Damit eine Smartcard Anmeldung erfolgreich ist, müssen in der Active Directory Umgebung einige Voraussetzungen erfüllt sein:
Voraussetzungen
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Domänencontroller-Zertifikate müssen die Anmeldung erlauben
Domain Controller müssen über Zertifikate verfügen, welche die Smartcard Anmeldung ermöglichen. Dabei muss eines der folgenden Kriterien zutreffen.
- Die Erweiterung "Extended Key Usage" beinhaltet das Extended Key Usage für KDC Authentication (1.3.6.1.5.2.3.5) oder
- Die Erweiterung "Extended Key Usage" beinhaltet das Extended Key Usage für Smartcard Logon (1.3.6.1.4.1.311.20.2.2) oder
- Eine Erweiterung "Template Name" ist vorhanden und besitzt den Wert "DomainController"
Microsoft verwendet den Terminus "Enhanced Key Usage", die korrekte Bezeichnung gemäß RFC 5280 ist allerdings "Extended Key Usage".
Zertifizierungsstellen-Zertifikate müssen in NTAuthCertificates eingetragen sein
Folgende Zertifizierungsstellen-Zertifikate müssen im Active Directory Objekt "NTAuthCertificates" hinterlegt sein. Siehe hierzu auch Artikel "Bearbeiten des NTAuthCertificates Objektes im Active Directory".
- Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Domänencontroller-Zertifikate ausstellt
- Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Benutzerzertifikate ausstellt
Zertifizierungsstellen-Zertifikate müssen das entsprechende Extended Key Usage erlauben
Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Benutzerzertifikate ausstellt, muss entweder das Extended Key Usage "Smart Card Logon" oder "Client Authentication" unterstützen, d.h. es ist nicht durch eine entsprechende Extended Key Usages Erweiterung untersagt.
Obige Voraussetzungen sind per Standardeinstellungen erfüllt, d.h. wenn eine ins Active Directory integrierte Zertifizierungsstelle installiert wird, sind die benötigten Einstellungen wie oben gesetzt. Die Standard-Zertifikatvorlagen für Domain Controller verfügen über die entsprechenden Eigenschaften.
Weiterführende Links:
- Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung
- Bearbeiten des NTAuthCertificates Objektes im Active Directory
- Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten
5 Gedanken zu „Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind?“
Kommentare sind geschlossen.