Aracılığıyla paylaş


Üçüncü taraf sertifika yetkilileriyle akıllı kart oturum açmayı etkinleştirme yönergeleri

Bu makalede, üçüncü taraf sertifika yetkilileriyle akıllı kart oturum açmayı etkinleştirmeye yönelik bazı yönergeler sağlanır.

Özgün KB numarası: 281245

Özet

Bu makaledeki yönergeleri izleyerek Microsoft Windows 2000 ve Microsoft dışı bir sertifika yetkilisi (CA) ile akıllı kart oturum açma işlemini etkinleştirebilirsiniz. Bu yapılandırma için sınırlı destek, bu makalenin devamında açıklanmıştır.

Daha Fazla Bilgi

Gereksinimler

Active Directory'ye Akıllı Kart Kimlik Doğrulaması için Smartcard iş istasyonlarının, Active Directory'nin ve Active Directory etki alanı denetleyicilerinin düzgün yapılandırılması gerekir. Active Directory' nin, bu CA'dan alınan sertifikalara göre kullanıcıların kimliğini doğrulamak için bir sertifika yetkilisine güvenmesi gerekir. Hem Smartcard iş istasyonları hem de etki alanı denetleyicileri doğru yapılandırılmış sertifikalarla yapılandırılmalıdır.

Tüm PKI uygulamalarında olduğu gibi, tüm tarafların veren CA'nın zincirlediği Kök CA'ya güvenmesi gerekir. Hem etki alanı denetleyicileri hem de akıllı kart iş istasyonları bu köke güvenir.

Active Directory ve etki alanı denetleyicisi yapılandırması

  • Gerekli: Active Directory'de, kullanıcıların Active Directory'de kimlik doğrulaması yapması için NTAuth deposunda üçüncü taraf veren CA olmalıdır.
  • Gerekli: Akıllı kart kullanıcılarının kimliğini doğrulamak için etki alanı denetleyicilerinin bir etki alanı denetleyicisi sertifikasıyla yapılandırılması gerekir.
  • İsteğe bağlı: Active Directory, Grup İlkesi kullanılarak üçüncü taraf kök CA'sını tüm etki alanı üyelerinin güvenilen kök CA deposuna dağıtacak şekilde yapılandırılabilir.

Akıllı kart sertifikası ve iş istasyonu gereksinimleri

  • Gerekli: "Yapılandırma Yönergeleri" bölümünde özetlenen tüm akıllı kart gereksinimleri, alanların metin biçimlendirmesi de dahil olmak üzere karşılanmalıdır. Akıllı kart kimlik doğrulaması karşılanmazsa başarısız olur.
  • Gerekli: Akıllı kart ve özel anahtar akıllı karta yüklenmelidir.

Yapılandırma talimatları

  1. Üçüncü taraf kök sertifikasını dışarı aktarın veya indirin. Taraf kök sertifikasını alma işlemi satıcıya göre değişir. Sertifika Base64 Kodlanmış X.509 biçiminde olmalıdır.

  2. Active Directory Grup İlkesi nesnesindeki güvenilen köklere üçüncü taraf kök CA'sını ekleyin. Windows 2000 etki alanında Grup İlkesi'ni, üçüncü taraf CA'sını tüm etki alanı bilgisayarlarının güvenilen kök deposuna dağıtacak şekilde yapılandırmak için:

    1. Başlat'a tıklayın, Programlar'ın üzerine gelin, sonra Yönetimsel Araçlar'ın üzerine gelin ve Active Directory Kullanıcıları ve Bilgisayarları'na tıklayın.
    2. Sol bölmede, düzenlemek istediğiniz ilkenin uygulandığı etki alanını bulun.
    3. Etki alanına sağ tıklayın ve ardından Özellikler'e tıklayın.
    4. Grup İlkesi sekmesine tıklayın.
    5. Varsayılan Etki Alanı İlkesi Grup İlkesi nesnesine ve ardından Düzenle'ye tıklayın. Yeni penceresi açılır.
    6. Sol bölmede aşağıdaki öğeleri genişletin:
      • Bilgisayar Yapılandırması
      • Windows Ayarları
      • Güvenlik Ayarları
      • Ortak Anahtar İlkesi
    7. Güvenilen Kök Sertifika Yetkilileri'ne sağ tıklayın.
    8. Tüm Görevler'i seçin ve ardından İçeri Aktar'a tıklayın.
    9. Sertifikayı içeri aktarmak için sihirbazdaki yönergeleri izleyin.
    10. Tamam'a tıklayın.
    11. Grup İlkesi penceresini kapatın.
  3. CA'yi veren üçüncü tarafı Active Directory'deki NTAuth deposuna ekleyin.

    Akıllı kart oturum açma sertifikası NTAuth deposundaki bir CA'dan verilmiş olmalıdır. Varsayılan olarak, Microsoft Enterprise CA'ları NTAuth deposuna eklenir.

    • Akıllı kart oturum açma sertifikasını veren CA veya etki alanı denetleyicisi sertifikaları NTAuth deposuna düzgün bir şekilde gönderilmemişse, akıllı kart oturum açma işlemi çalışmaz. Buna karşılık gelen yanıt "Kimlik bilgileri doğrulanamıyor" şeklindedir.

    • NTAuth deposu, ormanın Yapılandırma kapsayıcısında bulunur. Örneğin, örnek konum şu şekildedir: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Varsayılan olarak, bir Microsoft Enterprise CA yüklediğinizde bu depo oluşturulur. Nesne, Windows 2000 Destek araçlarında ADSIedit.msc kullanılarak veya LDIFDE kullanılarak el ile de oluşturulabilir. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

      295663 Üçüncü taraf sertifika yetkilisi (CA) sertifikalarını Enterprise NTAuth deposuna aktarma

    • İlgili öznitelik, ASN ile kodlanmış sertifikaların birden çok değerli listesi olan bir sekizli Dize olan cACertificate özniteliğidir.

      Üçüncü taraf CA'yı NTAuth deposuna yerleştirdikten sonra, Etki Alanı Tabanlı Grup İlkesi etki alanındaki tüm bilgisayarlarda aşağıdaki konuma bir kayıt defteri anahtarı (sertifikanın parmak izi) yerleştirir:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      İş istasyonlarında sekiz saatte bir yenilenir (tipik Grup İlkesi darbe aralığı).

  4. Etki alanı denetleyicilerine bir etki alanı denetleyicisi sertifikası isteyin ve yükleyin. Akıllı kart kullanıcılarının kimliğini doğrulayacak her etki alanı denetleyicisinin bir etki alanı denetleyicisi sertifikası olmalıdır.

    Active Directory ormanına bir Microsoft Enterprise CA yüklerseniz, tüm etki alanı denetleyicileri otomatik olarak bir etki alanı denetleyicisi sertifikasına kaydedilir. Üçüncü taraf CA'dan etki alanı denetleyicisi sertifikaları gereksinimleri hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

    291010 Üçüncü taraf CA'dan etki alanı denetleyicisi sertifikaları için gereksinimler

    Not

    Etki alanı denetleyicisi sertifikası Güvenli Yuva Katmanı (SSL) kimlik doğrulaması, Basit Posta Aktarım Protokolü (SMTP) şifrelemesi, Uzaktan Yordam Çağrısı (RPC) imzalama ve akıllı kart oturum açma işlemi için kullanılır. Bir etki alanı denetleyicisine sertifika vermek için Microsoft dışı bir CA kullanmak beklenmeyen davranışlara veya desteklenmeyen sonuçlara neden olabilir. Yanlış biçimlendirilmiş bir sertifika veya konu adına sahip olmayan bir sertifika, bu veya diğer özelliklerin yanıt vermemeye devam etmesine neden olabilir.

  5. Üçüncü taraf CA'dan bir akıllı kart sertifikası isteyin.

    Belirtilen gereksinimleri karşılayan üçüncü taraf CA'dan bir sertifikaya kaydolın. Kayıt yöntemi CA satıcısına göre değişir.

    Akıllı kart sertifikasının belirli biçim gereksinimleri vardır:

    • CRL Dağıtım Noktası (CDP) konumu (BURADA CRL, Sertifika İptal Listesidir) doldurulmalı, çevrimiçi ve kullanılabilir olmalıdır. Örneğin:

      [1]CRL Distribution Point  
      Distribution Point Name:  
      Full Name:  
      URL=http://server1.name.com/CertEnroll/caname.crl
      
    • Anahtar Kullanımı = Dijital İmza

    • Temel Kısıtlamalar [Konu Türü=Bitiş Varlığı, Yol Uzunluğu Kısıtlaması=Yok] (İsteğe bağlı)

    • Gelişmiş Anahtar Kullanımı =

      • İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2)
        (İstemci kimlik doğrulaması OID) yalnızca SSL kimlik doğrulaması için bir sertifika kullanılıyorsa gereklidir.)
      • Akıllı KartLa Oturum Açma (1.3.6.1.4.1.311.20.2.2)
    • Konu Alternatif Adı = Diğer Ad: Asıl Ad= (UPN). Örneğin:
      UPN = user1@name.com
      UPN OtherName OID şöyledir: "1.3.6.1.4.1.311.20.2.3"
      UPN OtherName değeri: ASN1 ile kodlanmış UTF8 dizesi olmalıdır

    • Konu = Kullanıcının ayırt edici adı. Bu alan zorunlu bir uzantıdır, ancak bu alanın popülasyonu isteğe bağlıdır.

  6. Önceden tanımlanmış iki özel anahtar türü vardır. Bu anahtarlar Yalnızca İmza (AT_SIGNATURE) ve Anahtar Değişimi(AT_KEYEXCHANGE) anahtarlarıdır. Akıllı kart oturum açma sertifikalarının düzgün çalışması için akıllı kart oturum açma sertifikalarının bir Anahtar Değişimi (AT_KEYEXCHANGE) özel anahtar türüne sahip olması gerekir.

  7. Akıllı kart sürücülerini ve yazılımını akıllı kart iş istasyonuna yükleyin.

    Akıllı kart iş istasyonunda uygun akıllı kart okuyucu cihazının ve sürücü yazılımının yüklü olduğundan emin olun. Akıllı kart okuyucu satıcısına göre değişir.

  8. Üçüncü taraf akıllı kart sertifikasını akıllı kart iş istasyonuna yükleyin.

    Akıllı kart, 4. adımda kayıt işleminde akıllı kart kullanıcısının kişisel deposuna henüz yerleştirilmemişse, sertifikayı kullanıcının kişisel deposuna aktarmanız gerekir. Yapmak için:

    1. Sertifikalar ek bileşenini içeren Microsoft Yönetim Konsolu'nu (MMC) açın.

    2. Konsol ağacında, Kişisel'in altında Sertifikalar'a tıklayın.

    3. Sertifika İçeri Aktarma Sihirbazı'nı başlatmak için Tüm Görevler menüsünde İçeri Aktar'a tıklayın.

    4. İçeri aktardığınız sertifikaları içeren dosyaya tıklayın.

      Not

      Sertifikaları içeren dosya bir Kişisel Bilgi Değişimi (PKCS #12) dosyasıysa, özel anahtarı şifrelemek için kullandığınız parolayı yazın, özel anahtarın dışarı aktarılabilir olmasını istiyorsanız uygun onay kutusunu seçmek için tıklayın ve ardından güçlü özel anahtar korumasını açın (bu özelliği kullanmak istiyorsanız).

      Not

      Güçlü özel anahtar korumasını açmak için Mantıksal Sertifika Depoları görünüm modunu kullanmanız gerekir.

    5. Sertifika türünü temel alarak sertifikayı otomatik olarak bir sertifika deposuna yerleştirme seçeneğini belirleyin.

  9. Üçüncü taraf akıllı kart sertifikasını akıllı karta yükleyin. Bu yükleme, Şifreleme Hizmeti Sağlayıcısı'na (CSP) ve akıllı kart satıcısına göre değişir. Yönergeler için satıcının belgelerine bakın.

  10. Akıllı kartla iş istasyonunda oturum açın.

Olası Sorunlar

Akıllı kart oturum açma sırasında görülen en yaygın hata iletisi:

Sistem oturumunuzu açamadı. Kimlik bilgileriniz doğrulanamadı.

Bu ileti genel bir hatadır ve aşağıdaki sorunlardan birinin veya daha fazlasının sonucu olabilir.

Sertifika ve yapılandırma sorunları

  • Etki alanı denetleyicisinin etki alanı denetleyicisi sertifikası yok.

  • Akıllı kart sertifikasının SubjAltName alanı hatalı biçimlendirilmiş. SubjAltName alanındaki bilgiler Onaltılık / ASCII ham veri olarak görünüyorsa, metin biçimlendirmesi ASN1 / UTF-8 değildir.

  • Etki alanı denetleyicisinin aksi halde hatalı biçimlendirilmiş veya tamamlanmamış bir sertifikası var.

  • Aşağıdaki koşulların her biri için yeni bir geçerli etki alanı denetleyicisi sertifikası istemeniz gerekir. Geçerli etki alanı denetleyicisi sertifikanızın süresi dolduysa, etki alanı denetleyicisi sertifikasını yenileyebilirsiniz, ancak bu işlem yeni bir etki alanı denetleyicisi sertifikası istemenizden daha karmaşık ve genellikle daha zordur.

    • Etki alanı denetleyicisi sertifikasının süresi doldu.
    • Etki alanı denetleyicisinin güvenilmeyen bir sertifikası var. NTAuth deposu, etki alanı denetleyicisi sertifikasının veren CA'sının sertifika yetkilisi (CA) sertifikasını içermiyorsa, sertifikayı NTAuth deposuna eklemeniz veya sertifikası NTAuth deposunda bulunan bir sertifika veren CA'dan DC sertifikası almanız gerekir.

    Etki alanı denetleyicileri veya akıllı kart iş istasyonları, etki alanı denetleyicisinin sertifika zincirlerinin bağlandığı Kök CA'ya güvenmiyorsa, bu bilgisayarları bu Kök CA'ya güvenecek şekilde yapılandırmanız gerekir.

  • Akıllı kartın güvenilmeyen bir sertifikası vardır. NTAuth deposu, akıllı kart sertifikasının veren CA'sının CA sertifikasını içermiyorsa, sertifikayı NTAuth deposuna eklemeniz veya sertifikası NTAuth deposunda bulunan veren bir CA'dan akıllı kart sertifikası almanız gerekir.

    Etki alanı denetleyicileri veya akıllı kart iş istasyonları, kullanıcının akıllı kart sertifika zincirlerinin bağlandığı Kök CA'ya güvenmiyorsa, bu bilgisayarları bu Kök CA'ya güvenecek şekilde yapılandırmanız gerekir.

  • Akıllı kartın sertifikası kullanıcının iş istasyonundaki deposuna yüklenmez. Akıllı kartta depolanan sertifika, akıllı kartla oturum açan kullanıcının profilindeki akıllı kart iş istasyonunda bulunmalıdır.

    Not

    Özel anahtarı iş istasyonundaki kullanıcının profilinde depolamanız gerekmez. Yalnızca akıllı kartta depolanması gerekir.

  • Akıllı kartta doğru akıllı kart sertifikası veya özel anahtar yüklü değil. Geçerli akıllı kart sertifikasının özel anahtarla akıllı karta yüklenmesi ve sertifikanın akıllı kart iş istasyonundaki akıllı kart kullanıcı profilinde depolanan bir sertifikayla eşleşmesi gerekir.

  • Akıllı kartın sertifikası akıllı kart okuyucudan alınamıyor. Akıllı kart okuyucu donanımı veya akıllı kart okuyucunun sürücü yazılımıyla ilgili bir sorun olabilir. Akıllı kartta sertifikayı ve özel anahtarı görüntülemek için akıllı kart okuyucu satıcısının yazılımını kullanabileceğinizi doğrulayın.

  • Akıllı kart sertifikasının süresi doldu.

  • Akıllı kart sertifikasının SubjAltName uzantısında Kullanıcı Asıl Adı (UPN) yok.

  • Akıllı kart sertifikasının SubjAltName alanındaki UPN hatalı biçimlendirilmiş. SubjAltName içindeki bilgiler Onaltılık / ASCII ham veri olarak görünüyorsa, metin biçimlendirmesi ASN1 / UTF-8 değildir.

  • Akıllı kartın aksi takdirde hatalı biçimlendirilmiş veya tamamlanmamış bir sertifikası vardır. Bu koşulların her biri için yeni bir geçerli akıllı kart sertifikası istemeniz ve bunu akıllı karta ve akıllı kart iş istasyonundaki kullanıcının profiline yüklemeniz gerekir. Akıllı kart sertifikası, SubjAltName alanında doğru biçimlendirilmiş bir UPN alanı içeren bu makalenin önceki bölümlerinde açıklanan gereksinimleri karşılamalıdır.

    Geçerli akıllı kart sertifikanızın süresi dolduysa, yeni bir akıllı kart sertifikası istemekten daha karmaşık ve zor olan akıllı kart sertifikasını da yenileyebilirsiniz.

  • Kullanıcının Active Directory kullanıcı hesabında tanımlı bir UPN'i yok. Kullanıcının Active Directory hesabı, akıllı kart kullanıcısının Active Directory kullanıcı hesabının userPrincipalName özelliğinde geçerli bir UPN'ye sahip olmalıdır.

  • Sertifikadaki UPN, kullanıcının Active Directory kullanıcı hesabında tanımlanan UPN ile eşleşmiyor. Akıllı kart kullanıcısının Active Directory kullanıcı hesabındaki UPN'yi düzeltin veya SubjAltName alanındaki UPN değerinin akıllı kart kullanıcılarının Active Directory kullanıcı hesabındaki UPN ile eşleşmesi için akıllı kart sertifikasını yeniden verin. Akıllı kart UPN'sinin üçüncü taraf CA'lar için userPrincipalName kullanıcı hesabı özniteliğiyle eşleşmesini öneririz. Ancak, sertifikadaki UPN hesabın "örtük UPN'si" ise (biçim samAccountName@domain_FQDN), UPN'nin userPrincipalName özelliğiyle açıkça eşleşmesi gerekmez.

İptal denetimi sorunları

Etki alanı denetleyicisi akıllı kart oturum açma sertifikasını doğruladığında iptal denetimi başarısız olursa, etki alanı denetleyicisi oturum açmayı reddeder. Etki alanı denetleyicisi daha önce bahsedilen hata iletisini veya aşağıdaki hata iletisini döndürebilir:

Sistem oturumunuzu açamadı. Kimlik doğrulaması için kullanılan akıllı kart sertifikasına güvenilmedi.

Not

Sertifika İptal Listesi (CRL), geçersiz bir CRL, iptal edilen sertifika ve "bilinmiyor" iptal durumu bulunup indirilememesi, iptal hatası olarak kabul edilir.

İptal denetiminin hem istemciden hem de etki alanı denetleyicisinden başarılı olması gerekir. Aşağıdakilerin doğru olduğundan emin olun:

  • İptal denetimi kapalı değil.

    Yerleşik iptal sağlayıcıları için iptal denetimi kapatılamaz. Özel bir yüklenebilir iptal sağlayıcısı yüklüyse, açık olmalıdır.

  • Sertifika zincirindeki kök CA dışındaki her CA Sertifikası, sertifikada geçerli bir CDP uzantısı içerir.

  • CRL'nin bir Sonraki Güncelleştirme alanı vardır ve CRL günceldir. CRL'nin CDP'de çevrimiçi olup olmadığını ve Internet Explorer'dan indirerek geçerli olup olmadığını denetleyebilirsiniz. Hem akıllı kart iş istasyonlarından hem de etki alanı denetleyicilerinden Internet Explorer'daki Köprü Metni Aktarım Protokolü (HTTP) veya Dosya Aktarım Protokolü (FTP) CDP'lerinden herhangi birinden CRL'yi indirip görüntüleyebilmeniz gerekir.

Kuruluşunuzdaki bir sertifika tarafından kullanılan her benzersiz HTTP ve FTP CDP'nin çevrimiçi ve kullanılabilir olduğunu doğrulayın.

CRL'nin çevrimiçi olduğunu ve FTP veya HTTP CDP'den kullanılabilir olduğunu doğrulamak için:

  1. Söz konusu Sertifikayı açmak için .cer dosyasına çift tıklayın veya depodaki sertifikaya çift tıklayın.
  2. Ayrıntılar sekmesine tıklayın ve CRL Dağıtım Noktası alanını seçin.
  3. Alt bölmede, tam FTP veya HTTP Tekdüzen Kaynak Konum Belirleyicisi'ni (URL) vurgulayın ve kopyalayın.
  4. Internet Explorer'ı açın ve URL'yi Adres çubuğuna yapıştırın.
  5. İstemi aldığınızda CRL'yi aç seçeneğini belirleyin.
  6. CRL'de bir Sonraki Güncelleştirme alanı olduğundan ve Sonraki Güncelleştirme alanındaki saatin geçirilmediğinden emin olun.

Basit Dizin Erişim Protokolü (LDAP) CDP'sinin geçerli olduğunu indirmek veya doğrulamak için CRL'yi indirmek için bir betik veya uygulama yazmanız gerekir. CRL'yi indirip açtıktan sonra, CRL'de bir Sonraki Güncelleştirme alanı olduğundan ve Sonraki Güncelleştirme alanındaki saatin geçirilmediğinden emin olun.

Destek

Microsoft Ürün Destek Hizmetleri, aşağıdaki öğelerden birinin veya daha fazlasının soruna katkıda bulunduğunun belirlenmesi durumunda üçüncü taraf CA akıllı kart oturum açma işlemini desteklemez:

  • Yanlış sertifika biçimi.
  • Sertifika durumu veya iptal durumu üçüncü taraf CA'dan kullanılamıyor.
  • Üçüncü taraf CA'dan sertifika kaydı sorunları.
  • Üçüncü taraf CA, Active Directory'de yayımlayamaz.
  • Üçüncü taraf CSP.

Ek bilgi

İstemci bilgisayar, etki alanı denetleyicisinin sertifikasını denetler. Bu nedenle yerel bilgisayar, etki alanı denetleyicisi sertifikası için CRL'yi CRL önbelleğine indirir.

Çevrimdışı oturum açma işlemi sertifikalar içermez, yalnızca önbelleğe alınmış kimlik bilgilerini içerir.

Sonraki Grup İlkesi yayılmasını beklemek yerine NTAuth deposunu yerel bir bilgisayarda hemen doldurulmaya zorlamak için, bir Grup İlkesi güncelleştirmesi başlatmak için aşağıdaki komutu çalıştırın:

  dsstore.exe -pulse  

Ayrıca, Certutil.exe -scinfo komutunu kullanarak Windows Server 2003 ve Windows XP'de akıllı kart bilgilerini döküm edebilirsiniz.