Toon posts:

W2K8 - PKI en smart card logon

Pagina: 1
Acties:

dinsdag 24 juni 2008 11:00

Acties:

Verwijderd

Topicstarter
Ik ben momenteel aan het proberen een PKI project uit te tekenen om smart card logons te implementeren in onze organisatie. Ik zit echter met wat vraagjes, waar ik niet in slaag een eenduidig antwoord op te vinden. Hopelijk kan ik hier wat hulp vinden.

De bedoeling:
Huidige situatie: Windows 2003 netwerk met XP clients
Target: Windows 2008, Citrix, en Wyse thin clients die via pnagent hun citrix-applicaties zullen benaderen (Geen rdp, alleen published apps)

Nu ben ik dus aan het bestuderen om de 2008 PKI op te zetten, en zit daar met enkele vraagstukken voor de smart-card deployment/roll-out:

Type kaarten:
Maakt dit uit, zolang ze maar ISO 7816 compliant zijn?

Het daadwerkelijk plaatsen van de certificaten op de kaarten: enrollment station
Heb ik hier een apart toestel voor nodig (e.g. Zetes die op de chip kan schrijven?) of is eender welke ondersteunde smart-card reader goed, die over een CSP beschikt compatibel met 2008? Zijn deze er uberhaupt al, en zoja welke?
Is deze CSP wel nog van toepassing op 2008, of is dat die Cryptography Next Generation geworden?
En vervolgens: is er dan aparte software om deze certificaten dan op de kaarten zelf te krijgen? Hoe gaat dit in zijn werk? Zit dit in windows, of is dit specifiek per kaart / kaartlezer?

dinsdag 24 juni 2008 11:38

Acties:
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 20-01 15:13

pennenlikker

Dekart Logon die hadden ze bij mijn vorige stage. werkte altijd super :)

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

donderdag 26 juni 2008 12:36

Acties:

Verwijderd

Topicstarter
Thx voor de link. Kan ik misschien wel gebruiken.


Voor de rest niemand een idee?

donderdag 26 juni 2008 13:55

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 10:01

mutsje

Certified Prutser

met smartcards werkt het als volgt.

Je hebt de smartcard reader en als je de certificate enrollment structuur goed geconfigureerd hebt kan een gebruiker zelf zijn certificate enrollen en op de smartcard schrijven via de smartcard reader.

Wat vaak gebruikt is dat er iemand op de ICT afdeling zorgt dat het certificate op de smartcard geschreven wordt en vervolgens wordt deze dan aan de persoon uitgedeeld.
Je hebt dus geen speciale apparatuur nodig om een certificate op een smartcard te schrijven alleen de juiste rechten.

Met welke pki structuur men in 2008 werkt kan ik je 123 niet zeggen, ben nog niet met smartcards op 2008 bezig geweest wel ooit eens op 2003 wat al een hel was. Vooral het singlesign on als je dan door moet hoppen naar andere servers wil wel eens problematisch zijn.

Meestal moet je nog wel een stuk software op de server installeren van de smartcard fabrikan zodat de server de kaart ook als dusdanig herkent. Dit kan wel eens tot problemen leiden dus test het uit voordat je ze bulk inkoopt. Informeer er ook naar hoelang de leverancier de kaarten kan leveren, zou zonde zijn als jij er nog 100 nodig hebt en ze kunnen ze niet meer leveren dat je opeens op hele andere kaarten moet overstappen.. klinkt gek maar het gebeurd in de praktijk.

[ Voor 22% gewijzigd door mutsje op 26-06-2008 13:57 ]

vrijdag 27 juni 2008 10:12

Acties:

Verwijderd

Topicstarter
Ok, thx voor de info :)

Testlabo is in aanbouw nu, dus hopelijk weet ik binnen een 2/3 weken of het al dan niet werkt

dinsdag 8 juli 2008 10:03

Acties:

Verwijderd

Topicstarter
Okee, materiaal is binnen, maar ik slaag er niet in de certificaten op de kaart zelf te krijgen....


Ik heb een ACR38u lezer, een HP smard card terminal, en een ActivIdentity usb reader 2.0
Ik heb verschillende kaarten: Cryptoflex, ACOS 5, en ACOS 5 Mifare

Mijn readers worden herkent, ik kan aan het uitrollen beginnen, tot op het punt waar ik een kaart moet insteken. Welke kaart ik ook neem, ik blijf unknown kaart krijgen, met de volgende melding:
"The card is available for use. However, the card is not the one being requested, and cannot be used for the current operation"

Ik heb nu al alle mogelijkheden geprobeerd bij de templates, maar ik kom niet verder. Ook op google kan ik niks vinden.

Ik dacht dat ik normaal toch altijd de microsoft base smart card crypto provider zou moeten kunnen gebruiken?

Wat zie ik hier over het hoofd? Als ik naar CSP's van de vendors ga kijken kom ik alleen op SDK's uit waarmee ik zelf 1 zou kunnen schrijven, maar dat lijkt mij niet echt de bedoeling. Het kan toch niet zijn dat er geen out-of-the-box werkende oplossing is? Crypoflex zegt zelf dat ze standaard door windows gesupporteerd worden.....

Enige hulp / advies? Ligt dit nu aan Windows 2008 of niet?

dinsdag 8 juli 2008 13:14

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 10:01

mutsje

Certified Prutser

ik heb zelf een tijdje met smartcards lopen stoeien en elk vendor heeft zijn eigen software, deze herkent de kaart en kan dan het certificate erop schrijven. Je zult op het werkstation waar de reader aan zit ook de vendor software moeten installeren voor die kaart. Out of the box is het niet te doen volgens mij met alleen windows software.

dinsdag 8 juli 2008 13:30

Acties:

Verwijderd

Topicstarter
En is dat dan die SDK (software development kit)? Want ik kan op geen enkele vendor zijn site iets vinden, en alle software wat bij de kaarten en/of de lezers zit, blijkt niet het juiste te zijn....

woensdag 9 juli 2008 12:50

Acties:

Verwijderd

Topicstarter
Wel,


Out-of-the-box is het gelukt op windows 2003, met de schlumberger CSP. Kaarten enrollen, aanloggen, en pin veranderen lukt.

Maar,... in 2008 zit deze er natuurlijk niet meer tussen, en blijkbaar moet ik geen csp hebben, maar een minidriver. En er zijn geen defaults te vinden, en al helemaal geen gratis of je moet hem zelf schrijven.

Nog even verderzoeken dus, en anders wordt het gewoon een 2003 PKI-infrastructuur

woensdag 9 juli 2008 17:59

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 10:01

mutsje

Certified Prutser

kun je deze ook niet bij de leverancier van de smartcard krijgen? onder het mom van testen en mogelijke afname bij hun van smartcards? meestal is er wel wat te regelen.

donderdag 10 juli 2008 20:33

Acties:

Verwijderd

Topicstarter
Ik ben me aan het informeren, en de SDK van ACS is onderweg, dus hopelijk heb ik daar meer geluk...

vrijdag 11 juli 2008 07:22

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 07:08

Equator

Crew Council

#whisky #barista

Bedoel je met de "software" niet gewoon de PKCS#11 middleware.. Dan zou ik eens kijken naar de SafeSign middleware van AET (NL bedrijf)

Dat is middleware die met de meeste smartcard readers om kan gaan.
Linkje: http://www.aeteurope.com/...pub/products/safesign.cfm

Je zal even contact op moeten nemen voor een download :)

vrijdag 11 juli 2008 13:16

Acties:

Verwijderd

Topicstarter
CSP is het "verouderde" systeem als ik het goed begrijp. Ik heb nu een minidriver nodig die met CNG en KSP overweg kan.

Kleine quote die het, denk ik, duidelijk maakt:

Introducing the Windows Smart Card Framework architecture
Architecture Overview
In the past, smart card vendors made and maintained a monolithic Cryptographic Service
Provider (CSP) for their own smart cards. Vendors had to write complete, custom, software
CSPs to enable smart card scenarios for their cards.
The new Windows Smart Card Framework architecture is layered to separate the basic
reuired cryptography components at the top from the unique smart card hardware interfaces
at the bottom; the unique hardware-specific interface for a given smart card receives the
name of Minidriver (formerly called Card Module) and takes the form of a Dynamic Link
Library (dll). Minidrivers leverage the common cryptographic components now included in the
Windows platform.
This new architecture has been implemented in the Crypto API Next Generation (CNG) as
part of the Microsoft Windows Vista™ OS, and is called the Microsoft Smart Card Key
Storage Provider (KSP).

Edit: ps: Eveneens gefeliciteerd met je CISSP :) Is een hel van een examen en een hele belevenis

[ Voor 4% gewijzigd door Verwijderd op 11-07-2008 13:18 ]

vrijdag 11 juli 2008 14:07

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 07:08

Equator

Crew Council

#whisky #barista

Oke, dus de minidriver is eigenlijk alleen een driver tussen de KSP en je daadwerkelijke SmartCard Reader.
Ben even aan het lezen, maar ze hebben de boel nogal omgegooid met de invoer van CNG.. Toch eens ergens een 180 day trial vinden van WS2008.

vrijdag 11 juli 2008 14:34

Acties:

Verwijderd

Topicstarter
Inderdaad... En daar ben ik dus nu mee aan het vloeken

Maar volgende week krijg ik ook een custom geschreven minidriver, dus dan kan ik eens verder testen.

En als je een trial wilt, ik heb er nog wel enkele liggen :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq