Importieren eines Zertifikats in eine Smartcard

Manchmal ist es erforderlich, ein Zertifikat, welches einen Software-Schlüssel verwendet, in eine Smartcards zu importieren.

Zunächst muss das Zertifikat inklusive privatem Schlüssel in eine PKCS#12 (PFX)-Datei exportiert werden.

Der Cryptographic Service Provider (CSP) beziehungsweise der Key Storage Provider (KSP) muss den Import von Schlüsseln erlauben. Hierzu muss für den entsprechenden Provider ein entsprechender Registry-Wert gesetzt werden. Hier das Beispiel für den Microsoft Base Smart Card Crypto Provider:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider]
"AllowPrivateSignatureKeyImport"=dword:00000001
"AllowPrivateExchangeKeyImport"=dword:00000001

Die obenstehenden Werte müssen in eine Textdatei kopiert und mit der Endung .reg abgespeicher werden.

Anschließend muss die Registry-Datei importiert werden. Hierfür sind lokale Administrator-Berechtigungen erforderlich.

Anschließend kann die PFX-Datei mit folgendem Befehl importiert werden:

certutil ^
-csp "Microsoft Base Smart Card Crypto Provider" 
-importpfx <Pfad-zur-PFX-Datei>.pfx

Hierfür sind ebenfalls Administrator-Berechtigungen erforderlich. Es werden das Passwort für die zu importierende PFX-Datei sowie die PIN der Smartcard verlangt.

Weiterführende Links:

Externe Quellen