|
Seit Einführung von Windows 2000 ist die Anmeldung per SmartCard mit
Bordmitteln des Betriebssystems möglich. Eine Anmeldung per SmartCard
ist nicht nur sicherer, sondern auch benutzerfreundlicher. Man muss sich
keinen Anmeldenamen, keinen Domänennamen und auch kein Kennwort merken.
Der ständige Kennwortwechsel und das lästige "STRG-Alt-Entf" entfällt
ebenfalls.
Die beiliegende PDF-Datei ist ein 40 Seiten starker Leitfaden, der
zeigt, was man konkret tun muss, um die SmartCard-Anmeldung unter Windows
2000 und Windows XP zur realisieren.
 SmartCard Leitfaden
(ca. 1,35 MB) 
 Hinweise zu Windows
Server 2003
Der SmartCard-Leitfaden wurde für Windows 2000 entwickelt. Die Aussage und
Vorgehensweisen lassen sich aber auf Windows Server 2003 übertragen. Im
folgenden werden die wichtigsten Änderungen stichwortartig aufgezählt:
Anmerkungen zur SmartCardreader GemPC430
Für den im Leitfaden beschriebenen SmartCardreader GemPC430 hatte
Windows XP alle notwendigen Treiber an Bord. Bei Windows 2003 ist dies
unverständlicherweise nicht mehr der Fall.
 Gemplus
Smartcard Drivers Are Not Included in Windows Server 2003 (KB 811943)
Man muss daher die Treiber
des Herstellers separat installieren. Diese findet man hier:
Treiber
für Windows Server 2003
Zur Kontrolle der Installation ist nach wie vor das Diagnostic Tool
sinnvoll
 SmartDiag Diagnosis
Tool Installer
Das beschriebene "Card Details Tool" (Gemplus Enterprise Workstation ) wird leider nicht mehr online
angeboten.
Installation der CA
Vor Installation einer CA auf einer Windows Server 2003 Maschine,
muss zunächst der IIS installiert werden. Dabei muss der ASP-Support
aktiviert werden. Wenn dies nicht vor Installation der CA erledigt wird,
funktioniert anschließend die Webschnittstelle der CA nicht. Bei Windows
2000 war der IIS standardmäßig installiert, bei Windows Server 2003 aber
nicht!
Zertifikatsvorlagen installieren (Kap. 4.3)
Das Hinzufügen von Zertifikatsvorlagen geht nicht mehr über den
Knoten "Richtlinieneinstellungen", sondern über den neuen Knoten
"Zertifikatsvorlagen". Abb. 1 zeigt die relevante Stelle in der CA von
Windows Server 2003.
 Abbildung 1: Hinzufügen von Zertifikatsvorlagen
Rechte für Zertifikatsvorlagen (Kap. 4.4)
Die Rechtevergabe für die Zertifikatsvorlagen wird jetzt über ein
neues Snap-In namens "Zertifikatsvorlagen" erledigt. Der Umweg über "Active
Directory Standorte und Dienste" kann daher entfallen. Das neue
Snap-In bietet für jede Vorlagen über "Eigenschaften" mehrere
Registerkarten an. Über die Registerkarte "Sicherheit" erfolgt jetzt die
Einstellung der Rechte.
 Abbildung 2: Snap-In Zertifikatsvorlagen
Das Rechte "Einschreiben" wurde umbenannt in "Registrieren".
Probleme
Bisher wurde folgendes Problem beobachtet:
Unsicheres Active X
Beim Erstellen von SmartCards kann eine Fehlermeldung erscheinen,
die darauf hinweist, dass ein ActiveX-Modul nicht sicher sei. Der IE
muss dann so konfiguriert werden, dass das Modul ausgeführt werden darf
(Optionen Sicherheit im IE).
SCardSvr Error Event 610
Dieser Event wurde beim Erstellen einer SmartCard beobachtet. Das
Erstellen bricht mit einem Fehler ab, und der oben genannte Event wird
im System-Log protokolliert.
Ursache dieses Fehlers war schlicht eine defekte SmartCard (Fehler
wurde von meinen Sohn Tim (6 Jahre) entdeckt).
Windows XP Prof.
deutsch mit SP1
Windows 2000 Server
deutsch mit SP3
Windows Server
2003 deutsch
Smartcardleser Gemplus
PC430 (USB)
Andere Umgebungen wurden nicht getestet. |
Tipps und Tools
T20xx
Anmeldung per
SmartCard [ T2075L ]
Drucken
Menuleiste ein
---AC.net---
)
)
Themen
Tipps
Sitemap
