Här redovisas inställningar som gjordes för de serverkomponenter som installe- rades. Vissa av dem är endast relevanta för installation i ett separat testnätverk eftersom dessa redan finns i företagets nätverk.
A.2.1
Active Directory (rollen Domain Controller)
För Active Directory ställde jag in att servern skulle vara domänkontrollant för domänenstsmain.local med NETBIOS-namn STSMAINLför att inte skapa förvirring genom att använda samma domännamn som det riktiga nätverket.
Några testanvändare skapades för att testa inloggning från klientdatorerna och konton för klientdatorerna skapades i domänen. Detta behöver förstås inte genomföras vid skarp installation eftersom domänkontrollanten för företagets nät redan är konfigurerad.
A.2.2
DNS och DHCP
Eftersom servern inte har kontakt med andra DNS-servrar valdes inställningen do not forward queries för DNS-rollen. DHCP-rollen aktiverades för att tillhandahålla IP-adresser till klientdatorerna och den förvalda IP-poolen accepterades. Dessa komponenter är även de redan konfigurerade i företagets riktiga nätverk.
A.2.3
Microsoft Management Console
För att förenkla hanteringen av tjänster relaterade till certifikathanteringen skapa- de jag en MMC med några komponenter som var mycket praktiska att ha lätt till- gängliga, se figur A.1. För att skapa en likadan MMC, skriv först kommandotmmc
Figur A.1.MMC för hantering av servertjänster. Källa: Författaren
A.2 Konfiguration av komponenter 77
som kommer upp på skärmen och gå till fliken Standalone. Klicka på knappen Add så visas listan på de komponenter som går att lägga till. Välj Active Directory Users and Computers och klicka på Add så läggs den till i listan. Välj Certification Aut- hority och därefter Local Computer för att administrera CA:n som körs på samma dator och klicka på Finish. Välj Certificates och klicka på Add. Välj därefter My user account för att hantera certifikat för den inloggade administratören och klicka på Finish. Avsluta konfigurationen av MMC:n och spara den med ett lämpligt namn.
A.2.4
Certificate Services
Komponenten Certificate Services gör att servern kan agera CA för företaget, vilket är nödvändigt för att kunna utfärda och hantera certifikat utan att tvingas köpa tjänsten utifrån. När det frågas om vilken typ av CA som ska installeras, välj En- terprise Root CA. Som namn (common name, CN) på CA:n valde jagSTStestCA
för att tydliggöra att certifikat som utfärdats av denna server inte ska användas i skarpa sammanhang.
För att kunna utfärda de certifikat som behövs för inloggning med certifikat lagrade på smartkort i Windows 2000, krävs att följande certifikatmallar läggs till i företagets CA (se även [14]):
• Smartcard Logon • Smartcard User • Enrollment Agent
Detta görs i konfigurationskonsollen Certification Authority som finns under Administrative Tools på servern, eller i den MMC som skapades i avsnitt A.2.3. I konfigurationen för den aktuella CA:n läggs mallarna till genom att högerklicka på Certificate Templates som finns i trädvyn under namnet på CA:n. Välj därefter New → Certificate Template to Issue, då visas en dialog med tillgängliga mallar. Välj Smartcard Logon och klicka på OK. Upprepa detta för de övriga certifikatmallarna. För att en administratör ska kunna utfärda certifikat åt andra användare be- höver administratören ett särskilt certifikat för detta. Öppna MMC:n från avsnitt A.2.3 och expandera Certificates – Current User i trädvyn. Expandera Personal som finns därunder och högerklicka på Certificates. Välj All Tasks → Request New Certi- ficate vilket öppnar en guide för att begära ett nytt certifikat. När frågan om typ av certifikat kommer upp, välj Enrollment Agent och slutför guiden. När det är klart finns det nya certifikatet i listan för den aktive användarens personliga certifikat. Dessa steg upprepas för varje administratör som ska kunna utfärda certifikat åt användare. Det skulle även vara möjligt att låta användare begära certifikat åt sig själva men det skulle skapa nya säkerhetsproblem eftersom varje användare skul- le behöva ha administratörsbehörighet.
Observera att när företaget förlitar sig på en PKI-lösning baserad på en egen CA, måste denna betraktas som ett extremt känsligt system. Obehörig åtkomst till den kommer att leda till stora förluster eftersom det finns risk att känslig informa- tion görs åtkomlig och att förtroende för företagets certifikat skadas svårt.
A.2.5
IIS
Eftersom jag installerade Certificate Services innan IIS installerats, skapades in- te de filer som behövs för att använda det webbgränssnitt som erbjuds för ut- färdande av certifikat. För att skapa dessa filer i efterhand anropas kommandot
certutil -vrootfrån en kommandoprompt. Därefter finns dessa sidor till- gängliga på adressenhttp://servernamn/certsrv/, vilket gör det möjligt att utfärda certifikat åt användare från registreringsstationer genom en webblä- sare. ASP (Active Server Pages) måste även vara ativerat i IIS för att detta ska fungera.
A.2.6
POP3 och SMTP
För att kunna testa att skicka krypterad och signerad e-post konfigurerades ser- vern även som e-postserver. I händelse av en skarp installation kommer förstås företagets egen e-postserver att användas.
Bilaga B
Installation av RSA Passage
Här redovisas hur produkten Passage konfigurerades och vilka anpassningar i testmiljön som gjordes för den. Installationsanvisningar finns i administratörs- handboken för produkten [27] men utöver detta finns här de lokala anpassningar jag gjort.
B.1
Installation av programvara
Programvaran Passage 3.5 installeras med hjälp av installationsprogrammet som finns i toppnivån på CD:n som medföljer produkten. Övrig programvara och driv- rutiner finns i mappar på skivan. Då vissa problem med fördröjningar vid inlogg- ning uppstått under testarbetet, har jag begärt uppdateringar av programvaran och har därför även använt version 3.5.1 av Passage, vilket är den version som kommer att säljas som färdig produkt.
B.1.1
Passage
Under installationen väljs vilka komponenter av Passage som önskas. Komponen- ten Passage Logon innehåller stöd för att logga in med användarnamn och lösenord som lagrats på ett smartkort och är även nödvändig om inloggning med certifi- kat på smartkort önskas. För inloggning med digitala certifikat och andra tjänster som bygger på certifikat ska dessutom komponenten Passage Cryptographic Ser- vices väljas. Komponenten Password Management innehåller funktionalitet för att lagra lösenord för applikationer och webbtjänster på smartkort, denna kompo- nent behövs alltså inte för inloggning i Windows.
När komponenterna valts frågas efter vilka konfigurationsinställningar som ska gälla, se figur B.1, dessa kan dock ändras även efter att installationen genom- förts. Valet Microsoft Logon ska väljas för att möjliggöra inloggning med certifikat eller vanlig domäninloggning med användarnamn och lösenord. Det andra va- let, Passage Logon, ställer in Windows GINA att använda inloggningsinformation
Figur B.1.Konfiguration under installationen av Passage. Källa: Författaren
som lagrats på ett smartkort, observera att detta alltså inte är certifikatinloggning. För att underlätta för användare, som ofta utför uppgifter som kräver att kortets PIN-kod anges, kan valet Remember PIN markeras. Då lagras kortets PIN-kod i Windowsregistret under en valbar tid efter att koden angivits första gången, de förvalda tiderna innebär att koden slutar att lagras efter 10 minuter om inte an- vändaren använder kortet och att koden maximalt kan lagras i 60 minuter. När någon av tiderna gått ut kommer användaren att avkrävas PIN-kod nästa gång en skyddad operation på kortet ska utföras.
För att underlätta hanteringen av certifikat bör valet Register at logon för certifi- kat markeras. På detta sätt har en inloggad användare alltid tillgång till de certifi- kat som finns på dennes smartkort utan att behöva bekymra sig om de registrerats eller inte.
B.1.2
Drivrutiner
Jag har använt smartkortläsaren SCR301 som ansluts via USB-gränssnitt samt SCR131 som har RS232-anslutning för att hantera smartkortet 5100. Drivrutiner för läsarna finns på CD:n och installeras med hjälp av respektive installationspro- gram. För att hantera USB-enheten 6100 krävs drivrutiner för SchlumbergerSema Reflex Reader, vilka även finns på CD:n. För dessa finns dock inget installations- program utan filerna måste packas upp och installeras med hjälp av Windows en- hetshanterare. Den drivrutin som ska installeras är e-gate Virtual Reader Enumerator och när det är gjort upptäcker Windows e-gate USB Smart card reader och installerar drivrutiner för denna läsare. De drivrutiner för USB-enheterna som finns på ski- van är version 1.10, vilket är den enda version som fungerar med 6100-enheterna.