Delen via

Richtlijnen voor het inschakelen van smartcardaanmelding met certificeringsinstanties van derden

Dit artikel bevat enkele richtlijnen voor het inschakelen van smartcardaanmelding met certificeringsinstanties van derden.

Oorspronkelijk KB-nummer: 281245

Samenvatting

U kunt een aanmeldingsproces voor smartcards inschakelen met Microsoft Windows 2000 en een niet-Microsoft-certificeringsinstantie (CA) door de richtlijnen in dit artikel te volgen. Beperkte ondersteuning voor deze configuratie wordt verderop in dit artikel beschreven.

Meer informatie

Behoeften

Voor smartcardverificatie voor Active Directory is vereist dat Smartcard-werkstations, Active Directory- en Active Directory-domeincontrollers correct worden geconfigureerd. Active Directory moet een certificeringsinstantie vertrouwen om gebruikers te verifiëren op basis van certificaten van die CA. Zowel Smartcard-werkstations als domeincontrollers moeten worden geconfigureerd met correct geconfigureerde certificaten.

Net als bij elke PKI-implementatie moeten alle partijen de basis-CA vertrouwen waarnaar de verlenende CA ketent. Zowel de domeincontrollers als de smartcardwerkstations vertrouwen deze hoofdmap.

Configuratie van Active Directory en domeincontroller

  • Vereist: Active Directory moet beschikken over de verlenende CERTIFICERINGsinstantie van derden in het NTAuth-archief om gebruikers te verifiëren bij Active Directory.
  • Vereist: domeincontrollers moeten worden geconfigureerd met een domeincontrollercertificaat om smartcardgebruikers te verifiëren.
  • Optioneel: Active Directory kan worden geconfigureerd om de basis-CA van derden te distribueren naar het vertrouwde basis-CA-archief van alle domeinleden met behulp van het groepsbeleid.

Vereisten voor smartcardcertificaten en werkstations

  • Vereist: aan alle vereisten voor smartcards die worden beschreven in de sectie Configuratie-instructies, moet worden voldaan, inclusief de tekstopmaak van de velden. Smartcardverificatie mislukt als niet wordt voldaan.
  • Vereist: De smartcard en persoonlijke sleutel moeten op de smartcard worden geïnstalleerd.

Configuratie-instructies

  1. Exporteer of download het basiscertificaat van derden. Het verkrijgen van het basiscertificaat van de partij verschilt per leverancier. Het certificaat moet de X.509-indeling met Base64 Encoded hebben.

  2. Voeg de basis-CA van derden toe aan de vertrouwde basismappen in een Active Directory-groepsbeleidsobject. Groepsbeleid configureren in het Windows 2000-domein om de externe CA te distribueren naar het vertrouwde basisarchief van alle domeincomputers:

    1. Klik op Start, wijs naar Programma's, wijs naar Beheerprogramma's en klik vervolgens op Active Directory: gebruikers en computers.
    2. Zoek in het linkerdeelvenster het domein waarin het beleid dat u wilt bewerken, wordt toegepast.
    3. Klik met de rechtermuisknop op het domein en klik vervolgens op Eigenschappen.
    4. Klik op het tabblad Groepsbeleid .
    5. Klik op het groepsbeleidsobject Standaarddomeinbeleid en klik vervolgens op Bewerken. Er wordt een nieuw venster geopend.
    6. Vouw in het linkerdeelvenster de volgende items uit:
      • Computerconfiguratie
      • Windows-instellingen
      • Beveiligingsinstellingen
      • Beleid voor openbare sleutels
    7. Klik met de rechtermuisknop op Vertrouwde basiscertificeringsinstanties.
    8. Selecteer Alle taken en klik vervolgens op Importeren.
    9. Volg de instructies in de wizard om het certificaat te importeren.
    10. Klik op OK.
    11. Sluit het venster Groepsbeleid .

  3. Voeg de derde partij die de CA uitgeeft toe aan het NTAuth-archief in Active Directory.

    Het smartcard-aanmeldingscertificaat moet worden uitgegeven vanaf een CERTIFICERINGsinstantie die zich in het NTAuth-archief bevindt. Microsoft Enterprise CA's worden standaard toegevoegd aan het NTAuth-archief.

    • Als de CERTIFICERINGsinstantie die het smartcard-aanmeldingscertificaat heeft uitgegeven of als de domeincontrollercertificaten niet correct worden geplaatst in het NTAuth-archief, werkt het aanmeldingsproces voor smartcards niet. Het bijbehorende antwoord is 'Kan de referenties niet verifiëren'.

    • Het NTAuth-archief bevindt zich in de configuratiecontainer voor het forest. Een voorbeeldlocatie is bijvoorbeeld als volgt: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Deze store wordt standaard gemaakt wanneer u een Microsoft Enterprise-CA installeert. Het object kan ook handmatig worden gemaakt met ADSIedit.msc in de windows 2000-ondersteuningshulpprogramma's of met behulp van LDIFDE. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

      295663 Certificaten van derden importeren in het Enterprise NTAuth-archief

    • Het relevante kenmerk is cACertificate, een octetreeks, een lijst met meerdere waarden met ASN-gecodeerde certificaten.

      Nadat u de ca van derden in het NTAuth-archief hebt geplaatst, plaatst groepsbeleid op basis van een domein een registersleutel (een vingerafdruk van het certificaat) op de volgende locatie op alle computers in het domein:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Het wordt elke acht uur vernieuwd op werkstations (het typische pulse-interval voor groepsbeleid).

  4. Een domeincontrollercertificaat aanvragen en installeren op de domeincontroller(s). Elke domeincontroller die smartcardgebruikers gaat verifiëren, moeten een domeincontrollercertificaat hebben.

    Als u een Microsoft Enterprise-CA in een Active Directory-forest installeert, worden alle domeincontrollers automatisch ingeschreven voor een domeincontrollercertificaat. Klik op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie over vereisten voor domeincontrollercertificaten van een externe CERTIFICERINGsinstantie:

    291010 Vereisten voor domeincontrollercertificaten van een externe CA

    Notitie

    Het certificaat van de domeincontroller wordt gebruikt voor SSL-verificatie (Secure Sockets Layer), SMTP-versleuteling (Simple Mail Transfer Protocol), RPC-ondertekening (Remote Procedure Call) en het aanmeldingsproces voor smartcards. Het gebruik van een niet-Microsoft-CA om een certificaat uit te geven aan een domeincontroller kan onverwacht gedrag of niet-ondersteunde resultaten veroorzaken. Een onjuist opgemaakt certificaat of een certificaat met de onderwerpnaam ontbreekt, kan ertoe leiden dat deze of andere mogelijkheden niet meer reageren.

  5. Vraag een smartcardcertificaat aan bij de certificeringsinstantie van derden.

    Schrijf u in voor een certificaat van de externe CERTIFICERINGsinstantie die voldoet aan de vermelde vereisten. De methode voor inschrijving verschilt per CA-leverancier.

    Het smartcardcertificaat heeft specifieke indelingsvereisten:

    • De CRL-distributiepuntlocatie (CDP) (waarbij CRL de certificeringsintrekkingslijst is) moet worden ingevuld, online en beschikbaar zijn. Bijvoorbeeld:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Sleutelgebruik = Digitale handtekening

    • Basisbeperkingen [Onderwerptype=Eindentiteit, Padlengtebeperking=Geen] (optioneel)

    • Uitgebreid sleutelgebruik =

      • Clientverificatie (1.3.6.1.5.5.7.3.2)
        (De OID voor clientverificatie) is alleen vereist als een certificaat wordt gebruikt voor SSL-verificatie.)
      • Smartcardaanmelding (1.3.6.1.4.1.311.20.2.2)

    • Alternatieve onderwerpnaam = andere naam: Principal Name= (UPN). Bijvoorbeeld:
      UPN = user1@name.com
      De UPN OtherName OID is: "1.3.6.1.4.1.311.20.2.3"
      De waarde UPN OtherName: moet asn1-gecodeerde UTF8-tekenreeks zijn

    • Onderwerp = DN-naam van gebruiker. Dit veld is een verplichte uitbreiding, maar de populatie van dit veld is optioneel.

  6. Er zijn twee vooraf gedefinieerde typen persoonlijke sleutels. Deze sleutels zijn alleen handtekening (AT_SIGNATURE) en sleuteluitwisseling (AT_KEYEXCHANGE). Smartcard-aanmeldingscertificaten moeten een persoonlijk sleuteltype (AT_KEYEXCHANGE) hebben om smartcardaanmelding correct te laten functioneren.

  7. Installeer smartcardstuurprogramma's en software op het smartcardwerkstation.

    Zorg ervoor dat het juiste smartcardlezerapparaat en stuurprogrammasoftware zijn geïnstalleerd op het smartcardwerkstation. Dit verschilt per leverancier van smartcardlezer.

  8. Installeer het smartcardcertificaat van derden op het smartcardwerkstation.

    Als de smartcard in stap 4 nog niet in het persoonlijke archief van de smartcardgebruiker is geplaatst, moet u het certificaat importeren in het persoonlijke archief van de gebruiker. Hiervoor doet u het volgende:

    1. Open de MMC (Microsoft Management Console) die de module Certificaten bevat.

    2. Klik in de consolestructuur onder Persoonlijk op Certificaten.

    3. Klik in het menu Alle taken op Importeren om de wizard Certificaat importeren te starten.

    4. Klik op het bestand met de certificaten die u importeert.

      Notitie

      Als het bestand met de certificaten een PKCS #12-bestand (Personal Information Exchange) is, typt u het wachtwoord dat u hebt gebruikt voor het versleutelen van de persoonlijke sleutel, klikt u om het juiste selectievakje in te schakelen als u wilt dat de persoonlijke sleutel kan worden geëxporteerd en schakelt u vervolgens de beveiliging van sterke persoonlijke sleutels in (als u deze functie wilt gebruiken).

      Notitie

      Als u sterke persoonlijke sleutelbeveiliging wilt inschakelen, moet u de weergavemodus Logische certificaatarchieven gebruiken.

    5. Selecteer de optie om het certificaat automatisch in een certificaatarchief te plaatsen op basis van het type certificaat.

  9. Installeer het smartcardcertificaat van derden op de smartcard. Deze installatie verschilt per CSP (Cryptographic Service Provider) en per smartcardleverancier. Raadpleeg de documentatie van de leverancier voor instructies.

  10. Meld u aan bij het werkstation met de smartcard.

Mogelijke problemen

Tijdens het aanmelden van smartcards wordt het meest voorkomende foutbericht weergegeven:

Het systeem kan u niet aanmelden. Uw referenties kunnen niet worden geverifieerd.

Dit bericht is een algemene fout en kan het resultaat zijn van een of meer van de onderstaande problemen.

Problemen met certificaten en configuratie

  • De domeincontroller heeft geen domeincontrollercertificaat.

  • Het veld SubjAltName van het smartcardcertificaat is onjuist opgemaakt. Als de informatie in het veld SubjAltName wordt weergegeven als hexadecimale /ASCII onbewerkte gegevens, is de tekstopmaak niet ASN1/UTF-8.

  • De domeincontroller heeft een anderszins onjuist of onvolledig certificaat.

  • Voor elk van de volgende voorwaarden moet u een nieuw geldig domeincontrollercertificaat aanvragen. Als uw geldige domeincontrollercertificaat is verlopen, kunt u het certificaat van de domeincontroller vernieuwen, maar dit proces is complexer en meestal moeilijker dan wanneer u een nieuw domeincontrollercertificaat aanvraagt.

    • Het certificaat van de domeincontroller is verlopen.
    • De domeincontroller heeft een niet-vertrouwd certificaat. Als het NTAuth-archief geen ca-certificaat (certificeringsinstantie) van de verlenende CA van het domeincontrollercertificaat bevat, moet u het toevoegen aan het NTAuth-archief of een DC-certificaat verkrijgen van een verlenende CA waarvan het certificaat zich in het NTAuth-archief bevindt.

    Als de domeincontrollers of smartcardwerkstations de basis-CA waarnaar de certificaatketens van de domeincontroller niet vertrouwen, moet u deze computers configureren om die basis-CA te vertrouwen.

  • De smartcard heeft een niet-vertrouwd certificaat. Als het NTAuth-archief het CA-certificaat van de verlenende CA van het smartcard-certificaat niet bevat, moet u het toevoegen aan het NTAuth-archief of een smartcardcertificaat verkrijgen van een verlenende CA waarvan het certificaat zich in het NTAuth-archief bevindt.

    Als de domeincontrollers of smartcardwerkstations de basis-CA waarnaar het smartcardcertificaat van de gebruiker is gekoppeld, niet vertrouwt, moet u deze computers configureren om die basis-CA te vertrouwen.

  • Het certificaat van de smartcard is niet geïnstalleerd in het archief van de gebruiker op het werkstation. Het certificaat dat is opgeslagen op de smartcard moet zich op het smartcardwerkstation bevinden in het profiel van de gebruiker die zich aanmeldt met de smartcard.

    Notitie

    U hoeft de persoonlijke sleutel niet op te slaan in het profiel van de gebruiker op het werkstation. Het is alleen vereist om op de smartcard te worden opgeslagen.

  • Het juiste smartcardcertificaat of de juiste persoonlijke sleutel is niet geïnstalleerd op de smartcard. Het geldige smartcardcertificaat moet worden geïnstalleerd op de smartcard met de persoonlijke sleutel en het certificaat moet overeenkomen met een certificaat dat is opgeslagen in het profiel van de smartcardgebruiker op het smartcardwerkstation.

  • Het certificaat van de smartcard kan niet worden opgehaald uit de smartcardlezer. Het kan een probleem zijn met de hardware van de smartcardlezer of de stuurprogrammasoftware van de smartcardlezer. Controleer of u de software van de leverancier van de smartcardlezer kunt gebruiken om het certificaat en de persoonlijke sleutel op de smartcard weer te geven.

  • Het smartcardcertificaat is verlopen.

  • Er is geen UPN (User Principal Name) beschikbaar in de subjAltName-extensie van het smartcardcertificaat.

  • De UPN in het veld SubjAltName van het smartcardcertificaat is onjuist opgemaakt. Als de informatie in subjAltName wordt weergegeven als hexadecimale /ASCII onbewerkte gegevens, is de tekstopmaak niet ASN1/UTF-8.

  • De smartcard heeft een ander onjuist of onvolledig certificaat. Voor elk van deze voorwaarden moet u een nieuw geldig smartcardcertificaat aanvragen en installeren op de smartcard en in het profiel van de gebruiker op het smartcardwerkstation. Het smartcardcertificaat moet voldoen aan de vereisten die eerder in dit artikel zijn beschreven, waaronder een correct opgemaakt UPN-veld in het veld SubjAltName.

    Als uw geldige smartcardcertificaat is verlopen, kunt u ook het smartcardcertificaat vernieuwen, wat complexer en moeilijker is dan het aanvragen van een nieuw smartcardcertificaat.

  • De gebruiker heeft geen UPN gedefinieerd in het Active Directory-gebruikersaccount. Het gebruikersaccount in Active Directory moet een geldige UPN hebben in de eigenschap userPrincipalName van het Active Directory-gebruikersaccount van de smartcard.

  • De UPN in het certificaat komt niet overeen met de UPN die is gedefinieerd in het Active Directory-gebruikersaccount van de gebruiker. Corrigeer de UPN in het Active Directory-gebruikersaccount van de smartcardgebruiker of hernoemen het smartcardcertificaat zodat de UPN-waarde in het veld SubjAltName overeenkomt met de UPN in het Active Directory-gebruikersaccount van de smartcardgebruikers. Het is raadzaam dat de UPN van de smartcard overeenkomt met het gebruikersaccountkenmerk userPrincipalName voor ca's van derden. Als de UPN in het certificaat echter de impliciete UPN van het account is (indeling samAccountName@domain_FQDN), hoeft de UPN niet expliciet overeen te komen met de eigenschap userPrincipalName.

Problemen met intrekkingscontrole

Als de intrekkingscontrole mislukt wanneer de domeincontroller het aanmeldingscertificaat van de smartcard valideert, weigert de domeincontroller de aanmelding. De domeincontroller kan het eerder genoemde foutbericht of het volgende foutbericht retourneren:

Het systeem kan u niet aanmelden. Het smartcardcertificaat dat wordt gebruikt voor verificatie, is niet vertrouwd.

Notitie

Het niet vinden en downloaden van de certificaatintrekkingslijst (CRL), een ongeldige CRL, een ingetrokken certificaat en een intrekkingsstatus van 'onbekend' worden allemaal beschouwd als intrekkingsfouten.

De intrekkingscontrole moet slagen van zowel de client als de domeincontroller. Controleer of het volgende waar is:

  • Intrekkingscontrole is niet uitgeschakeld.

    Intrekkingscontrole voor de ingebouwde intrekkingsproviders kan niet worden uitgeschakeld. Als er een aangepaste installeerbare intrekkingsprovider is geïnstalleerd, moet deze zijn ingeschakeld.

  • Elk CA-certificaat behalve de basis-CA in de certificaatketen bevat een geldige CDP-extensie in het certificaat.

  • De CRL heeft een veld Volgende update en de CRL is up-to-date. U kunt controleren of de CRL online is op het CDP en geldig is door deze te downloaden vanuit Internet Explorer. U moet de CRL kunnen downloaden en weergeven vanaf een van de HTTP-cd's (HyperText Transport Protocol) of File Transfer Protocol (FTP) in Internet Explorer vanaf zowel de smartcardwerkstations als de domeincontroller(s).

Controleer of elk uniek HTTP- en FTP CDP dat wordt gebruikt door een certificaat in uw onderneming online en beschikbaar is.

Ga als volgt te werk om te controleren of een CRL online is en beschikbaar is via een FTP- of HTTP CDP:

  1. Als u het betreffende certificaat wilt openen, dubbelklikt u op het bestand .cer of dubbelklikt u op het certificaat in het archief.
  2. Klik op het tabblad Details en selecteer het veld CRL-distributiepunt .
  3. Markeer in het onderste deelvenster de volledige FTP- of HTTP Uniform Resource Locator (URL) en kopieer deze.
  4. Open Internet Explorer en plak de URL in de adresbalk.
  5. Wanneer u de prompt ontvangt, selecteert u de optie om de CRL te openen.
  6. Zorg ervoor dat er een veld Volgende update in de CRL staat en dat de tijd in het veld Volgende update niet is verstreken.

Als u wilt downloaden of controleren of een LDAP-CDP (Lightweight Directory Access Protocol) geldig is, moet u een script of een toepassing schrijven om de CRL te downloaden. Nadat u de CRL hebt gedownload en geopend, controleert u of er een veld Volgende update in de CRL staat en de tijd in het veld Volgende update niet is verstreken.

Ondersteuning

Microsoft Product Support Services biedt geen ondersteuning voor het aanmeldingsproces voor smartcards van derden als wordt vastgesteld dat een of meer van de volgende items bijdragen aan het probleem:

  • Onjuiste certificaatindeling.
  • De certificaatstatus of intrekkingsstatus is niet beschikbaar bij de certificeringsinstantie van derden.
  • Problemen met certificaatinschrijving van een externe CERTIFICERINGsinstantie.
  • De certificeringsinstantie van derden kan niet publiceren naar Active Directory.
  • Een externe CSP.

Aanvullende informatie

De clientcomputer controleert het certificaat van de domeincontroller. De lokale computer downloadt daarom een CRL voor het certificaat van de domeincontroller in de CRL-cache.

Het offlineaanmeldingsproces omvat geen certificaten, alleen referenties in de cache.

Als u wilt afdwingen dat het NTAuth-archief onmiddellijk wordt ingevuld op een lokale computer in plaats van te wachten op de volgende doorgifte van groepsbeleid, voert u de volgende opdracht uit om een update voor groepsbeleid te starten:

  dsstore.exe -pulse

U kunt de smartcardgegevens ook dumpen in Windows Server 2003 en in Windows XP met behulp van de opdracht Certutil.exe -scinfo.