Inhaltsverzeichnis
Tutorial: Windows AD Logon mit OpenPGP Smartcard
Voraussetzungen
- Domain Controller mit installierter und eingerichteter Rolle „Zertifizierungsstelle“
- User-PCs mit SmartCard Reader
- Admin-PC mit Windows oder Linux
- OpenPGP Smartcard (hier erhältlich: FLOSS Shop)
Installation
OpenPGP CSP installieren
Der OpenPGP Cryptographic Service Provider muss auf dem Domain Controller, auf dem auch die Zertifizierungsstelle installiert ist, und auf allen PCs und RDS Servern, auf denen ein SmartCard Login möglich sein soll, installiert werden.
Datei SetupOpenPGPCsp_x64.msi von GitHub herunterladen und Installation auf Domain Controller, dem Admin-PC und allen User-PCs durchführen.
Active Directory vorbereiten
- Zertifizierungsstelle öffnen
- Zertifikatvorlagenkonsole öffnen (Zertifizierungsstelle > Rechtsklick auf Zertifikatvorlagen > Verwalten)
- Die Vorlage
Smartcard-Anmeldungduplizieren (Rechtsklick > Vorlage duplizieren) - Folgende Einstellungen ausfüllen (alle anderen Einstellungen auf den Standardwerten belassen):
- Allgemein > Vorlagenanzeigename:
OpenPGP Card Logon - Kryptografie:
- Minimale Schlüsselgröße:
2048(bei größeren Werten funktioniert OpenPGP nicht mehr) - Anforderungsanbieter:
OpenPGP CSP
- Erweiterungen > Anwendungsrichtlinien:
Smartcard-Anmeldung, Sichere E-Mail, Clientauthentifizierung - Sicherheit > Authentifizierte Benutzer:
Registrierenanhaken - Antragstellername:
E-Mail-Name, Benutzerprinzipalname (UPN)
- Fenster mit OK schließen
- Zertifikatvorlagenkonsole schließen
- Auszustellende Zertifikatvorlage hinzufügen (Zertifizierungsstelle > Rechtsklick auf Zertifikatvorlagen > Neu > Auszustellende Zertifikatvorlage >
OpenPGP Card Logonauswählen > OK - Zertifizierungsstelle schließen
Admin-PC (Windows Variante) vorbereiten
Die GPG4WIN Software (Download) muss installiert sein. Es ist nur das Paket GnuPG erforderlich; alle anderen Pakete können abgewählt werden.
Im Benutzerkonto des Admins, welcher die Karten verwaltet die Datei %APPDATA%\gnupg\scdaemon.conf mit folgendem Inhalt befüllen (Datei neu erstellen, falls sie nicht existiert):
disable-ccid pcsc-shared
Den Treiber mit dem Befehl gpgconf –kill gpg-agent neu starten.
Admin-PC (Linux Variante) vorbereiten
Die Pakete gnupg pcscd pcsc-tools müssen mittels dem Paketmanager (apt, yum, …) installiert werden.
PIN Codes der Smartcards ändern (Windows Variante)
Folgende Befehle ausführen um Admin-PIN bzw. User-PIN zu ändern:
gpg --card-edit admin passwd
Die Default User PIN ist 123456 und der Default Admin PIN ist 12345678.
PIN Codes der Smartcards ändern (Linux Variante)
Auf dem Linux Rechner kann mit dem Befehl pcsc_scan geprüft werden, ob die Smartcard funktioniert. Wenn die Karte funktioniert, wird beim Stecken der Karte der Kartenbezeichner OpenPGP Card v3 (o.ä.) angezeigt. Ist die Karte defekt, erscheint die Meldung card unresponsive (o.ä.).
Mit dem Befehl gpg --change-pin sind der User-PIN und der Admin-PIN zu ändern. Die Default User PIN ist 123456 und der Default Admin PIN ist 12345678.
Zertifikat ausstellen
- Windows-Login auf einem PC mit dem Benutzer, für den die Karte registriert werden soll
- MMC
Benutzerzertifikate verwaltenöffnen - Eigene Zertifikate > Rechtsklick > Alle Aufgaben > Neues Zertifikat anfordern…
- Weiter > Active Directory-Registrierungsrichtlinie > Weiter
- Haken bei
OpenPGP Card Logonsetzen > Registrieren - Anweisungen befolgen um das Zertifikat auszustellen und auf der Karte zu speichern (im OpenPGP KSP Fenster
Authenticationauswählen)