Directrices para habilitar el inicio de sesión de tarjeta inteligente con entidades de certificación de terceros

  • Artículo

En este artículo se proporcionan algunas directrices para habilitar el inicio de sesión de tarjeta inteligente con entidades de certificación de terceros.

Se aplica a: Windows Server 2012 R2, Windows 10, todas las ediciones
Número de KB original: 281245

Resumen

Puede habilitar un proceso de inicio de sesión de tarjeta inteligente con Microsoft Windows 2000 y una entidad de certificación (CA) que no sea de Microsoft siguiendo las directrices de este artículo. La compatibilidad limitada con esta configuración se describe más adelante en este artículo.

Más información

Requisitos

La autenticación con tarjeta inteligente en Active Directory requiere que las estaciones de trabajo smartcard, Active Directory y los controladores de dominio de Active Directory estén configurados correctamente. Active Directory debe confiar en una entidad de certificación para autenticar a los usuarios en función de los certificados de esa entidad de certificación. Tanto las estaciones de trabajo de tarjeta inteligente como los controladores de dominio deben configurarse con certificados configurados correctamente.

Al igual que con cualquier implementación de PKI, todas las partes deben confiar en la ENTIDAD de certificación raíz a la que se encadenan las entidades de certificación emisoras. Tanto los controladores de dominio como las estaciones de trabajo de tarjeta inteligente confían en esta raíz.

Configuración de Active Directory y controlador de dominio

  • Obligatorio: Active Directory debe tener la entidad de certificación emisora de terceros en el almacén NTAuth para autenticar a los usuarios en Active Directory.
  • Obligatorio: los controladores de dominio deben configurarse con un certificado de controlador de dominio para autenticar a los usuarios de tarjeta inteligente.
  • Opcional: Active Directory se puede configurar para distribuir la ca raíz de terceros al almacén de CA raíz de confianza de todos los miembros del dominio mediante el directiva de grupo.

Requisitos de estación de trabajo y certificado de tarjeta inteligente

  • Obligatorio: se deben cumplir todos los requisitos de tarjeta inteligente descritos en la sección "Instrucciones de configuración", incluido el formato de texto de los campos. Se produce un error en la autenticación de tarjeta inteligente si no se cumplen.
  • Obligatorio: la tarjeta inteligente y la clave privada deben instalarse en la tarjeta inteligente.

Instrucciones de configuración

  1. Exporte o descargue el certificado raíz de terceros. La forma de obtener el certificado raíz de entidad varía según el proveedor. El certificado debe estar en formato X.509 codificado en Base64.

  2. Agregue la entidad de certificación raíz de terceros a las raíces de confianza en un objeto directiva de grupo de Active Directory. Para configurar directiva de grupo en el dominio de Windows 2000 para distribuir la entidad de certificación de terceros al almacén raíz de confianza de todos los equipos de dominio:

    1. Haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
    2. En el panel izquierdo, busque el dominio en el que se aplica la directiva que desea editar.
    3. Haga clic con el botón secundario en el dominio y, a continuación, haga clic en Propiedades.
    4. Haga clic en la pestaña directiva de grupo.
    5. Haga clic en el objeto directiva de grupo Directiva de dominio predeterminada y, a continuación, haga clic en Editar. Se abre una nueva ventana.
    6. En el panel izquierdo, expanda los siguientes elementos:
      • Configuración del equipo
      • Configuración de Windows
      • Configuración de seguridad
      • Directiva de clave pública
    7. Haga clic con el botón derecho en Entidades de certificación raíz de confianza.
    8. Seleccione Todas las tareas y, a continuación, haga clic en Importar.
    9. Siga las instrucciones del asistente para importar el certificado.
    10. Haga clic en Aceptar.
    11. Cierre la ventana directiva de grupo.

  3. Agregue la entidad de certificación de terceros al almacén NTAuth de Active Directory.

    El certificado de inicio de sesión de tarjeta inteligente debe emitirse desde una entidad de certificación que se encuentra en el almacén NTAuth. De forma predeterminada, las CA de Microsoft Enterprise se agregan al almacén NTAuth.

    • Si la ENTIDAD de certificación que emitió el certificado de inicio de sesión de tarjeta inteligente o los certificados de controlador de dominio no se publica correctamente en el almacén NTAuth, el proceso de inicio de sesión de tarjeta inteligente no funciona. La respuesta correspondiente es "No se pueden comprobar las credenciales".

    • El almacén NTAuth se encuentra en el contenedor De configuración del bosque. Por ejemplo, una ubicación de ejemplo es la siguiente: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • De forma predeterminada, este almacén se crea al instalar una CA de Microsoft Enterprise. El objeto también se puede crear manualmente mediante ADSIedit.msc en las herramientas de soporte técnico de Windows 2000 o mediante LDIFDE. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      295663 Importación de certificados de entidad de certificación (CA) de terceros en el almacén ntauth empresarial

    • El atributo pertinente es cACertificate, que es una cadena octeto, lista con varios valores de certificados codificados en ASN.

      Después de colocar la entidad de certificación de terceros en el almacén NTAuth, el directiva de grupo basado en dominio coloca una clave del Registro (una huella digital del certificado) en la siguiente ubicación en todos los equipos del dominio:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Se actualiza cada ocho horas en estaciones de trabajo (el intervalo de pulsos típico directiva de grupo).

  4. Solicite e instale un certificado de controlador de dominio en los controladores de dominio. Cada controlador de dominio que va a autenticar a los usuarios de tarjeta inteligente debe tener un certificado de controlador de dominio.

    Si instala una entidad de certificación de Microsoft Enterprise en un bosque de Active Directory, todos los controladores de dominio se inscriben automáticamente para un certificado de controlador de dominio. Para obtener más información sobre los requisitos de los certificados de controlador de dominio de una entidad de certificación de terceros, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    Requisitos de 291010 para certificados de controlador de dominio de una entidad de certificación de terceros

    Nota:

    El certificado de controlador de dominio se usa para la autenticación de capa de sockets seguros (SSL), el cifrado simple del protocolo de transferencia de correo (SMTP), la firma de llamada a procedimiento remoto (RPC) y el proceso de inicio de sesión de tarjeta inteligente. El uso de una ca que no es de Microsoft para emitir un certificado a un controlador de dominio puede provocar un comportamiento inesperado o resultados no admitidos. Un certificado con formato incorrecto o un certificado con el nombre del firmante ausente puede hacer que estas u otras funcionalidades dejen de responder.

  5. Solicite un certificado de tarjeta inteligente a la entidad de certificación de terceros.

    Inscríbase para obtener un certificado de la entidad de certificación de terceros que cumpla los requisitos indicados. El método para la inscripción varía según el proveedor de ca.

    El certificado de tarjeta inteligente tiene requisitos de formato específicos:

    • La ubicación del punto de distribución crl (CDP) (donde CRL es la lista de revocación de certificación) debe rellenarse, estar en línea y estar disponible. Por ejemplo:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Uso de clave = Firma digital

    • Restricciones básicas [Subject Type=End Entity, Path Length Constraint=None] (Opcional)

    • Uso mejorado de clave =

      • Autenticación de cliente (1.3.6.1.5.5.7.3.2)
        (El OID de autenticación de cliente) solo es necesario si se usa un certificado para la autenticación SSL).
      • Inicio de sesión con tarjeta inteligente (1.3.6.1.4.1.311.20.2.2)

    • Nombre alternativo del firmante = Otro nombre: Nombre principal= (UPN). Por ejemplo:
      UPN = user1@name.com
      El OID OtherName de UPN es: "1.3.6.1.4.1.311.20.2.3"
      Valor othername de UPN: debe ser una cadena UTF8 codificada en ASN1

    • Subject = Nombre distintivo del usuario. Este campo es una extensión obligatoria, pero el rellenado de este campo es opcional.

  6. Hay dos tipos predefinidos de claves privadas. Estas claves son Solo firma(AT_SIGNATURE) y Intercambio de claves(AT_KEYEXCHANGE). Los certificados de inicio de sesión de tarjeta inteligente deben tener un tipo de clave privada de Intercambio de claves (AT_KEYEXCHANGE) para que el inicio de sesión de tarjeta inteligente funcione correctamente.

  7. Instale controladores de tarjeta inteligente y software en la estación de trabajo de tarjeta inteligente.

    Asegúrese de que el dispositivo de lector de tarjeta inteligente y el software del controlador adecuados están instalados en la estación de trabajo de tarjeta inteligente. Varía según el proveedor de lectores de tarjeta inteligente.

  8. Instale el certificado de tarjeta inteligente de terceros en la estación de trabajo de tarjeta inteligente.

    Si la tarjeta inteligente aún no se ha colocado en el almacén personal del usuario de la tarjeta inteligente en el proceso de inscripción del paso 4, debe importar el certificado en el almacén personal del usuario. Para ello:

    1. Abra la Consola de administración de Microsoft (MMC) que contiene el complemento Certificados.

    2. En el árbol de consola, en Personal, haga clic en Certificados.

    3. En el menú Todas las tareas, haga clic en Importar para iniciar el Asistente para importación de certificados.

    4. Haga clic en el archivo que contiene los certificados que va a importar.

      Nota:

      Si el archivo que contiene los certificados es un archivo de Intercambio de información personal (PKCS #12), escriba la contraseña que usó para cifrar la clave privada, haga clic para activar la casilla adecuada si desea que la clave privada sea exportable y, a continuación, active la protección de clave privada segura (si desea usar esta característica).

      Nota:

      Para activar la protección segura de claves privadas, debe usar el modo de vista Almacenes de certificados lógicos.

    5. Seleccione la opción para colocar automáticamente el certificado en un almacén de certificados en función del tipo de certificado.

  9. Instale el certificado de tarjeta inteligente de terceros en la tarjeta inteligente. Esta instalación varía según el proveedor de servicios criptográficos (CSP) y el proveedor de tarjetas inteligentes. Consulte la documentación del proveedor para obtener instrucciones.

  10. Inicie sesión en la estación de trabajo con la tarjeta inteligente.

Posibles problemas

Durante el inicio de sesión de tarjeta inteligente, el mensaje de error más común que se ve es:

El sistema no pudo iniciar sesión. No se pudieron comprobar las credenciales.

Este mensaje es un error genérico y puede ser el resultado de uno o varios de los siguientes problemas.

Problemas de certificado y configuración

  • El controlador de dominio no tiene ningún certificado de controlador de dominio.

  • El campo SubjAltName del certificado de tarjeta inteligente tiene un formato incorrecto. Si la información del campo SubjAltName aparece como datos sin procesar hexadecimales o ASCII, el formato de texto no es ASN1/UTF-8.

  • El controlador de dominio tiene un certificado incorrecto o incompleto.

  • Para cada una de las condiciones siguientes, debe solicitar un nuevo certificado de controlador de dominio válido. Si el certificado de controlador de dominio válido ha expirado, puede renovar el certificado del controlador de dominio, pero este proceso es más complejo y normalmente más difícil que si solicita un nuevo certificado de controlador de dominio.

    • El certificado del controlador de dominio ha expirado.
    • El controlador de dominio tiene un certificado que no es de confianza. Si el almacén NTAuth no contiene el certificado de entidad de certificación (CA) de la entidad de certificación emisora del certificado de controlador de dominio, debe agregarlo al almacén NTAuth u obtener un certificado de controlador de dominio de una entidad de certificación emisora cuyo certificado resida en el almacén NTAuth.

    Si los controladores de dominio o las estaciones de trabajo de tarjeta inteligente no confían en la CA raíz en la que se encadenan los certificados del controlador de dominio, debe configurar esos equipos para que confíen en esa CA raíz.

  • La tarjeta inteligente tiene un certificado que no es de confianza. Si el almacén NTAuth no contiene el certificado de ca de la ca emisora del certificado de tarjeta inteligente, debe agregarlo al almacén NTAuth u obtener un certificado de tarjeta inteligente de una entidad de certificación emisora cuyo certificado resida en el almacén NTAuth.

    Si los controladores de dominio o las estaciones de trabajo de tarjeta inteligente no confían en la CA raíz en la que se encadenan los certificados de tarjeta inteligente del usuario, debe configurar esos equipos para que confíen en esa CA raíz.

  • El certificado de la tarjeta inteligente no está instalado en el almacén del usuario en la estación de trabajo. El certificado almacenado en la tarjeta inteligente debe residir en la estación de trabajo de tarjeta inteligente del perfil del usuario que inicia sesión con la tarjeta inteligente.

    Nota:

    No es necesario almacenar la clave privada en el perfil del usuario en la estación de trabajo. Solo es necesario almacenarlo en la tarjeta inteligente.

  • El certificado de tarjeta inteligente o la clave privada correctos no están instalados en la tarjeta inteligente. El certificado de tarjeta inteligente válido debe instalarse en la tarjeta inteligente con la clave privada y el certificado debe coincidir con un certificado almacenado en el perfil del usuario de la tarjeta inteligente en la estación de trabajo de tarjeta inteligente.

  • El certificado de la tarjeta inteligente no se puede recuperar del lector de tarjeta inteligente. Puede ser un problema con el hardware del lector de tarjeta inteligente o el software del controlador del lector de tarjeta inteligente. Compruebe que puede usar el software del proveedor del lector de tarjeta inteligente para ver el certificado y la clave privada en la tarjeta inteligente.

  • El certificado de tarjeta inteligente ha expirado.

  • No hay ningún nombre principal de usuario (UPN) disponible en la extensión SubjAltName del certificado de tarjeta inteligente.

  • El campo UPN en SubjAltName del certificado de tarjeta inteligente tiene un formato incorrecto. Si la información de SubjAltName aparece como datos sin procesar hexadecimales o ASCII, el formato de texto no es ASN1/UTF-8.

  • La tarjeta inteligente tiene un certificado incorrecto o incompleto. Para cada una de estas condiciones, debe solicitar un nuevo certificado de tarjeta inteligente válido e instalarlo en la tarjeta inteligente y en el perfil del usuario en la estación de trabajo de tarjeta inteligente. El certificado de tarjeta inteligente debe cumplir los requisitos descritos anteriormente en este artículo, que incluyen un campo UPN con el formato correcto en el campo SubjAltName.

    Si el certificado de tarjeta inteligente válido ha expirado, también puede renovar el certificado de tarjeta inteligente, que es más complejo y difícil que solicitar un nuevo certificado de tarjeta inteligente.

  • El usuario no tiene un UPN definido en su cuenta de usuario de Active Directory. La cuenta del usuario en Active Directory debe tener un UPN válido en la propiedad userPrincipalName de la cuenta de usuario de Active Directory del usuario de la tarjeta inteligente.

  • El UPN del certificado no coincide con el UPN definido en la cuenta de usuario de Active Directory del usuario. Corrija el UPN en la cuenta de usuario de Active Directory del usuario de la tarjeta inteligente o vuelva a emitir el certificado de tarjeta inteligente para que el valor upn del campo SubjAltName coincida con el UPN en la cuenta de usuario de Active Directory de los usuarios de tarjeta inteligente. Se recomienda que el UPN de la tarjeta inteligente coincida con el atributo de cuenta de usuario userPrincipalName de las ENTIDADes de certificación de terceros. Sin embargo, si el UPN del certificado es el "UPN implícito" de la cuenta (formato samAccountName@domain_FQDN), el UPN no tiene que coincidir explícitamente con la propiedad userPrincipalName.

Problemas de comprobación de revocación

Si se produce un error en la comprobación de revocación cuando el controlador de dominio valida el certificado de inicio de sesión de tarjeta inteligente, el controlador de dominio deniega el inicio de sesión. El controlador de dominio puede devolver el mensaje de error mencionado anteriormente o el siguiente mensaje de error:

El sistema no pudo iniciar sesión. El certificado de tarjeta inteligente usado para la autenticación no era de confianza.

Nota:

Los errores de búsqueda y descarga de la lista de revocación de certificados (CRL), una CRL no válida, un certificado revocado y un estado de revocación de "desconocido" se consideran errores de revocación.

La comprobación de revocación debe realizarse correctamente tanto desde el cliente como desde el controlador de dominio. Asegúrese de que se cumplen las siguientes condiciones:

  • La comprobación de revocación no está desactivada.

    No se puede desactivar la comprobación de revocación de los proveedores de revocación integrados. Si se instala un proveedor de revocación instalable personalizado, debe estar activado.

  • Cada certificado de ENTIDAD de certificación excepto la entidad de certificación raíz de la cadena de certificados contiene una extensión CDP válida en el certificado.

  • La CRL tiene un campo De actualización siguiente y la CRL está actualizada. Puede comprobar que la CRL está en línea en el CDP y es válida descargándola de Internet Explorer. Debería poder descargar y ver la CRL desde cualquiera de los CDP del Protocolo de transporte de HyperText (HTTP) o del Protocolo de transferencia de archivos (FTP) en Internet Explorer desde las estaciones de trabajo de tarjeta inteligente y los controladores de dominio.

Compruebe que cada CDP HTTP y FTP único que usa un certificado de su empresa esté en línea y disponible.

Para comprobar que una CRL está en línea y disponible desde un FTP o HTTP CDP:

  1. Para abrir el certificado en cuestión, haga doble clic en el archivo .cer o haga doble clic en el certificado en el almacén.
  2. Haga clic en la pestaña Detalles y seleccione el campo Punto de distribución CRL .
  3. En el panel inferior, resalte el localizador de recursos uniforme (URL) FTP o HTTP completo y cópielo.
  4. Abra Internet Explorer y pegue la dirección URL en la barra de direcciones.
  5. Cuando reciba el mensaje, seleccione la opción Abrir la CRL.
  6. Asegúrese de que hay un campo Next Update en la CRL y que la hora del campo Siguiente actualización no ha pasado.

Para descargar o comprobar que un CDP ligero de protocolo de acceso a directorios (LDAP) es válido, debe escribir un script o una aplicación para descargar la CRL. Después de descargar y abrir la CRL, asegúrese de que hay un campo De actualización siguiente en la CRL y que la hora del campo Siguiente actualización no ha pasado.

Soporte técnico

Microsoft Product Support Services no admite el proceso de inicio de sesión de tarjeta inteligente de CA de terceros si se determina que uno o varios de los siguientes elementos contribuyen al problema:

  • Formato de certificado incorrecto.
  • El estado del certificado o el estado de revocación no están disponibles en la entidad de certificación de terceros.
  • Problemas de inscripción de certificados de una entidad de certificación de terceros.
  • La entidad de certificación de terceros no puede publicar en Active Directory.
  • CSP de terceros.

Información adicional

El equipo cliente comprueba el certificado del controlador de dominio. Por lo tanto, el equipo local descarga una CRL para el certificado de controlador de dominio en la memoria caché de CRL.

El proceso de inicio de sesión sin conexión no implica certificados, solo credenciales almacenadas en caché.

Para forzar que el almacén NTAuth se rellene inmediatamente en un equipo local en lugar de esperar a la siguiente propagación directiva de grupo, ejecute el siguiente comando para iniciar una actualización de directiva de grupo:

  dsstore.exe -pulse

También puede vaciar la información de la tarjeta inteligente en Windows Server 2003 y en Windows XP mediante el comando Certutil.exe -scinfo.