•
Domain Server(n): Verwaltungsprogramme, um alle Komponenten innerhalb dieser Struktur zu
konfigurieren. Dazu gehören u. a. Benutzer, Arbeitsstationen, Serverkomponenten und (wichtig für PIV)
Zertifikate.
•
Arbeitsstationen: Mehrere Client-PCs, auf denen sich die Benutzer bei ihren Konten anmelden können.
Diese erhalten ihre Konfiguration von dem/den Domänenserver(n).
Für AD-Anwendungsfälle wird in diesem Leitfaden davon ausgegangen, dass Sie die erforderlichen Komponenten
bereits eingerichtet haben.
Zugrundeliegende Komponenten
Token-Bereitstellung und -Verwendung unter Windows
Der Windows Inbox Smartcard Minidriver unterstützt PIV Smartcards, allerdings nur im Lesezugriff. Der Inbox-
Minidriver ist ausreichend für die Nutzung der PIV-Funktionalität des iShield Key 2 Pro, aber die
Kartenverwaltung, das Erzeugen von Schlüsseln und schreiben von Zertifikten und das Erneuern von Zertifikaten
ist nicht möglich. Sobald Ihre PIV-Karte für Ihre
Anwendungsfälle bereitgestellt ist, d. h. alle
erforderlichen Zertifikate auf der Smartcard
generiert wurden, können Sie den Windows-PIV-
Treiber zum Signieren oder Entschlüsseln mit
Ihrem iShield Key 2 Pro verwenden.
Für den Schreibzugriff, d.h. für das Provisioning
Ihrer Karte, ist die Installation des OpenSC
Minidrivers
und
die
Verwendung des Swissbit iShield PIV Moduls für
die Kartenverwaltung erforderlich.
Authentifizierung
Der iShield Key
2 Pro
Geheimnisse, die für die Verwaltung und Nutzung
erforderlich sind. Die PIN ist für die normale
Nutzung des Tokens erforderlich, d.h. für die
Verwendung des Private Keys wie Signieren und Entschlüsseln. Die PIN wird auch zum Ändern der PIN und zum
Einstellen der PIN-Wiederholungsversuche benötigt. Die PUK kann zum Entsperren der PIN verwendet werden.
Der Managementschlüssel ist für die Authentifizierung bei der Durchführung von Verwaltungsvorgängen
erforderlich. Beispiele für Vorgänge, bei denen Sie sich als Administrator authentifizieren müssen, sind der
Schlüsselimport oder die Generierung, das Löschen oder Importieren von Zertifikaten oder generell das Schreiben
von PIV-Daten auf die Karte.
Hinweis: Aufgrund der FIPS-Konformität unterstützt iShield Key 2 Pro FIPS nicht den TDES-Algorithmus, die PIN
und PUK müssen den
PIN-Regeln
Zertifikat-Slots
Das PIV-Applet speichert Zertifikate und die entsprechenden Public Private Keypair in Slots - ein Slot kann ein
Zertifikat aufnehmen. Der iShield Key 2 Pro verfügt über vier Standard-PIV-Steckplätze 9A, 9C, 9D und 9E sowie
20 weitere Slots für abgelaufene Zertifikate 82 - 95. Jeder Standard-PIV-Slot hat einen bestimmten Zweck, die
Slots für abgelaufene Zertifikate werden in der Regel für abgelaufene Zertifikate verwendet, können aber wie die
Zertifikate in den anderen Slots zum Signieren oder Entschlüsseln verwendet werden.
•
Das Zertifikat in Slot 9A wird normalerweise für die Benutzerauthentifizierung verwendet. Sie können
diesen Slot für Ihr Zertifikat für die Smartcard-Windows-Anmeldung verwenden. Siehe
den Anwendungsfall.
Konfiguration
zur
verfügt über drei
entsprechen.
Abschnitt 8.1.1
für
Seite76 von 102