Inhaltsverzeichnis
Tutorial: Windows AD Logon mit OpenPGP Smartcard
Voraussetzungen
- Domain Controller mit installierter und eingerichteter Rolle „Zertifizierungsstelle“
- PCs mit SmartCard Reader
- PC mit Linux, Smartcard-Reader und dem Paketen
gnupg pcscd pcsc-tools
installiert
Installation
OpenPGP CSP installieren
Der OpenPGP Cryptographic Service Provider muss auf dem Domain Controller, auf dem auch die Zertifizierungsstelle installiert ist, und auf allen PCs und RDS Servern, auf denen ein SmartCard Login möglich sein soll, installiert werden.
Datei SetupOpenPGPCsp_x64.msi
von GitHub herunterladen und Installation auf AD-DC und PCs durchführen.
Active Directory vorbereiten
- Zertifizierungsstelle öffnen
- Zertifikatvorlagenkonsole öffnen (Zertifizierungsstelle > Rechtsklick auf Zertifikatvorlagen > Verwalten)
- Die Vorlage
Smartcard-Anmeldung
duplizieren (Rechtsklick > Vorlage duplizieren) - Folgende Einstellungen ausfüllen (alle anderen Einstellungen auf den Standardwerten belassen):
- Allgemein > Vorlagenanzeigename:
OpenPGP Card Logon
- Kryptografie:
- Minimale Schlüsselgröße:
2048
(bei größeren Werten funktioniert OpenPGP nicht mehr) - Anforderungsanbieter:
OpenPGP CSP
- Erweiterungen > Anwendungsrichtlinien:
Smartcard-Anmeldung, Sichere E-Mail, Clientauthentifizierung
- Sicherheit > Authentifizierte Benutzer:
Registrieren
anhaken - Antragstellername:
E-Mail-Name, Benutzerprinzipalname (UPN)
- Fenster mit OK schließen
- Zertifikatvorlagenkonsole schließen
- Auszustellende Zertifikatvorlage hinzufügen (Zertifizierungsstelle > Rechtsklick auf Zertifikatvorlagen > Neu > Auszustellende Zertifikatvorlage >
OpenPGP Card Logon
auswählen > OK - Zertifizierungsstelle schließen
PIN Codes der Smartcards ändern
Auf dem Linux Rechner kann mit dem Befehl pcsc_scan
geprüft werden, ob die Smartcard funktioniert. Wenn die Karte funktioniert, wird beim Stecken der Karte der Kartenbezeichner OpenPGP Card v3
(o.ä.) angezeigt. Ist die Karte defekt, erscheint die Meldung card unresponsive
(o.ä.).
Mit dem Befehl gpg --change-pin
sind der User-PIN und der Admin-PIN zu ändern. Die Default User PIN ist 123456 und der Default Admin PIN ist 12345678.
Zertifikat ausstellen
- Windows-Login auf einem PC mit dem Benutzer, für den die Karte registriert werden soll
- MMC
Benutzerzertifikate verwalten
öffnen - Eigene Zertifikate > Rechtsklick > Alle Aufgaben > Neues Zertifikat anfordern…
- Weiter > Active Directory-Registrierungsrichtlinie > Weiter
- Haken bei
OpenPGP Card Logon
setzen > Registrieren - Anweisungen befolgen um das Zertifikat auszustellen und auf der Karte zu speichern (im OpenPGP KSP Fenster
Authentication
auswählen)