Certificate Propagation

I Net iD har alltid funktionen ’CertMover’ funnits. Funktionen läser in kortets användarcertifikat och lägger dem åtkomliga för t.ex Internet Explorer. ’CertMover’ är helt enkelt “det som snurrar” i taskbar när du stoppar i ett kort:

snurr

Windows har en egen sådan funktion som via Net iD:s CSP ber om samma operation. Det kan då ibland uppstå oönskade fenomen såsom att “FriendlyName” inte sätts eller att det blir certifikat liggande kvar i MyStore. Särskilt det senare kan bli högst problematiskt.

Här har Net iD tagit hand om certifikatspropageringen. Det ser man på att fältet “Eget namn” är ifyllt.

xp_netid_certmover

Här har Windows egen funktion tagit hand om certifikatspropageringen. Fältet “Eget namn” är tomt.

xp_ms_certprop
Har man jobbat med många olika kort i sin dator (t.ex. om du är kortadministratör) så kan man hamna i ett läge där MyStore är fullkomligt proppat med certifikat från alla kort som “passerat” datorn och arbetet som kortadministratör blir tämligen hopplöst.

Även användare kan få problem med detta då man fått ett reservkort men certifikaten från det borttappade kortet dyker upp i olika valdialoger utan att kunna användas:

lot_of_certs

Väljer användaren “fel certifikat kan man då får denna dialog med efterföljande förvirring och samtal till helpdesk:

insert_card_with_missing_certs

Men det finns saker man kan göra för att undvika detta

Nedan följer några tips för att undvika krockar mellan Net iD “certifikat-kopierings-funktion” och Windows egen inbyggda.
(Windows inbyggda funktion är förstås beroende av Net iD:s CSP för att kopiera certifikaten.)

Notera!

Att det följande fungerat väl i de tester SecMaker genomfört ska inte tas som en garanti för att det fungerar i andra miljöer. Stora IT-lösningar har ofta komplexa samband och registerändringar och stopp av tjänster kan ge oväntade resultat. Prova med försiktighet och helst förstås i en testmiljö innan du aktiverar i produktionmiljö.

Men innan du provar nedanstående:
Installera senaste version av kortläsarens drivrutin från tillverkaren. Kör inte Microsofts CCID-drivare!

Windows XP


Har du dessa problem på Windows XP kan du prova detta:

disable_certprop_xp

Se denna länk för hela artikeln:

http://support.microsoft.com/kb/925884

Windows 7


Får du problem på Windows 7 kan du prova detta:

1) Ändra de två GPO:er som berör detta:

certprop_gpo_w7

2) Kontrollera att denna tjänst inte är igång. Se till att den inte står på “Automatisk”

certprop_service_w7

I Citrix-lösningar


Här blir det värre, iallafall om man startar en publicerad applikation som kräver tillgång till certifikaten på kortet. T.ex. Internet Explorer. Det funkar som så att när man startar en publicerad applikation så körs inte registernyckeln “Run”. Det är där “iid.exe” ligger. Alltså, Net iD är inte startad och kan varken lägga in certifikat eller ta bort certifikat. Vi är helt i händerna på Microsoft som:
a) Ibland väntar någon minut med att lägga in certifikaten
b) Aldrig rensar bort certifikat i samband med kort ur

Här en bild som visar ett uppkopplingsförsök mot en site där certifikatsvalet rymmer 7 certifikat:
– 4 från ett kort som använts tidigare (men som vid testet ligger i min skjortficka)
– 3 från det kort som sitter i kortläsaren just när testet görs

citrix_mystore_001

Lösningen är att dels stänga av Microsofts inbyggda certifikatspropagering på sin server, beskrivet ovan, samt att se till att iid.ex. startas för respektive användare när den publicerade applikationen startas.

I andra lägen har problemet kunnat adresseras genom att använda Net iD Watch konfigurerad som så att iid.exe gör en “refresh” vid kort ur.