Zertifikatsausstellung mit YubiKey-Attestierungsrichtlinien
Attestierungsrichtlinien definieren Sicherheitsanforderungen, die ein YubiKey erfüllen muss, bevor ein Zertifikat ausgestellt wird. Dadurch wird sichergestellt, dass nur vertrauenswürdige und konforme YubiKeys für die zertifikatbasierte Authentifizierung verwendet werden.
Die Richtlinien basieren auf der YubiKey-Attestierung. Dabei wird es überprüft, dass der Schlüssel direkt auf dem YubiKey generiert wurde und bestimmte Geräteeigenschaften erfüllt.
Nachdem Sie den Enrollment-Schritt Zertifikatbasierte Authentifizierung zu einer YubiKey-Konfiguration hinzugefügt haben, können Sie Attestierungsrichtlinien erzwingen. Dieser Enrollment-Schritt ermöglicht Benutzern, ein PKI-Zertifikat von den Active Directory-Zertifikatdiensten (AD CS) anzufordern und auf dem YubiKey zu speichern. Das Zertifikat wird anschließend für die sichere Authentifizierung verwendet. Mehr Informationen finden Sie unter Anbindung YubiKey Card Authentication (CCID) an MS AD Zertifikatsdienste (AD CS).
So erzwingen Sie Attestierungsrichtlinien
– Navigieren Sie in dem Appterix Management-UI zu Einstellungen > YubiKey Management.
– Scrollen Sie nach unten zu den Attestierungsrichtlinien.
– Klicken Sie auf Neue Richtlinie hinzufügen, um die erforderlichen Richtlinien für die Zertifikatsausstellung hinzuzufügen.
– Wählen Sie die erforderliche Richtlinie aus der Liste aus. Sie können eine oder mehrere Schlüssel-Attestierungsrichtlinien hinzufügen:
PIN-Richtlinie
Touch-Richtlinie
Minimale Firmwareversion
Maximale Firmwareversion
Edition
Formfaktor
Schlüsselalgorithmus
– Konfigurieren Sie die Werte basierend auf der ausgewählten Richtlinie.
– Klicken Sie auf Speichern.
Wenn ein Benutzer das Enrollment Zertifikatbasierte Authentifizierung auf seinem YubiKey startet, überprüft das System automatisch alle konfigurierten Attestierungsrichtlinien. Erfüllt der YubiKey eine der definierten Richtlinien nicht, wird die Zertifikatsausstellung abgelehnt und das Enrollment schlägt fehl.