Wenn man von Smart Card Logon spricht muß man sofort auch definieren, woran man sich den anmelden will. Ganz unterschiedlich sind die Anforderungen, damit die Lösungen und Produkte dafür.

• Workstation (lokal)
• Domain
• Anwendung
• Webanwendung
• Remote Computer Logon
• Single Sign On System

=

Die aktuellen Windows Betriebssysteme bieten eine Smart Card Anmeldung als native Funktionalität, neben dem Logon mittels Passworten an. Allerdings ist das zertifikatsbasierte Smart Card Logon ein Domänenlogon über das Kerberosprotokoll. Das Zertifikat kommt am besten von einer lokalen Microsoft-CA in der Domäne (Stichwort: Zertifikatsdienste am Windows Server)

Ein lokale Anmeldung an einen Windows Rechner benötigt ein Zusatztool. Dazu gibt es einen Guide im Kundenbereich.

Das Stecken (und Ziehen) einer Karte wird von Windows bei der Anmeldung erkannt und sofort die PIN abgefragt, der zur Authentisierung gegenüber der Karte verwendet wird.

=

Systemvoraussetzungen am Client

Sie benötigen am Rechner bloß einen

• Smart Card Reader (PC/SC)
• Kryptochipkarte (inkl. aufgebrachtem Zertifikat einer lokalen CA)
• einen CSP (Cryptographic Service Provider) für eben diese Krypto Smart Card

Wenn wir von einer Smart Card Middlware sprechen, dann üblicherweise von einem Cryptographic Service Provider. Im weiteren Sinn gehört dann PKCS#11 als Alternative zu CSP dazu. Ein Middleware Package enthält zumeist auch Tools zum lokalen Verwalten von Karten (PIN-Management, Initialisierung, .p12- Import,...)

/ Kryptochipkarten im CRYPTOSHOP

/ Smart Card Middleware Pakete im CRYPTOSHOP

=

Microsoft Base Smart Card CSP

Wenn die Karte anstatt eines Hersteller-CSP über den generischen Microsofts Base Smart Card CSP verwendet wird, so wird am Client bloß noch ein Minidriver benötigt. Der Minidriver wird beim ersten Stecken der Karte über Windows-Update wie ein Gerätetreiber installiert (Stichwort: Smart Card Plug & Play)

Lesen Sie zu diesem Thema auch unsere F.A.Q.

=

Systemvoraussetzungen in der Domäne

Für Smart Card Logon mit x.509 Zertifikaten über das Kerberos Protokoll bringt eine Windows Domäne grundsätzlich alles mit!

In erster Linie wird eine Certificate Authority benötigt, am schnellsten ist eine MS-CA aktiviert. Zertifikate können auf mehreren Wegen ausgestellt werden. Die Konfiguration über Group Policies.

Ein Guide, wie man eine Testumgebung für Smart Card Logon schafft, findet man im Kundenbereich.

=

effizienter Betrieb von Smart Card Logon

Mit Windows nativen Funktionen ist die Verwaltung von Karten, Zertifikaten und den Personen, denen sie zugeordnet sind, nur für kleine Unternehmen ausreichend.

=