Share via

Zertifikatweitergabedienst

Der Zertifikatweitergabedienst (CertPropSvc) ist ein Windows-Dienst, der aktiviert wird, wenn ein Benutzer eine intelligente Karte in einen Leser einfügt, der an das Gerät angefügt ist. Die Aktion bewirkt, dass die Zertifikate aus dem smarten Karte gelesen werden. Die Zertifikate werden dann dem persönlichen Speicher des Benutzers hinzugefügt. Aktionen des Zertifikatweitergabediensts werden mithilfe von Gruppenrichtlinie gesteuert. Weitere Informationen finden Sie unter Smartcard-Gruppenrichtlinie und Registrierungseinstellungen.

Hinweis

Der Zertifikatweitergabedienst muss ausgeführt werden, damit smarte Karte Plug & Play funktioniert.

Die folgende Abbildung zeigt den Ablauf des Zertifikatweitergabediensts. Die Aktion beginnt, wenn ein angemeldeter Benutzer eine intelligente Karte einfügt.

  1. Der Pfeil mit der Bezeichnung 1 gibt an, dass der Dienststeuerungs-Manager (SCM) den Zertifikatweitergabedienst (CertPropSvc) benachrichtigt, wenn sich ein Benutzer anmeldet, und CertPropSvc beginnt, die Smartcards in der Benutzersitzung zu überwachen.
  2. Der Pfeil mit der Bezeichnung R stellt die Möglichkeit einer Remotesitzung und die Verwendung von Smart Karte-Umleitung dar.
  3. Der Pfeil mit der Bezeichnung 2 gibt die Zertifizierung für den Leser an.
  4. Der Pfeil mit der Bezeichnung 3 zeigt den Zugriff auf den Zertifikatspeicher während der Clientsitzung an.

Zertifikatweitergabedienst.

  1. Ein angemeldeter Benutzer fügt eine intelligente Karte
  2. CertPropSvc wird benachrichtigt, dass eine intelligente Karte eingefügt wurde.
  3. CertPropSvc liest alle Zertifikate aus allen eingefügten Smartcards. Die Zertifikate werden in den persönlichen Zertifikatspeicher des Benutzers geschrieben.

Hinweis

Der Zertifikatweitergabedienst wird als Abhängigkeit von Remotedesktopdiensten gestartet.

Zu den Eigenschaften des Zertifikatweitergabediensts gehören:

  • CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES Fügt Zertifikate zum persönlichen Speicher eines Benutzers hinzu.
  • Wenn das Zertifikat über die CERT_ENROLLMENT_PROP_ID -Eigenschaft verfügt (wie von wincrypt.hdefiniert), filtert es leere Anforderungen und platziert sie im Anforderungsspeicher des aktuellen Benutzers, gibt sie jedoch nicht an den persönlichen Speicher des Benutzers weiter.
  • Der Dienst gibt weder Computerzertifikate an den persönlichen Speicher eines Benutzers weiter, noch gibt er Benutzerzertifikate an einen Computerspeicher weiter.
  • Der Dienst verteilt Zertifikate gemäß Gruppenrichtlinie festgelegten Optionen, die folgendes umfassen können:
    • Aktivieren der Zertifikatweitergabe über die intelligente Karte gibt an, ob das Zertifikat eines Benutzers weitergegeben werden soll.
    • Aktivieren der Stammzertifikatweitergabe von Smart Karte gibt an, ob Stammzertifikate weitergegeben werden sollen.
    • Konfigurieren der Stammzertifikatbereinigung gibt an, wie Stammzertifikate entfernt werden

Stammzertifikatweitergabedienst

Die Stammzertifikatweitergabe ist für die folgenden Bereitstellungsszenarien für intelligente Karte verantwortlich, wenn noch keine PKI-Vertrauensstellung (Public Key Infrastructure) eingerichtet wurde:

  • Beitreten zur Domäne
  • Remotezugriff auf ein Netzwerk

In beiden Fällen ist der Computer nicht mit einer Domäne verknüpft, sodass die Vertrauensstellung nicht durch eine Gruppenrichtlinie verwaltet wird. Das Ziel ist jedoch die Authentifizierung bei einem Remoteserver, z. B. dem Domänencontroller. Die Stammzertifikatweitergabe bietet die Möglichkeit, die smarte Karte zu verwenden, um die fehlende Vertrauenskette einzuschließen.

Wenn die intelligente Karte eingefügt wird, gibt der Zertifikatweitergabedienst alle Stammzertifikate auf dem Karte an die vertrauenswürdigen Smart Karte-Stammcomputerzertifikatspeicher weiter. Dieser Prozess stellt eine Vertrauensstellung mit den Unternehmensressourcen her. Sie können auch eine nachfolgende Bereinigungsaktion verwenden, wenn die intelligente Karte des Benutzers aus dem Reader entfernt wird oder wenn sich der Benutzer abmeldet. Dies kann mit einer Gruppenrichtlinie konfiguriert werden. Weitere Informationen finden Sie unter Smartcard-Gruppenrichtlinie und Registrierungseinstellungen.

Weitere Informationen zu Den Anforderungen für Stammzertifikate finden Sie unter Smart Karte Stammzertifikatanforderungen für die Verwendung bei der Domänenanmeldung.

Weitere Informationen

Funktionsweise der Smartcardanmeldung in Windows