Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind?

Damit eine Smartcard Anmeldung erfolgreich ist, müssen in der Active Directory Umgebung einige Voraussetzungen erfüllt sein:

Voraussetzungen

Domänencontroller-Zertifikate müssen die Anmeldung erlauben

Domain Controller müssen über Zertifikate verfügen, welche die Smartcard Anmeldung ermöglichen. Dabei muss eines der folgenden Kriterien zutreffen.

• Die Erweiterung "Enhanced Key Usage" beinhaltet das Extended Key Usage für KDC Authentication (1.3.6.1.5.2.3.5) oder
• Die Erweiterung "Enhanced Key Usage" beinhaltet das Extended Key Usage für Smartcard Logon (1.3.6.1.4.1.311.20.2.2) oder
• Eine Erweiterung "Template Name" ist vorhanden und besitzt den Wert "DomainController"

Microsoft verwendet den Terminus "Enhanced Key Usage", die korrekte Bezeichnung gemäß RFC 5280 ist allerdings "Extended Key Usage".

Zertifizierungsstellen-Zertifikate müssen in NTAuthCertificates eingetragen sein

Folgende Zertifizierungsstellen-Zertifikate müssen im Active Directory Objekt "NTAuthCertificates" hinterlegt sein. Siehe hierzu auch Artikel "Bearbeiten des NTAuthCertificates Objektes im Active Directory".

• Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Domänencontroller-Zertifikate ausstellt
• Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Benutzerzertifikate ausstellt

Zertifizierungsstellen-Zertifikate müssen das entsprechende Extended Key Usage erlauben

Das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle, welche die Benutzerzertifikate ausstellt, muss entweder das Extended Key Usage "Smart Card Logon" oder "Client Authentication" unterstützen, d.h. es ist nicht durch eine entsprechende Extended Key Usages Erweiterung untersagt.

Obige Voraussetzungen sind per Standardeinstellungen erfüllt, d.h. wenn eine ins Active Directory integrierte Zertifizierungsstelle installiert wird, sind die benötigten Einstellungen wie oben gesetzt. Die Standard-Zertifikatvorlagen für Domain Controller verfügen über die entsprechenden Eigenschaften.

Weiterführende Links:

• Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung
• Bearbeiten des NTAuthCertificates Objektes im Active Directory
• Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten

Externe Quellen

• Smartcard logon using certificates from a 3rd party on a Domain Controller and KDC Event ID 29 (Microsoft)