Remotezugriff mit Smartcard

Folgende Anleitung beschreibt das Vorgehen, um mit der von der Pensionskasse der Credit Suisse (Schweiz) zur Verfügung gestellten Smartcards und Smartcard-Reader eine Remoteverbindung zu der Pensionskasseninfrastruktur herzustellen.

Die folgenden Betriebssysteme und Browser werden unterstützt:

Inhaltsverzeichnis 1 Einrichtung des eigenen Arbeitsplatzes 1.1 Download der Treiber und Zertifikate 1.2 Windows 1.2.1 Computereinstellungen 1.2.1.1 Installation von Citrix Receiver 1.2.1.2 Installation des Gemalto-Treibers 1.2.1.3 Installation der Kryptographie-Bibliotheken (optional) 1.2.1.4 Installation des Smartcard-Reader-Treibers (optional) 1.2.2 Benutzereinstellungen 1.2.2.1 Zertifizierungsstellen hinzufügen 1.2.2.2 Initialkonfiguration für Firefox (optional) 1.2.3 Login 1.3 Mac OS X 1.3.1 Installation Gemalto-Treiber und Zertifikate 1.3.2 Installation Receiver 1.3.3 Konfiguration Receiver 1.3.4 Session starten 1.3.5 Konfiguration für Firefox (optional) 1.3.6 Installation des SCR3500 Smartfold Treiber auf bestimmten Macs mit OS X 1.3.7 Installation des Omnikey-Treibers auf bestimmten Macs mit OS X 10.10 Yosemite 2 Arbeiten mit dem VDA Desktop 2.1 Starten des Desktops 2.2 Sicherheitswarnung 2.3 Dateizugriff 2.4 Der Startscreen 2.5 Die XenDesktop-Symbolleiste 2.6 Suchen 2.7 Abmelden 2.8 Receiver-Setup innerhalb des Remote-Desktops 3 Handhabung der Smartcard 3.1 Aktivierung einer neuen Smartcard 3.2 Entsperren einer Smartcard 3.3 Troubleshooting

Einrichtung des eigenen Arbeitsplatzes

Download der Treiber und Zertifikate

• Zertifikate
• Gemalto Smartcard-Treiber für Windows (64-bit)
• Gemalto Smartcard-Treiber für Windows (32-bit)
• Gemalto Smartcard-Treiber für Mac OS X 10.10 Yosemite und älter
• Gemalto Smartcard-Treiber für Mac OS X 10.11 El Capitan
• Gemalto Kryptographie-Bibliotheken für Windows (32- und 64-bit)
• Omnikey 3121 Smartcardleser-Treiber für Windows (64-bit)
• Omnikey 3121 Smartcardleser-Treiber für Windows (32-bit)
• Omnikey 3121 Smartcardleser-Treiber für Mac OS X 10.11 El Capitan (Beta)
• Omnikey 3121 Smartcardleser-Treiber für Mac OS X 10.10 Yosemite und älter
• Zusatzfile für die Installation des Smartcardleser-Treibers auf einigen Geräten mit Mac OS X 10.10
• uTrust SmartFold SCR3500 Smartcardleser-Treiber für Mac OS X 10.11 El Capitan

Windows

Computereinstellungen

Folgende Schritte müssen einmal pro Computer durchgeführt werden.

Installation von Citrix Receiver

• http://receiver.citrix.com öffnen und auf "Download Receiver for Windows" anklicken
• Nach unten scrollen
• Download File wählen
• Die heruntergeladene Datei installieren

Installation des Gemalto-Treibers

Die Datei Gemalto.Minidriver.IDPrime_64.msi als Administrator ausführen.

Installation der Kryptographie-Bibliotheken (optional)

Die Datei IDGo500PKCS11Libraries.msi als Administrator ausführen. Dieser Schritt ist nicht nötig, wenn der Zugriff mit Internet Explorer erfolgt.

Installation des Smartcard-Reader-Treibers (optional)

Die Datei usb_ccid_smart_card_reader_bu1_x64_1.2.15.0.msi als Administrator ausführen. Dieser Schritt ist nur nötig, wenn die Smartcard sonst nicht gelesen werden kann.

Benutzereinstellungen

Folgende Schritte müssen einmal pro Benutzer durchgeführt werden.

Zertifizierungsstellen hinzufügen

1. Zertifikate downloaden und ZIP entpacken
2. Unter Extras/Internetoptionen auf den Reiter „Inhalte“ und danach auf die Taste „Zertifikate“ klicken, anschliessend den Reiter „Vertraunswürdige Stammzertifizierungsstellen“ anwählen.

   

3. Auf "Importieren" klicken und die Datei CSPK_Internal_Root_CA_2017_Base64.cer importieren
4. Im Reiter "Zwischenzertifizierungsstellen" auf "Importieren" klicken und die Datei CSPK_Internal_Issuing_CA_2017_Base64.cer importieren.

Initialkonfiguration für Firefox (optional)

Folgende Schritte sind nicht nötig, wenn der Login über Internet Explorer erfolgt.

• Die Firefox-Einstellungen abrufen

  

• Auf "Erweitert" ==> "Zertifikate" ==> "Kryptographie-Module" zusteuern

  

• Auf "Laden" klicken
• Module Name: Gemalto PKCS#11 Module
• Module filename: C:\Program Files (x86)\Gemalto\DotNet PKCS11\gtop11dotnet.dll
• Auf "OK" klicken

  

Login

• Die URL https://zugangpk.credit-suisse.com/ in einem Browser aufrufen, in welchen die CSPK-Zertifikate wie oben beschrieben importiert wurden
• Auf den blauen Login-Button klicken
• Im möglicherweise erscheinenden Popup das Zertifikat, das auf der Smartcard enthalten ist, auswählen und auf "OK" klicken
• Bei Aufforderung Smartcard-PIN eingeben

Mac OS X

Voraussetzungen:

• Mac OS X 10.10 oder 10.11 (macOS 10.12 und neuer wird nicht unterstützt)
• Safari oder Firefox

Installation Gemalto-Treiber und Zertifikate

• Download des Treibers unter http://pkwiki.pkintra.net/index.php/Remotezugriff_mit_Smartcard oder https://zugangpk.credit-suisse.com/vpn/manual.html
• IDGo800.PKCS11123.02_Mavericks_Yosemite.dmg ausführen
• Installation ohne spezielle Einstellungen durchführen
• Zertifikate downloaden und ZIP entpacken
• Die Dateien CSPK_Internal_Root_CA_2017_Base64.cer und CSPK_Internal_Issuing_CA_2017_Base64.cer importieren.

  

• Keychain öffnen
• Unter System ==> Credit Suisse Pension Fund Internal Root CA 2017 doppelklicken
• Unter Trust ==> When using this certificate ==> Always Trust
• Unter System ==> Credit Suisse Pension Fund Internal Issuing CA 2017 doppelklicken
• Unter Trust ==> When using this certificate ==> Always Trust

  

Sind die Zertifikate der Smartcard nicht im Keychain ersichtlich, muss noch ein Treiber für den Smartcardleser installiert werden.

Installation Receiver

• http://receiver.citrix.com öffnen und auf "Download Receiver for Mac" anklicken

  

• Nach unten scrollen
• Download File wählen
• Das File CitrixReceiver(...).dmg ausführen

  

• Install Citrix Receiver.pkg auswählen

  

• Auf "Continue" klicken

  

• Auf "Continue" klicken

  

• Auf "Agree" klicken

  

• Auf "Install" klicken

  

• Auf "Continue" klicken

  

• Auf "Close" klicken

  

Konfiguration Receiver

• Receiver-Einstellungen öffnen

  

• Auf Advanced wechseln

  

• PKCS#11 module auswählen ==> Other...
• Auf Macintosh HD wechseln

  

• Dann File unter Macintosh HD ==> Library ==> Frameworks ==> GemaltoIDGo800PKCS11.framework ==> Versions ==> A ==> GemaltoID800PKCS11 auswählen

  

  

• Fenster schliessen

Session starten

• Smartcardleser anschliessen
• Smartcard einstecken
• Safari öffen
• Auf https://zugangpk.credit-suisse.com/vpn/landing.html zusteuern

• Auf den blauen Login-Button klicken
• Im möglicherweise erscheinenden Popup das Zertifikat, das auf der Smartcard enthalten ist, auswählen und auf "OK" klicken
• Bei Aufforderung Smartcard-PIN eingeben

Konfiguration für Firefox (optional)

Folgende Schritte sind nur nötig, wenn der Login über Firefox erfolgt.

• Die Firefox-Einstellungen abrufen
• Auf "Erweitert" ("Advanced") ==> "Zertifikate" ("Certificates") ==> "Kryptographie-Module" ("Security Devices") zusteuern
• Auf "Laden" ("Load") klicken
• Module Name: Gemalto PKCS#11 Module
• Module filename: /Library/Frameworks/GemaltoIDGo800PKCS11.framework/Versions/A/GemaltoID800PKCS11
• Auf "OK" klicken

Falls es nach Abschluss der Remoteverbindung Probleme mit dem Zugriff auf Websites im Internet gibt, muss das Modul wieder entladen und Firefox neu gestartet werden. In diesem Falle muss die Konfiguration vor der nächsten Remoteverbindung erneut durchgeführt werden.

Installation des SCR3500 Smartfold Treiber auf bestimmten Macs mit OS X

Laden Sie den SCR3500 Smartfold Treiber herunter und folgen Sie den Anweisungen des Herstellers.

Installation des Omnikey-Treibers auf bestimmten Macs mit OS X 10.10 Yosemite

Wichtig: Folgende Anleitung ist nur für technisch versierte Benutzer geeignet. Fehlschritte können in einem unbrauchbaren/unstartbarem Betriebssystem münden.

Auf bestimmten Modellen mit OS X 10.10 wird im zweiten Schritt des Installationsprogramms die Fehlermeldung "Das Programm kann nicht auf dieser Version von Mac OS X installiert werden" angezeigt und die Installation bricht ab. In diesem Falle kann der Treiber mittels folgender Schritte installiert werden:

1. Im Finder das Verzeichnis /System/Library/CoreServices/ öffnen.
2. Die Datei SystemVersion.plist in SystemVersion_original.plist umbenennen.
3. Die im SystemVersion.zip enthaltene SystemVersion.plist ins Verzeichnis /System/Library/CoreServices/ kopieren.
4. Das Installationsprogramm starten und alle Schritte durchklicken, bis eine grüne Taste mit der Aufschrift "Neu starten" erscheint. Diese noch nicht anklicken.
5. Im Finder, /System/Library/CoreServices/SystemVersion.plist löschen und SystemVersion_original.plist in SystemVersion.plist zurück umbenennen.
6. Im Installationsprogramm auf "Neu starten" klicken.

Weigert sich das Installationsprogramm im Schritt 4 immer noch, kann eine Permissionreparatur auf der Systemdisk mittels Disk Utility durchgeführt werden und falls nötig auch noch das System rebooted werden. Diese Schritte führen dazu, dass die meisten Anwendungen und Systemmodule nicht mehr startbar sind, wobei der Finder weiterhin funktioniert und somit kann nach erfolgter Installation des Treibers die Originalversion von SystemVersion.plist auch in diesem Fall wiederhergestellt werden.

Arbeiten mit dem VDA Desktop

Die Remotezugriffsinfrastruktur der CSPK stellt einen einheitlichen Desktop für alle RemotebenutzerInnen zur Verfügung.

Starten des Desktops

Nach Login übers Portal kann das Desktop unter der Kategorie "Desktops" mit einem Klick auf "CSPK StandardBuild Desktop" aufgestartet werden.

Nach Kurzer Wartezeit erscheint ein Windows Server 2012-Desktop. Dies kann auf den meisten Endgeräten stufenlos verkleinert oder vergrössert werden.

Sicherheitswarnung

Bei folgender Sicherheitswarnung muss stets die Option "Verwendung zulassen" gewählt werden, ansonsten kann die Smartcard nicht gelesen werden.

Dateizugriff

Abhängig von den Berechtigungen des Benutzers erscheint die Option, auf Daten des Endgerätes vom Remotedesktop aus zuzugreifen. Dies kann nach Bedarf auf jedem Endgerät konfiguriert werden.

Wird das Häkchen nicht gesetzt, wird die Frage beim Start jeder neuen Sitzung gestellt.

Der Startscreen

Um den Startscreen aufzurufen, muss das Windows-Icon in der linken unteren Ecke angeklickt werden.

Die Standardansicht des Startscreens zeigt eine Liste der verfügbaren Anwendungen an.

Ein Klick auf den Menüeintrag "Desktop" bringt die Desktop-Ansicht zurück.

Links unten auf dem Bildischirm ist ein umgekreister Pfeil zu sehen. Ein Klick auf diesen Pfeil wechselt zwischen den zwei Ansichten des Startscreens.

Die zweite Ansicht des Startscreens zeigt einige Kacheln an.

Ein Klick auf den Kachel "Desktop" bringt die Desktop-Ansicht zurück.

Die XenDesktop-Symbolleiste

Am oberen Rand des Desktops kann eine Symbolleiste eingeblendet werden.

Hier stehen einige Optionen zur Verfügung, z.B. das Wechseln zwischen Fenster- und Vollbildmodus.

Suchen

Mit einem Rechtsklick auf das Windows-Icon in der linken unteren Ecke und das Anklicken der Kontextmenü-Option "Search" kann das Suchfenster aktiviert werden.

Abmelden

• Rechtsklick auf das Windows-Icon in der linken unteren Ecke
• Aus dem Kontextmenü "Shut down or sign out"/"Sign out" anwählen

Receiver-Setup innerhalb des Remote-Desktops

Dieser Schritt ist nötig, um einige bestimmte Anwendungen mittels Remotezugriff aufrufen zu können (z.B. Abacus, Snapform Viewer, Adobe Creative Suite).

1. In der Windows-Symbolleiste rechts unten den Citrix-Receiver-Icon rechtsklicken (abhängig von den Benutzereinstellungen muss zuerst das Dreieck nach oben angeklickt werden, um die ausgeblendeten Symbole anzuzeigen).
2. Nach Rechtsklick auf den Citrix-Receiver-Icon aus dem Kontextmenü die Option "Öffnen" anklicken.

   

    

3. Im Feld unter "Add Account" die URL ctxsfdc.pkintra.net eingeben und auf "Add" klicken

   

    

4. Im nächsten Schritt aus der Liste "FAS" auswählen und auf "Select" klicken

   

Handhabung der Smartcard

Aktivierung einer neuen Smartcard

Gehen Sie wie folgt vor, falls sie eine neue Smartcard erhalten haben und diese noch nicht aktiviert wurde. Laden sie zuerst das Programm SmartCard Unblock K-Tool herunter und entzippen sie dieses. Starten sie anschliessend dieses. Dort wird auf die Registerkarte "Online Unblock" geklickt. Klicken Sie im Feld "Challenge" auf den Get-Button. Rufen Sie danach die Nummer +41 44 332 50 79 an. Der vorhin erhaltene Code lesen Sie dann der Person vor, als Antwort erhalten Sie auch einen Code, welcher beim Feld "Cryptogram" eigegeben werden muss. Anschliessend kann dann ein neues Passwort ausgewählt werden und anschliessend mit "Unblock" aktiviert werden.

Entsperren einer Smartcard

Wenn sie das Passwort mehrmals falsch eingegeben haben wird die Smartcard gesperrt. Bei einem solchen fall wird wie folgt vorgegangen: Laden sie zuerst das Programm SmartCard Unblock K-Tool herunter und entzippen sie dieses. Starten sie anschliessend dieses. Dort wird auf die Registerkarte "Online Unblock" geklickt. Klicken Sie im Feld "Challenge" auf den Get-Button. Rufen Sie danach die Nummer +41 44 332 50 79 an. Der vorhin erhaltene Code lesen Sie dann der Person vor, als Antwort erhalten Sie auch einen Code, welcher beim Feld "Cryptogram" eigegeben werden muss. Anschliessend kann dann ein neues Passwort ausgewählt werden und anschliessend mit "Unblock" aktiviert werden.

Troubleshooting

 

nach oben