Nitrokey HSM wird nicht erkannt

Neue Nitrokey HSM, OpenSC installiert in Windows Server 2019, wird nicht erkannt. sc-hsm-tool:

Using reader with a card: Microsoft UICC ISO Reader fba4e4fc 0
Failed to connect to card: Card is invalid or cannot be handled
Failed to connect to card: Success

Certutil -scinfo:

Karte im Leser wird analysiert: Microsoft UICC ISO Reader fba4e4fc 0
SCardGetCardTypeProviderName: Das System kann die angegebene Datei nicht finden. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Anbietername kann nicht abgerufen werden f√ľr SCardGetCardTypeProviderName: Das System kann die angegebene Datei nicht finden. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Anbietername kann nicht abgerufen werden f√ľr
--------------===========================--------------
CertUtil: -SCInfo-Befehl ist fehlgeschlagen: 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)
CertUtil: Das System kann die angegebene Datei nicht finden.

ATR Schl√ľssel in der Registry entsprach nicht dem mit opensc-notify gefundenen. Auch nach Korrektur mit Regedit derselbe Fehler.
Unter Windows 10 wird dieselbe HSM einwandfrei erkannt.

Hallo,

  1. Sie haben verschiedene Betriebssysteme erwähnt: Windows 10 und Windows Server 2019. Sind dies getrennte Maschinen?
  2. Ist es m√∂glich, dass das Ger√§t durch USB-Sperrregeln f√ľr die Benutzung gesperrt ist? (z.B. gesetzt mit gpedit)
  3. Das Protokoll zeigt, dass Sie einen anderen Chipkartenleser haben, der m√∂glicherweise standardm√§√üig anstelle des Nitrokey-HSM-Ger√§ts verwendet wird. K√∂nnten Sie das √ľberpr√ľfen?
  4. Funktioniert Windows Server auf einer VM?

PS Diese Meldung wurde automatisch √ľbersetzt. Wir entschuldigen uns f√ľr die
Unannehmlichkeiten.

Ich vermute Sie haben einen eingebauten Chipkartenleser. Mittels dem Parameter ‚Äú‚Äďreader‚ÄĚ k√∂nnen Sie das korrekte Ger√§t ausw√§hlen.

opensc-tool -r0 bringt denselben Fehler

  1. es sind unterschiedliche Maschinen (these are different machines)
  2. nein, es sind keine GPOs vorhanden (no GPOs are set)
  3. ich werde das √ľberpr√ľfen (I will check this)
  4. sowohl Windows Server 2019 als auch Windows 10 sind physikalische Maschinen (both are physical machines)
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers\Nitrokey Nitrokey HSM 0]
"Device"="Nitrokey Nitrokey HSM 0"
"Groups"=hex(7):53,00,43,00,61,00,72,00,64,00,24,00,44,00,65,00,66,00,61,00,75,\
  00,6c,00,74,00,52,00,65,00,61,00,64,00,65,00,72,00,73,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\SmartCard-HSM]
"Crypto Provider"="OpenSC CSP"
"Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
"80000001"="C:\\Program Files\\OpenSC Project\\OpenSC\\minidriver\\opensc-minidriver.dll"
"ATR"=hex:3b,fe,18,00,00,81,31,fe,45,80,31,81,54,48,53,4d,31,73,80,21,40,81,07,\
  fa
"ATRMask"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\SmartCard-HSM 4K]
"Crypto Provider"="OpenSC CSP"
"Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
"80000001"="C:\\Program Files\\OpenSC Project\\OpenSC\\minidriver\\opensc-minidriver.dll"
"ATR"=hex:3b,de,00,ff,81,91,fe,1f,c3,80,31,81,54,48,53,4d,31,73,80,21,40,81,07,\
  00
"ATRMask"=hex:ff,ff,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\SmartCard-HSM-CL]
"Crypto Provider"="OpenSC CSP"
"Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
"80000001"="C:\\Program Files\\OpenSC Project\\OpenSC\\minidriver\\opensc-minidriver.dll"
"ATR"=hex:3b,8e,80,01,80,31,81,54,48,53,4d,31,73,80,21,40,81,07,18
"ATRMask"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff

Erkannte Karte von opensc-notify:
grafik

ATR entspricht nicht den Einträgen in der Registry
Alle im Gerätemanager angezeigten Smartcards von MS sind deaktiviert.

Neuer Test: Sobald der HSM Stick entfernt wird sind alle Smartcards und -Leser im Gerätemanager verschwunden. Es gibt definitiv keinen eingebauten Smardcard Leser. Wird der Stick gesteckt erscheint sofort wieder der Microsoft usbccid Reader.

K√∂nnten Sie zeigen, was untenstehende Befehle zur√ľckgeben?

  1. opensc-tool -l
  2. pkcs11-tool -L

C:\Program Files\OpenSC Project\OpenSC\tools>opensc-tool.exe -l
No smart card readers found.

C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool.exe -L
Available slots:
No slots.

Gerätemanager: image

Smartcard konnte jetzt erfolgreich installiert werden. so-pin wurde mit folgendem Befehl geändert: sc-hsm-tool --initialize --so-pin 3537363231383830 --pin xxxxxxxx
Testversuch:
C:\Program Files\OpenSC Project\OpenSC\tools>pkcs11-tool.exe --login --test
Using slot 0 with a present token (0x0)
Logging in to ‚ÄúSmartCard-HSM (UserPIN)‚ÄĚ.
Please enter User PIN:

An dieser Stelle scheint eine PIN Eingabe nicht möglich, zumindest wird nichts angezeigt.Bestätigt man dennoch kommt folgende Meldung:
Logging in to ‚ÄúSmartCard-HSM (UserPIN)‚ÄĚ.
Please enter User PIN: error: PKCS11 function C_Login failed: rv = CKR_PIN_LEN_RANGE (0xa2)
Aborting.

Anschließend:
C:\Program Files\OpenSC Project\OpenSC\tools>sc-hsm-tool.exe
Using reader with a card: Nitrokey Nitrokey HSM 0
Version : 3.4
Config options :
User PIN reset with SO-PIN enabled
SO-PIN tries left : 15
User PIN tries left : 2

Verständnisfrage: welche PIN ist hier gemeint, alte so-pin, neue so-pin, sonstige PIN? Auch mittels XCA Tool lässt sich mit keiner der bekannten PINs anmelden

Hallo,

Bitte erstellen Sie ein weiteres Thema, um das Forum organisiert zu halten, vielen Dank!

K√∂nnten Sie kurz beschreiben, wie Sie das urspr√ľngliche Problem behoben haben?

Das Problem lag in der Durchreichung der SmartCard via RDP. Jetzt da die SmartCard lokal am Server angeschlossen ist kann dort darauf zugegriffen werden bzw. remote mit entsprechenden Tools (z.B. KVM)

1 Like