3
Windows-Domain-Amneldung mir Nitrokey Pro
Guten Tag alle zusammen und ein froher neues Jahr,
und zwar komme ich nicht weiter.
Ich habe eine Nitrokey Pro und möchte ihn jetzt zur Anmeldung in eine Windoes-Domain nutzen.
Die Zertifikate wurden über gpg2 direkt auf den Stick erstellt.
Das Anmelde-Zertifikat wurde nach folgender Post erstellt:
How to generate certificate signing request?
Die Zertifikatenfrage würde über den Webdienst der Regestrierungsstelle erstellt.
Das Zertifikat würde mit RSA2048 ausgestellt.
Die CA-Zertifikate sind in den Windows-Rechner eingebunden.
Das Zertifikat für die Smart-Card würde über dies Programm eingerichtet:
Smart Policy
Anleitung:
Nitrokey Applications
Login With Nitrokey HSM on Windows Domain Computers Using MS Active Directory
Nachdem alles eingerichtet ist, wird der PC am neugestartet und es gibt jetzt bei der Anmeldung die Möglichkeit eine Smartcard zu nutzen.
Es taucht aber nach korrketer Pin-Eingabe folgernde Fehlermeldung auf:
Die Ereignissanzeige gibt folgende Fehlermeldung unter Anwendung aus:
Außerdem unter System:
Zu Fehlerbehebung habe ich das Gefunde:
AD CS: Certificate Authority installation fails: "Provider could not perform the action since the context was acquired as silent. 0x80090022 (-2146893790)"
Die Sicherheitsrichtline: "Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen" wurde auf "Bei jeder Verwendung eines Schlüssels Kennwort eingeben".
Update 1:
Es tauchte jetzt ein Fenster auf zur Zertifikaterneuerung für dem Nitrokey, warum auch immer.
Nach erfolgreicher Pin-Eingabe kommt folgende Meldung:
Ich hoffe mir kan jemand helfen. Habe mich zwischen den Feiertage damit rumgeärgert, leider ohne Erfolg.
Besten Dank und wenn die Rubik falsch ist, tut es mir leid.
und zwar komme ich nicht weiter.
Ich habe eine Nitrokey Pro und möchte ihn jetzt zur Anmeldung in eine Windoes-Domain nutzen.
Die Zertifikate wurden über gpg2 direkt auf den Stick erstellt.
Das Anmelde-Zertifikat wurde nach folgender Post erstellt:
How to generate certificate signing request?
Die Zertifikatenfrage würde über den Webdienst der Regestrierungsstelle erstellt.
Das Zertifikat würde mit RSA2048 ausgestellt.
Die CA-Zertifikate sind in den Windows-Rechner eingebunden.
Das Zertifikat für die Smart-Card würde über dies Programm eingerichtet:
Smart Policy
Anleitung:
Nitrokey Applications
Login With Nitrokey HSM on Windows Domain Computers Using MS Active Directory
Nachdem alles eingerichtet ist, wird der PC am neugestartet und es gibt jetzt bei der Anmeldung die Möglichkeit eine Smartcard zu nutzen.
Es taucht aber nach korrketer Pin-Eingabe folgernde Fehlermeldung auf:
Diese Smartcard konnte nicht verwendet werden. Weitere Details finden Sie im Systemereignisprotokoll. Melden Sie diesen Fehler dem Administrator.Die Ereignissanzeige gibt folgende Fehlermeldung unter Anwendung aus:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Smart Card Logon" />
<EventID Qualifiers="1">7</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-01-04T13:59:03.726736700Z" />
<EventRecordID>28431</EventRecordID>
<Channel>Application</Channel>
<Computer>XXXX</Computer>
<Security />
</System>
- <EventData>
<Data>Eine interne Konsistenzüberprüfung ist fehlgeschlagen.</Data>
<Binary>01001080</Binary>
</EventData>
</Event>- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-CertificateServicesClient-CertEnroll" Guid="{54164045-7C50-4905-963F-E5BC1EEF0CCA}" EventSourceName="CertEnroll" />
<EventID Qualifiers="33370">82</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-01-04T13:59:36.483879100Z" />
<EventRecordID>28443</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>XXXX</Computer>
<Security UserID="S-1-5-21-4083564931-3465205976-1799466934-1109" />
</System>
- <EventData>
<Data Name="Context">JESCHONNECK\kay</Data>
<Data Name="ServerID">{3E7097AC-982C-4912-9BBF-3C6C1E82805D}</Data>
<Data Name="TemplateName">Smartcard-BenutzerfürNitrokey</Data>
<Data Name="ErrorCode">Der Anbieter konnte den Vorgang nicht ausführen, da der Kontext als "silent" erworben wurde. 0x80090022 (-2146893790 NTE_SILENT_CONTEXT)</Data>
</EventData>
</Event>- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-CertificateServicesClient-CertEnroll" Guid="{54164045-7C50-4905-963F-E5BC1EEF0CCA}" EventSourceName="CertEnroll" />
<EventID Qualifiers="49754">13</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-01-04T13:59:36.483879100Z" />
<EventRecordID>28444</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>XXXX</Computer>
<Security UserID="S-1-5-21-4083564931-3465205976-1799466934-1109" />
</System>
- <EventData>
<Data Name="Context">JESCHONNECK\kay</Data>
<Data Name="TemplateName">Smartcard-BenutzerfürNitrokey</Data>
<Data Name="CA">YYYY</Data>
<Data Name="RequestId">N/A</Data>
<Data Name="ErrorCode">Der Anbieter konnte den Vorgang nicht ausführen, da der Kontext als "silent" erworben wurde. 0x80090022 (-2146893790 NTE_SILENT_CONTEXT)</Data>
</EventData>
</Event>- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-CertificateServicesClient-AutoEnrollment" Guid="{F0DB7EF8-B6F3-4005-9937-FEB77B9E1B43}" EventSourceName="AutoEnrollment" />
<EventID Qualifiers="16384">6</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-01-04T13:59:36.499600300Z" />
<EventRecordID>28445</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>XXXX</Computer>
<Security />
</System>
- <EventData>
<Data Name="Context">ZZZZ</Data>
<Data Name="ErrorCode">0x80090022</Data>
<Data Name="ErrorMsg">Der Anbieter konnte den Vorgang nicht ausführen, da der Kontext als "silent" erworben wurde.</Data>
</EventData>
</Event>Außerdem unter System:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Smartcard-Server" Guid="{4FCBF664-A33A-4652-B436-9D558983D955}" EventSourceName="SCardSvr" />
<EventID Qualifiers="0">610</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-01-04T13:59:31.691824800Z" />
<EventRecordID>445832074</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>XXXXe</Computer>
<Security />
</System>
- <EventData>
<Data Name="Message">Unzulässige Funktion.</Data>
<Data Name="Reader">Nitrokey Nitrokey Pro 0</Data>
<Data Name="IOCTL">0x19</Data>
<Data Name="CommandHeader">XX XX XX XX</Data>
</EventData>
</Event>Zu Fehlerbehebung habe ich das Gefunde:
AD CS: Certificate Authority installation fails: "Provider could not perform the action since the context was acquired as silent. 0x80090022 (-2146893790)"
Die Sicherheitsrichtline: "Systemkryptografie: Starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen" wurde auf "Bei jeder Verwendung eines Schlüssels Kennwort eingeben".
Update 1:
Es tauchte jetzt ein Fenster auf zur Zertifikaterneuerung für dem Nitrokey, warum auch immer.
Nach erfolgreicher Pin-Eingabe kommt folgende Meldung:
Ich hoffe mir kan jemand helfen. Habe mich zwischen den Feiertage damit rumgeärgert, leider ohne Erfolg.
Besten Dank und wenn die Rubik falsch ist, tut es mir leid.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 324562
Url: https://administrator.de/contentid/324562
Printed on: April 20, 2024 at 00:04 o'clock
3 Comments
Latest comment
Windows erwartet einen Schlüssel der gleichzeitig zum Verschlüsseln und zum Signieren verwendet werden kann. Nitrokey Pro orientiert sich an ISO Standards nach denen zum Verschlüsseln und zum Signieren unterschiedliche Schlüssel verwendet werden. Um dies Dilemma aufzulösen, kenne ich nur folgenden Workaround: Du generierst einen Schlüssel auf Deinem Computer und importierst ein und den gleichen Schlüssel in die beiden Slots der Verschlüsselungs- und Entschlüsselungs-Schlüssel des Nitrokey Pro.
Danke für den Hinweis.
Habe jetzt über gpg eine Masterkey und eine Subkey erstellt.
Der Subkey ist für Signatur und Verschlüsselung.
Über "edit-key, toogle, key 1, keytocard" konnte ich den Subkey für die Signatur ablegen.
Wenn ich jetzt aber die Verschlüsselung auswähle kommt:
"Geheimer Schlüssel bereits auf einer Karte gespeichert"
Muss ich für Signatur und Verschlüsselung jeweils einen eigenen Subkey erstellen?
Sind die dann nicht wieder verschieden?
Danke für eure Hilfe
Habe jetzt über gpg eine Masterkey und eine Subkey erstellt.
Der Subkey ist für Signatur und Verschlüsselung.
Über "edit-key, toogle, key 1, keytocard" konnte ich den Subkey für die Signatur ablegen.
Wenn ich jetzt aber die Verschlüsselung auswähle kommt:
"Geheimer Schlüssel bereits auf einer Karte gespeichert"
Muss ich für Signatur und Verschlüsselung jeweils einen eigenen Subkey erstellen?
Sind die dann nicht wieder verschieden?
Danke für eure Hilfe
Der Ansatz ist richtig. Wenn Du einen eigenen Subkey erstellen würdest, wären die wieder verschieden.
Am Besten fragst Du mal auf der GnuPG-users Mailingliste nach.
Am Besten fragst Du mal auf der GnuPG-users Mailingliste nach.
