2. Zapoznanie słuchaczy z procedurą i sposobem
wdrożenia smart cards w środowisku
Windows 2008 / Windows 7
3. SMART CARDs – krótko
Szablony w PKI
Szablony SMARTCARD User i SMARTCARD
Logon
Restricting Enrollment Agents
Enrollment / Web Enrollment
Deploying Smart Cards Best Practise
Deploying Smart Cards warsztaty
Autoenrollement
4. - Posiada wbudowany procesor
- Jest programowalna
- Dostarcza bezpieczny magazyn dla kluczy prywatnych
- Oddziela krytyczne dla bezpieczeństwa operacje od
komputera
Karta przechowuje:
Klucz prywatny
Klucz publiczny
Powiązany certyfikat
9. Szablony Certyfikatów są zestawem zasad i ustawień które są
konfigurowalne po stronie urzedu certyfikacji (CA). Zasady te i
ustawienia są wykorzystywane w procesie wydawania certyfikatów.
• Dostępne tylko na CA typu zintegrowanego z Active Directory
• Przechowywane w Active Directory
• Zabezpieczone przed niepowołaną zmianą
10. Wsparcie dla szablonów certyfikatów
Wersja Servera
V1 V2 V3
Windows Server 2008 R2
Tak Tak Tak
Datacenter Edition
Windows Server 2008 R2
Tak Tak Tak
Enterprise Edition
Windows Server 2008 R2
Tak Nie Nie
Standard Edition
• V1 – wersja przewidziana dla kompatybilności wstecz (win 2000)
• V2 – pozwala na zmianę ustawieo domyślnych ( Win 2003)
• V3 – najnowsza i najbardziej zaawansowana wersja SuiteB (win
2008, Vista, 7)
11. Enrollment Agent. Allows an authorized user to
serve as a certificate request agent on behalf of
other users.
Smart Card User. Enables a user to log on and sign
e-mail.
SmartCardLogon. Enables a user to log on by
using a smart card.
12. Published to
Active Directory
Subject Template
Name Description Key usage Domain
type version
Services (AD
DS)?
Used to request certificates
Enrollment
on behalf of another Signature User No 1
Agent
subject.
Enrollment Used to request certificates
Agent on behalf of another Signature Computer No 1
(Computer) computer subject.
Allows the holder to
Smartcard Signature and
authenticate by using a User No 1
Logon encryption
smart card.
Allows the holder to
Smartcard Signature and
authenticate and protect e- User Yes 1
User encryption
mail by using a smart card.
13. The enrollment agent
can request certificates
only for specific AD DS
groups.
For each designated AD
DS Group, the
enrollment agent can
request certificates
based only on specific
certificate templates.
14. Certificate-Related Changes for Windows
Vista
ActiveX enrollment control used in previous
versions of Windows, XEnroll.dll, is being
replaced with a new enrollment
control, CertEnroll.dll, in Windows Vista and
Windows Server 2008.
15.
16. Designing an Enrollment Agent certificate
template
Designing a smart card certificate template
Restricting the enrollment agents
Restricting the certificate managers
Performing the deployment process:
1. The enrollment agent must acquire Enrolment
Agent certificate
2. The Enrollment agent must request a certifcate for a
smart card user
17. Computer autoenrollment
Computer Configuration Windows
Settings Security SettingsPublic Key
Polices Autoenrollment Settings
User autoenrollment
User ConfigurationWindows
SettingsSecurity SettingsPublic Key
PolicesAutoenrollment Settings
18. Smart Card is required for interactive logon
ADUC / VBS / GPO
Smart card removal behavior
Określa co się stanie kiedy użytkownik
Zalogowany oprzez SMART CARD
usunie kartę z czytnika Smart Card.
Dostępne opcje:
No Action
Lock Workstation
Force Logoff
Disconnect if a Remote Desktop
Services Session
19. Na serwerze Windows 2008:
Instalujemy CA Enterprise
Publikujemy szablony certyfikatów w CA:
Enrollment Agent, SmartCard User
Na stacji roboczej Windows 7:
Instalujemy CSP Cryptotech
Pobieramy i instalujemy certyfikat Enrollment Agent
Pobieramy i wydajemy certyfikat w imieniu
użytkownika Imie.Nazwisko
Logujemy się do Windows 7
20. Zapraszam na warsztaty
w dalszej części naszego spotkania
Krzysztof.Binkowski@gmail.com
Moje prezentacje na temat SMARTCARD:
Praktyczne zastosowanie kart elektronicznych
10 spotkanie WGUiSW – 1 spotkanie MSSUG
Praktyczne spojrzenie na zastosowanie
SMARTCARD w środowisku Windows
MTS 2009
