Errore "Impossibile verificare le credenziali" durante l'accesso a Windows con Windows Hello for Business

Questo articolo illustra come correggere l'errore "Impossibile verificare le credenziali" che si verifica quando si tenta di accedere a Windows con Windows Hello for Business (WHFB).

Si applica a: Windows 10, Windows 11
Numero KB originale: 4519735

Sintomo

Quando si tenta di accedere a un dispositivo Windows 10 o Windows 11 usando un certificato WHFB o un trust della chiave, l'accesso ha esito negativo con uno dei messaggi di errore seguenti:

Impossibile verificare le credenziali

Si è verificato un problema e il PIN non è disponibile (stato: 0xc00000bb, substatus:0x0). Fare clic per configurare di nuovo il PIN.

Causa

Questo problema si verifica perché il certificato dell'autorità di certificazione (CA) emittente non è presente nell'archivio NTAuth del controller di dominio e del computer client.

Quando si usa WHFB, il controller di dominio deve convalidare il certificato inviato dal computer client. Durante la convalida, controlla il servizio Centro distribuzione chiavi (KDC) nel controller di dominio per verificare se è in grado di trovare il certificato CA emittente nella chiave del Registro di sistema NTAuth. La chiave del Registro di sistema NTAuth individua in HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates.

Note

La chiave del Registro di sistema EnterpriseCertificates è una posizione in Active Directory. Durante un aggiornamento di Criteri di gruppo, questi certificati vengono importati nel Registro di sistema da tutti i computer client, i membri e i controller di dominio nella foresta.

Come identificare il problema

1. Aprire lo snap-in Autorità di certificazione.
2. Fare clic con il pulsante destro del mouse sul server CA emittente e scegliere Proprietà.
3. Passare alla scheda Generale e selezionare i certificati correnti se sono presenti più certificati e quindi selezionare Visualizza certificato.
4. Passare alla scheda Dettagli e scorrere verso il basso fino all'attributo Identificazione personale .
5. Annotare l'identificazione personale del certificato CA emittente.
6. Aprire il Registro di sistema nel controller di dominio e passare a HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates.
7. Verificare se nella chiave del Registro di sistema precedente è presente una cartella con il valore di identificazione personale.

Risoluzione

1. Aprire lo snap-in Autorità di certificazione.

2. Fare clic con il pulsante destro del mouse sul server CA emittente e scegliere Proprietà.

3. Passare alla scheda Generale e selezionare i certificati correnti se sono presenti più certificati e quindi selezionare Visualizza certificato.

4. Esportare il certificato usando l'opzione Copia in file . E salvarlo come file, ad esempio IssuingCA.cer.

5. Accedere usando le credenziali di amministratore dell'organizzazione in un controller di dominio ed eseguire il comando seguente:

   certutil -dspublish -f IssuingCA.cer NTAuthCA
   certutil -enterprise -addstore NTAuth IssuingCA.cer
   

6. Eseguire gpupdate /force e verificare che l'identificazione personale della CA emittente venga creata in questo hive del Registro di sistema, HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates.

7. Attendere il completamento della replica di Active Directory.

8. Eseguire gpupdate /force anche nei computer client e assicurarsi che l'identificazione personale del certificato CA emittente venga creata nei computer client.