Konfigurationsmanual för Dell Endpoint Security Smartcard

För att kunna utnyttja smartkortsautentisering med förstartsmiljön för Dell Endpoint Security måste vi konfigurera Active Directory så att certifikatregistrering och -generering tillåts.

Ett certifikat för registreringsagenten måste tilldelas alla användare som försöker tilldela certifikat till smartkort för andra användare.

Om du vill konfigurera mallar aktiverar du certifikatmallen för registreringsagenten och lägger sedan till en ny mall för smartkortsanvändare.

Så här aktiverar du certifikatmallen för registreringsagenten:

1. Öppna Microsoft Management Console (MMC) för certifikatutfärdare .
   
2. Expandera till Certifikatmallar.
3. Högerklicka i den högra rutan och klicka sedan på Hantera.
   
4. Högerklicka på Registreringsagent och klicka sedan på Duplicera mall.
   
5. Gå till fliken Allmänt.
6. Välj alternativet för att publicera certifikat i Active Directory.
7. Du kan också uppdatera mallens visningsnamn och mallnamn.
   

Så här lägger du till en smartcard-användarmall:

1. I certifikatutfärdarens certifikatmallskonsol högerklickar du på mallen Smartcard-användare och klickar sedan på Duplicera mall.
   
2. Under fliken Hantering av begäranden ändrar du Syfte till signatur och smartkortsinloggning.
   
3. Acceptera uppmaningen.
   
4. Kontrollera att Tillåt att den privata nyckeln exporteras är markerat.
   
5. På fliken Ämnesnamn finns alternativ som standard för att kräva att en definierad e-postadress används som en alternativ valideringsmetod. Vissa miljöer kanske vill rensa dessa alternativ för att undvika problem med användare som kanske inte har Active Directory-definierade e-postadresser.
   1. Avmarkera kryssrutan för Inkludera e-postnamn i ämnesnamnet.
      
   2. Rensa E-postnamn under avsnittet Inkludera den här informationen i alternativt ämnesnamn .
      
6. Under fliken Utgivningskrav markerar du rutan Antal auktoriserade signaturer.
   1. Lämna Det här antalet auktoriserade signaturer inställt på 1.
   2. Lämna den policytyp som krävs i signaturen som programpolicy.
   3. Ändra programprincipen till Certificate Request Agent.
      
7. Klicka på OK för att publicera mallen.
8. Tillåt att båda mallarna utfärdas genom att högerklicka på Certifikatmallar i MMC för certifikatutfärdare och sedan klicka på Certifikatmall att utfärda.
   
9. Välj de två nya certifikatmallarna som du har skapat.
   
10. Klicka på OK.

I det här avsnittet beskrivs de ändringar som krävs av Dell Security Management Server för att smartcards funktioner ska tillåtas i autentiseringsmiljön före start.

En administratör måste importera rotcertifikatutfärdaren och ändra policyn. Klicka på avsnitten nedan för mer information.

Importera rotcertifikatutfärdaren

Eftersom smartkortscertifikaten signeras av den interna certifikatutfärdaren (CA) i den här guiden måste vi se till att rotcertifikatutfärdaren och alla mellanhänder (visas inte i den här guiden) importeras till certifikatkedjan.

1. Exportera rotcertifikatutfärdarens certifikat från certifikatet Microsoft Management Console (MMC).
   1. Starta MMC.
   2. Klicka på Arkiv.
   3. Klicka på Lägg till/ta bort snapin-modul.
   4. Välj Certifikat.
   5. Klicka på Add.
   6. Välj Datorkonto radiellt.
   7. Klicka på Slutför.
   8. Klicka på OK.
      
   9. Expandera Certifikat.
   10. Utöka de betrodda rotcertifikatutfärdarna.
   11. Välj Certifikat.
   12. Högerklicka på certifikatet som utfärdats av domänens certifikatutfärdare. Dessa synkroniseras med grupprincip.
       
   13. Välj Alla aktiviteter och klicka sedan på Exportera.
   14. Exportera certifikatet som DER encoded binary X.509 (.CER).
   15. Spara den och anteckna sedan platsen när den används inom kort.
2. Importera det här certifikatet till Betrodda certifikat för Java-nyckelbehållaren.
   1. Öppna en administrativ kommandotolk.
   2. Ändra sökvägen så att keytool-kommandon kan köras genom att skriva Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" och skriv sedan Retur.
      Obs! För Dell Security Management Server version 9.2 och tidigare skriver du Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" och tryck sedan på Enter.
   3. Gå till Security Servers conf-katalog genom att skriva %INSTALLDIR%\Enterprise Edition\Security Server\conf\ och tryck sedan på Enter.
      
   4. Importera .cer-filen som vi exporterade i steg 1 till Java-nyckelbehållaren (cacerts) genom att skriva Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts och tryck sedan på Enter.
      
   5. Ange lösenordet för cacerts-filen.
   6. Godkänn uppmaningen att lita på certifikatet genom att skriva Y.
      
   7. Starta om Security Server för att slutföra importen.

Ändra princip

Klicka på serverversionen för Dell Data Security för information om lämpliga policykonfigurationer. Mer information om version finns i Identifiera Dell Data Security-/Dell Data Protection Server-version (på engelska).

v9.8.0 och senare

Så här ändrar du principen för att tillåta smartkort för PBA-autentiseringsmekanismen:

1. Öppna administrationskonsolen för Dell Data Security.
   Obs! Mer information finns i Så här får du åtkomst till administrationskonsolen för Dell Data Security/Dell Data Protection Server.
2. Logga in som en användare som kan ändra och verkställa en policy.
3. Gå till den population där du vill göra policyändringen. Välj till exempel Populationer och klicka sedan på Företag.
4. Välj fliken Säkerhetsprinciper .
   
5. Välj Autentisering före start.
6. Ändra SED-autentiseringsmetod från lösenord till smartkort.
   Obs! Se till att en självkrypterande enhetspolicy är aktiverad för att aktivera den för hela företaget.
   
   
7. Spara och genomför policyer.
   Obs! Mer information finns i Så här genomför du policyer för Dell Data Security-/Dell Data Protection-servrar.

v9.2.0 till 9.7.0

Så här ändrar du principen för att tillåta smartkort för PBA-autentiseringsmekanismen:

1. Öppna administrationskonsolen för Dell Data Protection.
   Obs! Mer information finns i Så här får du åtkomst till administrationskonsolen för Dell Data Security/Dell Data Protection Server.
2. Logga in som en användare som kan ändra och verkställa en policy.
3. Gå till den population där du vill göra policyändringen. Välj till exempel Populationer och klicka sedan på Företag.
4. Välj fliken Säkerhetsprinciper .
   
5. Välj Self-Encrypting Drive (SED).
6. Ändra SED-autentiseringsmetod från lösenord till smartkort.
   Obs! Se till att en självkrypterande enhetspolicy är aktiverad för att aktivera den för hela företaget.
   
   
7. Spara och genomför policyer.
   Obs! Mer information finns i Så här genomför du policyer för Dell Data Security-/Dell Data Protection-servrar.

v8.0.0 till 9.1.5

Så här ändrar du principen för att tillåta smartkort för PBA-autentiseringsmekanismen:

1. Ändra principen för att tillåta smartkort som autentiseringsmekanism för PBA.
   1. Öppna Remote Management Console.
      Obs! Mer information finns i Så här får du åtkomst till administrationskonsolen för Dell Data Security/Dell Data Protection Server.
   2. Logga in som en användare som kan ändra och verkställa en policy.
   3. Gå till Enterprise.
   4. Klicka på Säkerhetsprinciper högst upp.
   5. Åsidosätt (ej tillgängligt i Virtual Edition).
   6. Ändra listrutan Policykategori till Självkrypterande enheter.
      
   7. Utöka SED Administration.
   8. Ändra SED-autentiseringsmetod från lösenord till smartkort.
      
      Obs! Se till att Aktivera SED-hantering och Aktivera PBA är inställda på Sant för att aktivera detta för hela företaget.
   9. Spara den här principen.
   10. Klicka på Genomför principer till vänster.
   11. Klicka på Verkställ ändringar.

Smartkort är tomma som standard. Varje smartkort måste ha ett certifikat som har tilldelats det för att lägga till ett certifikat för autentisering. Certifikat tilldelas vanligtvis till smartkort via ett mellanprogramprogram. Exemplen nedan beskriver importen via en äldre Charismathics-programvara för smartkort i företagsklass och VersaSec för PIV-baserade smartkort (Personal Identity Verification). En administratör måste aktivera enkel inloggning till Windows med smartkort efter att ha tilldelat certifikatet. Välj lämplig process om du vill ha mer information.

Karismatematik

För att kunna utnyttja smartkort måste vi ha en registreringsagent som kan tilldela certifikat till enheten och ett mellanprogram som översätter certifikatinformationen som kommer från Microsofts certifikatutfärdare till något som kortet kan använda.

De flesta smartkort har inte förinställda säkerhetstoken. En administratör måste mellanlagra en säkerhetstoken på ett nytt smartkort, lägga till ett certifikat för registreringsagenten och sedan registrera användare och push-certifikat. Klicka på avsnitten nedan för mer information.

Mellanlagra en säkerhetstoken på ett nytt smartkort

1. Öppna kryptografiprovidern (CSP).
2. När vi sätter in ett kort utan en aktiv token får vi grundläggande information.
   
3. När vi har skapat en säkerhetstoken måste vi se till att den är inställd för en PKCS15-profil.
   
4. När detta har skapats har vi många fler alternativ och kan importera ett certifikat på rätt sätt.
   

Lägga till ett certifikat för registreringsagenten

1. Öppna Microsoft Management Console (MMC).
2. Klicka på Arkiv.
3. Klicka på Lägg till/ta bort snapin-moduler.
4. Välj Certifikat.
5. Klicka på Add.
6. Välj radial för Mitt användarkonto.
7. Klicka på Slutför.
8. Klicka på OK.
9. Expandera Certifikat – Aktuell användare.
10. Expandera Personligt.
11. Expandera Certifikat om det finns.
12. Högerklicka i mittenfönstret, välj Alla aktiviteter och sedan Begär nytt certifikat.
    
13. Klicka på Nästa.
14. Låt Active Directory-registreringsprincipen vara markerad.
15. Klicka på Nästa.
16. Välj det registreringsagentcertifikat som vi skapade och publicerade tidigare.
    
17. Klicka på Registrera.
18. Klicka på Slutför när den är klar.

Registrera användare och push-certifikat

Nu kan vi registrera användare i smartkortet som vi genererade och skicka certifikat till kortet med hjälp av MMC-certifikatet.

Så här registrerar du användare och push-certifikat:

1. Öppna Microsoft Management Console (MMC).
2. Klicka på Arkiv.
3. Klicka på Lägg till/ta bort snapin-moduler.
4. Välj Certifikat.
5. Klicka på Add.
6. Välj radial för Mitt användarkonto.
7. Klicka på Slutför.
8. Klicka på OK.
9. Expandera Certifikat – Aktuell användare.
10. Expandera Personligt.
11. Expandera Certifikat om det finns.
12. Högerklicka i mittenfönstret, välj Alla uppgifter, Avancerade åtgärder och sedan Registrera för.
    
13. Klicka på Nästa.
14. Låt Active Directory-registreringsprincipen vara markerad.
15. Klicka på Nästa.
16. Klicka på Bläddra.
17. Välj det registreringsagentcertifikat som vi genererade tidigare och klicka sedan på OK.
    
18. Klicka på Nästa.
19. Välj radialen för Smartcard-användarmallen som vi genererade tidigare.
    
20. Välj listrutan Information och klicka sedan på Egenskaper.
    
21. Ändra kryptografiprovidern till det program som du använder. I det här fallet är det Charismathics.
    
22. Klicka på OK.
23. Klicka på Nästa.
24. Klicka på Bläddra och ändra sedan platserna så att de hämtas från domänen.
    
    
    
25. Ange användarnamnet för den användare som ska registreras.
26. Klicka på Kontrollera namn för att validera användaren.
    
27. Klicka på OK.
28. Klicka på Registrera.
29. Följ anvisningarna.
    
    
    
    
    
30. Klicka antingen på Nästa användare för att registrera ytterligare användare med samma metod eller klicka på Stäng för att fortsätta.

Smartkort kan nu användas för PBA-autentisering.

VersaSec

VersaSec använder tidigare genererade certifikat för registrering av nya certifikat. I den här processen används certifikatmallar som skapas via Active Directory för att göra det möjligt för en anställd att generera inloggningscertifikat som andra anställda kan använda under inloggningssessionen. En administratör måste slutföra certifikatregistreringen, certifikatexporten och sedan tilldela ett certifikat till ett smartkort. Klicka på avsnitten nedan för mer information.

Certifikatregistrering

Så här registrerar du ett certifikat:

1. Öppna Microsoft Management Console (MMC) som administratör och tilldela certifikat på en enhet som är ansluten till den domän där certifikatmallar har konfigurerats.
   
2. Välj alternativet Lägg till/ta bort snapin-modul.
   
3. Välj Certifikat och välj sedan Lägg till.
   
4. Kontrollera att alternativet för Mitt användarkonto är valt.
   
5. Välj OK för att läsa in de markerade snapin-modulerna.
   
6. Expandera fönstret Certifikat – Aktuell användare , högerklicka på den högra rutan och välj sedan Alla aktiviteter och sedan Begär nytt certifikat.
   
7. Kontrollera att alternativet för Active Directory-registreringsprincip är markerat och klicka sedan på Nästa.
   
8. Välj den certifikatmall som gör att en registreringsagent kan skapas för den aktuella användaren och välj sedan Registrera. I det här exemplet används den tidigare skapade registreringsmallen för registreringsagenten .
   
9. När registreringen är klar klickar du på Slutför.
   
10. Med ett registreringsagentcertifikat genererar du ett smartkortsanvändarcertifikat som baseras på en förgenererad mall genom att välja mappen Certifikat i den vänstra rutan. Välj Alla uppgifter, Avancerade åtgärder och sedan Registrera för.
    
11. Kontrollera att alternativet för Active Directory-registreringsprincip är markerat och klicka sedan på Nästa.
    
12. Välj Bläddra när ett registreringsagentcertifikat begärs.
    
13. Kontrollera att rätt certifikat är markerat och klicka sedan på OK.
    
14. Bekräfta att rätt användare har definierats och klicka sedan på Nästa.
    
15. Välj den mall som har skapats i förväg för registrering av smartkortsanvändare och klicka sedan på Nästa. I det här exemplet används en mall som kallas Smartcard-användarregistrering.
    
16. Välj Bläddra för att hitta rätt användare.
    
17. Ändra platsen för att söka i hela katalogen genom att klicka på Plats.
    
18. Välj lämplig domän eller organisationsenhet och klicka sedan på OK.
    
19. Ange den användare som du vill generera ett smartkortscertifikat för och välj sedan Kontrollera namn för att verifiera användarens huvudnamn (UPN).
    
20. Bekräfta rätt användare om flera användare hittas och välj sedan OK.
    
21. Bekräfta användarinformationen och klicka sedan på OK.
    
22. Bekräfta användarinformationen igen och klicka sedan på Registrera.
    
23. Registreringen slutförs snabbt. Välj antingen Nästa användare för att generera ett annat användarcertifikat eller välj Stäng för att slutföra certifikatgenereringsprocessen. Fler certifikat kan skapas för ytterligare användare när som helst i framtiden.
    

Export av certifikat

Certifikat exporteras först i PKCS12-format för att tilldelas till smartkort. Certifikat måste innehålla den privata nyckeln och den fullständiga certifikatkedjan.

Så här exporterar du ett certifikat:

1. Öppna Microsoft Management Console (MMC) som administratör som tilldelar certifikat på en enhet som är ansluten till den domän där certifikatmallar har konfigurerats.
   
2. Välj alternativet Lägg till/ta bort snapin-modul.
   
3. Välj Certifikat och välj sedan Lägg till.
   
4. Kontrollera att alternativet för Mitt användarkonto är valt.
   
5. Välj OK för att läsa in de markerade snapin-modulerna.
   
6. Expandera fönstret Certifikat – Aktuell användare och högerklicka sedan på den användare som ska exporteras. Välj Alla aktiviteter och klicka sedan på Exportera.
   
7. Välj alternativet Ja, exportera den privata nyckeln och välj sedan Nästa.
   
8. Avmarkera alternativet Aktivera certifikatsekretess, välj Exportera alla utökade egenskaper och klicka sedan på Nästa.
   
9. Välj alternativet Lösenord, tilldela ett säkert lösenord för certifikatet och välj sedan Nästa.
   
   Obs! Ändra inte krypteringsalternativet.
10. Tilldela ett filnamn och en plats och välj sedan Nästa.
    
11. Bekräfta informationen och välj sedan Slutför för att slutföra exporten.
    

Tilldela ett certifikat till ett smartkort

Installera och ladda ned VersaSec-programvaran och eventuella administrativa mellanprogram som kan krävas för de smartkort som provisioneras.

Så här tilldelar du ett certifikat till ett smartkort:

1. Starta VersaSec-agenten och sätt i ett smartkort.
2. Gå till Kortåtgärder – Certifikat och nycklar och välj sedan Importera.
   
3. Bläddra till och välj det exporterade certifikatet som ska bindas till smartkortet. Ange certifikatlösenordet i fältet Lösenord och välj sedan Importera.
   
4. Ange användar-PIN-koden när du uppmanas att ange lösenordet och välj sedan OK.
   
5. När certifikatet har skrivits visas det i listan.
   
6. När alla certifikat för alla konton har skrivits till smartkortet kan det användas för att logga in i Windows eller Dells autentiseringsmiljö före start.

Aktivera enkel inloggning till Windows med smartkort

Processen för att aktivera enkel inloggning till Windows med smartkort varierar beroende på vilken version av Dell Encryption Enterprise som används. Välj versionerna nedan om du vill ha mer information om dem. Information om versionshantering finns i Så här identifierar du Dell Encryption Enterprise- eller Dell Encryption Personal-versionen.

Dell Encryption Enterprise, v8.18 och senare

Inga slutpunktsändringar krävs. När policyn har ställts in via hanteringskonsolen sker alla slutpunktsändringar automatiskt.

Smartkort i sig kan kräva ett mellanprogram. Kontakta smartkortsleverantören för att avgöra om en mellanprogramslösning måste installeras på varje slutpunkt för att tillåta autentisering i Windows.

Dell Encryption Enterprise, v8.17.2 och tidigare

Klientdatorerna kommer inte att logga in som standard. En registernyckel måste läggas till för att detta ska kunna ske.

Registernyckeln är:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Öppna Registereditorn
2. Expandera HKEY Local Machine.
3. Expandera Programvara.
4. Expandera DigitalPersona.
5. Expandera Principer.
6. Expandera Standard.
7. Skapa en nyckel och ge den ett namn Smartcards.
   
8. Skapa ett DWORD och namnge det sedan MSSmartcardSupport.
   
9. Ange Värde data till 1.