Smart card login

Posted by Stanislav Nedelchev on Wed, 06/01/2011 - 10:19

Windows 2003 / 2008 smart card login

Ще се опитам накратко да покажа как можем да активираме влизането в домейн с помоща на смарт карта.
Описаното ръководство е за Windows сървър 2003 и windows XP.
Но са засегнати проблемите и промените, които можете да срещнете ако използвате Windows сървър 2008 и Windows vista и 7 .

На първо място трябва да имате подходящ четец за смарт карти.
Такива са моделите Omnikey на компания HID.
Аз съм използвал модел Card man 5321
http://www.hidglobal.com/prod_detail.php?prod_id=171
Второто много важно нещо е да имате подходящи смарт карти.
Които имат драйвер за вашата опрационна система.
Масово използваните и продавани карти в българия са на сименс.
И драйверите им не работят с windows 7 коректно.
И е възможно да не можете да запишете сертификата след като го генерирате.
Въпреки , че има нови драйвери на charismatics за м които се говори , че работят.
Моя опит показва , че и те не работят коректно с 64 битова версия на windows 7.

С случая съм използвал последната версия на софтуера и драйвеите на
Siemens CARD API с 32 битова версия на windows vista.
картата има следната информация:

След като имаме тези 2 много важни неща а именно четец и карта.
Забележка: Има значително по евтини карти но те нямат достатъчно място и необходимия софтуер и хардуер
за да се използват за записване на PKCS11 / X509 сертификати в тях.

Инсталиране на certificate Authority root CA

От add/remove programs или от добавяне не роля трябва да изберем :
Certificate Services

Някой от стъпките са пропуснати но те се подразбират.

След което да изберем

И тук трябва да зададем коректни данни за нашия root CA

След като инсталацията приключи .

Ттрябва да създадем certificate templates , които ще използваме.

В нашия случай това са :

След , което ще бъдат инсталирани следните шаблони:

След като сме инсталирали шаблоните трябва да създадем работна станция от която да създаваме сертификати за всеки потребител. Тази станция се нарича enrollment stantion.

За целта трябва да създадем сертификат enrloment agent , който да инсталираме на тази машина.

Тук съм показал в няколко стъпки как става това:
Линка от който се създават сертификатите се намира на http://servername/certsrv/
Първа стъпка

Избираме - request certificate
Втора стъпка

Тук избираме - advanced certificate request
Стъпка 3

Тук избираме - Create and submit a request to this CA

Стъпка 4

тук избираме от падащия списък - Enrollment Agent

Стъпка 5 - Инсталираме сертификата

След като сме инсталирали Enrollment Agent сертификата можем да започнем да издаваме и записваме
сертификати на смарт картите на потребителите.
Стъпките са подобни но се избират други опции , които съм ги показал накратко.

Стъпка 1

Втора стъпка

Тук избираме - advanced certificate request

Стъпка 3

Тук избираме - Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station

Стъпка 4

След което ще трябва да изберете за кой потребител искате да издадете сертификата.

При правилно инсталирани драивери за четеца и смарт картите ще видите съобщение да поставите картата в четеца.

Ще трябва да приемете и съобщението , че от ваше име се създава сертификат за друг потребител.

След което въвеждате пин кода на картата и сертификата ще бъде записан.
Забележка издаването на сертификати става с Internet Explorere защото се използва ActiveX

Особенности при widnows 2008 :

При windows 2008 възможността да създавате сертификати през уеб страницата е премахната.

И е добавена в MMC конзолата на windows vista и 7

Ето и как изглежда един записан сертификат на картата.

Tags: 

Add new comment

Refresh Type the characters you see in this picture. Type the characters you see in the picture; if you can't read them, submit the form and a new image will be generated. Not case sensitive.  Switch to audio verification.