывается создание и оформление сертификатов доверенным администратором, а также запись сертификатов на смарт-карты, используемые конечными пользователями.

Администратор обязан:

  • Настройка шаблонов
  • Завершите настройку Dell Security Management Server
  • Завершите регистрацию смарт-карты.

Кроме того, существует приложение с информацией. Выберите соответствующий раздел, чтобы ознакомиться с дополнительными сведениями.

Чтобы использовать аутентификацию по смарт-карте с предзагрузочной средой Dell Endpoint Security, необходимо настроить Active Directory, чтобы разрешить регистрацию и создание сертификатов.

Сертификат агента регистрации должен быть назначен всем пользователям, которые пытаются назначить сертификаты смарт-картам для других пользователей.

Чтобы настроить шаблоны, включите шаблон сертификата для агента регистрации, а затем добавьте новый шаблон пользователя смарт-карты.

Чтобы включить шаблон сертификата для агента регистрации, выполните следующие действия.

  1. Откройте Microsoft Management Console (MMC) в Центре сертификации.
    Открытый Центр сертификации
  2. Разверните раздел Шаблоны сертификатов.
  3. Нажмите правой кнопкой мыши на правую панель и выберите Управление.
    Нажмите «Управление».
  4. Правой кнопкой мыши нажмите Агент регистрации и выберите Скопировать шаблон.
    Нажмите «Скопировать шаблон»
  5. Перейдите на вкладку Общие.
  6. Выберите параметр Опубликовать сертификат в Active Directory.
  7. При необходимости обновите Отображаемое имя шаблона и Имя шаблона.
    Обновите «Отображаемое имя шаблона» и «Имя шаблона»

Чтобы добавить шаблон пользователя смарт-карты, выполните следующие действия.

  1. В консоли шаблонов сертификатов Центра сертификации правой кнопкой мыши нажмите на шаблон Пользователь смарт-карты и выберите Скопировать шаблон.
    Нажмите «Скопировать шаблон»
  2. На вкладке Обработка запроса измените Цель на Вход с подписью и смарт-картой.
    Измените «Цель» на «Вход с подписью и смарт-картой»
  3. Примите появившийся запрос.
    Нажмите «Да».
  4. Убедитесь, что установлен флажок Разрешить экспортировать закрытый ключ.
    Убедитесь, что установлен флажок «Разрешить экспортировать закрытый ключ»
  5. На вкладке Имя субъекта по умолчанию доступны параметры, требующие использования определенного адреса электронной почты в качестве альтернативного метода проверки. В некоторых средах может потребоваться отменить выбор этих параметров, чтобы избежать проблем с пользователями, у которых не определены адреса электронной почты Active Directory.
    1. Снимите флажок Включить имя электронной почты в имя субъекта.
      Снимите флажок «Включить имя электронной почты в имя субъекта»
    2. Очистите поле Имя электронной почты в разделе Включить эту информацию в альтернативное имя субъекта.
      Очистите поле «Имя электронной почты»
  6. На вкладке Требования выдачи выберите Указанного числа авторизованных подписей.
    1. Оставьте для поля Указанного числа авторизованных подписей значение 1.
    2. Оставьте для поля Тип политики , необходимого для подписи, значение Политика применения.
    3. Измените Политика применения на Агент запроса сертификата.
      Обновите поле «Указанного числа авторизованных подписей»
  7. Нажмите OK, чтобы опубликовать этот шаблон.
  8. Чтобы разрешить выпуск обоих шаблонов, правой кнопкой мыши нажмите Шаблоны сертификатов в MMC Центра сертификации и выберите Выдаваемый шаблон сертификата.
    Нажмите «Выдаваемый шаблон сертификата»
  9. Выберите два новых шаблона сертификатов, которые вы создали.
    Выберите два новых шаблона сертификатов
  10. Нажмите OK.

В этом разделе описаны изменения, необходимые Dell Security Management Server для работы функции смарт-карты в среде предзагрузочной аутентификации.

Администратор должен импортировать корневой ИС и изменить политику. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Импорт корневого источника сертификатов

Поскольку сертификаты смарт-карт подписаны внутренним источником сертификатов (ИС) в данном руководстве, мы должны убедиться, что корневой источник сертификатов и все посредники (не указанные в данном руководстве) импортированы в цепочку сертификатов.

  1. Экспортируйте сертификат корневого ИС из Microsoft Management Console (MMC).
    1. Запустите утилиту MMC.
    2. Нажмите Файл.
    3. Нажмите Добавить или удалить оснастку.
    4. Выберите Сертификаты.
    5. Нажмите Add.
    6. Выберите радиальную учетную запись компьютера.
    7. Нажмите Finish.
    8. Нажмите OK.
      Экспортируйте сертификат корневого ИС
    9. Разверните раздел Сертификаты.
    10. Разверните раздел Доверенные корневые центры сертификации.
    11. Выберите Сертификаты.
    12. Правой кнопкой мыши нажмите на сертификат, выданный ИС домена. Они синхронизируются с групповой политикой.
      Правой кнопкой мыши нажмите на сертификат, выданный ИС домена
    13. Выберите Все задачи и нажмите Экспорт.
    14. Экспортируйте сертификат как DER encoded binary X.509 (.CER).
    15. Сохраните его и запишите расположение, поскольку оно будет использоваться в ближайшее время.
  2. Импортируйте этот сертификат в доверенные сертификаты хранилища ключей Java.
    1. Откройте командную строку администрирования.
    2. Измените путь, чтобы разрешить выполнение команд keytool, введя Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" и введите клавишу Enter.
      Примечание. Для Dell Security Management Server версии 9.2 и более ранних введите Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" и затем нажмите клавишу Enter.
    3. Перейдите в каталог conf Security Server, введя %INSTALLDIR%\Enterprise Edition\Security Server\conf\ и затем нажмите клавишу Enter.
      Введите «%INSTALLDIR%\Enterprise Edition\Security Server\conf\».
    4. Импортируйте .cer файл, экспортированный на шаге 1, в хранилище ключей Java (cacerts), введя Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts и затем нажмите клавишу Enter.
      Typing Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts
    5. Введите пароль файла cacerts.
    6. Примите запрос на доверие сертификату, введя Y.
      Введите «Y»
    7. Перезапустите сервер безопасности, чтобы завершить импорт.

Изменение политики

Выберите версию сервера Dell Data Security для соответствующих конфигураций политики. Для получения дополнительной информации о версиях см. статью Как определить версию Dell Data Security / Dell Data Protection Server.

v9.8.0 и более поздние версии

Чтобы изменить политику с целью разрешения смарт-карт для механизма аутентификации PBA, выполните следующие действия.
  1. Откройте консоль администрирования Dell Data Security.
    Примечание. Для получения дополнительной информации см. статью Как настроить консоль администрирования в Dell Data Security / Dell Data Protection Server.
  2. Войдите в систему как пользователь, который может изменять и применять политику.
  3. Перейдите к заполнению, где необходимо внести изменения в политику. Например, выберите Populations и нажмите Enterprise.
  4. Выберите вкладку Security Policies.
    Нажмите на вкладку «Security Policies»
  5. Выберите Pre-Boot Authentication.
  6. Измените метод аутентификации SED с «Password» на Smartcard.
    Примечание. Убедитесь, что для политики самошифруемых дисков установлено значение On , чтобы включить эту функцию для всего предприятия.

    Измените метод аутентификации SED с «Password» на «Smartcard»
  7. Сохраните и подтвердите политики.
    Примечание. Дополнительные сведения см. в статье Как подтверждать политики для Dell Data Security / Dell Data Protection Server.

v9.2.0–9.7.0

Чтобы изменить политику с целью разрешения смарт-карт для механизма аутентификации PBA, выполните следующие действия.
  1. Откройте консоль администрирования Dell Data Protection.
    Примечание. Для получения дополнительной информации см. статью Как настроить консоль администрирования в Dell Data Security / Dell Data Protection Server.
  2. Войдите в систему как пользователь, который может изменять и применять политику.
  3. Перейдите к заполнению, где необходимо внести изменения в политику. Например, выберите Populations и нажмите Enterprise.
  4. Выберите вкладку Security Policies.
    Нажмите на вкладку «Security Policies»
  5. Выберите Self-Encrypting Drive (SED)
  6. Измените метод аутентификации SED с «Password» на Smartcard.
    Примечание. Убедитесь, что для политики самошифруемых дисков установлено значение On , чтобы включить эту функцию для всего предприятия.

    Измените метод аутентификации SED с «Password» на «Smartcard»
  7. Сохраните и подтвердите политики.
    Примечание. Дополнительные сведения см. в статье Как подтверждать политики для Dell Data Security / Dell Data Protection Server.

v8.0.0–9.1.5

Чтобы изменить политику с целью разрешения смарт-карт для механизма аутентификации PBA, выполните следующие действия.
  1. Измените политику, чтобы смарт-карты могли распознаваться как механизм аутентификации для PBA.
    1. Откройте консоль удаленного управления.
      Примечание. Для получения дополнительной информации см. статью Как настроить консоль администрирования в Dell Data Security / Dell Data Protection Server.
    2. Войдите в систему как пользователь, который может изменять и применять политику.
    3. Перейдите в раздел Enterprise.
    4. Нажмите Security Policies в верхней части экрана.
    5. Переопределение (недоступно в Virtual Edition).
    6. В раскрывающемся списке «Policy Category» выберите Self-Encrypting Drives.
      В раскрывающемся списке «Policy Category» выберите «Self-Encrypting Drives».
    7. Разверните раздел SED Administration.
    8. Измените метод аутентификации SED с «Password» на Smartcard.
      Измените метод аутентификации SED с «Password» на «Smartcard»
      Примечание. Убедитесь, что для параметров Enable SED Management и Activate PBA установлено значение True, чтобы активировать их во всем предприятии.
    9. Сохраните эту политику.
    10. Нажмите Commit Policies слева.
    11. Нажмите Apply Changes.

Смарт-карты по умолчанию пусты. Каждая смарт-карта должна иметь сертификат, назначенный для добавления сертификата с целью аутентификации. Сертификаты обычно назначаются смарт-картам через промежуточное приложение. В приведенных ниже примерах описывается импорт с помощью устаревшего ПО Charismathics для смарт-карт корпоративного класса и VersaSec для смарт-карт на основе проверки персональных данных (PIV). После назначения сертификата администратору необходимо включить единый вход в Windows с помощью смарт-карт. Выберите соответствующую процедуру, чтобы ознакомиться с дополнительными сведениями.

Charismathics

Для использования смарт-карт требуется агент регистрации, который может назначать сертификаты устройству, а также промежуточное ПО, которое преобразует информацию о сертификатах, поступающую из Центра сертификации Microsoft, в то, что может использовать карта.

Большинство смарт-карт не имеют предустановленных токенов безопасности. Администратор должен создать токен безопасности на новой смарт-карте, добавить сертификат для агента регистрации, а затем зарегистрировать пользователей и Push-сертификаты. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Создание токена безопасности на новой смарт-карте

  1. Откройте поставщика служб шифрования (CSP).
  2. При вставке карты без активного токена извлекается основная информация.
    Основная информация об активном токене
  3. После создания токена безопасности необходимо убедиться, что он установлен для профиля PKCS15.
    Убедитесь, что профиль PKCS15 установлен
  4. После создания этого сертификата будет доступно множество дополнительных параметров, и вы сможете правильно импортировать сертификат.
    Токен безопасности, развернутый на новой смарт-карте

Добавление сертификата для агента регистрации

  1. Откройте Microsoft Management Console (MMC).
  2. Нажмите Файл.
  3. Нажмите Добавить или удалить оснастку.
  4. Выберите Сертификаты.
  5. Нажмите Add.
  6. Выберите переключатель для Моя учетная запись пользователя.
  7. Нажмите Finish.
  8. Нажмите OK.
  9. Разверните раздел Сертификаты — текущий пользователь.
  10. Разверните Личные.
  11. Разверните раздел Сертификаты, если он существует.
  12. Нажмите правой кнопкой мыши на центральную панель, выберите Все задачи и затем Запросить новый сертификат
    Нажмите «Запросить новый сертификат»
  13. Нажмите Next.
  14. Не отменяйте выбор параметра Политика регистрации Active Directory.
  15. Нажмите Next.
  16. Выберите созданный и опубликованный ранее сертификат агента регистрации.
    Выберите сертификат агента регистрации
  17. Нажмите Регистрация.
  18. По завершении нажмите Готово.

Регистрация пользователей и Push-сертификатов

Теперь можно зарегистрировать пользователей в созданной и поместить сертификаты в карту с помощью MMC сертификата.

Регистрация пользователей и push-сертификатов

  1. Откройте Microsoft Management Console (MMC).
  2. Нажмите Файл.
  3. Нажмите Добавить или удалить оснастку.
  4. Выберите Сертификаты.
  5. Нажмите Add.
  6. Выберите переключатель для Моя учетная запись пользователя.
  7. Нажмите Finish.
  8. Нажмите OK.
  9. Разверните раздел Сертификаты — текущий пользователь.
  10. Разверните Личные.
  11. Разверните раздел Сертификаты, если он существует.
  12. Нажмите правой кнопкой мыши на центральную панель, выберите Все задачи, Дополнительные операции, а затем Зарегистрироваться от имени.
    Нажмите «Зарегистрироваться от имени»
  13. Нажмите Next.
  14. Не отменяйте выбор параметра Политика регистрации Active Directory.
  15. Нажмите Next.
  16. Нажмите Browse.
  17. Выберите созданный ранее сертификат агента регистрации и нажмите OK.
    Выберите сертификат агента регистрации
  18. Нажмите Next.
  19. Выберите переключатель для шаблона пользователя смарт-карты, созданного ранее.
    Выберите переключатель для шаблона пользователя смарт-карты
  20. Откройте раскрывающееся меню Сведения и нажмите Свойства.
    Нажмите «Свойства».
  21. Измените поставщика служб шифрования на приложение, которое вы используете. В нашем случае это Charismathics.
    Измените поставщика служб шифрования
  22. Нажмите OK.
  23. Нажмите Далее.
  24. Нажмите Обзор, а затем измените Расположения для извлечения из домена.
    Нажмите «Расположения»

    «Расположения» в вашем домене
  25. Введите имя пользователя для регистрации.
  26. Нажмите Проверить имена, чтобы проверить пользователя.
    Нажмите «Проверить имена»
  27. Нажмите OK.
  28. Нажмите Регистрация.
  29. Следуйте подсказкам.
    Запрос на вставку смарт-карты

    Запрос CSP интерфейса безопасности смарт-карты Charismathics

    Запрос результатов установки сертификата
  30. Нажмите Следующий пользователь, чтобы зарегистрировать других пользователей тем же способом, или нажмите Закрыть, чтобы продолжить.

Теперь смарт-карты можно использовать для аутентификации PBA.

VersaSec

VersaSec использует ранее созданные сертификаты для регистрации новых. Этот процесс использует шаблоны сертификатов, созданные с помощью Active Directory, чтобы позволить сотруднику создавать сертификаты входа для других сотрудников, которые будут использоваться во время сеанса входа. Администратор должен завершить регистрацию сертификата, экспортировать сертификат, а затем назначить сертификат смарт-карте. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Регистрация сертификата

Чтобы зарегистрировать сертификат, выполните следующие действия.

  1. Откройте Microsoft Management Console (MMC) с правами администратора, назначив сертификаты на устройстве, подключенном к домену, где настроены шаблоны сертификатов.
    Откройте Microsoft Management Console
  2. Выберите значение для параметра Добавить или удалить оснастку.
    Нажмите «Добавить или удалить оснастку»
  3. Выберите Сертификаты и нажмите Добавить.
    Нажмите «Добавить».
  4. Убедитесь, что выбрано значение для параметра Моя учетная запись пользователя.
    Убедитесь, что выбрано значение для параметра «Моя учетная запись пользователя»
  5. Выберите OK, чтобы загрузить выбранные оснастки.
    Нажмите «OK».
  6. Разверните панель Сертификаты — Текущий пользователь, правой кнопкой мыши нажмите на панель справа, а затем выберите Все задачи, Запросить новый сертификат.
    Нажмите «Запросить новый сертификат»
  7. Убедитесь, что выбрано значение для параметра Политика регистрации Active Directory, а затем нажмите Далее.
    Нажмите «Next»
  8. Выберите шаблон сертификата, который позволяет создать агента регистрации для текущего пользователя, затем нажмите Регистрация. В данном примере используется ранее созданный шаблон регистрации агента регистрации.
    Нажмите «Регистрация»
  9. После завершения регистрации нажмите Готово.
    Нажмите «Готово».
  10. С помощью сертификата агента регистрации создайте сертификат пользователя смарт-карты, основанный на предварительно созданном шаблоне, выбрав папку Сертификаты на левой панели. Выберите Все задачи, Дополнительные операции, а затем Зарегистрироваться от имени.
    Нажмите «Зарегистрироваться от имени»
  11. Убедитесь, что выбрано значение для параметра Политика регистрации Active Directory, а затем нажмите Далее.
    Нажмите «Next»
  12. Выберите Обзор при запросе сертификата агента регистрации.
    Нажмите «Обзор»
  13. Убедитесь, что выбран соответствующий сертификат, а затем нажмите OK.
    Нажмите «OK».
  14. Убедитесь, что нужный пользователь определен, и нажмите Далее.
    Нажмите «Next»
  15. Выберите шаблон, предварительно созданный для регистрации пользователя смарт-карты, и нажмите Далее. В данном примере используется шаблон, который называется Smartcard User Enrollment.
    Нажмите «Next»
  16. Выберите Обзор, чтобы найти нужного пользователя.
    Нажмите «Обзор»
  17. Измените расположение, чтобы выполнить поиск по всему каталогу, нажав Расположение.
    Нажмите «Расположение»
  18. Выберите соответствующий домен или организационную единицу и нажмите OK.
    Нажмите «OK».
  19. Введите пользователя, для которого необходимо создать сертификат смарт-карты, затем выберите Проверить имена, чтобы проверить основное имя пользователя (UPN).
    Нажмите «Проверить имена»
  20. Если найдено несколько пользователей, подтвердите выбор нужного пользователя и нажмите OK.
    Нажмите «OK».
  21. Подтвердите информацию о пользователе и нажмите OK.
    Нажмите «OK».
  22. Снова подтвердите информацию о пользователе и нажмите Регистрация.
    Нажмите «Регистрация»
  23. Регистрация выполняется быстро. Выберите Следующий пользователь , чтобы создать другой сертификат пользователя, или нажмите Закрыть , чтобы завершить процесс создания сертификата. Дополнительные сертификаты для других пользователей можно создать в любое время в будущем.
    Нажмите «Следующий пользователь»

Экспорт сертификатов

Сертификаты сначала экспортируются в формате PKCS12 для назначения смарт-картам. Сертификаты должны включать закрытый ключ и полную цепочку сертификатов.

Чтобы экспортировать сертификат, выполните следующие действия.

  1. Откройте Microsoft Management Console (MMC) с правами администратора, который назначает сертификаты на устройстве, подключенном к домену, где настроены шаблоны сертификатов.
    Откройте Microsoft Management Console
  2. Выберите значение для параметра Добавить или удалить оснастку.
    Нажмите «Добавить или удалить оснастку»
  3. Выберите Сертификат и нажмите Добавить.
    Нажмите «Добавить».
  4. Убедитесь, что выбрано значение для параметра Моя учетная запись пользователя.
    Убедитесь, что выбрано значение для параметра «Моя учетная запись пользователя»
  5. Выберите OK, чтобы загрузить выбранные оснастки.
    Нажмите «OK».
  6. Разверните панель Сертификаты — Текущий пользователь, затем правой кнопкой мыши нажмите на пользователя для экспорта. Выберите Все задачи и нажмите Экспорт.
    Нажмите «Экспорт»
  7. Выберите Да, экспортировать закрытый ключ и нажмите Далее.
    Нажмите «Next»
  8. Снимите флажок Включить конфиденциальность сертификата, выберите Экспортировать все расширенные свойства и нажмите Далее.
    Нажмите «Next»
  9. Выберите значение для параметра Пароль, назначьте безопасный пароль для сертификата и нажмите Далее.
    Нажмите «Next»
    Примечание. Не изменяйте параметр «Шифрование».
  10. Назначьте имя файла и расположение, затем нажмите Далее.
    Нажмите «Next»
  11. Подтвердите сведения, затем нажмите Готово, чтобы завершить экспорт.
    Нажмите «Готово».

Назначение сертификата смарт-карте

Установите и загрузите ПО VersaSec и любое промежуточное ПО для администрирования, которое может потребоваться для выделяемых смарт-карт.

Чтобы назначить сертификат смарт-карте, выполните следующие действия.

  1. Запустите агент VersaSec и вставьте смарт-карту.
  2. Перейдите в раздел Card Actions - Certificates and Keys, а затем выберите Import.
    Нажмите «Import» в агенте VersaSec
  3. Перейдите к экспортированному сертификату и выберите его для привязки к смарт-карте. Введите пароль сертификата в поле Password, затем выберите Import.
    Нажмите «Import».
  4. Введите PIN-код пользователя при появлении запроса на ввод секретного кода и нажмите OK.
    Нажмите «OK».
  5. После завершения записи сертификат появится в списке.
    Сертификат отображается в списке
  6. После записи на смарт-карту всех сертификатов для всех учетных записей их можно использовать для входа в Windows или в среду предзагрузочной аутентификации Dell.

Включение единого входа в Windows с помощью смарт-карт

Процесс включения единого входа в Windows с помощью смарт-карт различается в зависимости от используемой версии Dell Encryption Enterprise. Выберите нужную версию, чтобы ознакомиться с дополнительными сведениями. Для получения информации о версиях см. статью Как определить версию Dell Encryption Enterprise или Dell Encryption Personal.

Dell Encryption Enterprise, v8.18 и более поздние версии

Менять конечные точки не нужно. После настройки политики с помощью консоли управления все изменения конечных точек применяются автоматически.

Для смарт-карт может потребоваться промежуточное ПО. Проконсультируйтесь с поставщиком смарт-карт, чтобы определить, нужно ли устанавливать промежуточное решение на каждой конечной точке для аутентификации в Windows.

Dell Encryption Enterprise, v8.17.2 и более ранние версии
Предупреждение! Следующий шаг — редактирование реестра Windows:

Клиентские компьютеры по умолчанию не будут выполнять единый вход. Для этого необходимо добавить раздел реестра.

Раздел реестра:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On
  1. Откройте Редактор реестра.
  2. Разверните раздел HKEY Local Machine.
  3. Разверните раздел Software.
  4. Разверните раздел DigitalPersona.
  5. Разверните раздел Policies.
  6. Разверните раздел Default.
  7. Создайте ключ и присвойте ему имя Smartcards.
    Откройте Редактор реестра
  8. Создайте DWORD и присвойте ему имя MSSmartcardSupport.
    Создайте DWORD и присвойте ему имя «MSSmartcardSupport»
  9. Установите «Значение», равное 1.
    Установите «Значение», равное «1»

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Additional Information

Приложение А

Настройка источника сертификатов Microsoft

https://technet.microsoft.com/library/cc772393%28v=ws.10%29.aspx Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Необходимые службы роли:

  • Источник сертификатов
  • Регистрация источника сертификатов через Интернет
  • Сетевой ответчик

Приложение Б

Сценарии сбоев и журналы результатов

Сертификаты не принимаются в PBA.

Журналы PBA показывают:

[2015.04.07 17:53:18] [3C9ADA3BD9] [3061987072] [898]
[E:](CCredPasswordDlg::SmartcardAuthentication()) No smartcard certificate!

Решение.

Назначьте сертификат с помощью сертификатов MMC, а не через CSP.

Не удается выполнить вход в PBA с помощью действительной смарт-карты, которая работает нормально в Windows:

  • Выходные данные сервера безопасности (POST v8.5) или файлы SED.Log сервера безопасности содержат ошибки, связанные с недопустимыми сертификатами.

Причина:

java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - PBA auth error. Code=InvalidCertificate com.credant.sed.pba.resources.AuthException
2015-05-04 21:06:00,138 INFO SED [qtp914277914-24] - Smartcard auth from agent abbc4a5d-6e6d-4fac-9181-2a1dee1599ee
2015-05-04 21:06:00,169 ERROR SED [qtp914277914-24] - Invalid smartcard cert com.credant.security.x509.InvalidCertificateException: Invalid cert path
at com.credant.security.x509.CertificateVerifier.validate(CertificateVerifier.java:141)

Решение.

Импортируйте корневой или промежуточный сертификат источника сертификатов в хранилище ключей Java для сервера безопасности и перезапустите службу сервера безопасности.

Affected Products

Dell Encryption
Article Properties
Article Number: 000126656
Article Type: How To
Last Modified: 02 Oct 2024
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.