Ho la necessità di abilitare il logon dei client con smart card fornite da terze parte (infocert).
Microsoft mi dice che effettuare questa cosa è possibile già da Windows 2000 Server.

Ho un server 2008 R2
Il server in questione è un domain controller di una foresta (con un solo dominio) con livello 2008.
Servizi AD attivati.
Servizi Certificazione attivati.
I Client sono tutti Windows XP.

Le operazioni da fare, in base al documento del supporto tecnico 281245, sono le seguenti:

1) Esportare il certificato radice di terze parti.
Fatto
2) Aggiungere la CA radice come autorità di certificazione attendibile.
Fatto
3) Aggiungere la CA emittente nell'archivio ntauth
Fatto
4) Richiedere ed installare un certificato di controller di dominio.
Mi sembra di averlo fatto. Non so se ho seguito la procedure giusta.
Ho installato una CA Globale.

5) Richiedere un certificato smarta card rilasciata dalla CA di terze parti.
E qui mi sono bloccato.
Non so come si fa e dal documento in questione non l'ho capito.

6)Scegliere il tipo di chiave privata definitiva. Capito, ma non effettuato perchè bloccato dal punto 5.

7) Installare i driver software smart card. Capito, ma non effettuato perchè bloccato dal punto 5.

8) Installare il certificato smart card nella workstation. Capito, ma non effettuato perchè bloccato dal punto 5.

9) Installare il certificato di terze parti nella smart card. E qui sono andato veramente in bambola.
Ma la smart card non ha già all'intenro un certificato SUO?
Perchè ne devo inserire un'altro, se ce n'è già uno?
Capirei se dovessi inserirne uno mio, del MIO dominio. Ma stiamo parlado di un certificato di un terzo..

10) Accedere alla smart card...


Quello che non capisco poi è come faccio a legare il certificato a quel particolare utente.
Non se ne fa menzione da nessuna parte.

Qualcuno mi sa dire dove sto sbagliando?

Grazie.