Wanneer een ondersteunde PKI-smartcard in een ondersteunde PKI-smartcardlezer wordt geplaatst, leest PRISMAsync Print Server de kaart en wordt begonnen met de verificatie van het certificaat.
Of de opgegeven pincode of het opgegeven wachtwoord wordt gecontroleerd door PRISMAsync Print Server, is afhankelijk van de configuratie van PKI-smartcards.
Op een PKI-smartcard kunnen verschillende smartcardcertificaten en persoonlijke sleutels worden opgeslagen. Wanneer er meerdere smartcardcertificaten zijn opgeslagen op de PKI-smartcard, wordt in het aanmeldingsvenster een vervolgkeuzelijst weergegeven waarin u de gebruikersnaam kunt selecteren.
In het onderstaande schema worden de stappen voor verificatie van een PKI-smartcard tijdens het aanmelden beschreven.
Verificatie van PKI-smartcardsPRISMAsync Print Server accepteert alleen PKI-smartcards met een geldige tijd.
Of PRISMAsync Print Server de intrekkingsstatus van het hele smartcardcertificaatpad controleert, is afhankelijk van de configuratie van PKI-smartcards in PRISMAsync Print Sever. De intrekkingsstatus van het basiscertificaat wordt niet gecontroleerd.
PRISMAsync Print Server accepteert alleen PKI-smartcards waarvoor het hele smartcardcertificaatpad kan worden vertrouwd.
PRISMAsync Print Server accepteert alleen smartcardcertificaten die voor het gebruik van PKI-smartcards zijn uitgegeven.
Of de opgegeven pincode of het opgegeven wachtwoord wordt gecontroleerd door PRISMAsync Print Server, is afhankelijk van de configuratie van PKI-smartcards in PRISMAsync Print Sever. Wanneer er meerdere gebruikers zijn, wordt in het aanmeldingsvenster een vervolgkeuzelijst weergegeven waarin u de gebruikersnaam kunt selecteren. In PRISMAsync Print Server wordt de gebruikersverificatie alleen vervolgd wanneer een correcte pincode of het juiste wachtwoord voor de smartcard wordt opgegeven.
Als alle verificatiestappen zijn voltooid, wordt het proces voor gebruikersverificatie gestart.
Een smartcardcertificaat wordt uitgegeven door een Certification Authority (CA). Deze CA kan een andere (tussenliggende) CA of een basis-CA zijn. Het basis-CA-certificaat wordt uitgegeven door de basis-CA zelf. Het basis-CA-certificaat is het eindpunt van de certificaatketen en vormt het punt van vertrouwen. Op deze manier wordt de relatie tussen CA's gemaakt.
Het smartcardcertificaat kan worden vertrouwd als het wordt geverifieerd door een vertrouwd CA-certificaat. In PRISMAsync Print Server worden CA-certificaten opgeslagen in de lijst met vertrouwde certificaten.
De certificaatketen bepaalt hoe de verificatie van certificaten in de keten wordt uitgevoerd. PRISMAsync Print Server verifieert de certificaatketen voor de smartcard zodra een gebruiker zich met een smartcard aanmeldt.
Voorbeeld:
Verificatie van PKI-smartcardcertificatenPRISMAsync Print Server leest het veld voor de verlener van het smartcardcertificaat en verifieert of deze voorkomt in de lijst met vertrouwde certificaten. Als de certificaatverlener in de lijst voorkomt, gebruikt PRISMAsync Print Server de openbare sleutel van de CA om de handtekening op het smartcardcertificaat te controleren.
Het CA-certificaat wordt uitgegeven door de basis-CA. Dit CA-certificaat is dus een tussencertificaat. PRISMAsync verifieert nu of de basis-CA in de lijst is opgenomen. Als de basis-CA zich in de lijst bevindt, gebruikt PRISMAsync Print Server de openbare sleutel van de basis-CA om de handtekening op het CA-certificaat te verifiëren.
Het basis-CA-certificaat wordt uitgegeven door de basis-CA zelf. De handtekening op het basis-CA-certificaat kan worden geverifieerd met de openbare sleutel van de basis-CA.
Wanneer alle CA's van de smartcard worden vertrouwd, wordt het smartcardcertificaat als vertrouwd beschouwd in PRISMAsync Print Server.
Over het algemeen hebben gebruikers van PKI-smartcards een LDAP-gebruikersaccount op een LDAP-directoryserver. Om deze gebruikersaccount te ondersteunen, configureert u een PRISMAsync-domein en de vereiste PRISMAsync-domeingebruikersgroepen. De gebruikers van PKI-smartcards krijgen hun toegangsrechten net als andere domeingebruikers van de geconfigureerde PRISMAsync-domeingebruikersgroepen.
Wanneer een gebruiker de PKI-smartcard plaatst, leest PRISMAsync Print Server de UPN (Universal Principal Name) van het smartcardcertificaat. De UPN verwijst naar het LDAP-domein waarin de gebruikersaccounts voor smartcards zijn opgeslagen.
U kunt configureren hoe in PRISMAsync Print Server wordt omgegaan met een UPN (Universal Principal Name) die verwijst naar een LDAP-domein dat niet is geconfigureerd in PRISMAsync Print Server.
Het standaard- en configureerbare gedrag van PRISMAsync Print Server wordt beschreven in het onderstaande schema.
Configuratie gebruikersgroepWanneer de PKI-smartcard geldig is, wordt in PRISMAsync Print Server gecontroleerd of het domein bekend is.
Als het domein bekend is, wordt in PRISMAsync Print Server gecontroleerd of de gebruikersaccount hoort bij een of meer PRISMAsync-domeingebruikersgroepen.
De gebruiker wordt geaccepteerd als een of meer PRISMAsync-domeingebruikersgroepen worden gevonden.
De gebruiker wordt niet geaccepteerd als er geen PRISMAsync-domeingebruikersgroep wordt gevonden.
Wanneer het domein onbekend is, wordt in PRISMAsync Print Server de PKI-smartcardconfiguratie gecontroleerd.
De gebruiker wordt geaccepteerd wanneer het selectievakje [Smartcards uit alle domeinen accepteren] is ingeschakeld en er een gebruikersgroep is geselecteerd in de lijst [Groep voor smartcards uit onbekende domeinen].
Smartcards configurerenIn PRISMAsync Print Server worden de toegangsrechten van de gebruikersgroep gebruikt om te controleren of de gebruiker toegang tot de vereiste opties en taken heeft.