NFC Card FAQ

Ein X.509 Zertifikat ist aus technischer Sicht eine Datenstruktur im ASN.1 Format. Informationen zur ASN.1 Syntax finden Sie hier. Mit dem dumpasn1 Tool aus unserem Downloadbereich können Sie die Struktur eines X.509 Zertifikats anzeigen:



 Inhaltlich entspricht ein X.509 Zertifikat einem virtuellen Ausweis, in dem eine Behörde (Aussteller) dem Antragsteller (Subject) bestätigt, dass ihm der öffentliche Schlüssel (Pulic Key) sowie weitere Eigenschaften des Zertifikats gehören. In Windows sieht das so aus:



Der öffentliche Schlüssel im Zertifikat ist Teil des public/private Key Paars, welches im Besitz des Antragstellers ist. Auf der NFC Card werden Zertifikat und privater Schlüssel immer gemeinsam gespeichert. Mit dem privaten Schlüssel können Datenpakete signiert werden, die der Empfänger mit dem öffentlichen Schlüssel aus dem Zertifikat entschlüsseln kann. Wurde das Zertifikat von einer lokalen Microsoft Zertifizierungsstelle oder der Kolibri CA ausgestellt, kann sich der Benutzer mit der NFC Card über das Kerberos Protokoll an der Windows Domäne anmelden. Weitere Informationen zu X.509 Zertifkaten finden Sie hier.

Jeder NFC Reader, der PC/SC Treiber für Windows anbietet, wie z.B.:

Alle Reader sind im cryptoshop erhältlich.

Die Codierung macht aus einem fabrikneuen Mifare DESFire EV1 Chip eine NFC Card. Dabei passiert folgendes:

  1. Der ATR wird so konfiguriert das Windows den Mifare Chip als NFC Card erkennt und den NFC Card Minitreiber lädt.
  2. Es wird Speicher für die NFCmdrv App auf dem Mifare Chip reserviert und passende Kommunikationsschlüssel erstellt. Gleiches geschieht mit Zusatzfunktionen wie Zeiterfassung oder Türschließsystemen (derzeit nur SALTO Systems mit SAM Kit).
  3. Die NFCmdrv App wird den Kundenwünschen entsprechend konfiguriert, wobei folgende Einstellungen möglich sind:
  • max. Anzahl der Zertifikate: 1 oder 2
  • PIN für Login notwendig: ja / nein
  • PIN Cache Policy: global / session / no cache
  • Keylogger Sperre bei PIN Eingabe: ja  /nein
  • PIN Policy: PIN Länge, max. Fehlversuche
  • Initial PIN
  • Unblock key für gesperrte PINs
  1. Zuerst müssen folgende Registry Keys vorhanden sein, damit der Importvorgang erlaubt wird:
    • HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider\AllowPrivateExchangeKeyImport=DWORD:0x1
    • HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider\AllowPrivateSignatureKeyImport=DWORD:0x1
  2. Dann die Eingabeaufforderung als Administrator starten und die .pfx Datei mit folgendem Befehl importieren:
    • certutil.exe –p {Passwort} –csp “Microsoft Base Smart Card Crypto Provider“ –importpfx {PFXDatei}

Um ein Zertifikat von der NFC Card zu löschen muss der zum Zertifikat gehörende Schlüsselcontainer mit dem private Key von der Karte gelöscht werden. Als erstes ermitteln wir den Namen des  Schlüsselcontainers mit folgendem Befehl:

  • certutil.exe -scinfo

Als nächstes starten wir die Eingabeaufforderung als Administrator und löschen den Schlüsselcontainer mit folgendem Befehl:

  • certutil.exe -delkey -csp "Microsoft Base Smart Card Crypto Provider" {Schlüsselcontainer}

Hat alles richtig funktioniert sehen wir folgendes:

Grundsätzlich funktioniert die NFC Card nur in einer Windows Domäne an der sich  Benutzer mit dem Zertifikat auf der Karte anmelden können. Es gibt jedoch mit EIDAuthenticate eine Lösung für Standalone PCs, die mit der NFC Card funktionieren sollte. Bitte um Verständnis das wir das weder getestet haben noch supporten.

Brauchen Sie weitere Hilfe?

Haben Sie noch Fragen oder wünschen Sie umfassendere Informationen zu den IT-Produkten und Serviceleistungen der Kolibri IT GmbH? Gerne sind wir als kompetenter Ansprechpartner für Sie da. Nehmen Sie mit uns Kontakt auf, wir freuen uns darauf Ihnen weiterzuhelfen. 

Kontaktieren Sie uns