Compartilhar via

Diretrizes para ativar o início de sessão de smart card com autoridades de certificação de terceiros

  • Artigo

Este artigo fornece algumas diretrizes para ativar o início de sessão de smart card com autoridades de certificação de terceiros.

Número original da BDC: 281245

Resumo

Pode ativar um processo de início de sessão de smart card com o Microsoft Windows 2000 e uma autoridade de certificação (AC) não Microsoft ao seguir as diretrizes neste artigo. O suporte limitado para esta configuração é descrito mais à frente neste artigo.

Mais informações

Requisitos

A Autenticação de Smart Card para o Active Directory requer que as estações de trabalho do Smartcard, o Active Directory e os controladores de domínio do Active Directory sejam configurados corretamente. O Active Directory tem de confiar numa autoridade de certificação para autenticar utilizadores com base em certificados dessa AC. Tanto as estações de trabalho do Smartcard como os controladores de domínio têm de ser configurados com certificados configurados corretamente.

Tal como acontece com qualquer implementação de PKI, todas as partes têm de confiar na AC de Raiz à qual a AC emissora está encorrentada. Tanto os controladores de domínio como as estações de trabalho de smartcard confiam nesta raiz.

Configuração do Active Directory e do controlador de domínio

  • Obrigatório: o Active Directory tem de ter a AC emissora de terceiros no arquivo NTAuth para autenticar os utilizadores no Active Directory.
  • Obrigatório: os controladores de domínio têm de ser configurados com um certificado de controlador de domínio para autenticar utilizadores de smartcard.
  • Opcional: o Active Directory pode ser configurado para distribuir a AC de raiz de terceiros para o arquivo de AC de raiz fidedigna de todos os membros do domínio através da Política de Grupo.

Requisitos de certificados e estações de trabalho do SmartCard

  • Obrigatório: todos os requisitos de smartcard descritos na secção "Instruções de Configuração" têm de ser cumpridos, incluindo a formatação de texto dos campos. A autenticação do SmartCard falha se não forem cumpridas.
  • Obrigatório: o smartcard e a chave privada têm de ser instalados no smartcard.

Instruções de configuração

  1. Exporte ou transfira o certificado de raiz de terceiros. A obtenção do certificado de raiz de entidade varia consolho do fornecedor. O certificado tem de estar no formato X.509 codificado com Base64.

  2. Adicione a AC de raiz de terceiros às raízes fidedignas num objeto de Política de Grupo do Active Directory. Para configurar a Política de Grupo no domínio do Windows 2000 para distribuir a AC de terceiros para o arquivo de raiz fidedigna de todos os computadores de domínio:

    1. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
    2. No painel esquerdo, localize o domínio no qual a política que pretende editar é aplicada.
    3. Clique com o botão direito do mouse no domínio e depois clique em Propriedades.
    4. Clique no separador Política de Grupo .
    5. Clique no objeto Política de Grupo de Política de Domínio Predefinida e, em seguida, clique em Editar. É aberta uma nova janela.
    6. No painel esquerdo, expanda os seguintes itens:
      • Configurações do Computador
      • Configurações do Windows
      • Definições de Segurança
      • Política de Chave Pública
    7. Clique com o botão direito do rato em Autoridades de Certificação de Raiz Fidedigna.
    8. Selecione Todas as Tarefas e, em seguida, clique em Importar.
    9. Siga as instruções no assistente para importar o certificado.
    10. Clique em OK.
    11. Feche a janela Política de Grupo .

  3. Adicione os terceiros que emitem a AC ao arquivo NTAuth no Active Directory.

    O certificado de início de sessão do smart card tem de ser emitido a partir de uma AC que esteja no arquivo NTAuth. Por predefinição, as ACs do Microsoft Enterprise são adicionadas ao arquivo NTAuth.

    • Se a AC que emitiu o certificado de início de sessão do smart card ou os certificados do controlador de domínio não estiver corretamente publicada no arquivo NTAuth, o processo de início de sessão do smart card não funcionará. A resposta correspondente é "Não é possível verificar as credenciais".

    • O arquivo NTAuth está localizado no contentor de Configuração da floresta. Por exemplo, uma localização de exemplo é a seguinte: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Por predefinição, esta loja é criada quando instala uma AC empresarial da Microsoft. O objeto também pode ser criado manualmente com ADSIedit.msc nas ferramentas de Suporte do Windows 2000 ou utilizando LDIFDE. Para obter mais informações, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

      295663 Como importar certificados de autoridade de certificação (AC) de terceiros para o arquivo Enterprise NTAuth

    • O atributo relevante é cACertificate, que é uma Cadeia de Octeto, uma lista com múltiplos valores de certificados codificados com ASN.

      Depois de colocar a AC de terceiros no arquivo NTAuth, a Política de Grupo baseada em domínio coloca uma chave de registo (um thumbprint do certificado) na seguinte localização em todos os computadores no domínio:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      É atualizado a cada oito horas em estações de trabalho (o intervalo de impulso típico da Política de Grupo).

  4. Peça e instale um certificado de controlador de domínio nos controladores de domínio. Cada controlador de domínio que vai autenticar os utilizadores de smartcard tem de ter um certificado de controlador de domínio.

    Se instalar uma AC do Microsoft Enterprise numa floresta do Active Directory, todos os controladores de domínio são inscritos automaticamente num certificado de controlador de domínio. Para obter mais informações sobre os requisitos para certificados de controlador de domínio de uma AC de terceiros, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

    291010 Requisitos para certificados de controlador de domínio de uma AC de terceiros

    Observação

    O certificado do controlador de domínio é utilizado para autenticação Secure Sockets Layer (SSL), encriptação SMTP (Simple Mail Transfer Protocol), assinatura de Chamada de Procedimento Remoto (RPC) e processo de início de sessão de smart card. A utilização de uma AC que não seja da Microsoft para emitir um certificado para um controlador de domínio pode causar um comportamento inesperado ou resultados não suportados. Um certificado formatado incorretamente ou um certificado com o nome do requerente ausente pode fazer com que estas ou outras capacidades deixem de responder.

  5. Peça um certificado de smart card à AC de terceiros.

    Inscreva-se num certificado da AC de terceiros que cumpra os requisitos indicados. O método de inscrição varia consognamente pelo fornecedor de AC.

    O certificado de smart card tem requisitos de formato específicos:

    • A localização do Ponto de Distribuição de CRL (CDP) (em que CRL é a Lista de Revogação de Certificação) tem de ser preenchida, online e disponível. Por exemplo:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Utilização da Chave = Assinatura Digital

    • Restrições Básicas [Tipo de Assunto=Entidade Final, Restrição de Comprimento do Caminho=Nenhuma] (Opcional)

    • Utilização de Chave Avançada =

      • Autenticação de Cliente (1.3.6.1.5.5.7.3.2)
        (O OID de autenticação de cliente) só é necessário se for utilizado um certificado para autenticação SSL.)
      • Início de Sessão do Smart Card (1.3.6.1.4.1.311.20.2.2)

    • Nome Alternativo do Requerente = Outro Nome: Nome Principal= (UPN). Por exemplo:
      UPN = user1@name.com
      O OID do UpN OtherName é: "1.3.6.1.4.1.311.20.2.3"
      O valor UPN OtherName: Tem de ser uma cadeia UTF8 codificada com CODIFICAção ASN1

    • Assunto = Nome único do utilizador. Este campo é uma extensão obrigatória, mas a população deste campo é opcional.

  6. Existem dois tipos predefinidos de chaves privadas. Estas chaves são Signature Only (AT_SIGNATURE) e Key Exchange(AT_KEYEXCHANGE). Os certificados de início de sessão do SmartCard têm de ter um tipo de tecla privada Key Exchange (AT_KEYEXCHANGE) para que o início de sessão do smart card funcione corretamente.

  7. Instale controladores de smartcard e software na estação de trabalho de smartcard.

    Certifique-se de que o dispositivo de leitor de smartcard e o software do controlador adequados estão instalados na estação de trabalho do smartcard. Varia de acordo com o fornecedor do leitor de smartcards.

  8. Instale o certificado de smartcard de terceiros na estação de trabalho do smartcard.

    Se o smartcard ainda não tiver sido colocado no arquivo pessoal do utilizador do smartcard no processo de inscrição no passo 4, tem de importar o certificado para o arquivo pessoal do utilizador. Para fazer isso:

    1. Abra a Consola de Gestão da Microsoft (MMC) que contém o snap-in Certificados.

    2. Na árvore da consola, em Pessoal, clique em Certificados.

    3. No menu Todas as Tarefas, clique em Importar para iniciar o Assistente de Importação de Certificados.

    4. Clique no ficheiro que contém os certificados que está a importar.

      Observação

      Se o ficheiro que contém os certificados for um ficheiro do Personal Information Exchange (PKCS #12), escreva a palavra-passe que utilizou para encriptar a chave privada, clique para selecionar a caixa de verificação adequada se pretender que a chave privada seja exportável e, em seguida, ative a proteção de chave privada forte (se pretender utilizar esta funcionalidade).

      Observação

      Para ativar uma proteção de chave privada forte, tem de utilizar o modo de vista Arquivos de Certificados Lógicos.

    5. Selecione a opção para colocar automaticamente o certificado num arquivo de certificados com base no tipo de certificado.

  9. Instale o certificado de smartcard de terceiros no smartcard. Esta instalação varia de acordo com o Fornecedor de Serviços Criptográficos (CSP) e o fornecedor de smartcard. Veja as documentação do fornecedor para obter instruções.

  10. Inicie sessão na estação de trabalho com o smartcard.

Possíveis problemas

Durante o início de sessão do smartcard, a mensagem de erro mais comum vista é:

O sistema não conseguiu iniciar sessão. Não foi possível verificar as suas credenciais.

Esta mensagem é um erro genérico e pode ser o resultado de um ou mais dos problemas abaixo.

Problemas de certificado e configuração

  • O controlador de domínio não tem nenhum certificado de controlador de domínio.

  • O campo SubjAltName do certificado de smartcard está mal formatado. Se as informações no campo SubjAltName aparecerem como dados não processados Hexadecimal/ASCII, a formatação de texto não é ASN1/UTF-8.

  • O controlador de domínio tem um certificado incorreto ou incompleto.

  • Para cada uma das seguintes condições, tem de pedir um novo certificado de controlador de domínio válido. Se o certificado de controlador de domínio válido tiver expirado, poderá renovar o certificado do controlador de domínio, mas este processo é mais complexo e normalmente mais difícil do que se pedir um novo certificado de controlador de domínio.

    • O certificado do controlador de domínio expirou.
    • O controlador de domínio tem um certificado não fidedigno. Se o arquivo NTAuth não contiver o certificado de autoridade de certificação (AC) da AC emissora do certificado do controlador de domínio, tem de adicioná-lo ao arquivo NTAuth ou obter um certificado DC a partir de uma AC emissora cujo certificado reside no arquivo NTAuth.

    Se os controladores de domínio ou as estações de trabalho de smartcard não confiarem na AC de Raiz à qual o certificado do controlador de domínio está ligado, tem de configurar esses computadores para confiarem nessa AC de Raiz.

  • O smartcard tem um certificado não fidedigno. Se o arquivo NTAuth não contiver o certificado de AC da AC emissora do certificado de smartcard, tem de adicioná-lo ao arquivo NTAuth ou obter um certificado de smartcard a partir de uma AC emissora cujo certificado reside no arquivo NTAuth.

    Se os controladores de domínio ou as estações de trabalho de smartcard não confiarem na AC de Raiz à qual o certificado de smartcard do utilizador está ligado, tem de configurar esses computadores para confiarem nessa AC de Raiz.

  • O certificado do smart card não está instalado na loja do utilizador na estação de trabalho. O certificado armazenado no smart card tem de residir na estação de trabalho do smartcard no perfil do utilizador que está a iniciar sessão com o smart card.

    Observação

    Não tem de armazenar a chave privada no perfil do utilizador na estação de trabalho. Só é necessário ser armazenado no smartcard.

  • O certificado de smartcard ou chave privada correto não está instalado no smartcard. O certificado de smartcard válido tem de ser instalado no smartcard com a chave privada e o certificado tem de corresponder a um certificado armazenado no perfil do utilizador do smartcard na estação de trabalho do smartcard.

  • Não é possível obter o certificado do smart card a partir do leitor de smartcards. Pode ser um problema com o hardware do leitor de smartcards ou o software de controlador do leitor de smartcard. Verifique se pode utilizar o software do fornecedor do leitor de smartcards para ver o certificado e a chave privada no smartcard.

  • O certificado de smartcard expirou.

  • Não está disponível nenhum Nome Principal de Utilizador (UPN) na extensão SubjAltName do certificado de smartcard.

  • O UPN no campo SubjAltName do certificado de smartcard está mal formatado. Se as informações no SubjAltName aparecerem como dados não processados Hexadecimal/ASCII, a formatação de texto não é ASN1/UTF-8.

  • O smartcard tem um certificado incorreto ou incompleto. Para cada uma destas condições, tem de pedir um novo certificado smartcard válido e instalá-lo no smartcard e no perfil do utilizador na estação de trabalho do smartcard. O certificado de smartcard tem de cumprir os requisitos descritos anteriormente neste artigo, que incluem um campo UPN corretamente formatado no campo SubjAltName.

    Se o certificado de smartcard válido tiver expirado, também poderá renovar o certificado de smartcard, que é mais complexo e difícil do que pedir um novo certificado de smartcard.

  • O utilizador não tem um UPN definido na respetiva conta de utilizador do Active Directory. A conta do utilizador no Active Directory tem de ter um UPN válido na propriedade userPrincipalName da conta de utilizador do Active Directory do utilizador do smartcard.

  • O UPN no certificado não corresponde ao UPN definido na conta de utilizador do Active Directory do utilizador. Corrija o UPN na conta de utilizador do Active Directory do utilizador do smartcard ou reedita o certificado de smartcard para que o valor UPN no campo SubjAltName corresponda ao UPN na conta de utilizador do Active Directory dos utilizadores do smartcard. Recomendamos que o UPN do smart card corresponda ao atributo de conta de utilizador userPrincipalName para ACs de terceiros. No entanto, se o UPN no certificado for o "UPN implícito" da conta (formato samAccountName@domain_FQDN), o UPN não terá de corresponder explicitamente à propriedade userPrincipalName.

Problemas de verificação de revogação

Se a verificação de revogação falhar quando o controlador de domínio valida o certificado de início de sessão do smart card, o controlador de domínio nega o início de sessão. O controlador de domínio pode devolver a mensagem de erro mencionada anteriormente ou a seguinte mensagem de erro:

O sistema não conseguiu iniciar sessão. O certificado de smartcard utilizado para autenticação não era fidedigno.

Observação

Não conseguir localizar e transferir a Lista de Revogação de Certificados (CRL), um CRL inválido, um certificado revogado e um estado de revogação "desconhecido" são considerados falhas de revogação.

A verificação de revogação tem de ser efetuada com êxito tanto do cliente como do controlador de domínio. Certifique-se de que o seguinte é verdadeiro:

  • A verificação de revogação não está desativada.

    Não é possível desativar a verificação de revogação dos fornecedores de revogação incorporados. Se estiver instalado um fornecedor de revogação instalável personalizado, este tem de estar ativado.

  • Cada Certificado de AC, exceto a AC de raiz na cadeia de certificados, contém uma extensão CDP válida no certificado.

  • O CRL tem um campo Atualização Seguinte e o CRL está atualizado. Pode verificar se a CRL está online no CDP e é válida ao transferi-la a partir do Internet Explorer. Deverá conseguir transferir e ver a CRL a partir de qualquer um dos CDPs de Protocolo de Transporte de HyperText (HTTP) ou protocolo FTP (File Transfer Protocol) no Internet Explorer a partir das estações de trabalho do smartcard e dos controladores de domínio.

Verifique se cada CDP HTTP e FTP exclusivo utilizado por um certificado na sua empresa está online e disponível.

Para verificar se uma CRL está online e disponível a partir de um CDP DE FTP ou HTTP:

  1. Para abrir o Certificado em questão, faça duplo clique no ficheiro .cer ou faça duplo clique no certificado no arquivo.
  2. Clique no separador Detalhes e selecione o campo Ponto de Distribuição crl .
  3. No painel inferior, realce o FTP completo ou o URL (Uniform Resource Locator) de HTTP e copie-o.
  4. Abra o Internet Explorer e cole o URL na Barra de endereço.
  5. Quando receber o pedido, selecione a opção Para Abrir a CRL.
  6. Certifique-se de que existe um campo Atualização Seguinte na CRL e que a hora no campo Próxima Atualização não passou.

Para transferir ou verificar se um CDP LDAP (Lightweight Directory Access Protocol) é válido, tem de escrever um script ou uma aplicação para transferir o CRL. Depois de transferir e abrir o CRL, certifique-se de que existe um campo Atualização Seguinte na CRL e que a hora no campo Próxima Atualização não passou.

Suporte

Os Serviços de Suporte Técnico da Microsoft não suportam o processo de início de sessão de smart card da AC de terceiros se for determinado que um ou mais dos seguintes itens contribuem para o problema:

  • Formato de certificado incorrido.
  • Estado do certificado ou estado de revogação não disponível a partir da AC de terceiros.
  • Problemas de inscrição de certificados de uma AC de terceiros.
  • A AC de terceiros não pode publicar no Active Directory.
  • Um CSP de terceiros.

Informações adicionais

O computador cliente verifica o certificado do controlador de domínio. Por conseguinte, o computador local transfere um CRL para o certificado do controlador de domínio para a cache crl.

O processo de início de sessão offline não envolve certificados, apenas credenciais em cache.

Para forçar o arquivo NTAuth a ser imediatamente preenchido num computador local em vez de aguardar pela próxima propagação da Política de Grupo, execute o seguinte comando para iniciar uma atualização da Política de Grupo:

  dsstore.exe -pulse

Também pode capturar as informações do smart card no Windows Server 2003 e no Windows XP com o comando Certutil.exe -scinfo.