Das "Log In"

Wenn man von Smart Card Logon spricht muß man sofort auch definieren, woran man sich anmelden will. Ganz unterschiedlich sind die Anforderungen, damit die Lösungen und Produkte dafür.

  • Workstation (lokal)
  • Domain
  • Anwendung
  • Webanwendung
  • Remote Computer Logon
  • Single Sign On System

=

Domain Logon

Die aktuellen Windows Betriebssysteme bieten eine Smart Card Anmeldung als native Funktionalität, neben dem Logon mittels Passworten an. Allerdings ist das zertifikatsbasierte Smart Card Logon ein Domänenlogon über das Kerberosprotokoll. Das Zertifikat kommt am besten von einer lokalen Microsoft-CA in der Domäne (Stichwort: Zertifikatsdienste am Windows Server)

Ein lokale Anmeldung an einen Windows Rechner benötigt ein Zusatztool. Dazu gibt es einen Guide im Kundenbereich.

Das Stecken (und Ziehen) einer Karte wird von Windows bei der Anmeldung erkannt und sofort die PIN abgefragt, der zur Authentisierung gegenüber der Karte verwendet wird.

=

Systemvoraussetzungen am Client

Sie benötigen am Rechner bloß einen

  • Smart Card Reader (PC/SC)
  • Kryptochipkarte (inkl. aufgebrachtem Zertifikat einer lokalen CA)
  • einen CSP (Cryptographic Service Provider) für eben diese Krypto Smart Card


Wenn wir von einer Smart Card Middlware sprechen, dann üblicherweise von einem Cryptographic Service Provider. Im weiteren Sinn gehört dann PKCS#11 als Alternative zu CSP dazu. Ein Middleware Package enthält zumeist auch Tools zum lokalen Verwalten von Karten (PIN-Management, Initialisierung, .p12- Import,...)

/ Kryptochipkarten im CRYPTOSHOP

/ Smart Card Middleware Pakete im CRYPTOSHOP

=

Microsoft Base Smart Card CSP

Wenn die Karte anstatt eines Hersteller-CSP über den generischen Microsofts Base Smart Card CSP verwendet wird, so wird am Client bloß noch ein Minidriver benötigt. Der Minidriver wird beim ersten Stecken der Karte über Windows-Update wie ein Gerätetreiber installiert (Stichwort: Smart Card Plug & Play)

Lesen Sie zu diesem Thema auch unsere F.A.Q.

=

empfohlene Chipkarten für Chipkartenanmeldung an einer Windows-Domäne

  • Gemalto IDPrime .NET 510

    Die Gemalto IDPrime .NET 510 (früher Gemalto .NET IM V2+) war früher unter Schlumberger bzw. Axalto Cryptoflex .NET v2 corporate am Markt bekannt, und schafft neue Möglichkeiten der Smart Card Entwicklung sowie Einsatzmöglichkeiten.

    Die Gemalto .NET Karte wird in Microsoft Umgebungen (von der Entwicklung bis zur Kartenverwaltung) optimal unterstützt, da die .NET Karte über den Microsoft Base Smard Card CSP benutzt werden kann. Dieser CSP ist seit Windows Vista und Windows 7 schon im System vorhanden, und kann auf früheren Windows Versionen über das Online-Update nachinstalliert (KB 909520) werden. Der erforderliche MiniDriver (Cardmodule) für den MS Base Smart Card CSP, welcher die benötigten kartenspezifischen Information über die Karte bereithält ist ebenso vorhanden, bzw. wird gleich mitinstalliert.

    Die .NET Karte wird im Microsoft FIM (früher ILM Identiy Lifecycle Manager/Certificate Lifecycle Manager) unterstützt und kann mit diesem Microsoft Card Management System verwaltet werden.

    Ansonsten funktioniert die Pinverwaltung bei XP über das Pintool(.exe) vom KB 909520, bzw. auf wie eine Passwortänderung bei Vista,W7,W8, W10. Eine PIN Entsperrung erfolgt über ein Challenge Response Verfahren gemäß MIicrosoft Spezifikation, die Response kann über freie Tools errechnet werden, oder über ein Karten-Verwaltungssystem. Für einen produktiven Einsatz ohne den FIM von Microsoft gibt es mehrere Möglichkeiten für die Personalisierung und Verwaltung der .NET Karten: für kleinere Unternehmen die vSEC:CMS K-Series von Versatile Security; für größere Kunden die vSEC:CMS T-Series (= Gemalto IDAdmin200) oder für Enterprise auch Intercede MyID. CRYPTAS bietet alle diese Verwaltungslösungen an.

    !! Setzen sie die NET Karte unpersonalisiert (mit Default Schlüssel) auf keinen Fall produktiv ein - Verwenden Sie z.B. das Gemalto IDGo 800 User Tool zur Änderung der Default Schlüssel!!

    Die .NET Karte kann natürlich auch gestanzt werden und im SIM Kartenformat in einen Leser im USB-Dongle Format eingesetzt werden.

    =

    Aufgrund Exportrestriktionen kann diese Karte nur innerhalb der EU + CH, NO, US, CAN, AUS, NZ, JP versendet werden! Kontaktieren Sie uns, wenn Sie einen Versand in ein anderes Land benötigen.

    =______________________________

    /   Natürlich ist die klassische Verwendung eine Smart Card Windows Anmeldung http://www.cryptas.com/sclogon - aber die Gemalto .NET Karte ist auch in vielen Drittherstellern getestet und als unterstützt gelistet (citrix, vmware,..).

    ______________________________

    /   Wenn Sie noch mehr Informationen über Chipkarten benötigen, Grundlagenwissen zu Chipkarten finden Sie auf http://www.cryptas.com/cardknowhow

    ______________________________

    /   Wenn Sie sich dem Thema Chipkarten zum ersten Mal auseinandersetzen, möchten wir sie auch auf unsere F.A.Q. http://www.cryptas.com/faq hinweisen!

    ______________________________

    /   Generell ist unsere Wissensplattform (Knowledge Base) für eine Einarbeitung in diese, komplexen aber spannenden, Themen zu empfehlen

        Knowledge Base http://www.cryptas.com/kb

        Grundlagen der Kryptografie http://www.cryptas.com/cryptography

        Allgemeines über Authentisierung http://www.cryptas.com/authenticate

        Grundlagen über PKI http://www.cryptas.com/pkiknowhow

    =

    18,40 EUR

    Details

  • NXP Athena IDProtect Card & IDProtect Lizenz

    Die neue NXP (früher Athena) IDProtect JavaCard mit Athenas LASER-PKI Applet.

    (inkl. IDProtect Client Middlewarepaket)

    Diese Karte kann flexible eingesetzt werden, da diese Karten mit der Hersteller - Middleware (IDProtect Client, CSP, PKCS#11) verwendet werden kann, mit allen Möglichkeiten die diese Middlware bietet.

    Andererseits aber auch über "Minidriver" mit dem Microsoft Base Smart Card CSP. Die Karte muss mit den Kartentools lediglich mit dem Microsoft Profil (Challenge Response Unblock) anstatt dem Default Profile personalisiert werden, dann funktioniert die Karte wie z.b. eine Gemalto .NET in jeder Umgebung.

    Mittels Minidriver kann IDProtect LASER am einfachsten in bestehende Windows Anwendungen wie Outlook, Internet Explorer oder Smartcard Logon integriert werden.

    Die Vorteile liegen auf der Hand:

    - Keine Lizenzkosten / kein Lizenzmanagement für die Middleware

    - Keine Wartungskosten

    - optionale Plug 'n Play Funktionalität die den Minidriver automatisch aus dem Microsoft Update Katalog nachlädt.

    Die Athena IDProtect LASER Karte ist optional auch mit Biometrieunterstützung (MoC) verfügbar, kontaktieren Sie uns, wenn Sie für ihr Projekt Karten mit Biometrie benötigen.

    =

    Hinweis: Bitte beachten Sie, dass Karten diese Athena Karten NICHT in OpenSC unterstützt sind. Für OpenSC benötigen Sie stattdessen die ASECard Crypto mit ASEPCOS Betriebssystem.

    =

    24,00 EUR

    Details

Systemvoraussetzungen in der Domäne

Für Smart Card Logon mit x.509 Zertifikaten über das Kerberos Protokoll bringt eine Windows Domäne grundsätzlich alles mit!

In erster Linie wird eine Certificate Authority benötigt, am schnellsten ist eine MS-CA aktiviert. Zertifikate können auf mehreren Wegen ausgestellt werden. Die Konfiguration über Group Policies.

Ein Guide, wie man eine Testumgebung für Smart Card Logon schafft, findet man im Kundenbereich.

=

effizienter Betrieb von Smart Card Logon

Mit Windows nativen Funktionen ist die Verwaltung von Karten, Zertifikaten und den Personen, denen sie zugeordnet sind, nur für kleine Unternehmen ausreichend.

=

Versatile Security
Intercede MyID

Smart Card Management Lösungen

Schon ab einem Dutzend Personen die verwaltet werden wollen, werden Prozesse zur Verwaltung (Ausstellung, Sperre und Widerruf, PIN-Unblock, temporäre Karten, Ersatzkarten...) immer wichtiger.

CRYPTOSHOP bietet zur Unterstützung des Administrators, des IT-Teams Management für KMUs an. 

Mit größer und verteilter werdender Organisation werden die Anforderungen an Flexibilität der Prozesse und Anforderungen an Audit und Compliance größer.

COHORS bietet Smart Card Management Lösungen für Mittel- bis Großunternehmen an. 

=