Wenn eine unterstützte PKI-Smart-Card in ein unterstütztes PKI-Lesegerät eingesetzt wird, liest PRISMAsync Print Server die Karte und startet die Zertifikatsauthentifizierung.
Es hängt von der Konfiguration der PKI-Smart-Card ab, ob die eingegebene PIN oder das Passwort von PRISMAsync Print Server überprüft wird.
Eine PKI-Smart-Card kann mehrere Smart-Card-Zertifikate und private Schlüssel speichern. Wenn mehrere Smart-Card-Zertifikate auf der PKI-Smart-Card gespeichert sind, zeigt das Anmeldefenster eine Dropdown-Liste zur Auswahl der Benutzernamen an.
Das folgende Schema beschreibt die Schritte zur Überprüfung einer PKI-Smart-Card während der Anmeldung.
Authentifizierung von PKI-Smart-CardsPRISMAsync Print Server akzeptiert nur PKI-Smart-Cards, die zeitlich gültig sind.
Es hängt von der PRISMAsync Print SeverPKI-Smart-Card-Konfiguration ab, ob PRISMAsync Print Server den Widerrufsstatus des gesamten Smart-Card-Zertifikatpfads überprüft. Der Widerrufsstatus des Stammzertifikats wird nicht geprüft.
PRISMAsync Print Server akzeptiert nur PKI-Smart-Cards, bei denen der gesamte Smart-Card-Zertifikatspfad vertrauenswürdig ist.
PRISMAsync Print Server akzeptiert nur Smart-Card-Zertifikate, die für die Verwendung von PKI-Smart-Cards ausgestellt wurden.
Es hängt von der Konfiguration der PRISMAsync Print Sever PKI-Smart-Card ab, ob die eingegebene PIN oder das Passwort von PRISMAsync Print Server überprüft wird. Wenn mehrere Benutzer vorhanden sind, zeigt das Anmeldefenster eine Dropdown-Liste zur Auswahl des Benutzernamens an. PRISMAsync Print Server fährt mit der Benutzerauthentifizierung nur fort, wenn die PIN oder das Passwort der Smart-Card korrekt ist.
Wenn alle Verifizierungsschritte erfolgreich verlaufen sind, wird die Benutzerauthentifizierung gestartet.
Ein Smart-Card-Zertifikat wird von einer Certification Authority (CA) ausgestellt. Dies kann eine andere (Zwischen-) Zertifizierungsstelle (CA) oder eine Stammzertifizierungsstelle (CA) sein. Das CA-Stammzertifikat wird von der Stammzertifizierungsstelle selbst ausgestellt. Das CA-Stammzertifikat ist der Endpunkt der Zertifikatskette und bildet den Punkt der Vertrauenswürdigkeit. Auf diese Weise wird die Beziehung zwischen den Zertifizierungsstellen hergestellt.
Das Smart-Card-Zertifikat kann vertrauenswürdig sein, wenn es durch eine vertrauenswürdige Zertifizierungsstelle verifiziert wurde. PRISMAsync Print Server speichert CA-Zertifikate in der Liste der vertrauenswürdigen Zertifikate.
Die Zertifikatskette legt fest, wie die Prüfung von Zertifikaten in der Kette abläuft. PRISMAsync Print Server überprüft die Smart-Card-Zertifikatskette, sobald sich ein Benutzer mit einer Smart-Card anmeldet.
Beispiel:
Authentifizierung von PKI-Smart-Card-ZertifikatenPRISMAsync Print Server liest das Ausstellerfeld des Smart-Card-Zertifikats und prüft, ob sich der Aussteller in der Liste der vertrauenswürdigen Zertifikate befindet. Wenn sich der Aussteller in der Liste befindet, verwendet PRISMAsync Print Server den öffentlichen Schlüssel der Zertifizierungsstelle (CA), um die Signatur auf dem Smart-Card-Zertifikat zu überprüfen.
Das CA-Zertifikat wird von der Stammzertifizierungsstelle ausgestellt. Dieses CA-Zertifikat ist somit ein Zwischenzertifikat. Jetzt überprüft PRISMAsync, ob sich die Stammzertifizierungsstelle (CA) in der Liste befindet. Wenn sich die Stammzertifizierungsstelle in der Liste befindet, verwendet PRISMAsync Print Server den öffentlichen Schlüssel der Stammzertifizierungsstelle, um die Signatur auf dem CA-Zertifikat zu überprüfen.
Das CA-Stammzertifikat wird von der Stammzertifizierungsstelle selbst ausgestellt. Die Signatur auf dem CA-Stammzertifikat kann mit dem öffentlichen Schlüssel der Stammzertifizierungsstelle verifiziert werden.
Wenn sich alle Smart-Card-Zertifizierungsstellen als vertrauenswürdig erweisen, betrachtet PRISMAsync Print Server das Smart-Card-Zertifikat als vertrauenswürdig.
Im Allgemeinen verfügen PKI-Smart-Card-Benutzer über ein LDAP-Benutzerkonto auf einem LDAP-Verzeichnisserver. Um diese Benutzerkonten zu unterstützen, konfigurieren Sie eine PRISMAsync-Domäne und die erforderlichen PRISMAsync-Domänenbenutzergruppen. Die PKI-Smart-Card-Benutzer erhalten wie die anderen Domänenbenutzer ihre Zugriffsrechte aus den konfigurierten PRISMAsync-Domänenbenutzergruppen.
Wenn ein Benutzer die PKI-Smart-Card eingibt, liest PRISMAsync Print Server den UPN (Universal Principal Name) aus dem Smart-Card-Zertifikat. Der UPN bezieht sich auf die LDAP-Domäne, in der die Smart-Card-Benutzerkonten gespeichert sind.
Sie können konfigurieren, wie PRISMAsync Print Server einen UPN (Universal Principal Name) behandelt, der sich auf eine LDAP-Domäne bezieht, die nicht für PRISMAsync Print Server konfiguriert ist.
Das standardmäßige und konfigurierbare Verhalten von PRISMAsync Print Server wird im folgenden Schema erläutert.
BenutzergruppenkonfigurationWenn die PKI-Smart-Card gültig ist, überprüft PRISMAsync Print Server, ob es sich um eine bekannte Domäne handelt.
Wenn die Domäne bekannt ist, prüft PRISMAsync Print Server, ob das Benutzerkonto zu einer oder mehreren PRISMAsync-Domänenbenutzergruppen gehört.
Der Benutzer wird akzeptiert, wenn mindestens eine PRISMAsync-Domänenbenutzergruppe gefunden wird.
Der Benutzer wird nicht akzeptiert, wenn keine PRISMAsync-Domänenbenutzergruppe gefunden wird.
Wenn die Domäne nicht bekannt ist, prüft PRISMAsync Print Server die PKI-Smart-Card-Konfiguration.
Der Benutzer wird akzeptiert, wenn das Kontrollkästchen [Smart-Cards von allen Domänen akzeptieren] aktiviert und eine Benutzergruppe in der Liste [Gruppe für Smart-Cards von unbekannten Domänen] ausgewählt ist.
Smart-Cards konfigurierenPRISMAsync Print Server verwendet die Zugriffsrechte der Benutzergruppe, um zu prüfen, ob der Benutzer Zugriff auf die erforderlichen Optionen und Aufgaben erhalten kann.