Anbindung YubiKey Card Authentication (CCID) an MS AD Zertifikatsdienste (AD CS)
Appterix erleichtert die Erstellung und Bereitstellung von SmartCard Authentication Zertifikaten. Administratoren können per Enrollment Richtlinie ganz einfach den Benutzern ermöglichen, dass sie selbst z.B. für die Windows Authentication die Zertifikate aus ihrer MS Active Directory Certificate Services erstellt und auf YubiKeys gespeichert werden können.
Voraussetzungen
- AD Domain Services und DHCP Server installiert
- AD Certification Authority (AD CS) installiert
- EgoMind AD Sync Service mit Verbindung zu EgoMind Plattform installiert
(Bitte beachten Sie, dass der EMADSyncService mit Administrator-Rechten gestartet werden muss) - Appterix Agent auf verwalteten Windows Clients installiert
Zertifikatsbasierte Authentifizierung in Enrollment
Sobald die Verbindung zwischen dem Appterix Server bzw. der EgoMind Platform über den Benutzerimport mittels EgoMind AD Sync Service zu Ihrem lokalen MS Active Directory hergestellt werden kann, können Sie in der Verwaltung von Appterix unter YubiKey Management im Bereich Enrollment eine Enrollment Richtlinie neu anlegen oder bearbeiten.
In der Konfiguration der Enrollment Richtlinie fügen Sie den Enrollment Schritt Zertifikatsbasierte Authentifizierung hinzu. Anschließend können Sie der Richtlinie einen Namen und Beschreibung geben, sowie einen Benutzer bzw. eine Benutzergruppe zuweisen.

Zertifikat Enrollment mittels Appterix Agent
Benutzer, welche dieses Enrollment bereitgestellt bekommen haben, sehen nun hinter dem jeweiligen YubiKey unter YubiKeys den Button Enroll in grün. Durch Ausführen des Enrollment wird mittels Appterix Agent die Zertifikatsanfrage erstellt, welcher diese an den Appterix Server / EgoMind Platform Server übergibt und per EgoMind AD Sync Service an Ihre AD CS weiterleitet.
Nachdem das Zertifikat erstellt wurde, wird dies an den Appterix Agent zurück gesendet und direkt auf dem YubiKey in Slot 9a (Card Authentication) abgelegt. Des weiteren werden am Windows Client die erforderlichen Registry Einträge gesetzt, so dass direkt bei der nächsten Anmeldung in Windows mittels Zertifikat und dem PIN des YubiKey (PIV) authorisiert werden kann.
