Рекомендации по включению интеллектуального карта входа в сторонние центры сертификации

  • Статья

В этой статье приведены некоторые рекомендации по включению интеллектуального карта входа в сторонние центры сертификации.

Применимо к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер базы знаний: 281245

Сводка

Вы можете включить процесс интеллектуального карта входа в Microsoft Windows 2000 и центра сертификации сторонних корпораций (ЦС), следуя рекомендациям, приведенным в этой статье. Ограниченная поддержка этой конфигурации описана далее в этой статье.

Дополнительная информация

Требования

Для проверки подлинности с помощью смарт-карты в Active Directory требуется правильно настроить рабочие станции smartcard, Active Directory и контроллеры домена Active Directory. Active Directory должен доверять центру сертификации для проверки подлинности пользователей на основе сертификатов из этого ЦС. Рабочие станции smartcard и контроллеры домена должны быть настроены с помощью правильно настроенных сертификатов.

Как и в случае с любой реализацией PKI, все стороны должны доверять корневому ЦС, к которому цепочки выдающего ЦС. Контроллеры домена и рабочие станции смарт-карт доверяют этому корню.

Конфигурация Active Directory и контроллера домена

  • Обязательный. Active Directory должен иметь сторонний ЦС в хранилище NTAuth для проверки подлинности пользователей в Active Directory.
  • Обязательный. Контроллеры домена должны быть настроены с помощью сертификата контроллера домена для проверки подлинности пользователей смарт-карт.
  • Необязательно. Active Directory можно настроить для распространения стороннего корневого ЦС в доверенное корневое хранилище ЦС всех членов домена с помощью групповая политика.

Требования к сертификатам смарт-карт и рабочей станции

  • Обязательный: должны быть выполнены все требования смарт-карт, описанные в разделе "Инструкции по настройке", включая форматирование текста полей. Проверка подлинности со смарт-картой завершается ошибкой, если она не выполняется.
  • Обязательный. На смарт-карту необходимо установить смарт-карту и закрытый ключ.

Инструкции по настройке конфигурации

  1. Экспорт или скачивание стороннего корневого сертификата. Способ получения стороннего корневого сертификата зависит от поставщика. Сертификат должен быть в формате X.509 в кодировке Base64.

  2. Добавьте сторонний корневой ЦС к доверенным корням в объекте Active Directory групповая политика. Чтобы настроить групповая политика в домене Windows 2000 для распространения стороннего ЦС в доверенное корневое хранилище всех компьютеров домена:

    1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.
    2. На панели слева найдите домен, в котором применяется политика, которую вы хотите изменить.
    3. Щелкните домен правой кнопкой мыши и выберите пункт Свойства.
    4. Перейдите на вкладку групповая политика.
    5. Щелкните объект Политика домена по умолчанию групповая политика и нажмите кнопку Изменить. Откроется новое окно.
    6. В левой области разверните следующие элементы:
      • Конфигурация компьютера
      • Параметры Windows
      • Параметры безопасности
      • Политика открытых ключей
    7. Щелкните правой кнопкой мыши доверенные корневые центры сертификации.
    8. Выберите Все задачи и нажмите кнопку Импорт.
    9. Следуйте инструкциям мастера, чтобы импортировать сертификат.
    10. Нажмите кнопку OK.
    11. Закройте окно групповая политика.

  3. Добавьте стороннего поставщика, выдающего ЦС, в хранилище NTAuth в Active Directory.

    Сертификат интеллектуального карта входа должен быть выдан из ЦС, который находится в хранилище NTAuth. По умолчанию ЦС Microsoft Enterprise добавляются в хранилище NTAuth.

    • Если ЦС, выдающий смарт-карта сертификат входа или сертификаты контроллера домена, неправильно размещены в хранилище NTAuth, процесс интеллектуального карта входа не работает. Соответствующий ответ — "Не удается проверить учетные данные".

    • Хранилище NTAuth находится в контейнере Конфигурации для леса. Например, пример расположения выглядит следующим образом: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • По умолчанию это хранилище создается при установке ЦС Microsoft Enterprise. Объект также можно создать вручную с помощью ADSIedit.msc в средствах поддержки Windows 2000 или с помощью LDIFDE. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

      295663 Импорт сертификатов сторонних центров сертификации (ЦС) в хранилище ENTERPRISE NTAuth

    • Соответствующий атрибут — cACertificate, который представляет собой строковый список сертификатов в кодировке ASN с несколькими значениями.

      После размещения стороннего ЦС в хранилище NTAuth на основе домена групповая политика помещает раздел реестра (отпечаток сертификата) в следующее расположение на всех компьютерах в домене:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Он обновляется каждые восемь часов на рабочих станциях (типичный интервал групповая политика пульса).

  4. Запрос и установка сертификата контроллера домена на контроллерах домена. Каждый контроллер домена, который будет проверять подлинность пользователей со смарт-картами, должен иметь сертификат контроллера домена.

    При установке ЦС Microsoft Enterprise в лесу Active Directory все контроллеры домена автоматически регистрироваться для получения сертификата контроллера домена. Дополнительные сведения о требованиях к сертификатам контроллера домена из стороннего ЦС щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    291010 Требования к сертификатам контроллера домена из стороннего ЦС

    Примечание.

    Сертификат контроллера домена используется для проверки подлинности SSL, шифрования SMTP, подписывания удаленного вызова процедур (RPC) и интеллектуального карта процесса входа. Использование ЦС сторонних компонентов для выдачи сертификата контроллеру домена может привести к непредвиденному поведению или неподдерживаемой работе. Неправильно отформатированный сертификат или сертификат с отсутствующим именем субъекта может привести к тому, что эти или другие возможности перестают отвечать на запросы.

  5. Запросите сертификат смарт-карта из стороннего ЦС.

    Зарегистрируйтесь для получения сертификата из стороннего ЦС, соответствующего указанным требованиям. Метод регистрации зависит от поставщика ЦС.

    Сертификат интеллектуальной карта имеет определенные требования к формату:

    • Расположение точки распространения CRL (CDP) (где CRL — это список отзыва сертификатов) должно быть заполнено, подключено и доступно. Например:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Использование ключа = цифровая подпись

    • Основные ограничения [Subject Type=End Entity, Path Length Constraint=None] (необязательно)

    • Расширенное использование ключа =

      • Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
        (OID проверки подлинности клиента) требуется только в том случае, если сертификат используется для проверки подлинности SSL.)
      • Вход с помощью смарт-карты (1.3.6.1.4.1.311.20.2.2)

    • Альтернативное имя субъекта = другое имя: имя субъекта= (имя участника-пользователя). Например:
      Имя участника-пользователя = user1@name.com
      Идентификатор имени участника-пользователя OtherName: "1.3.6.1.4.1.311.20.2.3".
      Значение имени участника-пользователя OtherName: должно быть строкой UTF8 в кодировке ASN1.

    • Subject = различающееся имя пользователя. Это поле является обязательным расширением, но заполнение этого поля является необязательным.

  6. Существует два стандартных типа закрытых ключей. К этим ключам относятся только сигнатура(AT_SIGNATURE) и обмен ключами(AT_KEYEXCHANGE). Для правильной работы входа в систему смарт-карт сертификаты должны иметь закрытый ключ обмена ключами (AT_KEYEXCHANGE).

  7. Установите драйверы и программное обеспечение смарт-карт на рабочую станцию смарт-карт.

    Убедитесь, что на рабочей станции смарт-карт установлены соответствующее устройство чтения смарт-карт и программное обеспечение драйверов. Он зависит от поставщика средства чтения смарт-карт.

  8. Установите сторонний сертификат смарт-карты на рабочую станцию смарт-карт.

    Если смарт-карта еще не была помещена в личное хранилище пользователя смарт-карт в процессе регистрации на шаге 4, необходимо импортировать сертификат в личное хранилище пользователя. Для этого:

    1. Откройте консоль управления (MMC), содержащую оснастку "Сертификаты".

    2. В дереве консоли в разделе Личные щелкните Сертификаты.

    3. В меню Все задачи щелкните Импорт, чтобы запустить мастер импорта сертификатов.

    4. Щелкните файл, содержащий импортируемые сертификаты.

      Примечание.

      Если файл, содержащий сертификаты, является файлом обмена персональными данными (PKCS #12), введите пароль, который использовался для шифрования закрытого ключа, щелкните, чтобы выбрать соответствующее поле проверка, если вы хотите экспортировать закрытый ключ, а затем включите надежную защиту закрытого ключа (если вы хотите использовать эту функцию).

      Примечание.

      Чтобы включить надежную защиту закрытого ключа, необходимо использовать режим представления хранилища логических сертификатов.

    5. Выберите параметр, чтобы автоматически поместить сертификат в хранилище сертификатов в зависимости от типа сертификата.

  9. Установите сторонний сертификат смарт-карты на смарт-карту. Эта установка зависит от поставщика служб шифрования (CSP) и поставщика смарт-карт. Инструкции см. в документации поставщика.

  10. Войдите на рабочую станцию с помощью смарт-карты.

Возможные проблемы

Во время входа со смарт-картой чаще всего отображается следующее сообщение об ошибке:

Системе не удалось войти в систему. Не удалось проверить учетные данные.

Это сообщение является универсальной ошибкой и может быть результатом одной или нескольких из приведенных ниже проблем.

Проблемы с сертификатом и конфигурацией

  • У контроллера домена нет сертификата контроллера домена.

  • Поле SubjAltName сертификата смарт-карты неправильно отформатировано. Если сведения в поле SubjAltName отображаются как необработанные данные Hexadecimal/ASCII, форматирование текста не будет ASN1/UTF-8.

  • Контроллер домена имеет неправильный или неполный сертификат.

  • Для каждого из следующих условий необходимо запросить новый действительный сертификат контроллера домена. Если срок действия действующего сертификата контроллера домена истек, можно обновить сертификат контроллера домена, но этот процесс обычно сложнее и сложнее, чем при запросе нового сертификата контроллера домена.

    • Срок действия сертификата контроллера домена истек.
    • Контроллер домена имеет ненадежный сертификат. Если хранилище NTAuth не содержит сертификат центра сертификации (ЦС) выдающего ЦС контроллера домена, необходимо добавить его в хранилище NTAuth или получить сертификат контроллера домена от выдающего ЦС, сертификат которого находится в хранилище NTAuth.

    Если контроллеры домена или рабочие станции со смарт-картами не доверяют корневому ЦС, к которому принадлежат цепочки сертификатов контроллера домена, необходимо настроить эти компьютеры для доверия к корневому ЦС.

  • Смарт-карта имеет ненадежный сертификат. Если хранилище NTAuth не содержит сертификат ЦС выдающего сертификата смарт-карты, необходимо добавить его в хранилище NTAuth или получить сертификат смарт-карты из выдающего ЦС, сертификат которого находится в хранилище NTAuth.

    Если контроллеры домена или рабочие станции смарт-карт не доверяют корневому ЦС, к которому цепочки сертификатов смарт-карт пользователя, необходимо настроить эти компьютеры так, чтобы они доверяли корневому ЦС.

  • Сертификат смарт-карта не устанавливается в хранилище пользователя на рабочей станции. Сертификат, хранящийся на смарт-карточке, должен находиться на рабочей станции смарт-карт в профиле пользователя, который входит в систему с помощью смарт-карта.

    Примечание.

    Не нужно хранить закрытый ключ в профиле пользователя на рабочей станции. Он должен храниться только на смарт-карточке.

  • Правильный сертификат смарт-карты или закрытый ключ не установлены на смарт-карточке. Действительный сертификат смарт-карты должен быть установлен на смарт-карточке с закрытым ключом, а сертификат должен соответствовать сертификату, хранящейся в профиле пользователя смарт-карты на рабочей станции смарт-карт.

  • Сертификат смарт-карта не может быть получен из средства чтения смарт-карт. Это может быть проблема с оборудованием чтения смарт-карт или программным обеспечением драйвера для чтения смарт-карт. Убедитесь, что вы можете использовать программное обеспечение поставщика средства чтения смарт-карт для просмотра сертификата и закрытого ключа на смарт-карточке.

  • Срок действия сертификата смарт-карты истек.

  • Имя участника-пользователя (UPN) не доступно в расширении SubjAltName сертификата смарт-карты.

  • Имя участника-пользователя в поле SubjAltName сертификата смарт-карты неправильно отформатировано. Если сведения в subjAltName отображаются как необработанные данные Hexadecimal/ASCII, форматирование текста не будет ASN1/UTF-8.

  • Смарт-карта имеет неправильный или неполный сертификат. Для каждого из этих условий необходимо запросить новый действительный сертификат смарт-карты и установить его на смарт-карту и в профиль пользователя на рабочей станции смарт-карт. Сертификат смарт-карты должен соответствовать требованиям, описанным ранее в этой статье, которые включают правильно отформатированное поле имени участника-пользователя в поле SubjAltName.

    Если срок действия действующего сертификата смарт-карты истек, вы также можете обновить сертификат смарт-карты, что сложнее и сложнее, чем запрашивать новый сертификат смарт-карты.

  • У пользователя нет имени участника-пользователя, определенного в учетной записи пользователя Active Directory. Учетная запись пользователя в Active Directory должна иметь допустимое имя участника-пользователя в свойстве userPrincipalName учетной записи пользователя Active Directory смарт-карты.

  • Имя участника-пользователя в сертификате не соответствует имени участника-пользователя, определенному в учетной записи пользователя Active Directory. Исправьте имя участника-пользователя в учетной записи пользователя Active Directory смарт-карты или повторно введите сертификат смарт-карты, чтобы значение имени участника-пользователя в поле SubjAltName соответствовало имени участника-пользователя в учетной записи пользователя Active Directory пользователей смарт-карт. Рекомендуется, чтобы имя участника-пользователя smart карта соответствовало атрибуту учетной записи пользователя userPrincipalName для сторонних ЦС. Однако если имя участника-пользователя в сертификате является "неявным именем участника-пользователя" учетной записи (формат samAccountName@domain_FQDN), имя участника-пользователя не обязательно явно совпадает со свойством userPrincipalName.

Проблемы с проверкой отзыва

Если проверка отзыва завершается ошибкой, когда контроллер домена проверяет сертификат интеллектуального карта входа, контроллер домена запрещает вход. Контроллер домена может вернуть сообщение об ошибке, упомянутое ранее, или следующее сообщение об ошибке:

Системе не удалось войти в систему. Сертификат смарт-карты, используемый для проверки подлинности, не является доверенным.

Примечание.

Не удалось найти и скачать список отзыва сертификатов (CRL), недопустимый список отзыва сертификатов, отозванный сертификат и состояние отзыва "неизвестно" — все это считается ошибкой отзыва.

Отзыв проверка должен быть выполнен как клиентом, так и контроллером домена. Убедитесь, что выполняются указанные ниже действия.

  • Проверка отзыва не отключена.

    Невозможно отключить проверка отзыва для встроенных поставщиков отзыва. Если установлен пользовательский поставщик отзыва с возможностью установки, его необходимо включить.

  • Каждый сертификат ЦС, кроме корневого ЦС в цепочке сертификатов, содержит допустимое расширение CDP в сертификате.

  • Список отзыва сертификатов содержит поле Следующее обновление, а список отзыва сертификатов обновлен. Вы можете проверка, что список отзыва сертификатов находится в сети в CDP и действителен, скачав его из Интернета Обозреватель. Вы должны иметь возможность скачивать и просматривать список отзыва сертификатов из любой из протоколов HTTP или FTP в Интернете Обозреватель с рабочих станций смарт-карт и контроллеров домена.

Убедитесь, что все уникальные HTTP и FTP CDP, используемые сертификатом в вашем предприятии, подключены и доступны.

Чтобы убедиться, что список отзыва сертификатов подключен к сети и доступен через ПРОТОКОЛ FTP или HTTP CDP, выполните следующие действия:

  1. Чтобы открыть соответствующий сертификат, дважды щелкните файл .cer или дважды щелкните сертификат в хранилище.
  2. Перейдите на вкладку Сведения и выберите поле Точка распространения списка отзыва сертификатов .
  3. В нижней области выделите полный URL-адрес FTP или HTTP и скопируйте его.
  4. Откройте интернет-Обозреватель и вставьте URL-адрес в адресную строку.
  5. При появлении запроса выберите параметр Открыть список отзыва сертификатов.
  6. Убедитесь, что в списке отзыва сертификатов есть поле Следующее обновление, а время в поле Следующее обновление не прошло.

Чтобы скачать или убедиться, что протокол LDAP является допустимым, необходимо написать сценарий или приложение, чтобы скачать список отзыва сертификатов. После скачивания и открытия списка отзыва сертификатов убедитесь, что в списке отзыва сертификатов есть поле Следующее обновление, а время в поле Следующее обновление не прошло.

Поддержка

Службы поддержки продуктов Майкрософт не поддерживают процесс интеллектуального карта входа в сторонний ЦС, если установлено, что один или несколько из следующих элементов влияют на проблему:

  • Неправильный формат сертификата.
  • Состояние сертификата или состояние отзыва недоступно в стороннем ЦС.
  • Проблемы с регистрацией сертификатов в стороннем ЦС.
  • Сторонний ЦС не может публиковаться в Active Directory.
  • Сторонний поставщик служб CSP.

Дополнительные сведения

Клиентский компьютер проверяет сертификат контроллера домена. Поэтому локальный компьютер загружает список отзыва сертификатов для сертификата контроллера домена в кэш списка отзыва сертификатов.

Процесс автономного входа не включает сертификаты, а только кэшированные учетные данные.

Чтобы принудительно заполнить хранилище NTAuth на локальном компьютере, а не ждать следующего распространения групповая политика, выполните следующую команду, чтобы инициировать обновление групповая политика:

  dsstore.exe -pulse

Вы также можете выгрузить сведения об интеллектуальной карта в Windows Server 2003 и Windows XP с помощью команды Certutil.exe -scinfo.