Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



19.09.2017

Do sieci miejskich

D-Link DGS-3000 DGS-3000
15.09.2017

RODO: Chmura przychodzi z...

Rozporządzenie o Ochronie Danych Osobowych (RODO) zacznie obowiązywać już za niespełna...
15.09.2017

Kamery zmiennopozycyjne

Axis Q86 i Q87
12.09.2017

Procesy zgodne z rodo

Doxis4 iECM
08.09.2017

Kompleksowa obsługa

Oracle Cloud Applications Release 13
05.09.2017

Konteneryzacja

Red Hat OpenShift Container Platform 3.6
29.08.2017

Zmiana zakresu napięcia

Ever UPS ECO Pro CDS
28.08.2017

HackYeah: rekordowy hackathon...

Dwa tysiące programistów i specjalistów IT z całej Europy spotka się 27-29 października w...
25.08.2017

Router mini

MikroTik RB931-2nD

Wirtualne karty inteligentne (smart card)

Data publikacji: 29-08-2017 Autor: Jacek Światowiak

Wykorzystanie komponentów infrastruktury klucza publicznego, w tym kryptografii asymetrycznej, umożliwia znaczne zwiększenie bezpieczeństwa elementów systemów informatycznych współczesnych środowisk IT.

Możliwość dwuskładnikowego uwierzytelniania do stacji roboczych, serwerów lub usług za pośrednictwem karty inteligentnej pojawiła się w systemach Microsoft wraz z Windows 2000. Jednak poza olbrzymimi zaletami rozwiązanie to miało jedną istotną wadę – nie wszystkie urządzenia były wyposażone w czytniki kart inteligentnych. Dlatego wprowadzając na rynek systemy Windows 8.1 i Windows Server 2012 R2, producent umożliwił emulację tego typu kart za pośrednictwem modułu TPM (Trusted Platform Module) w wersjach 1.2 lub 2.0. Niniejszy artykuł omawia zagadnienia tworzenia i pracy z wirtualnymi smart kartami, które mają identyczne własności jak karty fizyczne – z jednym wyjątkiem – samej karty inteligentnej nie można wyjąć z wirtualnego czytnika i działają one tak, jakby były zainstalowane na stałe.

> WDROŻENIE ZABEZPIECZENIA. WYMAGANIA WSTĘPNE

Proces wdrożenia wirtualnej smart karty należy podzielić na kilka następujących po sobie etapów, takich jak:

 

  • włączenie i konfiguracja modułu TPM;
  • konfiguracja szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie;
  • utworzenie i personalizacja wirtualnej smart karty;
  • wygenerowanie certyfikatu i zapisanie go na wirtualnej smart karcie;
  • praca z certyfikatami zapisanymi na wirtualnej smart karcie;
  • odnowienie oraz usunięcie certyfikatu z wirtualnej smart karty;
  • usunięcie wirtualnej smart karty.

 

Aby możliwa była praca z wirtualnymi kartami inteligentnymi, stacja robocza lub serwer muszą posiadać sprzętowy lub emulowany moduł TPM w wersji 1.2 lub 2.0. W systemach Windows 10 lub Windows Server 2016 emulację modułu TPM 2.0 oferuje Hyper-V. Na rysunku 1 pokazano emulowany moduł TPM 2.0 oraz emulowane urządzenie, czyli czytnik karty inteligentnej (Smart card reader) wraz z wirtualną kartą inteligentną o nazwie TESTOWACVSC. Analogicznie jak praca z kartami fizycznymi, praca z wirtualnymi smart kartami wymaga wdrożonej korporacyjnej infrastruktury klucza publicznego, która pozwala na wystawianie certyfikatów w środowisku Windows.

Aby taki moduł TPM wykorzystywać, trzeba go wstępnie zainicjalizować (opcje Enable i Activate), a następnie wykonać operację przejęcia na własność (Take/Set ownership). Obie operacje można wykonać, korzystając z interfejsu graficznego (konsola MMC plus przystawka zarządzanie modułem TPM – tpm.msc) lub za pomocą poleceń PowerShella. Na rysunku 2 zaprezentowano zainicjowany już moduł TPM.

> KONFIGURACJA SZABLONU CERTYFIKATU

Aby wygenerować certyfikat, który zostanie zapisany na wirtualnej karcie, jednostka certyfikująca musi mieć dostęp do szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie, w którym włączone są rozszerzenia EKU (Extension Key Usage): Smart Card Logon oraz Client Authentication. Może to być ten sam szablon certyfikatu, co dla fizycznych kart inteligentnych. W artykule nie będzie omawiana procedura zarządzania szablonami certyfikatów ze względu na brak konieczności ich modyfikowania.

> UTWORZENIE I PERSONALIZACJA WIRTUALNEJ SMART KARTY

Kolejny krok polega na utworzeniu i personalizacji wirtualnej karty inteligentnej. Systemy Windows nie umożliwiają wykonania tych czynności za pomocą interfejsu graficznego – proces utworzenia i personalizacji należy przeprowadzić za pomocą narzędzia uruchamianego z linii poleceń tpmvscmgr.exe.

[...]

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: MCSE+M, MCSE+S, 20*MCTS, 9*MCITP, MCT, MSA, MCSA 2008, 2012, Windows 7, MCSE Server Infrastructure, Communication, Messaging. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"