När ett PKI-smartcard som stöds sätts in i en PKI-smartcardläsare som stöds läser PRISMAsync Print Server kortet och startar certifikatautentiseringen.
Konfigurationen av ett PKI-smartcard avgör om PRISMAsync Print Server kontrollerar den angivna Pinkoden eller det angivna lösenordet.
Ett PKI-smartcard kan innehålla flera smartcardcertifikat och privata nycklar. Om ett PKI-smartcard innehåller flera smartcardcertifikat visas en listruta för val av användarnamn i inloggningsfönstret.
Flödesschemat nedan beskriver stegen för verifiering av ett PKI-smartcard under inloggningsprocessen.
Autentisering av PKI-SmartcardPRISMAsync Print Server godkänner endast tidsgiltiga PKI-smartcard.
Konfigurationen av ett PKI-smartcard i PRISMAsync Print Sever avgör om PRISMAsync Print Server kontrollerar återkallningsstatusen för hela certifikatsökvägen för kortet. Rotcertifikatets återkallningsstatus kontrolleras inte.
PRISMAsync Print Server godkänner endast PKI-smartcard för vilka hela certifikatsökvägen är betrodd.
PRISMAsync Print Server godkänner endast smartcardcertifikat som utfärdats för PKI-smartcardanvändning.
Konfigurationen av ett PKI-smartcard i PRISMAsync Print Sever avgör om PRISMAsync Print Server kontrollerar den angivna Pinkoden eller det angivna lösenordet. Om kortet har flera användare visas en listruta för val av användarnamn i inloggningsfönstret. PRISMAsync Print Server fortsätter endast med användarautentiseringen om kortets Pinkod eller lösenord är korrekt.
När alla verifieringssteg är klara startar autentiseringsprocessen.
Ett smartkortscertifikat utfärdas av en Certification Authority (CA). Certifikatutfärdaren (CA) kan vara en annan (mellanliggande) certifikatutfärdare (CA) eller en rot-CA-certifikatutfärdare. Rot-CA-certifikatet utfärdas av rot-CA-certifikatutfärdaren (CA). Rot-CA-certifikat är slutpunkten i certifikatkedjan och upprättar den betrodda punkten. Så här skapas relationen mellan certifikatutfärdare (CA).
Smartcardcertifikatet är betrott om det har verifierats av ett betrott CA-certifikat. PRISMAsync Print Server lagrar CA-certifikat i listan över betrodda certifikat.
Certifikatkedjan avgör hur verifiering av certifikat i kedjan utförs. PRISMAsync Print Server verifierar certifikatkedjan för smartkort så fort en användare loggar in med ett smartkort.
Exempel:
Autentisering av PKI-Smartcard-certifikatPRISMAsync Print Server läser utfärdarfältet för smartcardcertifikatet och verifierar om utfärdaren finns med i listan över betrodda certifikat. Om utfärdaren finns med i listan använder PRISMAsync Print Server certifikatutfärdarens offentliga nyckel för att verifiera signaturen på smartkortcertifikatet.
CA-certifikatet utfärdas av rot-CA-certifikatet. Därmed är det här CA-certifikat ett mellanliggande certifikat. Nu verifierar PRISMAsync om rot-CA finns med i listan. Om rot-CA finns med i listan använder PRISMAsync Print Server rot-CA den offentliga nyckeln för att verifiera signaturen på CA-certifikat.
Rot-CA-certifikatet utfärdas av rot-CA-certifikatutfärdaren (CA). Signaturen på rot-CA-certifikatet kan verifieras med rot-CA-certifikatets offentliga nyckel.
Om alla smartkortscertifikatutfärdare visar sig vara betrodda, betraktar PRISMAsync Print Server smartkortscertifikatet som betrott.
PKI-smartcardanvändarna har vanligtvis ett LDAP-användarkonto på en LDAP-katalogserver. Gör att stödja dessa användarkonton kan du konfigurera en PRISMAsync-domän och de nödvändiga PRISMAsync-domänanvändargrupperna. PKI-smartcardanvändare kan, på samma sätt som andra domänanvändare, hämta sina åtkomstbehörigheter från de konfigurerade PRISMAsync-domänanvändargrupperna.
När en användare sätter i sitt PKI-smartcard läser PRISMAsync Print Server kortets UPN (Universal Principal Name) från smartcardcertifikatet. Kortets UPN refererar till den LDAP-domän där smartcardanvändarkontona lagras.
Du kan konfigurera hur PRISMAsync Print Server ska hantera en UPN (Universal Principal Name) som refererar till en LDAP-domän som inte är konfigurerad på PRISMAsync Print Server.
PRISMAsync Print Server-standarden och konfigurerbart beteende beskrivs i schemat nedan.
Konfiguration för användargruppOm ett PKI-smartcard är giltigt kontrollerar PRISMAsync Print Server om domänen är känd.
Om domänen är känd kontrollerar PRISMAsync Print Server om användarkontot tillhör en eller flera PRISMAsync-domänanvändargrupper.
Användaren godkänns om en eller flera PRISMAsync-domänanvändargrupper hittas.
Användaren godkänns inte om inga PRISMAsync-domänanvändargrupper hittas.
Om domänen är okänd kontrollerar PRISMAsync Print Server PKI-smartcardkonfigurationen.
Användaren godkänns när kryssrutan [Godkänn smartkort från alla domäner] är markerad och en användargrupp har valts i listan [Grupp för smartkort från okända domäner].
Konfigurera smartkortPRISMAsync Print Server använder gruppåtkomstbehörigheterna för att kontrollera om användaren ska få tillgång till de begärda funktionerna och uppgifterna.