CertBase Community
Die Lernplattform für Ihren Erfolg
Virtuelle Smartcards

Windows unterstützt in den Versionen ab Windows 8 und Windows Server 2012 die Verwendung virtueller Smartcards.

Virtuelle Smartcards erfordern einen TPM-Chip (Trusted Platform Module), der anstelle einer physischen Smartcard für das Speichern der Smartcard-Zertifikate verwendet wird. Die Verwendung virtueller Smartcards ohne ein TPM ist nicht möglich.

Für die Benutzer ist eine virtuelle Smartcard vergleichbar mit einer Smartcard, die ständig mit dem Computer verbunden ist. Wenn ein Benutzer mehr als einen Computer verwendet, muss für jeden Computer des Benutzers, eine separate virtuelle Smartcard ausgestellt werden. Auf einem Computer, der von mehreren Benutzern gemeinsam genutzt wird, kann für jeden Benutzer eine eigene virtuelle Smartcard erstellt werden.

Verwendet ein Benutzer mehrere Benutzerkonten (beispielsweise für verschiedene Projekte), könnten die Zertifikate der verschiedenen Konten auch gemeinsam auf einer virtuellen Smartcard gespeichert werden. Der Benutzer kann die Identität von seiner Smartcard wählen und verwendet dann dieselbe Smartcard-PIN für alle darauf abgelegten Anmeldezertifikate.

Einen besonderen Nutzen bietet die mehrstufige Authentifizierung durch virtuelle Smartcards bei der Absicherung von Remotezugriffslösungen, wie Remotedesktop oder SSTP-basierten VPN-Verbindungen.

Mit den nachfolgenden Schritten lässt sich schnell eine eigene Testumgebung erstellen.

Für den Test wird folgendes benötigt:

  • Ein physikalischer Computer mit dem Betriebssystem Windows 8 oder höher. Der Computer muss über einen Trusted Platform Modul (TPM) Chip der Version 1.2 oder 2.0 verfügen  
  • Eine konfigurierte Zertifizierungsstelle (CA) vom Typ Unternehmen  
  • Eine Domäne und einen Domänenbenutzer mit dem die Anmeldung per Smartcard getestet werden kann.

Die folgenden drei Schritte sind erforderlich:

1.       Erstellen einer Zertifikatvorlage

2.       Erstellen einer virtuellen Smartcard

3.       Registrieren eines Smartcard-Zertifikats und installieren des Zertifikats in den Smartcard-Leser

1. Erstellen einer Zertifikatvorlage

Öffnen Sie die Verwaltungskonsole der Zertifizierungsstelle. Wählen Sie im Kontextmenü von Zertifikatvorlagen die Option Verwalten:

Suchen Sie nach der Vorlage Smartcard-Anmeldung und duplizieren Sie die Vorlage:

Geben Sie auf dem Register Allgemein einen geeigneten Vorlagenanzeigennamen an und passen Sie bei Bedarf die Gültigkeitsdauer an.

Ändern Sie den Zweck des Zertifikates auf dem Register Anforderungsverarbeitung in Signatur und Smartcard-Anmeldung. Bestätigen Sie das aufkommende Dialogfeld mit Informationen zu den Auswirkungen der Änderungen. Beachten Sie, dass die Option Antragsteller ohne Benutzereingabe registrieren automatisch in Benutzer zur Eingabe während der Registrierung auffordern geändert wird.

Ändern Sie auf dem Register Kryprografie die Minimale Schlüsselgröße von 1024 auf 2048, falls dies nicht bereits eingestellt ist und legen Sie fest, dass für Anforderungen der Anbieter Microsoft Base Smart Card Crypto Provider verwendet wird.

Auf dem Register Sicherheit müssen Sie den Benutzern, die Zertifikate auf Basis der neuen Vorlage erhalten sollen, die erforderlichen Rechte erteilen. Um den Prozess möglichst einfach zu gestalten, erteile ich der Gruppe Authentifizierte Benutzer Berechtigungen für das Registrieren und für die automatische Genehmigung der Zertifikate.

Klicken Sie auf OK, um das Erstellen der neuen Vorlage abzuschließen.

Im nächsten Schritt muss die neu erstellte Vorlage der Zertifizierungsstelle als auszustellende Zertifikatvorlage hinzugefügt werden. Über das Kontextmenü des Knotens Zertifikatvorlagen der Zertifizierungsstelle ist dies schnell erledigt.

Benutzer können sich jetzt für Zertifikate auf Basis der angepassten Vorlage registrieren:

 

2. Erstellen einer virtuellen Smartcard

Mit dem Befehlszeilenprogramm Tpmvscmgr.exe wird auf dem Clientcomputer mit aktiviertem TPM jetzt eine virtuelle Smartcard mit dem Namen VSC1 erstellt.

Geben Sie folgendes an einer Eingabeaufforderung mit erhöhten Rechten ein:

tpmvscmgr.exe create /name VSC1 /pin prompt /puk prompt /adminkey random /generate

Für die Verwaltung der Smartcard, gibt der Befehl nach Abschluss eine Geräte-ID zurück. Notieren Sie sich diese ID. Mit Ihrer Hilfe können Sie die Smartcard später verwalten oder löschen. Die Daten können aber auch im Geräte-Manager ermittelt werden.

3. Registrieren eines Smartcard-Zertifikats und installieren des Zertifikats in den Smartcard-Leser

Mit dem Snap-In Zertifikate (CertMgr.msc) kann jetzt ein Zertifikat für den angemeldeten Benutzer registriert werden:

Damit das Zertifikat auf die Virtual Smartcard installiert werden kann, muss die PIN eingegeben werden:

Verwenden virtueller Smartcards

Virtuelle Smartcards können als Anmeldeoption für die lokale Anmeldung und auch für die Anmeldung am Remotedesktop genutzt werden. Besonders interessant werden sie aber in Verbindung mit DirectAccess oder SSTP-basierten VPN-Verbindungen.

Bei der Anmeldung am Remotedesktop werden Smartcard und PIN verwendet:

Möchte man bei einer SSTP-basierten VPN-Verbindung sicherstellen, dass nur Computer eine Verbindung herstellen können, die Mitglied der Domäne sind, hat man derzeit ein Problem. Die entsprechenden Bedingungen des Netzwerkrichtlinienservers greifen für diese Verbindungsarten nicht. Virtuelle Smartcards ermöglichen hier eine kostenlose und einfach zu implementierende zweistufige Authentifizierung.

In den Sicherheitseinstellungen der VPN-Verbindung muss die Authentifizierung dazu auf Microsoft: Smartcard- oder anderes Zertifikat (verschlüsselt) umgestellt werden:

Beim Herstellen der Verbindung wählt der Benutzer dann das zu verwendende Zertifikat von der VS aus und gibt seine PIN ein.

 

Wissenswertes

  • Eine virtuelle Smartcard kann maximal 30 eindeutige Zertifikate einschließlich der privaten Schlüssel speichern. Jeder Benutzer kann sein Zertifikat auf der Smartcard bis zu dreimal erneuern. Die maximale Anzahl der Zertifikate beträgt demzufolge das dreifache der max. Anzahl privater Schlüssel.  
  • Pro Windows Gerät können maximal 10 virtuelle Smartcards registriert werden.  
  • Die PIN und der PIN Unlock Key (PUK) müssen mindestens 8 Zeichen lang sein und dürfen nummerische, alphanummerische und Sonderzeichen enthalten.  
  • Der Adminkey ist eine Folge von 48 Hexadezimal-Zeichen   
  • Die Verwaltung virtueller Smartcards erfolgt mit dem Befehlszeilenprogramm TpmVsMgr.exe  
  • Benutzer können ihre PIN ändern, indem Sie STRG + ALT + ENTF drücken und die Option Kennwort ändern verwenden.

Eingetragen Sun, 29. May 2016 10:26 von Maik
CertBase - IT-Prüfungsvorbereitung Online