Рекомендации по включению входа смарт-карт в центры сертификации сторонних производителей

В этой статье приведены некоторые рекомендации по включению входа в систему смарт-карт с помощью сторонних центров сертификации.

Применимо к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер базы знаний: 281245

Аннотация

Вы можете включить процесс входа смарт-карты в Microsoft Windows 2000 и сторонний центр сертификации (ЦС), следуя рекомендациям, приведенным в этой статье. Ограниченная поддержка этой конфигурации описана далее в этой статье.

Дополнительные сведения

Требования

Для проверки подлинности смарт-карт в Active Directory необходимо правильно настроить рабочие станции Smartcard, Active Directory и контроллеры домена Active Directory. Active Directory должна доверять центру сертификации для проверки подлинности пользователей на основе сертификатов из этого ЦС. Рабочие станции smartcard и контроллеры домена должны быть настроены с правильно настроенными сертификатами.

Как и в случае с любой реализацией PKI, все стороны должны доверять корневому ЦС, которому цепочек выдающего ЦС. И контроллеры домена, и рабочие станции смарт-карт доверяют этому корню.

Конфигурация Active Directory и контроллера домена

  • Обязательный аргумент. Для проверки подлинности пользователей в Active Directory в Active Directory у Active Directory должен быть сторонний ЦС, выдающего ЦС, в хранилище NTAuth.
  • Обязательный. Контроллеры домена должны быть настроены с помощью сертификата контроллера домена для проверки подлинности пользователей смарт-карт.
  • Необязательно. Active Directory можно настроить для распространения стороннего корневого ЦС в хранилище доверенных корневых ЦС всех членов домена с помощью групповая политика.

Требования к сертификату смарт-карты и рабочей станции

  • Обязательный. Все требования к смарт-картам, описанные в разделе "Инструкции по настройке", должны быть выполнены, включая форматирование текста полей. Проверка подлинности смарт-карты завершается сбоем, если они не выполняются.
  • Обязательный. Смарт-карта и закрытый ключ должны быть установлены на смарт-карту.

Инструкции по настройке конфигурации

  1. Экспорт или скачивание корневого сертификата стороннего производителя. Способ получения корневого сертификата стороны зависит от поставщика. Сертификат должен иметь формат X.509 в кодировке Base64.

  2. Добавьте корневой ЦС стороннего производителя к доверенным корневым каталогам в объекте Active Directory групповая политика. Чтобы настроить групповая политика домене Windows 2000 для распространения стороннего ЦС в доверенное корневое хранилище всех компьютеров домена:

    1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.
    2. На панели слева найдите домен, в котором применяется политика, которую вы хотите изменить.
    3. Щелкните домен правой кнопкой мыши и выберите пункт Свойства.
    4. Откройте вкладку групповая политика.
    5. Щелкните объект политики домена групповая политика по умолчанию и нажмите кнопку "Изменить". Откроется новое окно.
    6. В левой области разверните следующие элементы:
      • Конфигурация компьютера
      • Параметры Windows
      • Параметры безопасности
      • Политика открытого ключа
    7. Щелкните правой кнопкой мыши доверенные корневые центры сертификации.
    8. Выберите "Все задачи" и нажмите кнопку " Импорт".
    9. Следуйте инструкциям мастера, чтобы импортировать сертификат.
    10. Нажмите кнопку ОК.
    11. Закройте групповая политика окна.
  3. Добавьте стороннего поставщика ЦС в хранилище NTAuth в Active Directory.

    Сертификат входа смарт-карты должен быть выдан центром сертификации, который находится в хранилище NTAuth. По умолчанию ЦС Microsoft Enterprise добавляются в хранилище NTAuth.

    • Если ЦС, выданный сертификатом входа смарт-карты или сертификатами контроллера домена, неправильно опубликован в хранилище NTAuth, процесс входа смарт-карты не работает. Соответствующий ответ : "Не удается проверить учетные данные".

    • Хранилище NTAuth находится в контейнере конфигурации для леса. Например, пример расположения выглядит следующим образом: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • По умолчанию это хранилище создается при установке ЦС Microsoft Enterprise. Объект также можно создать вручную с помощью ADSIedit.msc в средствах поддержки Windows 2000 или с помощью LDIFDE. Для получения дополнительных сведений щелкните номер следующей статьи, чтобы просмотреть статью в базе знаний Майкрософт:

      295663 как импортировать сертификаты сторонних центров сертификации (ЦС) в хранилище Enterprise NTAuth

    • Соответствующий атрибут — cACertificate, который представляет собой строку октета, список сертификатов в кодировке ASN с несколькими значениями.

      После размещения стороннего ЦС в хранилище NTAuth доменная служба групповая политика размещает раздел реестра (отпечаток сертификата) в следующем расположении на всех компьютерах в домене:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Он обновляется каждые восемь часов на рабочих станциях (типичный групповая политика импульсного интервала).

  4. Запрос и установка сертификата контроллера домена на контроллерах домена. Каждый контроллер домена, который будет выполнять проверку подлинности пользователей смарт-карт, должен иметь сертификат контроллера домена.

    При установке ЦС Microsoft Enterprise в лесу Active Directory все контроллеры домена автоматически регистрируются для сертификата контроллера домена. Для получения дополнительных сведений о требованиях к сертификатам контроллера домена от стороннего ЦС щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    291010 Требования к сертификатам контроллера домена от стороннего ЦС

    Примечание.

    Сертификат контроллера домена используется для проверки подлинности SSL, шифрования SMTP, подписывания вызова удаленной процедуры (RPC) и входа в систему смарт-карты. Использование ЦС, не являющегося центром сертификации Майкрософт, для выдачи сертификата контроллеру домена может привести к неожиданному поведению или неподдерживаемым результатам. Неправильно отформатированный сертификат или сертификат с отсутствуюменем субъекта может привести к тому, что эти или другие возможности перестанут отвечать на запросы.

  5. Запрос сертификата смарт-карты у стороннего ЦС.

    Зарегистрируйтесь для использования сертификата от стороннего ЦС, соответствующего указанным требованиям. Способ регистрации зависит от поставщика ЦС.

    Сертификат смарт-карты имеет определенные требования к формату:

    • Расположение точки распространения CRL (CDP) (где СПИСОК отзыва сертификатов — это список отзыва сертификатов) должно быть заполнено, подключено к сети и доступно. Например:

    [1] Точка распространения списка отзыва сертификатов
    Имя точки распространения:
    Полное имя:
    URL-адрес=https://server1.name.com/CertEnroll/caname.crl

    • Использование ключа = цифровая подпись

    • Основные ограничения [тип субъекта=Конечная сущность, ограничение длины пути=Нет] (необязательно)

    • Расширенное использование ключа =

      • Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
        (OID проверки подлинности клиента) требуется только в том случае, если сертификат используется для проверки подлинности SSL.)
      • Вход с помощью смарт-карты (1.3.6.1.4.1.311.20.2.2)
    • Альтернативное имя субъекта = другое имя: principal Name= (UPN). Например:
      UPN = user1@name.com
      Идентификатор имени участника-пользователя — "1.3.6.1.4.1.311.20.2.3"
      Значение upN OtherName: должно быть строкой UTF8 в кодировке ASN1.

    • Subject = различающееся имя пользователя. Это поле является обязательным расширением, но заполнение этого поля необязательным.

  6. Существует два предопределенных типа закрытых ключей. Это ключи " Только подпись" (AT_SIGNATURE) и "Обмен ключами(AT_KEYEXCHANGE)". Сертификаты входа смарт-карты должны иметь тип закрытого ключа Key Exchange (AT_KEYEXCHANGE) для правильной работы входа смарт-карты.

  7. Установите драйверы смарт-карт и программное обеспечение на рабочую станцию смарт-карты.

    Убедитесь, что на рабочей станции смарт-карты установлено соответствующее устройство чтения смарт-карт и программное обеспечение драйвера. Он зависит от поставщика средства чтения смарт-карт.

  8. Установите сторонний сертификат смарт-карты на рабочую станцию смарт-карты.

    Если смарт-карта еще не была добавлена в личное хранилище пользователя смарт-карты в процессе регистрации на шаге 4, необходимо импортировать сертификат в личное хранилище пользователя. Для этого:

    1. Откройте консоль управления (MMC), содержащую оснастку "Сертификаты".

    2. В дереве консоли в разделе "Личные" щелкните "Сертификаты".

    3. В меню "Все задачи" щелкните "Импорт", чтобы запустить мастер импорта сертификатов.

    4. Щелкните файл, содержащий импортируемые сертификаты.

      Примечание.

      Если файл, содержащий сертификаты, является файлом обмена личной информацией (PKCS 12), введите пароль, используемый для шифрования закрытого ключа, установите соответствующий флажок, если требуется экспортировать закрытый ключ, а затем включите надежную защиту закрытого ключа (если вы хотите использовать эту функцию).

      Примечание.

      Чтобы включить надежную защиту закрытого ключа, необходимо использовать режим просмотра логических хранилищ сертификатов.

    5. Выберите параметр, чтобы автоматически поместить сертификат в хранилище сертификатов в зависимости от типа сертификата.

  9. Установите сертификат смарт-карты стороннего производителя на смарт-карту. Эта установка зависит от поставщика служб шифрования (CSP) и поставщика смарт-карт. Инструкции см. в документации поставщика.

  10. Войдите на рабочую станцию с помощью смарт-карты.

Возможные проблемы

Во время входа в систему смарт-карты чаще всего отображается следующее сообщение об ошибке:

Системе не удалось войти в систему. Не удалось проверить ваши учетные данные.

Это сообщение является универсальной ошибкой и может быть результатом одной или нескольких из приведенных ниже проблем.

Проблемы с сертификатом и конфигурацией

  • У контроллера домена нет сертификата контроллера домена.

  • Поле SubjAltName сертификата смарт-карты имеет неправильный формат. Если сведения в поле SubjAltName отображаются как шестнадцатеричные необработанные данные или необработанные данные ASCII, форматирование текста не равно ASN1 или UTF-8.

  • Контроллер домена имеет неправильный или неполный сертификат.

  • Для каждого из следующих условий необходимо запросить новый действительный сертификат контроллера домена. Если срок действия действительного сертификата контроллера домена истек, вы можете продлить сертификат контроллера домена, но этот процесс сложнее и обычно сложнее, чем при запросе нового сертификата контроллера домена.

    • Срок действия сертификата контроллера домена истек.
    • Контроллер домена имеет ненадежный сертификат. Если хранилище NTAuth не содержит сертификат центра сертификации (ЦС) выдающего ЦС контроллера домена, необходимо добавить его в хранилище NTAuth или получить сертификат контроллера домена от выдающего ЦС, сертификат которого находится в хранилище NTAuth.

    Если контроллеры домена или рабочие станции смарт-карт не доверяют корневому ЦС, которому цепочек сертификатов контроллера домена, необходимо настроить эти компьютеры для доверия этому корневому ЦС.

  • Смарт-карта имеет ненадежный сертификат. Если хранилище NTAuth не содержит сертификат ЦС выдающего ЦС сертификата смарт-карты, необходимо добавить его в хранилище NTAuth или получить сертификат смарт-карты от выдающего ЦС, сертификат которого находится в хранилище NTAuth.

    Если контроллеры домена или рабочие станции смарт-карт не доверяют корневому ЦС, которому цепочек сертификатов смарт-карты пользователя, необходимо настроить эти компьютеры для доверия этому корневому ЦС.

  • Сертификат смарт-карты не устанавливается в хранилище пользователя на рабочей станции. Сертификат, хранимый на смарт-карте, должен находиться на рабочей станции смарт-карты в профиле пользователя, который выполняет вход с помощью смарт-карты.

    Примечание.

    Закрытый ключ не нужно хранить в профиле пользователя на рабочей станции. Он необходим только для хранения в смарт-карточке.

  • Правильный сертификат смарт-карты или закрытый ключ не установлен на смарт-карту. Действительный сертификат смарт-карты должен быть установлен на смарт-карту с закрытым ключом, а сертификат должен совпадать с сертификатом, хранящимся в профиле пользователя смарт-карты на рабочей станции смарт-карты.

  • Сертификат смарт-карты невозможно получить из средства чтения смарт-карт. Это может быть проблемой с оборудованием для чтения смарт-карт или программой драйвера средства чтения смарт-карт. Убедитесь, что для просмотра сертификата и закрытого ключа смарт-карты можно использовать программное обеспечение поставщика средства чтения смарт-карт.

  • Срок действия сертификата смарт-карты истек.

  • Имя участника-пользователя (UPN) недоступно в расширении SubjAltName сертификата смарт-карты.

  • Имя участника-пользователя в поле SubjAltName сертификата смарт-карты имеет неправильный формат. Если сведения в SubjAltName отображаются как шестнадцатеричные или необработанные данные ASCII, форматирование текста не равно ASN1 или UTF-8.

  • Смарт-карта имеет неправильный или неполный сертификат. Для каждого из этих условий необходимо запросить новый действительный сертификат смарт-карты и установить его на смарт-карту и в профиль пользователя на рабочей станции смарт-карты. Сертификат смарт-карты должен соответствовать требованиям, описанным выше в этой статье, включая правильно отформатированное поле имени участника-пользователя в поле SubjAltName.

    Если срок действия действительного сертификата смарт-карты истек, вы также можете обновить сертификат смарт-карты, что сложнее и сложнее, чем запрос нового сертификата смарт-карты.

  • У пользователя нет имени участника-пользователя, определенного в учетной записи пользователя Active Directory. Учетная запись пользователя в Active Directory должна иметь допустимое имя участника-пользователя в свойстве userPrincipalName учетной записи пользователя Active Directory пользователя смарт-карты.

  • Имя участника-пользователя в сертификате не соответствует имени участника-пользователя, определенному в учетной записи пользователя Active Directory пользователя. Исправьте имя участника-пользователя в учетной записи пользователя Active Directory пользователя смарт-карты или повторно создайте сертификат смарт-карты, чтобы значение имени участника-пользователя в поле SubjAltName совпадает с именем участника-пользователя в учетной записи пользователя Active Directory пользователей смарт-карты. Рекомендуется, чтобы имя участника-пользователя смарт-карты совпадает с атрибутом учетной записи пользователя userPrincipalName для сторонних ЦС. Однако если имя участника-пользователя в сертификате является "неявным именем участника-пользователя" учетной записи (формат samAccountName@domain_FQDN), имя участника-пользователя не должно явно соответствовать свойству userPrincipalName.

Проблемы при проверке отзыва

Если проверка отзыва завершается сбоем, когда контроллер домена проверяет сертификат входа смарт-карты, контроллер домена отклоняет вход. Контроллер домена может вернуть сообщение об ошибке, упомянутое ранее, или следующее сообщение об ошибке:

Системе не удалось войти в систему. Сертификат смарт-карты, используемый для проверки подлинности, не является доверенным.

Примечание.

Если не удается найти и скачать список отзыва сертификатов (CRL), недопустимый список отзыва сертификатов, отозванный сертификат и состояние отзыва "неизвестно", считаются сбоем отзыва.

Проверка отзыва должна быть успешной как у клиента, так и у контроллера домена. Убедитесь, что выполняются следующие условия:

  • Проверка отзыва не отключена.

    Не удается отключить проверку отзыва для встроенных поставщиков отзыва. Если установлен настраиваемый устанавливаемый поставщик отзыва, он должен быть включен.

  • Каждый сертификат ЦС, кроме корневого ЦС в цепочке сертификатов, содержит допустимое расширение CDP в сертификате.

  • Список отзыва сертификатов содержит поле "Следующее обновление", а список отзыва сертификатов обновлен. Вы можете убедиться, что список отзыва сертификатов находится в сети CDP и действителен, скачав его из Internet Explorer. Вы должны иметь возможность скачивать и просматривать список отзыва сертификатов с любого из CDP http или FTP в Internet Explorer как с рабочих станций смарт-карты, так и с контроллеров домена.

Убедитесь, что все уникальные CDP HTTP и FTP, используемые сертификатом на предприятии, подключены к сети и доступны.

Чтобы убедиться, что список отзыва сертификатов подключен и доступен из FTP или HTTP CDP, выполните следующие действия.

  1. Чтобы открыть указанный сертификат, дважды щелкните CER-файл или дважды щелкните сертификат в хранилище.
  2. Откройте вкладку "Сведения" и выберите поле точки распространения списка отзыва сертификатов.
  3. В нижней области выделите полный указатель ресурсов FTP или HTTP (URL-адрес) и скопируйте его.
  4. Откройте Internet Explorer и вставьте URL-адрес в адресную строку.
  5. Когда появится запрос, выберите параметр "Открыть список отзыва сертификатов".
  6. Убедитесь, что в списке отзыва сертификатов есть поле "Следующее обновление", а время в поле "Следующее обновление" не пройдено.

Чтобы скачать или убедиться, что CDP с протоколом LDAP действителен, необходимо написать сценарий или приложение для скачивания списка отзыва сертификатов. После скачивания и открытия списка отзыва сертификатов убедитесь, что в списке отзыва сертификатов есть поле "Следующее обновление", а время в поле "Следующее обновление" не пройдено.

Поддержка

Службы поддержки продуктов Майкрософт не поддерживают процесс входа в систему смарт-карты стороннего ЦС, если определено, что проблема связана с одним или несколькими из следующих элементов:

  • Неправильный формат сертификата.
  • Состояние сертификата или статус отзыва недоступен для стороннего ЦС.
  • Проблемы с регистрацией сертификатов от стороннего ЦС.
  • Сторонний ЦС не может публиковать данные в Active Directory.
  • Сторонний поставщик служб конфигурации.

Дополнительные сведения

Клиентский компьютер проверяет сертификат контроллера домена. Поэтому локальный компьютер загружает список отзыва сертификатов для сертификата контроллера домена в кэш списка отзыва сертификатов.

Процесс автономного входа не включает сертификаты, а только кэшированные учетные данные.

Чтобы принудительно заполнить хранилище NTAuth на локальном компьютере, а не ожидать следующего распространения групповая политика, выполните следующую команду, чтобы инициировать групповая политика обновления:

  dsstore.exe -pulse  

Вы также можете выгрусти данные смарт-карты в Windows Server 2003 и Windows XP с помощью команды Certutil.exe -scinfo.