Nitrokey HSM wird nicht erkannt

Neue Nitrokey HSM, OpenSC installiert in Windows Server 2019, wird nicht erkannt. sc-hsm-tool:

Using reader with a card: Microsoft UICC ISO Reader fba4e4fc 0
Failed to connect to card: Card is invalid or cannot be handled
Failed to connect to card: Success

Certutil -scinfo:

Karte im Leser wird analysiert: Microsoft UICC ISO Reader fba4e4fc 0
SCardGetCardTypeProviderName: Das System kann die angegebene Datei nicht finden. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Anbietername kann nicht abgerufen werden fĂĽr SCardGetCardTypeProviderName: Das System kann die angegebene Datei nicht finden. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Anbietername kann nicht abgerufen werden fĂĽr
--------------===========================--------------
CertUtil: -SCInfo-Befehl ist fehlgeschlagen: 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)
CertUtil: Das System kann die angegebene Datei nicht finden.

ATR SchlĂĽssel in der Registry entsprach nicht dem mit opensc-notify gefundenen. Auch nach Korrektur mit Regedit derselbe Fehler.
Unter Windows 10 wird dieselbe HSM einwandfrei erkannt.

Hallo,

  1. Sie haben verschiedene Betriebssysteme erwähnt: Windows 10 und Windows Server 2019. Sind dies getrennte Maschinen?
  2. Ist es möglich, dass das Gerät durch USB-Sperrregeln für die Benutzung gesperrt ist? (z.B. gesetzt mit gpedit)
  3. Das Protokoll zeigt, dass Sie einen anderen Chipkartenleser haben, der möglicherweise standardmäßig anstelle des Nitrokey-HSM-Geräts verwendet wird. Könnten Sie das überprüfen?
  4. Funktioniert Windows Server auf einer VM?

PS Diese Meldung wurde automatisch ĂĽbersetzt. Wir entschuldigen uns fĂĽr die
Unannehmlichkeiten.

Ich vermute Sie haben einen eingebauten Chipkartenleser. Mittels dem Parameter “–reader” können Sie das korrekte Gerät auswählen.

opensc-tool -r0 bringt denselben Fehler

  1. es sind unterschiedliche Maschinen (these are different machines)
  2. nein, es sind keine GPOs vorhanden (no GPOs are set)
  3. ich werde das ĂĽberprĂĽfen (I will check this)
  4. sowohl Windows Server 2019 als auch Windows 10 sind physikalische Maschinen (both are physical machines)
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers\Nitrokey Nitrokey HSM 0]
"Device"="Nitrokey Nitrokey HSM 0"
"Groups"=hex(7):53,00,43,00,61,00,72,00,64,00,24,00,44,00,65,00,66,00,61,00,75,\
  00,6c,00,74,00,52,00,65,00,61,00,64,00,65,00,72,00,73,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\SmartCard-HSM]
"Crypto Provider"="OpenSC CSP"
"Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
"80000001"="C:\\Program Files\\OpenSC Project\\OpenSC\\minidriver\\opensc-minidriver.dll"
"ATR"=hex:3b,fe,18,00,00,81,31,fe,45,80,31,81,54,48,53,4d,31,73,80,21,40,81,07,\
  fa
"ATRMask"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\SmartCard-HSM 4K]
"Crypto Provider"="OpenSC CSP"
"Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
"80000001"="C:\\Program Files\\OpenSC Project\\OpenSC\\minidriver\\opensc-minidriver.dll"
"ATR"=hex:3b,de,00,ff,81,91,fe,1f,c3,80,31,81,54,48,53,4d,31,73,80,21,40,81,07,\
  00
"ATRMask"=hex:ff,ff,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\SmartCard-HSM-CL]
"Crypto Provider"="OpenSC CSP"
"Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
"80000001"="C:\\Program Files\\OpenSC Project\\OpenSC\\minidriver\\opensc-minidriver.dll"
"ATR"=hex:3b,8e,80,01,80,31,81,54,48,53,4d,31,73,80,21,40,81,07,18
"ATRMask"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff

Erkannte Karte von opensc-notify:
grafik

ATR entspricht nicht den Einträgen in der Registry
Alle im Gerätemanager angezeigten Smartcards von MS sind deaktiviert.

Neuer Test: Sobald der HSM Stick entfernt wird sind alle Smartcards und -Leser im Gerätemanager verschwunden. Es gibt definitiv keinen eingebauten Smardcard Leser. Wird der Stick gesteckt erscheint sofort wieder der Microsoft usbccid Reader.

Könnten Sie zeigen, was untenstehende Befehle zurückgeben?

  1. opensc-tool -l
  2. pkcs11-tool -L

C:\Program Files\OpenSC Project\OpenSC\tools>opensc-tool.exe -l
No smart card readers found.

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool.exe -L
Available slots:
No slots.

Gerätemanager: image

Smartcard konnte jetzt erfolgreich installiert werden. so-pin wurde mit folgendem Befehl geändert: sc-hsm-tool --initialize --so-pin 3537363231383830 --pin xxxxxxxx
Testversuch:
C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool.exe --login --test
Using slot 0 with a present token (0x0)
Logging in to “SmartCard-HSM (UserPIN)”.
Please enter User PIN:

An dieser Stelle scheint eine PIN Eingabe nicht möglich, zumindest wird nichts angezeigt.Bestätigt man dennoch kommt folgende Meldung:
Logging in to “SmartCard-HSM (UserPIN)”.
Please enter User PIN: error: PKCS11 function C_Login failed: rv = CKR_PIN_LEN_RANGE (0xa2)
Aborting.

AnschlieĂźend:
C:\Program Files\OpenSC Project\OpenSC\tools>sc-hsm-tool.exe
Using reader with a card: Nitrokey Nitrokey HSM 0
Version : 3.4
Config options :
User PIN reset with SO-PIN enabled
SO-PIN tries left : 15
User PIN tries left : 2

Verständnisfrage: welche PIN ist hier gemeint, alte so-pin, neue so-pin, sonstige PIN? Auch mittels XCA Tool lässt sich mit keiner der bekannten PINs anmelden

Hallo,

Bitte erstellen Sie ein weiteres Thema, um das Forum organisiert zu halten, vielen Dank!

Könnten Sie kurz beschreiben, wie Sie das ursprüngliche Problem behoben haben?

Das Problem lag in der Durchreichung der SmartCard via RDP. Jetzt da die SmartCard lokal am Server angeschlossen ist kann dort darauf zugegriffen werden bzw. remote mit entsprechenden Tools (z.B. KVM)

1 Like