Remove From My Forums

Abilitazione Smart Card Logon in Dominio 2008 R2 con smart card di terze parti

Discussione generale
0

Registrati per votare
Ho la necessità di abilitare il logon dei client con smart card fornite da terze parte (infocert).
Microsoft mi dice che effettuare questa cosa è possibile già da Windows 2000 Server.

Ho un server 2008 R2
Il server in questione è un domain controller di una foresta (con un solo dominio) con livello 2008.
Servizi AD attivati.
Servizi Certificazione attivati.
I Client sono tutti Windows XP.

Le operazioni da fare, in base al documento del supporto tecnico 281245, sono le seguenti:

1) Esportare il certificato radice di terze parti.
Fatto
2) Aggiungere la CA radice come autorità di certificazione attendibile.
Fatto
3) Aggiungere la CA emittente nell'archivio ntauth
Fatto
4) Richiedere ed installare un certificato di controller di dominio.
Mi sembra di averlo fatto. Non so se ho seguito la procedure giusta.
Ho installato una CA Globale.

5) Richiedere un certificato smarta card rilasciata dalla CA di terze parti.
E qui mi sono bloccato.
Non so come si fa e dal documento in questione non l'ho capito.

6)Scegliere il tipo di chiave privata definitiva. Capito, ma non effettuato perchè bloccato dal punto 5.

7) Installare i driver software smart card. Capito, ma non effettuato perchè bloccato dal punto 5.

8) Installare il certificato smart card nella workstation. Capito, ma non effettuato perchè bloccato dal punto 5.

9) Installare il certificato di terze parti nella smart card. E qui sono andato veramente in bambola.
Ma la smart card non ha già all'intenro un certificato SUO?
Perchè ne devo inserire un'altro, se ce n'è già uno?
Capirei se dovessi inserirne uno mio, del MIO dominio. Ma stiamo parlado di un certificato di un terzo..

10) Accedere alla smart card...

Quello che non capisco poi è come faccio a legare il certificato a quel particolare utente.
Non se ne fa menzione da nessuna parte.

Qualcuno mi sa dire dove sto sbagliando?

Grazie
- Modificato redlion ferox giovedì 28 giugno 2012 13:15
- Tipo modificato Anca Popa giovedì 5 luglio 2012 06:59 attesa di feedback
giovedì 28 giugno 2012 13:12

Risposta

|

Citazione

Tutte le risposte

0

Registrati per votare

la kb che stai usando ti fa installare un certificato di terze parti, es. verisign, che tu devi avere già acquistato, invece secondo me devi prima di tutto seguire le istruzioni di installazione del produttore di smart card.

prova a partire da qui: https://www.firma.infocert.it/installazione/lettore.php

ciao

Alberto Lissoni MCSA, MCTS, MCITP Server

giovedì 28 giugno 2012 14:15

Risposta

|

Citazione
0

Registrati per votare

il punto, in parte già detto da Alberto, è che tu dovresti richiedere i certificati ad un ente certificatore di terze parti (come Verisign) il quale ti rilascerebbe dei certificati ai tuoi account di dominio con un common name del tipo domain\username e con l'uso di "autenticazione utente" e questi si mapperebbero sui tuoi attuali accont di dominio mentre tu hai dei certificati di Infocert rilasciati probabilmente per altro scopo.
Edoardo Benussi
Microsoft MVP - Management Infrastructure
edo[at]mvps[dot]org

giovedì 28 giugno 2012 14:34

Risposta

|

Citazione

Moderatore
0

Registrati per votare

1) In altre parole, non posso usare una smart card di infocert?
In pratica dovrei richiedere dei certificati, solitamente a pagamento, da installare sulla smart card infocert per ogni utente...

2) Pensavo fosse molto più semplice, onestamente.
Come singolo client, ci sono software semplicissimi. Se hai un dominio, diventa un'impresa.
Un pannello "certificati" tra i 10.000 pannelli degli utenti di active directory no?
Il mio non è un intento polemico. E' che sono un pochino deluso.

3) Se estraggo il certificato dalla mia smart card, oltre all'utilizzo per firma digitale, è previsto l'utilizzo per "autenticazione client"

4) Questo link riguarda l'autenticazione tramite certificati di terze parti, se non sbaglio.
http://technet.microsoft.com/en-us/library/cc775842%28WS.10%29.aspx

Potrei fare qualcosa con questo?

Perdonate l'ignoranza in materia ed il tono che forse potrebbe rischiare di apparire polemico. Non è questo il mio intento.

E' che ho acquistato la licenza di windows 2008 r2 proprio perchè tra le sbandierate migliorie c'era quella della gestione del login tramite smart card e poi scopro che devo produrre io le smart card, magari con dei programmatori di eeprom..

Grazie

venerdì 29 giugno 2012 08:19

Risposta

|

Citazione
1

Registrati per votare
Volevo fare la stessa cosa, ma da quel che ho capito:

4 - il certificato del domain controller deve essere emesso dalla stessa c.a. che ha emesso i certificati smart card.

questo è un problemino serio, perchè gli utenti potrebbero avere smart card di c.a. diverse.

5 - il certificato utente , deve avere diverse chiavi, tra cui quella di scambio dati crittografati, che poi è quello che viene usato per il login . Nei certificati che ho , trovo che come scopo del certificato sono abilitati Autenticazione Client, posta sicura, accesso smart card. per cui dovrebbero andare bene ma la nota che trovo dice

"Esistono due tipi predefiniti di chiavi private, ovvero Solo firma(AT_SIGNATURE) e Scambio chiave(AT_KEYEXCHANGE). I certificati di accesso con smart card devono disporre di una chiave privata Scambio chiave(AT_KEYEXCHANGE) per consentire il corretto funzionamento dell'accesso con smart card."

Magari dicono la stessa cosa ma per esserne certo devo andare a vedere il significato di quegli AT a cosa corrisponde come valori nella visualizzazione "normale" del certificato.

5b - però dice anche un'altra cosa sui certificati personali che va approfondita,
"Nome alternativo soggetto = Altro nome: Nome principale = (UPN, Nome principale utente). Ad esempio:

UPN = user1@name.com
L'ID oggetto di Altro nome UPN è: "1.3.6.1.4.1.311.20.2.3"
Il valore di Altro nome UPN: deve essere una stringa ASN1 UTF8"

nella mia trovo

Accesso smart card (1.3.6.1.4.1.311.20.2.2) e il nome alternativo non lo trovo proprio. Però questo può variare da certificatore a certificatore.

Aggiungo

Il certificato di Aruba, invece ha un dato in più

Nome RFC822=claudio.caprara@multimediait.net
- Modificato ClaudioCaprara venerdì 29 giugno 2012 10:07
venerdì 29 giugno 2012 09:59

Risposta

|

Citazione
0

Registrati per votare

Ciao redlion,

Non abbiamo ricevuto alcun aggiornamento e mi chiedevo se possiamo aiutarti ulteriormente o se il problema è stato risolto.

Se così fosse ti saremmo grati di condividere la soluzione in questo spazio ricordandoti che altri membri della community potrebbero riscontrare comportamenti simili.

Grazie in anticipo,
Anca Popa

Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

giovedì 5 luglio 2012 06:59

Risposta

|

Citazione
0

Registrati per votare

Purtroppo sono ancora fermo.

Sembra che non possa utilizzare i certificati già presenti nella smart card, ma dovrei richiederne di nuovi. Ma ho già dei certificati "autenticazione client" presenti nella smart card.

Significa che se voglio mettere in piedi l'accesso con smart card dovrò installare dei certificati autoprodotti dalla CA del dominio e caricarli in smart card "vergini" con dei programmatori di eeprom o similari...

Legare un certificato presente in una smart card ad un utente pensavo fosse meno complicato di un esame di meccanica razionale.

Stante questo grado di complessità credo che abbandonerò la cosa.
Ho già 100 client da seguire. Non ho semplicemente tempo.

Speriamo che con windows server 2012, la cosa sia meno complicata.

venerdì 6 luglio 2012 10:20

Risposta

|

Citazione