• AD konfigurieren
• IIS installieren
• Zertifikatsdienste installieren

Computer-Zertifikate erstellen

Zertifizierungsstelle-mmc/Zertifikatvorlagen -> Neu -> Auszustellende Zertifikatvorlage
-Registrierungs-Agent
-Smartcard-Benutzer
hinzufügen (Ctrl-klick)

Falls ein Nicht-Administrator Zertifikate vergeben soll:
Active Directory Standorte und Dienste starten
Ansicht -> Dienstknoten anzeigen

1. > Services
   
   1. > Public Key Services
      
      1. > Certificate Templates
         
         1. > EnrollmentAgent Eigenschaften -> Sicherheit -> User hinzufügen
            
         2. > SmartCardUser Eigenschaften -> Sicherheit -> User hinzufügen
            

Am Rechner wo der SmartCard-Reader installiert ist:

Zertifikate-mmc öffnen für Aktuellen Benutzer
Eigene Zertifikate -> Neues Zertifikat anfordern
-> Registrierungs-Agent

Web-Registrierung (http://SERVER) in intranet-Zone des IE aufnehmen und alles ActiveX aktivieren

Web-Registrierung
-> Zertifikat anfordern
-> erweiterte Zertifikatanforderung
-> SmartCard-Zertifikat für anderen Benutzer ... anfordern

ActiveX-Control akzeptieren

Zertifikatvorlage: SmartCard-Benutzer
Zertifizierungsstelle
CSP: zur Karte passenden auswählen
Benutzer auswählen

Hinweise: Unter AD User und Computer: Kennwort läuft nie ab einstellen, sonst muss trotz SmartCard-Authentifizuerung das Kennwort geändert werden (das die MitarbeiterInnen ja gar nicht wissen)
Den Clients ein Computerzertifikat verteilen, damit wird das root-cert der Stammzertifizierungsstelle installiert, die sonst als nicht vertrauenswürdig gilt.

GPO: Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Interaktive Anmeldung: Verhalten beim Entfernen von SmartCards

Event-Viewer: Error: The Template Persistent Cache initialization failed for Application Pool ‘DefaultAppPool’ because of the following error: Could not create a Disk Cache Sub- directory for the Application Pool. The data may have additional error codes..

http://support.microsoft.com/?id=332097
-> Problem wurde damit nicht behoben

Event-Viewer: Dieses Ereignis gibt an, dass ein Versuch unternommen wurde die Smartcard-Anmeldung zu verwenden, aber das KDC kann das PKINIT-Protokoll nicht laden, weil ein geeignetes Zertifikat fehlt.
-> nix dazu gefunden
-> wird aber wohl das fehlende Computerzertifikat auf der Zertifizierungsstelle/DC gewesen sein (mmc-Zertifikate/Computer ->Domain Controller)
auch für den Client wurde ein Computerzertifikat erzeugt (mmc)

dsstore.exe von Windows 2000 heißt jetzt certutil.exe

Pkiview.msc: PKI Health Tool (Enterprise PKI)

Windows Server 2003 PKI Operations Guide
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03pkog.mspx

Smart Card Logon White paper
http://www.microsoft.com/windows2000/docs/sclogonwp.doc

Troubleshooting Windows 2000 PKI Deployment and Smart Card Logon
http://www.microsoft.com/windows2000/techinfo/administration/security/smrtcrdtr.asp

CREC/KPMG: Smart Cards. Enabling Smart Commerce in the Digital Age
http://cism.bus.utexas.edu/works/articles/smartcardswp.html

The Open-source PKI Book
http://ospkibook.sourceforge.net/docs/OSPKI-2.4.6/OSPKI/ospki-book.htm