[Default Certificate] på Windows XP

I Windows 7 kan man sätta en GPO så att man ser kortets alla certifikat när man ska logga in eller köra ”Run As”

Utan GPO satt:
w7_000
Med GPO satt:
w7_001
I Windows XP finns ingen GPO. Att man under XP inte kan se mer än en identitet är alltså by-design från Microsofts sida. Men det finns trick att ta till…

Hårdstyra kommandoradsprogrammet runas.exe

För att lura t.ex. programmet ”runas.exe” (som inte kan visa mer än ett enda certifikat) att ta nåt annat än certifikatet i ”default container” (läs mer om ”default container här) kan man göra såhär:

[Default Certificate]
runas.exe=*|cn=SecMaker CA v2|2.5.4.3=Jonas Öholm Admin|A0
Första kommandot i bilden utan konf-rad aktiverad
001

Ändra beteendet för ”Run As” i GUI-version

För att lura GUI-versionen av ””Run As” att ta nåt annat än certifikatet i ”default container” kan man göra såhär:

[Default Certificate]
explorer.exe=*|cn=SecMaker CA v2|2.5.4.3=Jonas Öholm Admin|A0

Utan raden ovan aktiverad:

002

Med raden ovan aktiverad:

003

Detaljer

För att detta ska bli praktiskt användbart (utan att behöva konfigureras per användare) är det av största vikt att certifikatens Subject formateras på ett bra sätt och att ett vanligt konto ligger i OU=X medan adminkonton ligger i OU=Y.

Ett O är inte heller fel att ha för olika framtida presentations- och filtreringsmöjligheter. Lägg lite möda på att få din CA att utfärda certifikat med ett ”snyggt” Issuer-fält och ett ”prydligt” Subject-fält.

Det är mycket viktigt i vilken ordning OU-fälten ligger om man har mer än ett. Det fält man vill kunna filtrera på måste ligga överst i Microsofts presentation.

Vi testar med ett kort som har dessa certifikat: (de tre för testet relevanta certifikaten gulmarkerade)

004

1) Subject i det översta gulmarkerade certifikatet (Certifikat för konto med administratörsrättigheter)
CN = Jonas Öholm Admin
OU = Administrators
OU = Users and Groups
OU = SecMaker
DC = secmaker
DC = com

2) Subject i det nedersta gulmarkerade certifikatet (Certifikat för ”vanligt” användarkonto)
CN = Jonas Öholm
OU = Users
OU = Users and Groups
OU = SecMaker
DC = secmaker
DC = com

3) Subject i det mellersta gulmarkerade certifikatet (Detta certifikat ligger i vad MS anser som “default container”)
E = jonas.oholm@secmaker.com
SERIALNUMBER = SE165565968202-3PF0
G = Jonas
SN = Öholm
CN = Jonas Öholm
O = Carelink AB
C = se

Test 1
Net iD [Default Certificate] inaktiverat – Certifikatet i “Default Container” visas. (som förväntat)
005
Test 2
Tvingar fram val av certifikat för ”vanligt” användarkonto, (2).

[Default Certificate]
explorer.exe=*|cn=SecMaker CA v2|2.5.4.11=Users|A0
006
Test 3
Tvingar fram val av certifikat för konto med administratörsrättigheter, (1).

[Default Certificate]
explorer.exe=*|cn=SecMaker CA v2|2.5.4.11=Administrators|A0
007
Det finns fler applikationer som kan tvingas välja ett visst certifikat men det fungerar bara för ”dumma” applikationer utan eget gränssnitt för certifikatsval.