Importieren eines Zertifikats in eine Smartcard

Manchmal ist es erforderlich, ein Zertifikat, welches einen Software-Schlüssel verwendet, in eine Smartcards zu importieren.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Zunächst muss das Zertifikat inklusive privatem Schlüssel in eine PKCS#12 (PFX)-Datei exportiert werden.

Der Cryptographic Service Provider (CSP) beziehungsweise der Key Storage Provider (KSP) muss den Import von Schlüsseln erlauben. Hierzu muss für den entsprechenden Provider ein entsprechender Registry-Wert gesetzt werden. Hier das Beispiel für den Microsoft Base Smart Card Crypto Provider:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider]
"AllowPrivateSignatureKeyImport"=dword:00000001
"AllowPrivateExchangeKeyImport"=dword:00000001

Die obenstehenden Werte müssen in eine Textdatei kopiert und mit der Endung .reg abgespeicher werden.

Anschließend muss die Registry-Datei importiert werden. Hierfür sind lokale Administrator-Berechtigungen erforderlich.

Anschließend kann die PFX-Datei mit folgendem Befehl importiert werden:

certutil ^
-user  ^
-csp "Microsoft Base Smart Card Crypto Provider" ^
-importpfx {Pfad-zur-PFX-Datei>.pfx

Hierfür sind ebenfalls Administrator-Berechtigungen erforderlich. Es werden das Passwort für die zu importierende PFX-Datei sowie die PIN der Smartcard verlangt.

Weiterführende Links:

Externe Quellen

de_DEDeutsch