Anwendungsfall: Windows-Anmeldung bei Active Directory
In diesem Szenario handelt es sich bei dem Windows PC, der die Smartcard-Anmeldung verwendet, um eine
Arbeitsstation innerhalb einer Active Directory-Domäne. Der Domänenserver verwaltet alle relevanten
Domäneninformationen. Auf Anfrage stellt die Zertifizierungsstelle des Domänenservers das benötigte Zertifikat
aus und signiert es. Diese Lösung ist besonders geeignet für Unternehmen, die bereits eine AD-Infrastruktur
nutzen. Durch die folgenden Schritte können Sie Ihre Datensicherheit weiter verbessern.
Diese Anleitung setzt eine funktionierende AD-Einrichtung voraus.
Einrichtung auf dem Server
In diesem Abschnitt werden die notwendigen Schritte zur Konfiguration eines Microsoft Active Directory Domain
Servers für diesen Anwendungsfall erläutert. Diese Anweisungen richten sich an den IT-Administrator einer
Domäne und können nicht auf einem privaten PC oder einer Domänen-Workstation durchgeführt werden.
Anforderungen im Vorfeld
Alle Benutzer, die sich selbst für Anmeldung-Zertifikate registrieren möchten, benötigen eine E-Mail-Adresse,
die ihnen im Benutzerverwaltungs-Tool zugewiesen wird.
1.
Öffnen Sie auf dem AD-ROOT-Server den Server-Manager
Tools
2. Gehen Sie zu
3. Gehen Sie in Ihrer Domäne zu
4. Klicken Sie auf
Eigenschaften
ist.
Smartcard-Anmeldevorlage einrichten
1.
Öffnen Sie auf dem AD-ROOT-Server den Server Manager.
2. Gehen Sie oben rechts auf
certsrv
3. Erweitern Sie in
Zertifikatsvorlagen
4. Rechtsklick auf
5. Klicken Sie in der
duplizieren
und passen Sie die Eigenschaften der einzelnen Registerkarten wie folgt an:
Kompatibilität
a.
Allgemein
b.
c.
Anforderungsverarbeitung
Signatur und Smartcard-Anmeldung
Zweck:
Kryptographie
d.
Minimale Schlüsselgröße
☑ Für Anforderungen muss einer der folgenden Anbieter verwendet werden
Anbieter
:
Sicherheit
e.
Authenticated User >
Antragstellername
f.
☑ E-Mail im Antragstellername, ☑ E-Mail-Name
Active Directory-Benutzer und
>
User
und klicken Sie mit der rechten Maustaste auf den Benutzer
>
Allgemein
: Stellen Sie sicher, dass ihnen eine E-Mail-Adresse zugewiesen
Tools
Zertifizierungsstelle
>
den Servernamen
Verwalten
>
Zertifikatsvorlagenkonsole
: Unverändert lassen
: Umbenennen (z.B. Smartcard Logon AD)
:
:
2048
:
,
☑ Microsoft Base Smart Card Crypto
:
☑ Lesen, ☑ Registrieren
:
-Computer
mit der rechten Maustaste auf
, wenn die Warnung erscheint, klicken Sie auf
Provider
Smartcard Logon
Vorlage
>
Ja
,
Seite96 von 102