Acheter des cartes à puce et se connecter via celles-ci sous Windows 10 et Windows Server 2016

8. Installer manuellement le dernier pilote SafeNet Minidriver

Si vous possédez le pilote SafeNet Minidriver (téléchargé depuis le site de THALES ou obtenu par l'intermédiaire chez qui vous avez acheté vos cartes à puces), lancez le fichier "SafeNet-Minidriver-x64-10.8-R6.msi" qui se trouve dans le dossier "MSI\x64" du fichier zip téléchargé.

Note : si vous possédez un PC ou un serveur qui utilise l'architecture 32 bits (x86), alors lancez le fichier "SafeNet-Minidriver-x86-10.8-R6.msi" qui se trouve dans le dossier "MSI\x86" du fichier zip téléchargé.

Le programme d'installation "SafeNet Minidriver 10.8 R6 - InstallShield Wizard" apparait.
Cliquez sur Next.

Acceptez le contrat de licence.

Comme vous pouvez le voir, par défaut, une icône sera ajoutée dans la barre des tâches de votre ordinateur / serveur pour pouvoir changer le mot de passe de votre carte à puce et pour la débloquer (si nécessaire).
Donc, laissez cette case "SAC Tray Application (for Change/Unblock PIN)" cochée.

Patientez pendant l'installation de ce SafeNet Minidriver.

Pendant l'installation, vous verrez que pilote "SafeNet Cartes à puce" sera proposé.
Néanmoins, vous remarquerez que ce pilote est signé cette fois-ci par "Thales DIS CPL USA, Inc" et non par Microsoft.
Cliquez sur Installer.

Le pilote "SafeNet Minidriver" a été installé.

Une fois ce pilote installé, vous devrez redémarrer votre ordinateur / serveur.

Une fois l'ordinateur / serveur redémarré, vous verrez qu'une icône SafeNet Authentication Client aura apparu dans la barre des tâches (à côté de l'heure).

Néanmoins, étant donné que c'est le pilote (SafeNet Minidriver) que vous avez installé et non le logiciel complet (SafeNet Authentication Client), les seules options disponibles seront :

• Change Token Password : pour changer le mot de passe de la carte à puce.
  Le mot de passe par défaut pour les cartes à puce "IDPrime" est : 0000.
• Unlock Token : déverrouiller votre carte à puce.

Vous n'aurez donc pas accès au programme complet "SafeNet Authentication Client" permettant de gérer entièrement vos cartes à puces.

Si vous allez dans le gestionnaire de périphériques et que vous affichez les propriétés de votre carte à puce "SafeNet IDPrime MD Smart Card", vous verrez que le pilote installé est plus récent que celui de Microsoft et que ce pilote a été signé numériquement par son fabricant (Thales DIS CPL USA, Inc) et non par Microsoft.

9. Demander et inscrire un certificat sur une carte à puce

Pour demander un certificat de connexion par carte à puce pour un utilisateur et l'inscrire sur une carte à puce au nom de l'utilisateur souhaité, connectez-vous sur votre autorité de certification en tant qu'agent d'inscription.

Une fois la session ouverte, n'oubliez pas de connecter votre lecteur de cartes à puce sur votre serveur agissant en tant qu'autorité de certification (si ce n'est pas déjà fait).

Ouvrez une console "mmc", allez dans "Fichier -> Ajouter/Supprimer un composant logiciel enfichable" et ajoutez le composant "Certificats".

Cliquez sur OK.

Dans le magasin de certificats "Personnel", faites un clic droit "Toutes les tâches -> Opérations avancées -> Inscrire au nom de ...".

Note : comme vous pouvez le voir, nous possédons déjà un certificat d'agent d'inscription (agent de demande de certificat).

Pour commencer, vous devez choisir votre certificat d'agent d'inscription en cliquant sur : Parcourir.

Votre certificat d'agent d'inscription apparait.
Cliquez sur OK.

Le nom présent dans ce certificat d'agent d'inscription apparait.
Cliquez sur Suivant.

Sélectionnez le modèle de certificat "Connexion par carte à puce v2" créé précédemment dans ce tutoriel.

Note : si ce modèle de certificat n'apparait pas, assurez-vous que :

• vous avez ajouté le modèle de certificat "Connexion par carte à puce v2" à la liste des modèles de certificats que votre CA peut délivrer.
• votre compte d'utilisateur d'agent d'inscription possède les droits "Lecture" et "Inscrire" sur ce modèle de certificat.

Maintenant, vous devez sélectionner l'utilisateur pour lequel vous souhaitez inscrire un certificat de connexion par carte à puce.
Pour cela, cliquez simplement sur : Parcourir.

Attention : par défaut, la fenêtre "Sélectionnez un utilisateur" effectuera la recherche sur le serveur local où vous vous trouvez.
Dans notre cas : notre serveur CA.

Pour sélectionner un utilisateur de votre domaine, cliquez d'abord sur le bouton "Emplacements".

Sélectionnez votre domaine Active Directory et cliquez sur OK.

Indique le nom de l'utilisateur de votre domaine Active Directory souhaité et cliquez sur OK.

Dans notre cas, nous avons créé un simple utilisateur "InformatiUser" sur notre contrôleur de domaine Active Directory.

Une fois l'utilisateur souhaité sélectionné, cliquez sur Inscription.

Dans notre cas, pour le moment, notre lecteur de cartes à puce "HID OMNIKEY 3121" est branché, mais aucune carte à puce n'est insérée.

Etant donné que le pilote adapté à votre lecteur de cartes à puce est installé et que le modèle de certificat est correctement configuré, une petite fenêtre "Inscription pour le certificat utilisateur" apparaitra et vous demandera d'insérer une carte à puce (si il n'y en a pas pour le moment).

Notez que le modèle de votre lecteur de carte à puce apparaitra également.
Dans notre cas : OMNIKEY AG Smart Card Reader USB 0.

Insérez une carte à puce dans votre lecteur de cartes à puce.

Attention : si le pilote de votre carte à puce n'est pas installé, l'erreur suivante apparaitra :

Plain Text

Erreur de carte à puce
OMNIKEY AG Smart Card Reader USB 0
La carte à puce requiert des pilotes qui ne sont pas présents sur ce système. Essayez une autre carte à puce ou contactez votre administrateur.

Pour régler ce problème, provoquez l'installation du pilote de votre carte à puce depuis le serveur de Microsoft ou installez le pilote "SafeNet Minidriver" (dans le cas d'une carte à puce "THALES IDPrime MDxxx" par exemple).

Si le pilote de votre carte à puce est installé sur le serveur où vous vous trouvez, le modèle de votre carte à puce apparaitra.

Plain Text

IDPrime MD T=0
OMNIKEY AG Smart Card Reader USB 0
La carte à puce est prête à être utilisée.

Maintenant, cliquez sur OK.

Indiquez le code PIN utilisateur de votre carte à puce.

Par défaut, ce code PIN est "0000" pour les cartes THALES IDPrime 940.

Patientez pendant l'inscription du certificat sur votre carte à puce.
Cela peut prendre une dizaine de secondes, en fonction de la carte à puce utilisée.

Pendant l'écriture du certificat sur votre carte à puce, vous verrez que la LED de votre lecteur de cartes "HID OMNIKEY 3121" clignotera en rouge.

Une fois le certificat inscrit, le statut "Opération réussie" apparaitra et la LED de votre lecteur de cartes à puce redeviendra jaune/verte.

Notez que le certificat a été inscrit dans votre carte à puce, ainsi que dans votre magasin de certificats "Personnel".

Cliquez sur "Fermer" ou cliquez sur "Utilisateur suivant" si vous souhaitez inscrire un nouveau certificat pour un autre utilisateur sur une autre carte à puce.

Comme vous pouvez le voir, le certificat est aussi présent dans votre magasin de certificats "Personnel".

Si vous faites un double clic sur ce nouveau certificat, vous verrez que celui-ci est conçu pour les rôles suivants :

• Garantit votre identité auprès d'un ordinateur distant
• Ouverture de session par carte à puce

Vous verrez également qu'il a été délivré à l'utilisateur souhaité (et non à l'agent d'inscription qui a effectué la demande de certificat) et qu'il a été délivré par votre autorité de certification.

Comme prévu, vous verrez qu'une clé publique sera présente dans ce certificat.

Si vous sélectionnez le champ "Utilisation avancée de la clé", vous verrez que ce certificat peut être utilisé pour :

• l'ouverture de session par carte à puce (1.3.6.1.4.1.311.20.2.2)
• l'authentification du client (1.3.6.1.5.5.7.3.2)