Konfigurera CA och ställ ut cert på smartcard (Net iD)

Installationsbeskrivning hur man använder Smartcard och Net ID i en Citrix miljö

Disclaimer: Detta dokument är skriven på ”amatör nivå” och ska inte ses som en beskrivning av en installation för en driftmiljö utan ses som tips på hur man kan göra en installation för ex lab och demo.

 

Denna beskrivning ska visa hur man sätter upp en Citrix miljö med stöd för smartcard och Net ID. Vi ska också sätta upp en intern CA som vi ska ge ut certen från

 

Jag sätter upp CA:n på min AD server

  • Starta Server Manager
  • ”Add Roles and Features”
  • Build1
  • ”Role based or feature based installation”
  • Välj server
  • Bild2
  • Kryssa i enligt ovan
  • Acceptera alla förslag på extra komponenter
  • Acceptera default på web servern
  • Starta om servern
  • Starta Server Manager och klicka på utropstecknet uppe till höger
  • Bild3
  • Klicka ”Configure Active Directory Certificate Services…”
  • Bild4
  • Ange vilken användare som ska köra services (måste vara medlem in Enterprise Admin)
  • Bild5
  • Ange vilka roller du ska konfigurera
  • Bild6
  • Ange typ av CA
  • Bild7
  • Om det är din första CA – ange ”Root CA”
  • Bild8
  • Om det är en ny installation, skapa en primary key
  • Bild9
  • Normalt: Acceptera default
  • Bild10
  • Normalt: Acceptera default
  • Bild11
  • Ange hur länge dina cert ska vara giltiga. 5 år är default
  • Bild12
  • Normalt: Acceptera default
  • Bild13
  • Kontrollera allt ser rätt ut och klicka ”Configure”
  • Bild14
  • Klart :)
  • Boota om!

 

Konfigurera CA

  • Starta MMC
  • Bild54
  • Lägg till ”Certificates” och ange ”My User Account”
  • Lägg till ”Certificates” och ange ”Local Computer” / ”Local Computer”
  • Lägg till ”Certificate Authority” och ange ”Local computer”
  • Bild15
  • Spara konsolen på lämpligt ställe så du slipper göra om detta varenda gång du ska administrera dina cert
  • Installera Net ID 2701 på AD och XenApp server, 1911 på XenDesktop host
  • Bild16
  • Bild17
  • Installation klar

 

  • Bild18
  • Gå tillbaka till din MMC och höger klicka på ”Certificate Templates” under Certification Authority
  • Välj ”Manage”
  • Bild19
  • Höger klicka på ”Smartcard Logon” och välj ”Duplicate”
  • Sätt in properties enligt nedan (namnet väljer du naturligtvis själv)
  • Bild20 Bild21
  • Klicka OK
  • Stäng
  • Bild22 Bild23
  • Höger klicka på ”Certificate Template” igen och välj ”New”, ”Certificate Template to Issue” och välj templaten du skapade ovan samt ”Enrollment Agent”
  • Bild27
  • I MMC, klicka på ”Personal” / ”Certificates” under Certificates (Current User)
  • Bild28
  • Om det inte finns nån meny under ”Personal”, högerklicka på ”Personal” och välj ”All Tasks” och ”Request New Certificate”
  • Välj ”Active Directory Enrollment Policy”
  • Bild29
  • Välj ”Enrollment Agent”
  • ”Enroll”
  • Bild30
  • Höger klicka ”Certificates” under ”Personal”
  • ”All Tasks”, ”Advanced Operation”, ”Enroll on behalf of”
  • Next
  • ”Acrive Directory Enrollment Policy”
  • Bild31
  • ”Browse” och välj certifikatet du skapade ovan
  • Next
  • Bild32
  • Välj den smartcard logon policy du skapade ovan
  • Bild33
  • Klicka INTE ”Next” utan på pilen till höger: ”Details” och se ”Properties”
  • Bild34
  • Under ”Cryptographic Service Provider”, kryssa bort ”Microsoft” och välj ”Net ID”
  • OK
  • Next
  • Bild35
  • ”Browse” och leta upp den användare som ska autentisera sig med smartcardet
  • OK
  • OK
  • Enroll
  • Bild36
  • Skriv in pin koden för kortet
  • Bild37Klart :)

 

 

 

 

Smartcard Tips & Tricks

Byt pinkod på kortet

  • Bild38
  • Höger klicka på ”Net ID” i ”taskbar”, välj ”Change password” och IDPrime (basic)
  • Bild39
  • Byt pin (du måste kunna den gamla, tips på vanliga demo pin: 0000, 1234, 123456)
  • Om du slår fel för många gånger låses kortet och du måste ha PUK koden för att låsa upp det

 

I demo miljöer med virtuella maskiner som man pausar istället för stänger av kan det ibland uppstå konstigheter med certen.

Detta är några tips som man kan göra

 

Hämta nya cert:

  • Mmc
  • Certificates
  • Computer
  • Local computer
  • Personal
  • Right click certificates
  • All tasks
  • Request new certificates

 

  • Om ”Error can’t find revoke bla bla”
  • Starts certsrv
  • Make sure service is running
  • Right click revoked certificates
  • All tasks
  • Publish

 

Kör ovanstående ”Hämta nya cert” igen

 

Add Comment


*