Appterix
Menü
Skip to main content
Wie können wir helfen?
Inhaltsverzeichnis
< Alle Themen
Drucken

Verwenden neuer und eigener Zertifikatsvorlagen für Appterix YubiKey Enrollment

Herausforderung

Das Enrollment von Zertifikaten auf YubiKeys für die PIV Funktion kann zeitintensiv und fehleranfällig sein. Oftmals gibt es entweder noch keine Zertifikatsvorlagen für das Smartcard Logon an Windows oder diese können nicht durch Anwender selbst für das Zertifikat Enrollment auf deren YubiKey ausgeführt werden.

Lösung

Appterix bietet die Möglichkeit, PKI-Zertifikate automatisch zu erstellen. Administratoren legen fest, ob die Zertifikatsvorlagen durch Appterix erstellt werden oder vorhandene Smartcard Logon Vorlagen und Enrollment Agent Vorlagen verwendet werden sollen. Benutzer erhalten eine Pop-Up-Benachrichtigung bzw. können im Appterix Agent die Zertifikate auf Basis dieser Vorlagen mit dem YubiKey-Enrollment erstellen und erneuern.

Video Tutorial

Dieses Video zeigt Ihnen wie die Einrichtung der Zertifikatsvorlagen und Anbindung an die Active Directory Zertifikatsdienste (ADCS) für die YubiKey PIV Funktion in Appterix YubiKey LifeCycle Management vorgenommen werden kann.

Zum Video: https://youtu.be/pvvvRTO01Ic

Hinweis zum Kryptodienstanbieter

Appterix unterstützt für Zertifikatsvorlagen mit Key Storage Provider (KSP). Legacy-Kryptodienstanbieter (CSP) werden nicht unterstützt.

Das Wechseln der Anbieterkategorie von einem Legacy-Kryptodienstanbieter (CSP) zu einem Key Storage Provider (KSP) ist ein entscheidender Schritt, wenn Sie moderne Sicherheitsfeatures wie TPM-Schutz oder elliptische Kurven nutzen möchten.

Bei der Vorlage „Registrierungs-Agent“ (Enrollment Agent) ist dies beim Duplizieren etwas versteckt, da die Kompatibilitätseinstellungen darüber entscheiden, welche Optionen im Reiter „Kryptografie“ freigeschaltet werden.

Wechsel der Anbieterkategorie

Hier finden Sie die Schritt-für-Schritt-Anleitung für dem Wechsel der Anbieterkategorie:

Kompatibilitätseinstellungen anpassen:
Dies ist der wichtigste Schritt. Wenn die Kompatibilität auf „Windows Server 2003“ steht, erlaubt die Konsole nur die alten CSPs.
Klicken Sie mit der rechten Maustaste auf die Vorlage Registrierungs-Agent und wählen Sie Vorlage duplizieren.
Wechseln Sie zum Reiter Kompatibilität.
Setzen Sie die Zertifizierungsstelle auf mindestens Windows Server 2012 (oder höher).
Setzen Sie den Zertifikatsempfänger ebenfalls auf mindestens Windows 8 / Windows Server 2012.
Bestätigen Sie die Warnmeldung bezüglich der Änderungen mit „OK“.

Anbieterkategorie auf KSP umstellen:
Wechseln Sie zum Reiter Kryptografie.
Öffnen Sie das Dropdown-Menü bei Anbieterkategorie.
Wählen Sie dort Schlüsselspeicheranbieter (Key Storage Provider) aus.
Wählen Sie im Feld darunter den gewünschten Algorithmus (meist RSA oder ECDH_P256, je nach Anforderung).
In der Liste der Anbieter können Sie nun spezifische KSPs auswählen, wie zum Beispiel den Microsoft Software Key Storage Provider.

Wichtiger Hinweis: Stellen Sie sicher, dass die Clients, die diese Vorlage nutzen sollen (also die Workstations der Administratoren, die Zertifikate im Auftrag anfordern), tatsächlich die gewählte Windows-Version unterstützen. Ältere Systeme (wie Windows 7) können mit KSP-basierten Vorlagen nicht umgehen.

Veröffentlicht
Aktualisiert
VonEgoMind
Schlagwörter: