Verwenden virtueller SmartcardsUse Virtual Smart Cards

Gilt für: Windows 10, Windows Server 2016Applies To: Windows 10, Windows Server 2016

In diesem Thema für IT-Experten werden die Anforderungen für virtuelle Smartcards, die Verwendung virtueller Smartcards und Tools beschrieben, die Ihnen beim Erstellen und Verwalten von Smartcards helfen.This topic for the IT professional describes requirements for virtual smart cards, how to use virtual smart cards, and tools that are available to help you create and manage them.

Anforderungen, Einschränkungen und EinschränkungenRequirements, restrictions, and limitations

BereichArea Anforderungen und DetailsRequirements and details
Unterstützte BetriebssystemeSupported operating systems Windows Server 2016Windows Server 2016
Windows Server 2012 R2Windows Server 2012 R2
Windows Server 2012Windows Server 2012
Windows 10Windows 10
Windows8.1Windows 8.1
Windows 8Windows 8
Unterstütztes Trusted Platform Module (TPM)Supported Trusted Platform Module (TPM) Jedes TPM, das die TPM-Hauptspezifikationen für Version 1,2 oder Version 2,0 (wie von der vertrauenswürdigen Computergruppe festgelegte) erfüllt, wird für die Verwendung als virtuelle Smartcard unterstützt.Any TPM that adheres to the TPM main specifications for version 1.2 or version 2.0 (as set by the Trusted Computing Group) is supported for use as a virtual smart card. Weitere Informationen finden Sie in der TPM-Hauptspezifikation.For more information, see the TPM Main Specification.
Unterstützte virtuelle Smartcards pro ComputerSupported virtual smart cards per computer Zehn Smartcards können gleichzeitig mit einem Computer oder Gerät verbunden werden.Ten smart cards can be connected to a computer or device at one time. Dazu gehören physische und virtuelle Smartcards kombiniert.This includes physical and virtual smart cards combined.

Hinweis:Note
Sie können mehrere virtuelle Smartcards erstellen; nach dem Erstellen von mehr als vier virtuellen Smartcards können Sie jedoch die Leistungsverschlechterung bemerken.You can create more than one virtual smart card; however, after creating more than four virtual smart cards, you may start to notice performance degradation. Da alle Smartcards so angezeigt werden, als ob Sie immer eingefügt werden, wenn mehr als eine Person einen Computer oder ein Gerät freigibt, kann jede Person alle virtuellen Smartcards sehen, die auf diesem Computer oder Gerät erstellt wurden.Because all smart cards appear as if they are always inserted, if more than one person shares a computer or device, each person can see all the virtual smart cards that are created on that computer or device. Wenn der Benutzer die PIN-Werte für alle virtuellen Smartcards kennt, kann er ebenfalls verwendet werden.If the user knows the PIN values for all the virtual smart cards, the user will also be able to use them.
Unterstützte Anzahl von Zertifikaten auf einer virtuellen SmartcardSupported number of certificates on a virtual smart card Eine einzelne virtuelle TPM-Smartcard kann 30 unterschiedliche Zertifikate mit den entsprechenden privaten Schlüsseln enthalten.A single TPM virtual smart card can contain 30 distinct certificates with the corresponding private keys. Benutzer können weiterhin Zertifikate auf der Karte verlängern, bis die Gesamtzahl der Zertifikate auf einer Karte 90 überschreitet.Users can continue to renew certificates on the card until the total number of certificates on a card exceeds 90. Der Grund dafür, dass die Gesamtzahl der Zertifikate von der Gesamtzahl der privaten Schlüssel abweicht, besteht darin, dass die Verlängerung manchmal mit demselben privaten Schlüssel erfolgen kann – in diesem Fall wird kein neuer privater Schlüssel generiert.The reason that the total number of certificates is different from the total number of private keys is that sometimes the renewal can be done with the same private key—in which case a new private key is not generated.
PIN, PIN-Entriegelungstaste (PUK) und administrative SchlüsselanforderungenPIN, PIN Unlock Key (PUK), and Administrative key requirements Die PIN und die PUK müssen mindestens acht Zeichen umfassen, die Zahlen, alphabetische Zeichen und Sonderzeichen enthalten können.The PIN and the PUK must be a minimum of eight characters that can include numerals, alphabetic characters, and special characters.
Der administrative Schlüssel muss als 48-Hexadezimalzeichen eingegeben werden.The Administrative key must be entered as 48 hexadecimal characters. Es handelt sich um eine 3-Tasten-Triple des mit ISO/IEC 9797-Padding-Methode 2 im CBC-Verkettungsmodus.It is a 3-key triple DES with ISO/IEC 9797 padding method 2 in CBC chaining mode.

Verwenden von "Tpmvscmgr. exe"Using Tpmvscmgr.exe

Zum Erstellen und Löschen von virtuellen TPM-Smartcards für Endbenutzer wird das Tpmvscmgr-Befehlszeilentool als Befehlszeilentool mit dem Betriebssystem hinzugefügt.To create and delete TPM virtual smart cards for end users, the Tpmvscmgr command-line tool is included as a command-line tool with the operating system. Sie können die Parameter Create und Delete verwenden, um virtuelle Smartcards auf lokalen oder Remotecomputern zu verwalten.You can use the Create and Delete parameters to manage virtual smart cards on local or remote computers. Informationen zur Verwendung dieses Tools finden Sie unter Tpmvscmgr.For information about using this tool, see Tpmvscmgr.

Programmgesteuertes Erstellen und Löschen virtueller SmartcardsCreate and delete virtual smart cards programmatically

Virtuelle Smartcards können auch mithilfe von APIs erstellt und gelöscht werden.Virtual smart cards can also be created and deleted by using APIs. Weitere Informationen finden Sie in den folgenden Klassen und Schnittstellen:For more information, see the following classes and interfaces:

Sie können APIs verwenden, die im Windows. Device. Smartcards-Namespace in Windows Server2012R2 und Windows 8.1 eingeführt wurden, um Microsoft Store-Apps zu erstellen, um den gesamten Lebenszyklus virtueller Smartcards zu verwalten.You can use APIs that were introduced in the Windows.Device.SmartCards namespace in Windows Server2012R2 and Windows8.1 to build Microsoft Store apps to manage the full lifecycle of virtual smart cards. Informationen dazu, wie Sie eine APP dazu erstellen, finden Sie unter starke Authentifizierung: Erstellen von apps, die virtuelle Smartcards in Enterprise-, BYOD-und Consumer-Umgebungen nutzen | Build 2013 | Kanal 9.For information about how to build an app to do this, see Strong Authentication: Building Apps That Leverage Virtual Smart Cards in Enterprise, BYOD, and Consumer Environments | Build 2013 | Channel 9.

In der folgenden Tabelle werden die Features beschrieben, die in einer Microsoft Store-App entwickelt werden können:The following table describes the features that can be developed in a Microsoft Store app:

FeatureFeature Physische SmartcardPhysical Smart Card Virtuelle SmartcardsVirtual Smart Card
Abfragen und Überwachen von Smartcard-LesernQuery and monitor smart card readers JaYes JaYes
Auflisten von verfügbaren Smartcards in einem Reader und Abrufen des Karten namens und der Karten-IDList available smart cards in a reader, and retrieve the card name and card ID JaYes JaYes
Überprüfen, ob der Administratorschlüssel einer Karte richtig istVerify if the administrative key of a card is correct JaYes JaYes
Bereitstellen (oder Neuformatieren) einer Karte mit einer bestimmten Karten-IDProvision (or reformat) a card with a given card ID JaYes JaYes
Ändern Sie die PIN, indem Sie die alte PIN eingeben und eine neue PIN angeben.Change the PIN by entering the old PIN and specifying a new PIN JaYes JaYes
Ändern des administrativen Schlüssels, Zurücksetzen der PIN oder Aufheben der Blockierung der Smartcard mithilfe einer Abfrage/Antwort-MethodeChange the administrative key, reset the PIN, or unblock the smart card by using a challenge/response method JaYes JaYes
Erstellen einer virtuellen SmartcardCreate a virtual smart card Nicht zutreffendNot applicable JaYes
Löschen einer virtuellen SmartcardDelete a virtual smart card Nicht zutreffendNot applicable JaYes
PIN-Richtlinien setzenSet PIN policies NeinNo JaYes

Weitere Informationen zu diesen Windows-APIs finden Sie unter:For more information about these Windows APIs, see:

Unterscheiden von TPM-basierten virtuellen Smartcards von physischen SmartcardsDistinguishing TPM-based virtual smart cards from physical smart cards

Um Benutzern die visuelle Unterscheidung einer TPM-basierten virtuellen Smartcard (Trusted Platform Module) von physischen Smartcards zu ermöglichen, weist die virtuelle Smartcard ein anderes Symbol auf.To help users visually distinguish a Trusted Platform Module (TPM)-based virtual smart card from physical smart cards, the virtual smart card has a different icon. Das folgende Symbol wird während der Anmeldung und auf anderen Bildschirmen angezeigt, in denen der Benutzer die PIN für eine virtuelle Smartcard eingeben muss.The following icon is displayed during sign in, and on other screens that require the user to enter the PIN for a virtual smart card.

Symbol für eine virtuelle Smartcard

Eine TPM-basierte virtuelle Smartcard ist auf der Benutzeroberfläche mit dem Namen " Sicherheitsgerät " gekennzeichnet.A TPM-based virtual smart card is labeled Security Device in the user interface.

Ändern der PINChanging the PIN

Die PIN für virtuelle Smartcards kann geändert werden, indem Sie STRG + ALT + ENTF drücken und dann unter Anmeldeoptionendie virtuelle TPM-Smartcard auswählen.The PIN for virtual smart card can be changed by pressing Ctrl+Alt+Del, and then selecting the TPM virtual smart card under Sign in options.

Beheben von ProblemenResolving issues

TPM nicht bereitgestelltTPM not provisioned

Damit eine TPM-basierte virtuelle Smartcard ordnungsgemäß funktioniert, muss ein bereitgestelltes TPM auf dem Computer verfügbar sein.For a TPM-based virtual smart card to function properly, a provisioned TPM must be available on the computer. Wenn das TPM im BIOS deaktiviert ist oder nicht mit vollständigem Besitz und dem Speicherstammschlüssel bereitgestellt wird, schlägt die virtuelle TPM-Smartcard-Erstellung fehl.If the TPM is disabled in the BIOS, or it is not provisioned with full ownership and the storage root key, the TPM virtual smart card creation will fail.

Wenn das TPM nach dem Erstellen einer virtuellen Smartcard initialisiert wird, funktioniert die Karte nicht mehr, und Sie muss neu erstellt werden.If the TPM is initialized after creating a virtual smart card, the card will no longer function, and it will need to be re-created.

Wenn der TPM-Besitz in einer Windows Vista-Installation eingerichtet wurde, ist das TPM nicht bereit, virtuelle Smartcards zu verwenden.If the TPM ownership was established on a WindowsVista installation, the TPM will not be ready to use virtual smart cards. Der System Administrator muss das TPM löschen und initialisieren, damit es für die Erstellung von virtuellen TPM-Smartcards geeignet ist.The system administrator needs to clear and initialize the TPM for it to be suitable for creating TPM virtual smart cards.

Wenn das Betriebssystem neu installiert wird, sind vorherige virtuelle TPM-Smartcards nicht mehr verfügbar und müssen neu erstellt werden.If the operating system is reinstalled, prior TPM virtual smart cards are no longer available and need to be re-created. Wenn das Betriebssystem aktualisiert wurde, stehen frühere virtuelle TPM-Smartcards für die Verwendung im aktualisierten Betriebssystem zur Verfügung.If the operating system is upgraded, prior TPM virtual smart cards will be available to use in the upgraded operating system.

TPM im SperrzustandTPM in lockout state

Manchmal kann das TPM aufgrund häufiger fehlerhafter PIN-Versuche eines Benutzers in den Sperrzustand wechseln.Sometimes, due to frequent incorrect PIN attempts from a user, the TPM may enter the lockout state. Um die Verwendung der virtuellen TPM-Smartcard fortzusetzen, müssen Sie die Sperrung für das TPM zurücksetzen, indem Sie das Kennwort des Besitzers verwenden oder warten, bis die Sperrung abläuft.To resume using the TPM virtual smart card, it is necessary to reset the lockout on the TPM by using the owner’s password or to wait for the lockout to expire. Durch das Aufheben der Blockierung der Benutzer-PIN wird die Sperrung im TPM nicht zurückgesetzt.Unblocking the user PIN does not reset the lockout in the TPM. Wenn das TPM gesperrt wird, wird die virtuelle TPM-Smartcard so angezeigt, als ob Sie blockiert ist.When the TPM is in lockout, the TPM virtual smart card appears as if it is blocked. Wenn das TPM in den Sperrzustand wechselt, weil der Benutzer zu oft eine falsche PIN eingegeben hat, kann es erforderlich sein, die Benutzer-PIN mithilfe der virtuellen Smartcard-Verwaltungstools wie Tpmvscmgr-Befehlszeilentool zurückzusetzen.When the TPM enters the lockout state because the user entered an incorrect PIN too many times, it may be necessary to reset the user PIN by using the virtual smart card management tools, such as Tpmvscmgr command-line tool.

Weitere Informationen:See also

Informationen zu Authentifizierungs-, Vertraulichkeits-und Daten Integritäts Anwendungsfällen finden Sie unter Übersicht über virtuelle Smartcards.For information about authentication, confidentiality, and data integrity use cases, see Virtual Smart Card Overview.