Tutorial: Windows AD Logon mit OpenPGP Smartcard

• Domain Controller mit installierter und eingerichteter Rolle „Zertifizierungsstelle“
• PCs mit SmartCard Reader
• PC mit Linux, Smartcard-Reader und dem Paketen gnupg pcscd pcsc-tools installiert
• OpenPGP Smartcard (hier erhältlich: FLOSS Shop)

Der OpenPGP Cryptographic Service Provider muss auf dem Domain Controller, auf dem auch die Zertifizierungsstelle installiert ist, und auf allen PCs und RDS Servern, auf denen ein SmartCard Login möglich sein soll, installiert werden.

Datei SetupOpenPGPCsp_x64.msi von GitHub herunterladen und Installation auf AD-DC und PCs durchführen.

1. Zertifizierungsstelle öffnen
2. Zertifikatvorlagenkonsole öffnen (Zertifizierungsstelle > Rechtsklick auf Zertifikatvorlagen > Verwalten)
3. Die Vorlage Smartcard-Anmeldung duplizieren (Rechtsklick > Vorlage duplizieren)
4. Folgende Einstellungen ausfüllen (alle anderen Einstellungen auf den Standardwerten belassen):
   1. Allgemein > Vorlagenanzeigename: OpenPGP Card Logon
   2. Kryptografie:
      1. Minimale Schlüsselgröße: 2048 (bei größeren Werten funktioniert OpenPGP nicht mehr)
      2. Anforderungsanbieter: OpenPGP CSP
   3. Erweiterungen > Anwendungsrichtlinien: Smartcard-Anmeldung, Sichere E-Mail, Clientauthentifizierung
   4. Sicherheit > Authentifizierte Benutzer: Registrieren anhaken
   5. Antragstellername: E-Mail-Name, Benutzerprinzipalname (UPN)
5. Fenster mit OK schließen
6. Zertifikatvorlagenkonsole schließen
7. Auszustellende Zertifikatvorlage hinzufügen (Zertifizierungsstelle > Rechtsklick auf Zertifikatvorlagen > Neu > Auszustellende Zertifikatvorlage > OpenPGP Card Logon auswählen > OK
8. Zertifizierungsstelle schließen

Auf dem Linux Rechner kann mit dem Befehl pcsc_scan geprüft werden, ob die Smartcard funktioniert. Wenn die Karte funktioniert, wird beim Stecken der Karte der Kartenbezeichner OpenPGP Card v3 (o.ä.) angezeigt. Ist die Karte defekt, erscheint die Meldung card unresponsive (o.ä.).

Mit dem Befehl gpg --change-pin sind der User-PIN und der Admin-PIN zu ändern. Die Default User PIN ist 123456 und der Default Admin PIN ist 12345678.

1. Windows-Login auf einem PC mit dem Benutzer, für den die Karte registriert werden soll
2. MMC Benutzerzertifikate verwalten öffnen
3. Eigene Zertifikate > Rechtsklick > Alle Aufgaben > Neues Zertifikat anfordern…
4. Weiter > Active Directory-Registrierungsrichtlinie > Weiter
5. Haken bei OpenPGP Card Logon setzen > Registrieren
6. Anweisungen befolgen um das Zertifikat auszustellen und auf der Karte zu speichern (im OpenPGP KSP Fenster Authentication auswählen)