Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



22.02.2018

Obraz z chmury

BenQ IL550
20.02.2018

Dziesięciolecie konferencji...

SDN, security, edukacja, IoT, routing, Data Center, sesje historyczne, a nawet blockchain...
19.02.2018

Router 802.11ax

ASUS RT-AX88U
15.02.2018

Druk cyfrowy A3

Accurio Print C759
12.02.2018

Procesory z GPU

Intel Core z Radeon RX Vega M
08.02.2018

Widoczność i kontrola...

Cisco Security Connector
05.02.2018

Firmowa sieć w zasięgu ręki

NETGEAR Insight 4.0 Premium
01.02.2018

Nowe funkcje dla NAS

QNAP QTS 4.3.4
26.01.2018

Serwery dla AI

IBM Power9

Wirtualne karty inteligentne (smart card)

Data publikacji: 29-08-2017 Autor: Jacek Światowiak

Wykorzystanie komponentów infrastruktury klucza publicznego, w tym kryptografii asymetrycznej, umożliwia znaczne zwiększenie bezpieczeństwa elementów systemów informatycznych współczesnych środowisk IT.

Możliwość dwuskładnikowego uwierzytelniania do stacji roboczych, serwerów lub usług za pośrednictwem karty inteligentnej pojawiła się w systemach Microsoft wraz z Windows 2000. Jednak poza olbrzymimi zaletami rozwiązanie to miało jedną istotną wadę – nie wszystkie urządzenia były wyposażone w czytniki kart inteligentnych. Dlatego wprowadzając na rynek systemy Windows 8.1 i Windows Server 2012 R2, producent umożliwił emulację tego typu kart za pośrednictwem modułu TPM (Trusted Platform Module) w wersjach 1.2 lub 2.0. Niniejszy artykuł omawia zagadnienia tworzenia i pracy z wirtualnymi smart kartami, które mają identyczne własności jak karty fizyczne – z jednym wyjątkiem – samej karty inteligentnej nie można wyjąć z wirtualnego czytnika i działają one tak, jakby były zainstalowane na stałe.

> WDROŻENIE ZABEZPIECZENIA. WYMAGANIA WSTĘPNE

Proces wdrożenia wirtualnej smart karty należy podzielić na kilka następujących po sobie etapów, takich jak:

 

  • włączenie i konfiguracja modułu TPM;
  • konfiguracja szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie;
  • utworzenie i personalizacja wirtualnej smart karty;
  • wygenerowanie certyfikatu i zapisanie go na wirtualnej smart karcie;
  • praca z certyfikatami zapisanymi na wirtualnej smart karcie;
  • odnowienie oraz usunięcie certyfikatu z wirtualnej smart karty;
  • usunięcie wirtualnej smart karty.

 

Aby możliwa była praca z wirtualnymi kartami inteligentnymi, stacja robocza lub serwer muszą posiadać sprzętowy lub emulowany moduł TPM w wersji 1.2 lub 2.0. W systemach Windows 10 lub Windows Server 2016 emulację modułu TPM 2.0 oferuje Hyper-V. Na rysunku 1 pokazano emulowany moduł TPM 2.0 oraz emulowane urządzenie, czyli czytnik karty inteligentnej (Smart card reader) wraz z wirtualną kartą inteligentną o nazwie TESTOWACVSC. Analogicznie jak praca z kartami fizycznymi, praca z wirtualnymi smart kartami wymaga wdrożonej korporacyjnej infrastruktury klucza publicznego, która pozwala na wystawianie certyfikatów w środowisku Windows.

Aby taki moduł TPM wykorzystywać, trzeba go wstępnie zainicjalizować (opcje Enable i Activate), a następnie wykonać operację przejęcia na własność (Take/Set ownership). Obie operacje można wykonać, korzystając z interfejsu graficznego (konsola MMC plus przystawka zarządzanie modułem TPM – tpm.msc) lub za pomocą poleceń PowerShella. Na rysunku 2 zaprezentowano zainicjowany już moduł TPM.

> KONFIGURACJA SZABLONU CERTYFIKATU

Aby wygenerować certyfikat, który zostanie zapisany na wirtualnej karcie, jednostka certyfikująca musi mieć dostęp do szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie, w którym włączone są rozszerzenia EKU (Extension Key Usage): Smart Card Logon oraz Client Authentication. Może to być ten sam szablon certyfikatu, co dla fizycznych kart inteligentnych. W artykule nie będzie omawiana procedura zarządzania szablonami certyfikatów ze względu na brak konieczności ich modyfikowania.

> UTWORZENIE I PERSONALIZACJA WIRTUALNEJ SMART KARTY

Kolejny krok polega na utworzeniu i personalizacji wirtualnej karty inteligentnej. Systemy Windows nie umożliwiają wykonania tych czynności za pomocą interfejsu graficznego – proces utworzenia i personalizacji należy przeprowadzić za pomocą narzędzia uruchamianego z linii poleceń tpmvscmgr.exe.

[...]

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: MCSE+M, MCSE+S, 20*MCTS, 9*MCITP, MCT, MSA, MCSA 2008, 2012, Windows 7, MCSE Server Infrastructure, Communication, Messaging. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"