Udostępnij za pośrednictwem

Wytyczne dotyczące włączania logowania kart inteligentnych za pomocą urzędów certyfikacji innych firm

Ten artykuł zawiera pewne wskazówki dotyczące włączania logowania kart inteligentnych za pomocą urzędów certyfikacji innych firm.

Oryginalny numer KB: 281245

Podsumowanie

Proces logowania za pomocą karty inteligentnej można włączyć za pomocą systemu Microsoft Windows 2000 i urzędu certyfikacji innej firmy niż Microsoft, postępując zgodnie z wytycznymi w tym artykule. Ograniczona obsługa tej konfiguracji została opisana w dalszej części tego artykułu.

Więcej informacji

Wymagania

Uwierzytelnianie za pomocą karty inteligentnej w usłudze Active Directory wymaga prawidłowego skonfigurowania stacji roboczych kart inteligentnych, usług Active Directory i kontrolerów domeny usługi Active Directory. Usługa Active Directory musi ufać urzędowi certyfikacji w celu uwierzytelniania użytkowników na podstawie certyfikatów z tego urzędu certyfikacji. Zarówno stacje robocze karty inteligentnej, jak i kontrolery domeny muszą być skonfigurowane z poprawnie skonfigurowanymi certyfikatami.

Podobnie jak w przypadku każdej implementacji infrastruktury kluczy publicznych, wszystkie strony muszą ufać głównemu urzędowi certyfikacji, do którego łańcuchy urzędów wystawiających certyfikaty. Zarówno kontrolery domeny, jak i stacje robocze kart inteligentnych ufają temu katalogowi głównemu.

Konfiguracja usługi Active Directory i kontrolera domeny

  • Wymagane: usługa Active Directory musi mieć urząd wystawiający certyfikaty innej firmy w magazynie NTAuth, aby uwierzytelnić użytkowników w usłudze Active Directory.
  • Wymagane: kontrolery domeny muszą być skonfigurowane przy użyciu certyfikatu kontrolera domeny w celu uwierzytelniania użytkowników kart inteligentnych.
  • Opcjonalnie: usługę Active Directory można skonfigurować do dystrybucji głównego urzędu certyfikacji innej firmy do zaufanego głównego magazynu wszystkich członków domeny przy użyciu zasad grupy.

Wymagania dotyczące certyfikatu i stacji roboczej karty inteligentnej

  • Wymagane: wszystkie wymagania dotyczące kart inteligentnych opisane w sekcji "Instrukcje konfiguracji" muszą zostać spełnione, w tym formatowanie tekstu pól. Uwierzytelnianie za pomocą karty inteligentnej kończy się niepowodzeniem, jeśli nie zostaną spełnione.
  • Wymagane: karta inteligentna i klucz prywatny muszą być zainstalowane na karcie inteligentnej.

Instrukcje dotyczące konfiguracji

  1. Wyeksportuj lub pobierz certyfikat główny innej firmy. Sposób uzyskiwania certyfikatu głównego jednostki zależy od dostawcy. Certyfikat musi mieć format X.509 zakodowany w formacie Base64.

  2. Dodaj główny urząd certyfikacji innej firmy do zaufanych katalogów głównych w obiekcie zasad grupy usługi Active Directory. Aby skonfigurować zasady grupy w domenie systemu Windows 2000 w celu dystrybucji urzędu certyfikacji innej firmy do zaufanego magazynu głównego wszystkich komputerów domeny:

    1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
    2. W okienku po lewej stronie znajdź domenę, w której zastosowano zasady, które chcesz edytować.
    3. Kliknij prawym przyciskiem myszy domenę, a następnie kliknij polecenie Właściwości.
    4. Kliknij kartę Zasady grupy.
    5. Kliknij domyślny obiekt zasad grupy zasad domeny, a następnie kliknij przycisk Edytuj. Otworzy się nowe okno.
    6. W okienku po lewej stronie rozwiń następujące elementy:
      • Konfiguracja komputera
      • Ustawienia systemu Windows
      • Ustawienia zabezpieczeń
      • Zasady klucza publicznego
    7. Kliknij prawym przyciskiem myszy zaufane główne urzędy certyfikacji.
    8. Wybierz pozycję Wszystkie zadania, a następnie kliknij przycisk Importuj.
    9. Postępuj zgodnie z instrukcjami kreatora, aby zaimportować certyfikat.
    10. Kliknij przycisk OK.
    11. Zamknij okno Zasady grupy.

  3. Dodaj urząd wystawiający urząd certyfikacji innej firmy do magazynu NTAuth w usłudze Active Directory.

    Certyfikat logowania karty inteligentnej musi być wystawiony z urzędu certyfikacji, który znajduje się w magazynie NTAuth. Domyślnie urzędy certyfikacji przedsiębiorstwa firmy Microsoft są dodawane do magazynu NTAuth.

    • Jeśli urząd certyfikacji, który wystawił certyfikat logowania karty inteligentnej lub certyfikaty kontrolera domeny, nie jest poprawnie opublikowany w magazynie NTAuth, proces logowania karty inteligentnej nie działa. Odpowiadająca odpowiedź to "Nie można zweryfikować poświadczeń".

    • Magazyn NTAuth znajduje się w kontenerze Konfiguracji lasu. Na przykład przykładowa lokalizacja jest następująca: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Domyślnie ten magazyn jest tworzony podczas instalowania urzędu certyfikacji przedsiębiorstwa firmy Microsoft. Obiekt można również utworzyć ręcznie przy użyciu narzędzia ADSIedit.msc w narzędziach obsługi systemu Windows 2000 lub przy użyciu narzędzia LDIFDE. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

      295663 Jak zaimportować certyfikaty urzędu certyfikacji innej firmy do magazynu Enterprise NTAuth

    • Odpowiedni atrybut to cACertificate, który jest ósemkową listą certyfikatów zakodowanych w formacie ASN.

      Po wprowadzeniu urzędu certyfikacji innej firmy w magazynie NTAuth zasady grupy oparte na domenie umieszcza klucz rejestru (odcisk palca certyfikatu) w następującej lokalizacji na wszystkich komputerach w domenie:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Jest odświeżany co osiem godzin na stacjach roboczych (typowy interwał impulsów zasad grupy).

  4. Zażądaj i zainstaluj certyfikat kontrolera domeny na kontrolerach domeny. Każdy kontroler domeny, który będzie uwierzytelniać użytkowników kart inteligentnych, musi mieć certyfikat kontrolera domeny.

    Jeśli zainstalujesz urząd certyfikacji przedsiębiorstwa firmy Microsoft w lesie usługi Active Directory, wszystkie kontrolery domeny zostaną automatycznie zarejestrowane dla certyfikatu kontrolera domeny. Aby uzyskać więcej informacji na temat wymagań dotyczących certyfikatów kontrolera domeny z urzędu certyfikacji innej firmy, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

    291010 Wymagania dotyczące certyfikatów kontrolera domeny z urzędu certyfikacji innej firmy

    Uwaga 16.

    Certyfikat kontrolera domeny jest używany do uwierzytelniania protokołu SECURE Sockets Layer (SSL), szyfrowania protokołu SMTP (Simple Mail Transfer Protocol), podpisywania zdalnego wywołania procedury (RPC) i procesu logowania do karty inteligentnej. Użycie urzędu certyfikacji innego niż Microsoft do wystawiania certyfikatu na kontrolerze domeny może spowodować nieoczekiwane zachowanie lub nieobsługiwane wyniki. Niewłaściwie sformatowany certyfikat lub certyfikat o nieobecnej nazwie podmiotu może spowodować, że te lub inne możliwości przestaną odpowiadać.

  5. Zażądaj certyfikatu karty inteligentnej z urzędu certyfikacji innej firmy.

    Zarejestruj się w celu uzyskania certyfikatu z urzędu certyfikacji innej firmy, który spełnia określone wymagania. Metoda rejestracji różni się od dostawcy urzędu certyfikacji.

    Certyfikat karty inteligentnej ma określone wymagania dotyczące formatu:

    • Lokalizacja punktu dystrybucji listy CRL (CDP) (gdzie lista CRL jest listą odwołania certyfikacji) musi być wypełniona, w trybie online i dostępna. Na przykład:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Użycie klucza = podpis cyfrowy

    • Ograniczenia podstawowe [Subject Type=End Entity, Path Length Constraint=None] (Opcjonalnie)

    • Ulepszone użycie klucza =

      • Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2)
        (Identyfikator OID uwierzytelniania klienta) jest wymagany tylko wtedy, gdy certyfikat jest używany do uwierzytelniania SSL).
      • Logowanie karty inteligentnej (1.3.6.1.4.1.311.20.2.2)

    • Alternatywna nazwa podmiotu = inna nazwa: główna nazwa= (UPN). Na przykład:
      NAZWA UPN = user1@name.com
      Nazwa UPN OtherName OID to "1.3.6.1.4.1.311.20.2.3"
      Wartość upN OtherName: musi być ciągiem UTF8 zakodowanym w formacie ASN1

    • Subject = nazwa wyróżniająca użytkownika. To pole jest obowiązkowym rozszerzeniem, ale populacja tego pola jest opcjonalna.

  6. Istnieją dwa wstępnie zdefiniowane typy kluczy prywatnych. Te klucze to Tylko podpis (AT_SIGNATURE) i Wymiana kluczy (AT_KEYEXCHANGE). Certyfikaty logowania za pomocą karty inteligentnej muszą mieć typ klucza prywatnego exchange (AT_KEYEXCHANGE), aby logowanie za pomocą karty inteligentnej działało poprawnie.

  7. Zainstaluj sterowniki i oprogramowanie kart inteligentnych na stacji roboczej karty inteligentnej.

    Upewnij się, że na stacji roboczej karty inteligentnej zainstalowano odpowiednie oprogramowanie czytnika kart inteligentnych i sterowników. Różni się on od dostawcy czytnika kart inteligentnych.

  8. Zainstaluj certyfikat karty inteligentnej innej firmy na stacji roboczej karty inteligentnej.

    Jeśli karta inteligentna nie została jeszcze umieszczona w osobistym magazynie użytkownika karty inteligentnej w procesie rejestracji w kroku 4, należy zaimportować certyfikat do magazynu osobistego użytkownika. Aby to zrobić:

    1. Otwórz przystawkę Microsoft Management Console (MMC), która zawiera przystawkę Certyfikaty.

    2. W drzewie konsoli w obszarze Osobiste kliknij pozycję Certyfikaty.

    3. W menu Wszystkie zadania kliknij przycisk Importuj, aby uruchomić Kreatora importu certyfikatów.

    4. Kliknij plik zawierający importowane certyfikaty.

      Uwaga 16.

      Jeśli plik zawierający certyfikaty jest plikiem wymiany informacji osobistych (PKCS #12), wpisz hasło użyte do zaszyfrowania klucza prywatnego, kliknij, aby zaznaczyć odpowiednie pole wyboru, jeśli chcesz wyeksportować klucz prywatny, a następnie włączyć silną ochronę klucza prywatnego (jeśli chcesz użyć tej funkcji).

      Uwaga 16.

      Aby włączyć silną ochronę klucza prywatnego, należy użyć trybu widoku Magazyny certyfikatów logicznych.

    5. Wybierz opcję automatycznego umieszczania certyfikatu w magazynie certyfikatów na podstawie typu certyfikatu.

  9. Zainstaluj certyfikat karty inteligentnej innej firmy na karcie inteligentnej. Ta instalacja różni się w zależności od dostawcy usług kryptograficznych (CSP) i dostawcy kart inteligentnych. Aby uzyskać instrukcje, zobacz dokumentację dostawcy.

  10. Zaloguj się do stacji roboczej za pomocą karty inteligentnej.

Możliwe problemy

Podczas logowania za pomocą karty inteligentnej najczęściej wyświetlany jest następujący komunikat o błędzie:

System nie może cię zalogować. Nie można zweryfikować poświadczeń.

Ten komunikat jest ogólnym błędem i może być wynikiem co najmniej jednego z poniższych problemów.

Problemy z certyfikatem i konfiguracją

  • Kontroler domeny nie ma certyfikatu kontrolera domeny.

  • Pole SubjAltName certyfikatu karty inteligentnej jest źle sformatowane. Jeśli informacje w polu SubjAltName są wyświetlane jako dane pierwotne szesnastkowe /ASCII, formatowanie tekstu nie jest ASN1 / UTF-8.

  • Kontroler domeny ma nieprawidłowo sformułowany lub niekompletny certyfikat.

  • Dla każdego z poniższych warunków należy zażądać nowego prawidłowego certyfikatu kontrolera domeny. Jeśli ważny certyfikat kontrolera domeny wygasł, możesz odnowić certyfikat kontrolera domeny, ale ten proces jest bardziej złożony i zazwyczaj trudniejsze niż w przypadku żądania nowego certyfikatu kontrolera domeny.

    • Certyfikat kontrolera domeny wygasł.
    • Kontroler domeny ma niezaufany certyfikat. Jeśli magazyn NTAuth nie zawiera certyfikatu urzędu certyfikacji certyfikatu kontrolera domeny wystawiającego urząd certyfikacji, należy dodać go do magazynu NTAuth lub uzyskać certyfikat kontrolera domeny z urzędu wystawiającego certyfikat, którego certyfikat znajduje się w magazynie NTAuth.

    Jeśli kontrolery domeny lub stacje robocze kart inteligentnych nie ufają głównemu urzędowi certyfikacji, do którego łańcuchy certyfikatów kontrolera domeny, należy skonfigurować te komputery tak, aby ufały temu głównemu urzędowi certyfikacji.

  • Karta inteligentna ma niezaufany certyfikat. Jeśli magazyn NTAuth nie zawiera certyfikatu urzędu certyfikacji wystawiającego certyfikat karty inteligentnej, należy dodać go do magazynu NTAuth lub uzyskać certyfikat karty inteligentnej z urzędu wystawiającego certyfikat, którego certyfikat znajduje się w magazynie NTAuth.

    Jeśli kontrolery domeny lub stacje robocze kart inteligentnych nie ufają głównemu urzędowi certyfikacji, do którego łańcuchy certyfikatów karty inteligentnej użytkownika, należy skonfigurować te komputery tak, aby ufały temu głównemu urzędowi certyfikacji.

  • Certyfikat karty inteligentnej nie jest zainstalowany w magazynie użytkownika na stacji roboczej. Certyfikat przechowywany na karcie inteligentnej musi znajdować się na stacji roboczej karty inteligentnej w profilu użytkownika, który loguje się za pomocą karty inteligentnej.

    Uwaga 16.

    Nie musisz przechowywać klucza prywatnego w profilu użytkownika na stacji roboczej. Musi być przechowywany tylko na karcie inteligentnej.

  • Prawidłowy certyfikat karty inteligentnej lub klucz prywatny nie jest zainstalowany na karcie inteligentnej. Prawidłowy certyfikat karty inteligentnej musi być zainstalowany na karcie inteligentnej z kluczem prywatnym, a certyfikat musi być zgodny z certyfikatem przechowywanym w profilu użytkownika karty inteligentnej na stacji roboczej karty inteligentnej.

  • Nie można pobrać certyfikatu karty inteligentnej z czytnika kart inteligentnych. Może to być problem ze sprzętem czytnika kart inteligentnych lub oprogramowaniem sterowników czytnika kart inteligentnych. Sprawdź, czy możesz użyć oprogramowania dostawcy czytnika kart inteligentnych do wyświetlania certyfikatu i klucza prywatnego na karcie inteligentnej.

  • Certyfikat karty inteligentnej wygasł.

  • Główna nazwa użytkownika (UPN) nie jest dostępna w rozszerzeniu SubjAltName certyfikatu karty inteligentnej.

  • Nazwa UPN w polu SubjAltName certyfikatu karty inteligentnej jest nieprawidłowo sformatowana. Jeśli informacje w SubjAltName są wyświetlane jako dane pierwotne szesnastkowe /ASCII, formatowanie tekstu nie jest ASN1 / UTF-8.

  • Karta inteligentna ma nieprawidłowo sformułowany lub niekompletny certyfikat. Dla każdego z tych warunków należy zażądać nowego ważnego certyfikatu karty inteligentnej i zainstalować go na karcie inteligentnej oraz w profilu użytkownika na stacji roboczej z kartą inteligentną. Certyfikat karty inteligentnej musi spełniać wymagania opisane wcześniej w tym artykule, które zawierają poprawnie sformatowane pole nazwy UPN w polu SubjAltName.

    Jeśli ważny certyfikat karty inteligentnej wygasł, możesz również odnowić certyfikat karty inteligentnej, który jest bardziej złożony i trudny niż żądanie nowego certyfikatu karty inteligentnej.

  • Użytkownik nie ma nazwy UPN zdefiniowanej na koncie użytkownika usługi Active Directory. Konto użytkownika w usłudze Active Directory musi mieć prawidłową nazwę UPN we właściwości userPrincipalName konta użytkownika usługi Active Directory karty inteligentnej.

  • Nazwa UPN w certyfikacie jest niezgodna z nazwą UPN zdefiniowaną na koncie użytkownika usługi Active Directory. Popraw nazwę UPN na koncie użytkownika usługi Active Directory w usłudze Active Directory lub ponownie skonfiguruj certyfikat karty inteligentnej, tak aby wartość NAZWY UPN w polu SubjAltName odpowiadała nazwie UPN na koncie użytkownika usługi Active Directory użytkowników karty inteligentnej. Zalecamy, aby nazwa UPN karty inteligentnej odpowiadała atrybutowi konta użytkownika userPrincipalName dla urzędów certyfikacji innych firm. Jeśli jednak nazwa UPN w certyfikacie to "niejawna nazwa UPN" konta (format samAccountName@domain_FQDN), nazwa UPN nie musi być jawnie zgodna z właściwością userPrincipalName.

Problemy z sprawdzaniem odwołania

Jeśli sprawdzanie odwołania nie powiedzie się, gdy kontroler domeny zweryfikuje certyfikat logowania karty inteligentnej, kontroler domeny odmówi logowania. Kontroler domeny może zwrócić komunikat o błędzie wymieniony wcześniej lub następujący komunikat o błędzie:

System nie może cię zalogować. Certyfikat karty inteligentnej używany do uwierzytelniania nie był zaufany.

Uwaga 16.

Nie można odnaleźć i pobrać listy odwołania certyfikatów (CRL), nieprawidłowej listy CRL, odwołanego certyfikatu i stanu odwołania "nieznany" są uznawane za błędy odwołania.

Sprawdzanie odwołania musi zakończyć się powodzeniem zarówno z klienta, jak i kontrolera domeny. Upewnij się, że spełnione są następujące warunki:

  • Sprawdzanie odwołania nie jest wyłączone.

    Nie można wyłączyć sprawdzania odwołania dla wbudowanych dostawców odwołania. Jeśli jest zainstalowany niestandardowy instalowany dostawca odwołania, należy go włączyć.

  • Każdy certyfikat urzędu certyfikacji z wyjątkiem głównego urzędu certyfikacji w łańcuchu certyfikatów zawiera prawidłowe rozszerzenie CDP w certyfikacie.

  • Lista CRL ma pole Następnej aktualizacji, a lista CRL jest aktualna. Możesz sprawdzić, czy lista CRL jest w trybie online w usłudze CDP i prawidłowa, pobierając ją z programu Internet Explorer. Należy mieć możliwość pobrania i wyświetlenia listy CRL z dowolnego z protokołów HTTP (HyperText Transport Protocol) lub FILE Transfer Protocol (FTP) w programie Internet Explorer zarówno z stacji roboczych karty inteligentnej, jak i kontrolerów domeny.

Sprawdź, czy każda unikatowa usługa HTTP i FTP CDP używana przez certyfikat w przedsiębiorstwie jest w trybie online i jest dostępna.

Aby sprawdzić, czy lista CRL jest w trybie online i jest dostępna z protokołu FTP lub HTTP CDP:

  1. Aby otworzyć odpowiedni certyfikat, kliknij dwukrotnie plik .cer lub kliknij dwukrotnie certyfikat w magazynie.
  2. Kliknij kartę Szczegóły i wybierz pole Punkt dystrybucji listy CRL.
  3. W dolnym okienku zaznacz pełny adres FTP lub HTTP Uniform Resource Locator (URL) i skopiuj go.
  4. Otwórz program Internet Explorer i wklej adres URL na pasku Adres.
  5. Po wyświetleniu monitu wybierz opcję Otwórz listę CRL.
  6. Upewnij się, że w liście CRL znajduje się pole Następnej aktualizacji, a czas w polu Następnej aktualizacji nie został przekazany.

Aby pobrać lub sprawdzić, czy protokół LDAP (Lightweight Directory Access Protocol) jest prawidłowy, musisz napisać skrypt lub aplikację, aby pobrać listę CRL. Po pobraniu i otwarciu listy CRL upewnij się, że w liście CRL znajduje się pole Następnej aktualizacji, a czas w polu Następnej aktualizacji nie został przekazany.

Pomoc techniczna

Usługi pomocy technicznej firmy Microsoft nie obsługują procesu logowania karty inteligentnej urzędu certyfikacji innej firmy, jeśli określono, że co najmniej jeden z następujących elementów przyczynia się do problemu:

  • Nieprawidłowy format certyfikatu.
  • Stan certyfikatu lub stan odwołania jest niedostępny z urzędu certyfikacji innej firmy.
  • Problemy z rejestracją certyfikatów z urzędu certyfikacji innej firmy.
  • Urząd certyfikacji innej firmy nie może opublikować w usłudze Active Directory.
  • Dostawca CSP innej firmy.

Dodatkowe informacje

Komputer kliencki sprawdza certyfikat kontrolera domeny. W związku z tym komputer lokalny pobiera listę CRL certyfikatu kontrolera domeny do pamięci podręcznej listy CRL.

Proces logowania w trybie offline nie obejmuje certyfikatów, tylko buforowanych poświadczeń.

Aby wymusić natychmiastowe wypełnienie magazynu NTAuth na komputerze lokalnym zamiast czekać na następną propagację zasad grupy, uruchom następujące polecenie, aby zainicjować aktualizację zasad grupy:

  dsstore.exe -pulse

Możesz również zrzucić informacje o karcie inteligentnej w systemie Windows Server 2003 i Windows XP przy użyciu Certutil.exe -scinfo polecenia.