Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.10.2017

Ultrapanorama

Philips 492P8
13.10.2017

Druk w bieli

Oki Pro8342WT
11.10.2017

PolCAAT’ 2017 już w...

30 listopada 2017 r. w warszawskim hotelu Marriott odbędzie się XIII edycja konferencji...
10.10.2017

Pełna ochrona

Kaspersky Total Security 2018, Internet Security 2018
06.10.2017

Przeprowadzka do chmury

Oracle Exadata Cloud
03.10.2017

Automatyzacja...

Red Hat Ansible
02.10.2017

Bezpieczeństwo danych zaczyna...

Aby zapewnić bezpieczeństwo danych, w tym informacji poufnych o klientach i pracownikach,...
27.09.2017

Dotykowe 75 cali

BenQ RP750K
22.09.2017

Wydajne CPU

AMD Ryzen Threadripper

Wirtualne karty inteligentne (smart card)

Data publikacji: 29-08-2017 Autor: Jacek Światowiak

Wykorzystanie komponentów infrastruktury klucza publicznego, w tym kryptografii asymetrycznej, umożliwia znaczne zwiększenie bezpieczeństwa elementów systemów informatycznych współczesnych środowisk IT.

Możliwość dwuskładnikowego uwierzytelniania do stacji roboczych, serwerów lub usług za pośrednictwem karty inteligentnej pojawiła się w systemach Microsoft wraz z Windows 2000. Jednak poza olbrzymimi zaletami rozwiązanie to miało jedną istotną wadę – nie wszystkie urządzenia były wyposażone w czytniki kart inteligentnych. Dlatego wprowadzając na rynek systemy Windows 8.1 i Windows Server 2012 R2, producent umożliwił emulację tego typu kart za pośrednictwem modułu TPM (Trusted Platform Module) w wersjach 1.2 lub 2.0. Niniejszy artykuł omawia zagadnienia tworzenia i pracy z wirtualnymi smart kartami, które mają identyczne własności jak karty fizyczne – z jednym wyjątkiem – samej karty inteligentnej nie można wyjąć z wirtualnego czytnika i działają one tak, jakby były zainstalowane na stałe.

> WDROŻENIE ZABEZPIECZENIA. WYMAGANIA WSTĘPNE

Proces wdrożenia wirtualnej smart karty należy podzielić na kilka następujących po sobie etapów, takich jak:

 

  • włączenie i konfiguracja modułu TPM;
  • konfiguracja szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie;
  • utworzenie i personalizacja wirtualnej smart karty;
  • wygenerowanie certyfikatu i zapisanie go na wirtualnej smart karcie;
  • praca z certyfikatami zapisanymi na wirtualnej smart karcie;
  • odnowienie oraz usunięcie certyfikatu z wirtualnej smart karty;
  • usunięcie wirtualnej smart karty.

 

Aby możliwa była praca z wirtualnymi kartami inteligentnymi, stacja robocza lub serwer muszą posiadać sprzętowy lub emulowany moduł TPM w wersji 1.2 lub 2.0. W systemach Windows 10 lub Windows Server 2016 emulację modułu TPM 2.0 oferuje Hyper-V. Na rysunku 1 pokazano emulowany moduł TPM 2.0 oraz emulowane urządzenie, czyli czytnik karty inteligentnej (Smart card reader) wraz z wirtualną kartą inteligentną o nazwie TESTOWACVSC. Analogicznie jak praca z kartami fizycznymi, praca z wirtualnymi smart kartami wymaga wdrożonej korporacyjnej infrastruktury klucza publicznego, która pozwala na wystawianie certyfikatów w środowisku Windows.

Aby taki moduł TPM wykorzystywać, trzeba go wstępnie zainicjalizować (opcje Enable i Activate), a następnie wykonać operację przejęcia na własność (Take/Set ownership). Obie operacje można wykonać, korzystając z interfejsu graficznego (konsola MMC plus przystawka zarządzanie modułem TPM – tpm.msc) lub za pomocą poleceń PowerShella. Na rysunku 2 zaprezentowano zainicjowany już moduł TPM.

> KONFIGURACJA SZABLONU CERTYFIKATU

Aby wygenerować certyfikat, który zostanie zapisany na wirtualnej karcie, jednostka certyfikująca musi mieć dostęp do szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie, w którym włączone są rozszerzenia EKU (Extension Key Usage): Smart Card Logon oraz Client Authentication. Może to być ten sam szablon certyfikatu, co dla fizycznych kart inteligentnych. W artykule nie będzie omawiana procedura zarządzania szablonami certyfikatów ze względu na brak konieczności ich modyfikowania.

> UTWORZENIE I PERSONALIZACJA WIRTUALNEJ SMART KARTY

Kolejny krok polega na utworzeniu i personalizacji wirtualnej karty inteligentnej. Systemy Windows nie umożliwiają wykonania tych czynności za pomocą interfejsu graficznego – proces utworzenia i personalizacji należy przeprowadzić za pomocą narzędzia uruchamianego z linii poleceń tpmvscmgr.exe.

[...]

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: MCSE+M, MCSE+S, 20*MCTS, 9*MCITP, MCT, MSA, MCSA 2008, 2012, Windows 7, MCSE Server Infrastructure, Communication, Messaging. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"