Smartkort i en Microsoft Windows labbmiljö

Hej kära läsare, Peter Swedin här igen. En ”fellow geek” noterade häromsistens att jag använde ett .NET smartkort när jag skulle logga in på HTPC:n. Efter de vanliga kommentarerna om paranoida säkerhetsnördar ville kompisen veta hur man bygger en smartkortsimplementation i labbmiljö. Jag svarade att jag skulle posta ett blogginlägg om saken. Eftersom det rör säkerhet, PKI, labbande och annat som jag brinner för passar det här på SÄK-bloggen, så här kommer en allmän snabböversikt. Mycket nöje och labba på där ute!
OBS! Detta är som sagt i en labbmiljö! Skall man införa det här i en enterprise-miljö kommer helt andra drift- och säkerhetshänsynstaganden med i bilden!
Utrustning:
1.       Minst en domänkontrollant (Windows 2008 R2 är min favorit)
2.       En  Active Directory Certificate Services maskin. (Vill man snåla i labbmiljön, kan man köra den på DCn. OBS! det är strängeligen förbjudet att snåla på det sättet i en skarp produktionsmiljö av uppenbara skäl….)
3.       En klient. (Windows 7 eller Vista är enklast. Det funkar ypperligt på Mac OS X också, men i så fall behöver man börja betala mig konsultarvode… J)
4.       Minst en smartkortsläsare. (Den billigaste jag har hittat är PC Twin)
5.       Minst ett smartkort (.NET smartkort är busenkla eftersom de följer PKCS#11 standarden, Smart Card Minidriver specifikationen och CSP:n följer med i Win7/Vista)

Gör så här

Efter att man har installerat ovanstående utrustning, alltså byggt domäninstallerat CA och så vidare är det dags att utfärda certifikat.
Först och främst skall man ge ut ett Kerberos Authentication certifikat till DCn (se mitt tidigare inlägg om Kerberos och dess sårbarheter. Se till att slå på de GPO:er som rekommenderas där också).
Sen är det dags att utfärda ett smartkortscertifikat till en användare.  I en enterprise-miljö använder man givetvis en enterprise-lösning, exempelvisForefront Identity manager 2010vSEC:CMSNet ID Card Portal eller motsvarande men i labbmiljön kan vi snåla genom att använda webbapplikationen som följer med i CA-rollen i Windowscertifikatservern (med andra ord, installera IIS och Certsrv på CA:n). För att göra det så enkelt som möjligt, konfigurera smartkortscertifikat-template:ts ACL  så att användare i domänen har rätt att begära smartkortscertifikaten (enroll rättigheter till Domain Users). Glöm inte att lägga till det template:t som ett ”new certificate to issue”, annars dyker det inte upp som ett valbart alternativ iwebbapplikationen (https://CA-hostnamn.domännamn.toppdomän/certsrv). Därefter surfar man till webbapplikationen, begär ut ett smartkortscertifikat och sen kan man använda det till att logga in på domänen. 

Häpp! Svårare an så var det inte!  För en fullständig installationsguide med skärmdumpar och handhållning, tveka inte att höra av er! Undertecknad står mer än gärna till tjänst.

/Peter Swedin

0 kommentarer :: Smartkort i en Microsoft Windows labbmiljö

Skicka en kommentar