Smart Card Logon med certifikat utan EKU i Windows 2003
Windows Vista och Windows Server 2008 har som bekant gjort det möjligt att använda certifikat för Smart Card Logon utan kraven på UPN och EKU i certifikaten. Denna möjlighet har nu kommit till Windows Server 2003, inte fullt så felxibelt som i Vista / 2008 med en bra början.
För en tid sedan så blev jag inblandad i ett projekt med fokus på smartkort, vi har sedan dess genomfört en massa olika tester av kort, läsare, csp:er och en massa kobinationer av utgivare och verktyg för att kunna hantera olika kombinationer.
Att använda sig av en extern CA för smart card logon var en av de tester som vi hade på vår lista, med utgångspunkten i KB:n på http://support.microsoft.com/kb/281245 så kunnde vi konstatera att det inte var så flexibelt som man önskade sig men efter lite sökande så hittade jag följande KB på http://support.microsoft.com/kb/936358, en patch till Windows Server 2003 som tar bort kravet på EKU!
Efter att ha ringt supporten och fått patchen så var det tid att installera och testa den, sagt och gjort fixades en lämplig DC med CA och en Vista klient. Testerna visade dock inga av de förväntade resultaten så efter lite bollande kunnde jag konstatera att det bara var kravet på EKU som slopades och att kravet på en UPN i certifikatet fanns kvar! Det blev inte riktigt vågen men nästan, en bra början som sagt….
Vill du se detta live och eller diskutera det så kommer jag att visa det under Windows Server 2008 Summiten den 5:e december, vi ses där 🙂
/Hasain
