Hasain Alshakarti

To enroll for a smart card certificate on behalf of someone, the user must have an enrollment agent certificate. The smart card enrollment agent can create smart cards on behalf of any user, including an enterprise administrator.

Follow the steps below to create an enrollment agent trusted to enroll for a smart card certificate on behalf of other users:

Create an Enrollment Agent enabled Smart Card Certificate Template:

1. Open the Certificate Template Management console
2. Right click the Smartcard User or Smartcard Logon template and choose Duplicate Template
   Note: If you are using a Windows 2008 CA or above you will be prompted to select the minimum CA for your new template. Select the 2003 Enterprise option.
3. Provide a name for the smart card template and set the validity period that you desire for the environment
4. On Request Handling tab, do the following
• Select Signature and smartcard logon under Purpose
• Under CSPs, select the CSP that should be used for your smart cards
5. On Issuance Requirements tab, do the following
• Select The number of authorized signatures: and set it to 1
• Under Policy type required in signature, select Application Policy
• Under Application Policy select Certificate request Agent
6. On the Security tab, make sure the user or group that is designated as enrollment agent has Read and Enroll permissions on the template
7. Click Apply and then OK.
8. Close Certificate Templates console
9. In the Certificate Authority snap-in, right click Certificate Templates folder and select New
10. Select “Certificate Template to Issue”
11. Select the new template and click Ok

Specify/adjust the permissions of the Enrollment Agents and publish the Enrollment Agent certifiacte template:

1. Open the Certificate Template Management console
2. Right-click the EnrollmentAgent template, and then click Properties
3. On the Security tab, make sure the user or group designated as an enrollment agent has Read and Enroll permissions on the template, and then click OK
4. In the Certificate Authority snap-in, right click Certificate Templates folder and select New
5. Select “Certificate Template to Issue”
6. Select the Enrollment Agent template and click Ok

Create a smart card certificate for a user using the new smart card template and the enrollment agent:

1. Log on to system that has a smart card reader with a user that has an Enrollment Agent certificate
2. Open certmgr.msc
3. Expand Personal, and then right-click on the Certificates folder
4. Select All Tasks > Advanced Operations > Enroll on behalf of from the context menu
5. Click Next
6. When prompted, browse to the signing certificate for the enrollment agent. Click Next
7. Select the certificate template you created, and click Next
8. Browse and select the user name (This will be the subject of the smartcard certificate) Click Enroll

Some interesting FIM CM 2010 links from Microsoft Donwloads:

Test Lab Guide: Demonstrating Forefront Identity Manager 2010 Certificate Management Smart Card Centralized Registration

Demonstrating FIM CM using a centralized smart card registration model in a test lab.

Test Lab Guide: Demonstrating Forefront Identity Manager 2010 Certificate Management User Smart Card Self-Service

Demonstrating User Smart Card Self-Service using FIM CM in a test lab.

Test Lab Guide: Demonstrating Forefront Identity Manager 2010 Certificate Management Delegated Smart Card Registration

Delegated smart card registration with FIM CM in a test lab.

Test Lab Guide: Demonstrating Forefront Identity Manager 2010 Certificate Management User Certificate Self-Service

Demonstrate using FIM CM for Self-Service certificate management.

Test Lab Guide: Installing Forefront Identity Manager 2010 Certificate Management with Constrained Delegation, Update 1, and FIM 2010 Integration

Install FIM CM with Constrained Delegation, Update 1, and FIM 2010 in a test lab.

Tack för en bra diskussion hos Microsoft i Kista under FIM CM sommarkollo 2011

Inspelningen av del 1 :

Ladda ner ADCS powershell skriptet adcs_install.ps1

Ladda ner presenationen för FIM CM Sommarkollo

Using Microsoft Base Smart Card Crypto Provider, smart cards can use a card module to enable the smart card in Windows. Windows 7 features enhanced support for smart card–related Plug and Play making Windows able to use smart cards from vendors who have published their drivers through Windows Update without needing special middleware to be preinstalled.

If the smart card used does not have drivers/card module available through Windows Update or if you want to preinstall the driver during operating system deployment you need then to perform the following steps:

Having the card module installation files aailable in the desitnation computer run the command

RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .\crdmxxx.inf

The crdmxxx.inf is the name of the inf file included in the card module package you are installing

A graphical tool that facilitates testing and deployment of smart cards:

1. Initialize a smart card.
2. Enumerate the contents of a smart card, including certificates, files, directories, and crypto key names.
3. Delete & Clean a smart card.
4. View and initialize smart card root certificates.

SmartUtil supports cards that implement the card module/mini-driver interface defined by Microsoft. The tool is provided by JW Secure, Inc. and can be downloaded here.

/Hasain

This is now possible using the Authentication mechanism assurance feature in Active Directory Domain Services (AD DS) in Windows Server 2008 R2. When enabling this feature a user's access to resources on the network when authenticated using certificate based logon can be treated as different from what that access would be when the user types a user name and password as the user's group membership is changed reflecting the authentication method used

This feature is intended for organizations that use certificate-based authentication methods, such as smart card or token-based authentication systems. Organizations that do not use certificate-based authentication methods will not be able to use authentication mechanism assurance, even if they have Windows Server 2008 R2 domain controllers with their domain functional level set to Windows Server 2008 R2.

The best part of this feature is that any client or server operating system that is able to interpret Windows access tokens can be used to grant or deny access based on the group membership or memberships that are added to a user's token by authentication mechanism assurance.

 /Hasain

Vi har nu färdigställt ett verktyg för hantering av Admin & User PIN/Code på Minidriver baserade kort, verktyget släpps som GPL och är tänkt att kunna användas för hantering av mindre mängder kort.

Varför ett sådant verktyg? Vi anser att detta borde funnits i Base CSP:n från början på samma sätt som pintool och motsvarande verktyg i Vista/2008.

Ni får självklart sprida vidare och framtida uppdateringar kommer dessutom att finnas tillgängligt för nedladdningar från www.labcenter.se

Användning:
—————————————————————————-

scUtil.exe, version 1.0, Author: Bjorn Osterman, Company: TrueSec AB, Sweden

syntax: scUtil.exe unblockpin        <adminkey>    <newpin>
scUtil.exe changepin         <oldpin>      <newpin>
scUtil.exe changeadminkey    <oldadminkey> <newadminkey>
scUtil.exe calculateresponse <adminkey>    <challange>
scUtil.exe generaterandomkey

<adminkey> is one the the following alternatives:
– 48 hexadecimal characters
– “default”, representing 48 zeroes
– “random”, representing 48 random hexadecimal characters

<pin> is variable-length string composed of alphanumerical characters
—————————————————————————

Ladda ner: scUtil.zip

/Hasain

Windows Vista och Windows Server 2008 har som bekant gjort det möjligt att använda certifikat för Smart Card Logon utan kraven på UPN och EKU i certifikaten. Denna möjlighet har nu kommit till Windows Server 2003, inte fullt så felxibelt som i Vista / 2008 med en bra början.

För en tid sedan så blev jag inblandad i ett projekt med fokus på smartkort, vi har sedan dess genomfört en massa olika tester av kort, läsare, csp:er och en massa kobinationer av utgivare och verktyg för att kunna hantera olika kombinationer.

Att använda sig av en extern CA för smart card logon var en av de tester som vi hade på vår lista, med utgångspunkten i KB:n på http://support.microsoft.com/kb/281245 så kunnde vi konstatera att det inte var så flexibelt som man önskade sig men efter lite sökande så hittade jag följande KB på http://support.microsoft.com/kb/936358, en patch till Windows Server 2003 som tar bort kravet på EKU! 

Efter att ha ringt supporten och fått patchen så var det tid att installera och testa den, sagt och gjort fixades en lämplig DC med CA och en Vista klient. Testerna visade dock inga av de förväntade resultaten så efter lite bollande kunnde jag konstatera att det bara var kravet på EKU som slopades och att kravet på en UPN i certifikatet fanns kvar! Det blev inte riktigt vågen men nästan, en bra början som sagt….

Vill du se detta live och eller diskutera det så kommer jag att visa det under Windows Server 2008 Summiten den 5:e december, vi ses där 🙂

/Hasain

Så reagerade kunden när jag var färdig med min insats hos de idag!

Det hela började förra veckan då en av mina kunder ringer och frågar varför det går så segt med att köra smart card logon i en Windows XP SP2. Jag har ju gjort detta på annat håll och där var det blixt snabbt, det måste vara något med vår PKI, sa kunden.

Jag hälpte en anna kund för inte så länge sedan att utvärdera olika smartkorttillsammans med ett antal olika CSP:er och smartkortläsare, resultatet blev ganska talande när .net korten var de absolut snabbaste och detta var oavsett vilket läsare man använt, skillnade var upp till ca 50 sec i värsta fall. I procent mätt så pendlade skillnaden mellan 30% och x100% snabbare hantering om kortet som satt i var .net.

Innan du skaffar smartkort för test kolla om du inte kan klara dig med .net korten, de är båda enklare och snabbare att ha i ett Windows baserat system!

/Hasain

Jag skriver detta efter att ha gått igenom alla mina appar som jag hade på min maskin innan uppgraderingen och kan konstatera att det fortfarande funkar bra 🙂

Jag vet att många tycker att man ska passa på att installera om när en ny version kommer och jag tror jag behöver göra det snart men just nu får det gå med en uppgradering till 7.10 när jag är i mitten av en leverans period och alla mina saker måste funkgera smärtfritt efter helgen.

Har dessutom gjort livet surt för en del hackers som har hållit på o terroriserat en nära vän som bedriver ett forum där åsikterna inte stämmer överens med de hos hackergruppen i frågan, det är kul att ge tillbaka utan att bryta mot några lagar och se hur frustrerade de har blivit.

Jag har fått ett par .net 2+ smartkort med dena nya minidrivern och ska försöka testa dessa under tiden som kommer, det som är mest spännande med de är P11 gränssnittet som borde innebära att korten är mer kompatibla med Uni-kryss. Återkommer med mer information när jag hunnit testa lite.

/Hasain 

En av föredelarna med att köra sin CA på en Windows Server 2003 Ent. Edition är att kunna utfärda certifikat med anpassade inställningar genom att kunna utnyttja v2 certifikat mallar. De flesta som jag har varit i kontakt med vill ha v2 mallar för att utöka giltighetstiden på ett certifikat.

Om man nu inte har en Windows server 2003 Ent. Edition men vill gärna få exempelvis ett smart card logon certifikat att gälla i tre eller fyra år så kan man pröva följande:

1. Använd certtmpl.msc för att skapa en kopia av någon av mallarna som finns i lista, ta exempelvis user mallen och skapa en kopia av den
2. Justera tiden till önskad inställning, exempelvis 3 år
3. Använd adsiedit.msc för att plocka fram den nya mallen som finns under Configuration/Services/Public Key Services/Certificate Templates
4. Leta nu efter pKIExpirationPeriod bland attributen för mallen
5. kopiera nu värdet av detta attribut, bör linka detta: 00 00 E5 1C BA 84 FB FF
6. Plocka fram den v1 mall som du vill utöka tiden på
7. Leta nu efter pKIExpirationPeriod bland attributen för mallen
8. Editera den och klistra in värden som du kopierade från förra mallen
9. Nu har du en v1 mall som gäller i 3 år 🙂

Din CA kommer inte att tycka att detta är något fel, mallen är ju en v1 mall med lite längre giltighetstid men glöm nu inte att se till att din CA kan utfärda certifikat som gäller mer än standard tiden på 2 år genom at ändra nycklarna

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriod

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriodUnits

Detta bör fungera utan problem i de flesta system…

/Hasain 

PKI finns idag i de flesta tillämpningar som körs under Linux, om stödet inte finns med från början så går det i de flesta gångerna att lägga till det i efter hand och är man lite händig själv så kan man fixa till PKI i det mesta men då får man vara beredd att sätta sig vid tangentbordet själv 🙂

Efter att ha konstaterat att PKI är ganska supporterad i Ubuntu/Linux, så kom turen till att testa med smartkort. För att smartkort ska funka så behövs en drivrutin till läsaren och CSP programvara som mappar mellan rådande standard och smartkortet. De standard som används i Linux när det gäller smartkort är PKCS11 och korten är antigen PKCS15 eller så emuleras PKCS15 av CSP.

Det finns två projekt som kommit längst i Linux när det gäller smartkort, OpenSC som kan hantera många kort med filsystem och RSA modul är den ena och Musclecard so kan hantera många java-baserade kort är den andra. Jag började med att testa OpenSC och har mer eller mindre fastnat för den 😉

OpenSC klarar av att prata med smartkort och läsare baserade på CT-API, PC/SC och OpenCT. läsaren som jag använder är Gemplus GemPC Twin som är ett USB CCID och kommunicerar med PC/SC. det som behövdes för att få fat på läsaren är libccid(driver för CCID USB Readers), Pcscd(PC/SC Middleware) och OpenSC(PKCS11/15 tools and API) med tillhörande plugins för exempelvis Mozilla.

Om man ska jämföra lite så måste jag säga att jag saknar den kompletta CSP implementationen som ju finns i Windows! I Linux så stödjer alla ett gränssnitt mot PKCS11 men den finns inte i själva OS:et eller på ett automatiserat sätt utan måste pluggas in i varje applikation eller de lav systemet på ett mer eller mindre mauellt sätt. Den manuella aktiviteten är nödvändig i början och allt brukar funka om man byter kort eller läsare givet att det nya kortet och den nya läsaren är kompatibla med systemet.

Jag har testat och kört Smartkort i Firefox samt lokal smartkortlogon i Ubuntu. För Firefox så behöver man manuellt lägga till en modul för att kunna använda smartkortet via OpenSC, efter det så finns kortet och de cert och nycklar för HTTPS/SSL inloggning. Lokalinloggnig med smartkort i Ubuntu var lite mer av ett äventyr, det fanns färdiga PAM moduler men ingen av de funkade, man fick bara ett fel meddelande om att signeringen inte kunnde genomföras, efter lite tester så visade det sig att det meddelande som skickades till kortet för signering var för långt, det är troligtvis en miss i testprocessen där man inte räknat med begränsningar som beror på korten eller mjukvaran runt dessa. Efter en justering och en ny kompilerad pam-modul så funkade det utmärkt 🙂

Det finns två varianter av smartcardlogon som pam-modul, en som inte genomför någon kontroll av certkedjan och CRL:en och en som följer konstens alla regler och kan automatiskt mappa användare i systemet beroende på egenskaper i det cert som finns på kortet. Den första av dessa funkar fint med selfsigned certfikat och är ganska enkel att sätta upp då man lägger certfikatet i en fil i användarens hemmamapp, vid inloggning kommer pam-modulen att försöka hitta lämpliga nycklar på det kort som sitter i läsaren som matchar certet, den kommer sedan att be kortet signera lite slumpdata för att sedan verifiera signaturen mot det certo och nyckel som finns i användarens hemmamapp.

Smartkortlogon via SSH ska enligt uppgift från Johannes G. funkar bra, har själv inte hunnit testa dett men hoppas kunna återkomma om det.

/Hasain