Inhaltsverzeichnis

Tutorial: Windows AD Logon mit OpenPGP Smartcard

Voraussetzungen

Installation

OpenPGP CSP installieren

Der OpenPGP Cryptographic Service Provider muss auf dem Domain Controller, auf dem auch die Zertifizierungsstelle installiert ist, und auf allen PCs und RDS Servern, auf denen ein SmartCard Login möglich sein soll, installiert werden.

Datei SetupOpenPGPCsp_x64.msi von GitHub herunterladen und Installation auf AD-DC und PCs durchführen.

Active Directory vorbereiten

  1. Zertifizierungsstelle öffnen
  2. Zertifikatvorlagenkonsole öffnen (Zertifizierungsstelle > Rechtsklick auf Zertifikatvorlagen > Verwalten)
  3. Die Vorlage Smartcard-Anmeldung duplizieren (Rechtsklick > Vorlage duplizieren)
  4. Folgende Einstellungen ausfüllen (alle anderen Einstellungen auf den Standardwerten belassen):
    1. Allgemein > Vorlagenanzeigename: OpenPGP Card Logon
    2. Kryptografie:
      1. Minimale Schlüsselgröße: 2048 (bei größeren Werten funktioniert OpenPGP nicht mehr)
      2. Anforderungsanbieter: OpenPGP CSP
    3. Erweiterungen > Anwendungsrichtlinien: Smartcard-Anmeldung, Sichere E-Mail, Clientauthentifizierung
    4. Sicherheit > Authentifizierte Benutzer: Registrieren anhaken
    5. Antragstellername: E-Mail-Name, Benutzerprinzipalname (UPN)
  5. Fenster mit OK schließen
  6. Zertifikatvorlagenkonsole schließen
  7. Auszustellende Zertifikatvorlage hinzufügen (Zertifizierungsstelle > Rechtsklick auf Zertifikatvorlagen > Neu > Auszustellende Zertifikatvorlage > OpenPGP Card Logon auswählen > OK
  8. Zertifizierungsstelle schließen

PIN Codes der Smartcards ändern

Auf dem Linux Rechner kann mit dem Befehl pcsc_scan geprüft werden, ob die Smartcard funktioniert. Wenn die Karte funktioniert, wird beim Stecken der Karte der Kartenbezeichner OpenPGP Card v3 (o.ä.) angezeigt. Ist die Karte defekt, erscheint die Meldung card unresponsive (o.ä.).

Mit dem Befehl gpg --change-pin sind der User-PIN und der Admin-PIN zu ändern. Die Default User PIN ist 123456 und der Default Admin PIN ist 12345678.

Zertifikat ausstellen

  1. Windows-Login auf einem PC mit dem Benutzer, für den die Karte registriert werden soll
  2. MMC Benutzerzertifikate verwalten öffnen
  3. Eigene Zertifikate > Rechtsklick > Alle Aufgaben > Neues Zertifikat anfordern…
  4. Weiter > Active Directory-Registrierungsrichtlinie > Weiter
  5. Haken bei OpenPGP Card Logon setzen > Registrieren
  6. Anweisungen befolgen um das Zertifikat auszustellen und auf der Karte zu speichern (im OpenPGP KSP Fenster Authentication auswählen)