Archivio certificati di Windows - Generazione / importazione di certificati personali utilizzando una smartcard?

Naviga le tue risposte
1

Penso che tutti noi sappiamo che Windows può archiviare e gestire i certificati, che è una caratteristica interessante in quanto consente a molte app di fare affidamento su questo (come Putty-CAC).

Ora sto avendo il problema, che possiedo una smartcard e voglio usarla con Windows (7). Tuttavia la mia scheda non supporta l'importazione e l'esportazione di chiavi private (che è una funzionalità, non un bug), posso solo generarle sul dispositivo.

Il problema che sto affrontando è che voglio avere il mio certificato personale (/ client-) (che è firmato dalla mia CA principale autofirmata) accessibile da Windows.

Ci sono diverse opzioni che ho esplorato finora:

  1. Prova a usare certmgr.msc per generare il mio certificato / coppia di chiavi private, che ha bisogno di qualche strana configurazione che non capisco.
  2. Utilizzare XCA , per gestire la CA e generare una chiave sul dispositivo, successivamente firmata utilizzando la chiave CA (utilizzando XCA). Quindi importa il certificato in Windows Store (senza la chiave privata) e spera che le cose funzionino. (Suggerimento: non lo fanno, per uno dei miei certificati personali dice "non hai la chiave privata", l'altro in qualche modo ha funzionato per accettare Windows per "possedere" la chiave privata, ma le operazioni che utilizzano questa chiave sembrano fallire (Putty-CAC))

Ora la mia domanda: Qual è il percorso migliore per ottenere l'accettazione delle chiavi da parte di Windows?

Un ultimo punto: ho pensato di postarlo su SuperUser, ma l'ho postato qui, perché richiede hardware di sicurezza speciale e una profonda conoscenza delle funzioni di sicurezza di Windows.

    
posta SEJPM 23.06.2015 - 19:23
fonte

1 risposta

2

Per la maggior parte, integrazioni di smart card che richiedono il puntamento del client di posta elettronica sul tuo lettore di smart card & middleware, assicurandosi che sia selezionata la corretta libreria crittografica. Ci sono molte informazioni su come farlo con entrambe le smartcard OpenPGP e le smartcard x509

A seconda del client di posta, il trust store di Windows può essere utilizzato o non utilizzato.

Il tuo sistema operativo in realtà non richiede l'accesso alla chiave privata. Invece, si interagisce con la chiave privata attraverso il lettore di smart card e il middleware. La fase di autenticazione (digitando il PIN) consente alla smartcard di eseguire eventi di decrittazione o autenticazione per conto dell'utente. L'esecuzione di questo cripto-offload sulla smartcard è più sicura poiché la chiave privata si trova sulla smartcard, non è esposta al file system e rubare la tua chiave privata non è più facile.

Putty-CAC & Integrazione con smartcard

Per registrare Putty-CAC con una smart card funzionante, supponendo che il lettore di smart card e il middleware siano già installati e funzionanti:

  • Esegui Putty-CAC
  • Scorri verso il basso fino a SSH e amp; espanderlo
  • seleziona CAPI
  • Seleziona Cert e Sfoglia
  • Seleziona il certificato della smart card che corrisponde al certificato che desideri utilizzare
  • Usalo per configurare SSH sull'host remoto

Tecnicamente, questo è solo SSH basato su RSA, non SSH basato su certificato, quindi ti perderai alcune delle caratteristiche di sicurezza dei certificati

Puoi trovare le istruzioni estese qui

Registrazione certificato

Alcuni middleware, come ActivIdentity che è molto popolare, includono una funzione per la registrazione dei certificati con Windows.

Activclient > lettore di smartcard > I miei certificati > Seleziona Certificato > Rendi disponibile per Windows

Vedi anche quanto segue:

Crittografia dei messaggi con SMIME in Outlook Webapp

Configurazione smart card DoD di Thunderbird

Uso di una smart card OpenPGP

    
risposta data 23.06.2015 - 22:17
fonte

Leggi altre domande sui tag

Che cosa indica la lettera nella definizione dei bit di una chiave OpenPGP (come 4096D)? Alla ricerca di un binario Meterpreter per Android