Share via

Wytyczne dotyczące włączania logowania za pomocą kart inteligentnych w urzędach certyfikacji innych firm

  • Artykuł

Ten artykuł zawiera kilka wskazówek dotyczących włączania logowania kart inteligentnych do urzędów certyfikacji innych firm.

Dotyczy: Windows Server 2012 R2, Windows 10 - wszystkie edycje
Oryginalny numer KB: 281245

Podsumowanie

Proces logowania do karty inteligentnej można włączyć w systemie Microsoft Windows 2000 i urzędzie certyfikacji (CA) spoza firmy Microsoft, postępując zgodnie z wytycznymi podanymi w tym artykule. Ograniczona obsługa tej konfiguracji została opisana w dalszej części tego artykułu.

Więcej informacji

Wymagania

Uwierzytelnianie za pomocą karty inteligentnej w usłudze Active Directory wymaga prawidłowej konfiguracji stacji roboczych kart inteligentnych, usługi Active Directory i kontrolerów domeny usługi Active Directory. Usługa Active Directory musi ufać urzędowi certyfikacji w celu uwierzytelniania użytkowników na podstawie certyfikatów z tego urzędu certyfikacji. Zarówno stacje robocze karty inteligentnej, jak i kontrolery domeny muszą być skonfigurowane z poprawnie skonfigurowanymi certyfikatami.

Podobnie jak w przypadku dowolnej implementacji infrastruktury kluczy publicznych, wszystkie strony muszą ufać głównemu urzędowi certyfikacji, do którego jest łańcuch urzędu wystawiającego certyfikaty. Zarówno kontrolery domeny, jak i stacje robocze karty inteligentnej ufają temu głównemu.

Konfiguracja usługi Active Directory i kontrolera domeny

  • Wymagane: usługa Active Directory musi mieć urząd certyfikacji wystawiający certyfikaty innych firm w magazynie NTAuth, aby uwierzytelnić użytkowników w usłudze Active Directory.
  • Wymagane: Kontrolery domeny muszą być skonfigurowane przy użyciu certyfikatu kontrolera domeny w celu uwierzytelniania użytkowników kart inteligentnych.
  • Opcjonalnie: usługę Active Directory można skonfigurować do dystrybucji głównego urzędu certyfikacji innej firmy do zaufanego głównego magazynu urzędu certyfikacji wszystkich członków domeny przy użyciu zasady grupy.

Wymagania dotyczące certyfikatu i stacji roboczej karty inteligentnej

  • Wymagane: wszystkie wymagania dotyczące kart inteligentnych opisane w sekcji "Instrukcje konfiguracji" muszą być spełnione, w tym formatowanie tekstu pól. Uwierzytelnianie za pomocą karty inteligentnej kończy się niepowodzeniem, jeśli nie zostaną spełnione.
  • Wymagane: karta inteligentna i klucz prywatny muszą być zainstalowane na karcie inteligentnej.

Instrukcje konfiguracji

  1. Eksportowanie lub pobieranie certyfikatu głównego innej firmy. Sposób uzyskiwania certyfikatu głównego strony różni się w zależności od dostawcy. Certyfikat musi mieć format X.509 zakodowany w formacie Base64.

  2. Dodaj główny urząd certyfikacji innej firmy do zaufanych katalogów głównych w obiekcie zasady grupy usługi Active Directory. Aby skonfigurować zasady grupy w domenie systemu Windows 2000 w celu dystrybucji urzędu certyfikacji innej firmy do zaufanego magazynu głównego wszystkich komputerów z domeną:

    1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
    2. W okienku po lewej stronie znajdź domenę, w której zastosowano zasady, które chcesz edytować.
    3. Kliknij prawym przyciskiem myszy domenę, a następnie kliknij pozycję Właściwości.
    4. Kliknij kartę zasady grupy.
    5. Kliknij domyślne zasady domeny zasady grupy obiektu, a następnie kliknij przycisk Edytuj. Zostanie otwarte nowe okno.
    6. W okienku po lewej stronie rozwiń następujące elementy:
      • Konfiguracja komputera
      • Ustawienia systemu Windows
      • Ustawienia zabezpieczeń
      • Zasady klucza publicznego
    7. Kliknij prawym przyciskiem myszy zaufane główne urzędy certyfikacji.
    8. Wybierz pozycję Wszystkie zadania, a następnie kliknij pozycję Importuj.
    9. Postępuj zgodnie z instrukcjami w kreatorze, aby zaimportować certyfikat.
    10. Kliknij przycisk OK.
    11. Zamknij okno zasady grupy.

  3. Dodaj urząd certyfikacji wystawiający urząd certyfikacji do magazynu NTAuth w usłudze Active Directory.

    Certyfikat logowania karty inteligentnej musi być wystawiony z urzędu certyfikacji, który znajduje się w magazynie NTAuth. Domyślnie urzędy certyfikacji przedsiębiorstwa firmy Microsoft są dodawane do magazynu NTAuth.

    • Jeśli urząd certyfikacji, który wystawił certyfikat logowania karty inteligentnej lub certyfikaty kontrolera domeny nie jest poprawnie zaksięgowany w magazynie NTAuth, proces logowania karty inteligentnej nie działa. Odpowiadająca odpowiedź to "Nie można zweryfikować poświadczeń".

    • Magazyn NTAuth znajduje się w kontenerze konfiguracji dla lasu. Przykładowa lokalizacja jest następująca: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Domyślnie ten magazyn jest tworzony podczas instalowania urzędu certyfikacji firmy Microsoft Enterprise. Obiekt można również utworzyć ręcznie przy użyciu pliku ADSIedit.msc w narzędziach pomocy technicznej systemu Windows 2000 lub przy użyciu środowiska LDIFDE. Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

      295663 Jak zaimportować certyfikaty urzędu certyfikacji innych firm do magazynu NTAuth przedsiębiorstwa

    • Odpowiedni atrybut to cACertificate, który jest ciągiem oktetu, wielowartościową listą certyfikatów zakodowanych w usłudze ASN.

      Po umieszczeniu urzędu certyfikacji innej firmy w magazynie NTAuth zasady grupy oparte na domenie umieszcza klucz rejestru (odcisk palca certyfikatu) w następującej lokalizacji na wszystkich komputerach w domenie:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Jest odświeżany co osiem godzin na stacjach roboczych (typowy interwał impulsu zasady grupy).

  4. Zażądaj i zainstaluj certyfikat kontrolera domeny na kontrolerach domeny. Każdy kontroler domeny, który będzie uwierzytelniać użytkowników kart inteligentnych musi mieć certyfikat kontrolera domeny.

    Jeśli zainstalujesz urząd certyfikacji firmy Microsoft Enterprise w lesie usługi Active Directory, wszystkie kontrolery domeny zostaną automatycznie zarejestrowane na potrzeby certyfikatu kontrolera domeny. Aby uzyskać więcej informacji na temat wymagań dotyczących certyfikatów kontrolera domeny z urzędu certyfikacji innej firmy, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

    291010 Wymagania dotyczące certyfikatów kontrolera domeny z urzędu certyfikacji innej firmy

    Uwaga

    Certyfikat kontrolera domeny jest używany do uwierzytelniania protokołu Secure Sockets Layer (SSL), szyfrowania protokołu SMTP (Simple Mail Transfer Protocol), podpisywania zdalnego wywołania procedury (RPC) i procesu logowania do karty inteligentnej. Wystawianie certyfikatu kontrolerowi domeny przy użyciu urzędu certyfikacji innej firmy niż Microsoft może spowodować nieoczekiwane zachowanie lub nieobsługiwanych wyników. Nieprawidłowo sformatowany certyfikat lub certyfikat o nieobecnej nazwie podmiotu może spowodować, że te lub inne możliwości przestaną odpowiadać.

  5. Zażądaj certyfikatu karty inteligentnej od urzędu certyfikacji innej firmy.

    Zarejestruj się, aby uzyskać certyfikat z urzędu certyfikacji innej firmy, który spełnia określone wymagania. Metoda rejestracji różni się w zależności od dostawcy urzędu certyfikacji.

    Certyfikat karty inteligentnej ma określone wymagania dotyczące formatu:

    • Lokalizacja punktu dystrybucji listy CRL (CDP) (gdzie listą odwołania certyfikatów jest crl) musi być wypełniona, online i dostępna. Przykład:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Użycie klucza = podpis cyfrowy

    • Ograniczenia podstawowe [Typ podmiotu=Jednostka końcowa, Ograniczenie długości ścieżki=Brak] (opcjonalnie)

    • Rozszerzone użycie klucza =

      • Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2)
        (Identyfikator OID uwierzytelniania klienta) jest wymagany tylko wtedy, gdy certyfikat jest używany do uwierzytelniania SSL).
      • Logowanie do karty inteligentnej (1.3.6.1.4.1.311.20.2.2)

    • Alternatywna nazwa podmiotu = inna nazwa: Nazwa główna = (UPN). Przykład:
      UPN = user1@name.com
      Identyfikator OID nazwy UPN OtherName to: "1.3.6.1.4.1.311.20.2.3"
      Wartość UPN OtherName: musi być ciągiem UTF8 zakodowanym w formacie ASN1

    • Podmiot = nazwa wyróżniająca użytkownika. To pole jest rozszerzeniem obowiązkowym, ale populacja tego pola jest opcjonalna.

  6. Istnieją dwa wstępnie zdefiniowane typy kluczy prywatnych. Te klucze to Tylko podpis (AT_SIGNATURE) i Key Exchange(AT_KEYEXCHANGE). Aby logowanie za pomocą karty inteligentnej działało poprawnie, certyfikaty logowania karty inteligentnej muszą mieć typ klucza prywatnego programu Key Exchange (AT_KEYEXCHANGE ).

  7. Zainstaluj sterowniki kart inteligentnych i oprogramowanie na stacji roboczej z kartami inteligentnymi.

    Upewnij się, że odpowiednie urządzenie czytnika kart inteligentnych i oprogramowanie sterownika są zainstalowane na stacji roboczej z kartami inteligentnymi. Różni się ona w zależności od dostawcy czytnika kart inteligentnych.

  8. Zainstaluj certyfikat karty inteligentnej innej firmy na stacji roboczej karty inteligentnej.

    Jeśli karta inteligentna nie została jeszcze umieszczona w magazynie osobistym użytkownika karty inteligentnej w procesie rejestracji w kroku 4, należy zaimportować certyfikat do magazynu osobistego użytkownika. W tym celu:

    1. Otwórz przystawkę Microsoft Management Console (MMC) zawierającą przystawkę Certyfikaty.

    2. W drzewie konsoli w obszarze Osobiste kliknij pozycję Certyfikaty.

    3. W menu Wszystkie zadania kliknij pozycję Importuj, aby uruchomić Kreatora importowania certyfikatów.

    4. Kliknij plik zawierający importowane certyfikaty.

      Uwaga

      Jeśli plik zawierający certyfikaty jest plikiem wymiany informacji osobistych (PKCS #12), wpisz hasło użyte do zaszyfrowania klucza prywatnego, kliknij, aby zaznaczyć odpowiednie pole wyboru, jeśli chcesz, aby klucz prywatny był eksportowany, a następnie włącz silną ochronę klucza prywatnego (jeśli chcesz użyć tej funkcji).

      Uwaga

      Aby włączyć silną ochronę klucza prywatnego, należy użyć trybu widoku Magazyny certyfikatów logicznych.

    5. Wybierz opcję automatycznego umieszczania certyfikatu w magazynie certyfikatów na podstawie typu certyfikatu.

  9. Zainstaluj certyfikat karty inteligentnej innej firmy na karcie inteligentnej. Ta instalacja różni się w zależności od dostawcy usług kryptograficznych (CSP) i dostawcy kart inteligentnych. Aby uzyskać instrukcje, zapoznaj się z dokumentacją dostawcy.

  10. Zaloguj się do stacji roboczej przy użyciu karty inteligentnej.

Możliwe problemy

Podczas logowania za pomocą karty inteligentnej najczęściej wyświetlany jest komunikat o błędzie:

System nie może się zalogować. Nie można zweryfikować poświadczeń.

Ten komunikat jest błędem ogólnym i może być wynikiem co najmniej jednego z poniższych problemów.

Problemy z certyfikatem i konfiguracją

  • Kontroler domeny nie ma certyfikatu kontrolera domeny.

  • Pole SubjAltName certyfikatu karty inteligentnej jest źle sformatowane. Jeśli informacje w polu SubjAltName są wyświetlane jako nieprzetworzone dane szesnastkowe /ASCII, formatowanie tekstu nie jest asn1 / UTF-8.

  • Kontroler domeny ma nieprawidłowo sformułowany lub niekompletny certyfikat.

  • Dla każdego z następujących warunków należy zażądać nowego prawidłowego certyfikatu kontrolera domeny. Jeśli prawidłowy certyfikat kontrolera domeny wygasł, możesz odnowić certyfikat kontrolera domeny, ale ten proces jest bardziej złożony i zwykle trudniejszy niż w przypadku żądania nowego certyfikatu kontrolera domeny.

    • Certyfikat kontrolera domeny wygasł.
    • Kontroler domeny ma niezaufany certyfikat. Jeśli magazyn NTAuth nie zawiera certyfikatu urzędu certyfikacji urzędu wystawiającego certyfikat kontrolera domeny, należy dodać go do magazynu NTAuth lub uzyskać certyfikat kontrolera domeny od urzędu wystawiającego certyfikat, którego certyfikat znajduje się w magazynie NTAuth.

    Jeśli kontrolery domeny lub stacje robocze kart inteligentnych nie ufają głównemu urzędowi certyfikacji, do którego są łańcuchy certyfikatów kontrolera domeny, należy skonfigurować te komputery, aby ufać temu głównemu urzędowi certyfikacji.

  • Karta inteligentna ma niezaufany certyfikat. Jeśli magazyn NTAuth nie zawiera certyfikatu urzędu certyfikacji wystawiającego certyfikat karty inteligentnej, należy dodać go do magazynu NTAuth lub uzyskać certyfikat karty inteligentnej od urzędu wystawiającego certyfikat, którego certyfikat znajduje się w magazynie NTAuth.

    Jeśli kontrolery domeny lub stacje robocze kart inteligentnych nie ufają głównemu urzędowi certyfikacji, do którego są łańcuchy certyfikatów karty inteligentnej użytkownika, należy skonfigurować te komputery, aby ufać temu głównemu urzędowi certyfikacji.

  • Certyfikat karty inteligentnej nie jest zainstalowany w magazynie użytkownika na stacji roboczej. Certyfikat przechowywany na karcie inteligentnej musi znajdować się na stacji roboczej karty inteligentnej w profilu użytkownika logującego się przy użyciu karty inteligentnej.

    Uwaga

    Nie musisz przechowywać klucza prywatnego w profilu użytkownika na stacji roboczej. Jest ono wymagane tylko do przechowywania na karcie inteligentnej.

  • Na karcie inteligentnej nie zainstalowano poprawnego certyfikatu karty inteligentnej lub klucza prywatnego. Prawidłowy certyfikat karty inteligentnej musi być zainstalowany na karcie inteligentnej z kluczem prywatnym, a certyfikat musi być zgodny z certyfikatem przechowywanym w profilu użytkownika karty inteligentnej na stacji roboczej karty inteligentnej.

  • Nie można pobrać certyfikatu karty inteligentnej z czytnika kart inteligentnych. Może to być problem ze sprzętem czytnika kart inteligentnych lub oprogramowaniem sterownika czytnika kart inteligentnych. Sprawdź, czy możesz użyć oprogramowania dostawcy czytnika kart inteligentnych, aby wyświetlić certyfikat i klucz prywatny na karcie inteligentnej.

  • Certyfikat karty inteligentnej wygasł.

  • Główna nazwa użytkownika (UPN) nie jest dostępna w rozszerzeniu SubjAltName certyfikatu karty inteligentnej.

  • Nazwa UPN w polu SubjAltName certyfikatu karty inteligentnej jest nieprawidłowo sformatowana. Jeśli informacje w subjAltName są wyświetlane jako nieprzetworzone dane szesnastkowe /ASCII, formatowanie tekstu nie jest asn1 / UTF-8.

  • Karta inteligentna ma nieprawidłowo sformułowany lub niekompletny certyfikat. W przypadku każdego z tych warunków należy zażądać nowego ważnego certyfikatu karty inteligentnej i zainstalować go na karcie inteligentnej oraz w profilu użytkownika na stacji roboczej karty inteligentnej. Certyfikat karty inteligentnej musi spełniać wymagania opisane wcześniej w tym artykule, które zawierają poprawnie sformatowane pole nazwy UPN w polu SubjAltName.

    Jeśli prawidłowy certyfikat karty inteligentnej wygasł, możesz również odnowić certyfikat karty inteligentnej, co jest bardziej złożone i trudne niż żądanie nowego certyfikatu karty inteligentnej.

  • Użytkownik nie ma nazwy UPN zdefiniowanej na koncie użytkownika usługi Active Directory. Konto użytkownika w usłudze Active Directory musi mieć prawidłową nazwę UPN we właściwości userPrincipalName konta użytkownika usługi Active Directory użytkownika karty inteligentnej.

  • Nazwa UPN w certyfikacie nie jest zgodna z nazwą UPN zdefiniowaną na koncie użytkownika usługi Active Directory użytkownika. Popraw nazwę UPN na koncie użytkownika usługi Active Directory użytkownika karty inteligentnej lub ponownie wstrzymuj certyfikat karty inteligentnej, aby wartość nazwy UPN w polu SubjAltName była zgodna z nazwą UPN na koncie użytkownika usługi Active Directory użytkowników karty inteligentnej. Zalecamy, aby nazwa UPN karty inteligentnej odpowiadała atrybutowi konta użytkownika userPrincipalName dla urzędów certyfikacji innych firm. Jeśli jednak nazwa UPN w certyfikacie jest "niejawną nazwą UPN" konta (format samAccountName@domain_FQDN), nazwa UPN nie musi jawnie odpowiadać właściwości userPrincipalName.

Problemy z sprawdzaniem odwołania

Jeśli sprawdzanie odwołania zakończy się niepowodzeniem, gdy kontroler domeny weryfikuje certyfikat logowania karty inteligentnej, kontroler domeny nie zezwala na logowanie. Kontroler domeny może zwrócić komunikat o błędzie wymieniony wcześniej lub następujący komunikat o błędzie:

System nie może się zalogować. Certyfikat karty inteligentnej używany do uwierzytelniania nie był zaufany.

Uwaga

Nie można odnaleźć i pobrać listy odwołania certyfikatów (CRL), nieprawidłowej listy CRL, odwołanego certyfikatu i stanu odwołania "nieznany" są uznawane za błędy odwołania.

Sprawdzanie odwołania musi zakończyć się powodzeniem zarówno z klienta, jak i z kontrolera domeny. Upewnij się, że są spełnione następujące warunki:

  • Sprawdzanie odwołania nie jest wyłączone.

    Nie można wyłączyć sprawdzania odwołania dla wbudowanych dostawców odwołania. Jeśli zainstalowano niestandardowego dostawcę odwołania z możliwością instalacji, należy go włączyć.

  • Każdy certyfikat urzędu certyfikacji z wyjątkiem głównego urzędu certyfikacji w łańcuchu certyfikatów zawiera prawidłowe rozszerzenie CDP w certyfikacie.

  • Lista CRL ma pole Następna aktualizacja, a lista CRL jest aktualna. Możesz sprawdzić, czy lista CRL jest w trybie online w usłudze CDP i jest prawidłowa, pobierając ją z programu Internet Explorer. Powinno być możliwe pobranie i wyświetlenie listy CRL z dowolnej stacji roboczej karty inteligentnej i kontrolerów domeny za pomocą protokołu HTTP (HTTP) lub protokołu transferu plików (FTP) w programie Internet Explorer.

Sprawdź, czy każdy unikatowy protokół HTTP i FTP CDP używany przez certyfikat w przedsiębiorstwie jest w trybie online i jest dostępny.

Aby sprawdzić, czy lista CRL jest w trybie online i jest dostępna z poziomu protokołu FTP lub HTTP CDP:

  1. Aby otworzyć dany certyfikat, kliknij dwukrotnie plik .cer lub kliknij dwukrotnie certyfikat w magazynie.
  2. Kliknij kartę Szczegóły i wybierz pole Punkt dystrybucji listy CRL .
  3. W dolnym okienku wyróżnij pełny lokalizator zasobów FTP lub HTTP Uniform Resource (URL) i skopiuj go.
  4. Otwórz program Internet Explorer i wklej adres URL na pasku adresu.
  5. Po otrzymaniu monitu wybierz opcję Otwórz listę CRL.
  6. Upewnij się, że w liście CRL znajduje się pole Następna aktualizacja, a czas w polu Następna aktualizacja nie upłynął.

Aby pobrać lub sprawdzić, czy protokół CDP LDAP (Lightweight Directory Access Protocol) jest prawidłowy, musisz napisać skrypt lub aplikację, aby pobrać listę CRL. Po pobraniu i otwarciu listy CRL upewnij się, że w liście CRL znajduje się pole Następna aktualizacja, a czas w polu Następna aktualizacja nie upłynął.

Pomoc techniczna

Usługi pomocy technicznej firmy Microsoft nie obsługują procesu logowania do karty inteligentnej urzędu certyfikacji innej firmy, jeśli zostanie ustalone, że co najmniej jeden z następujących elementów przyczynia się do problemu:

  • Nieprawidłowy format certyfikatu.
  • Stan certyfikatu lub stan odwołania nie jest dostępny w urzędzie certyfikacji innej firmy.
  • Problemy z rejestracją certyfikatów z urzędu certyfikacji innej firmy.
  • Urząd certyfikacji innej firmy nie może opublikować w usłudze Active Directory.
  • Dostawca CSP innej firmy.

Informacje dodatkowe

Komputer kliencki sprawdza certyfikat kontrolera domeny. W związku z tym komputer lokalny pobiera listę CRL dla certyfikatu kontrolera domeny do pamięci podręcznej LISTY CRL.

Proces logowania w trybie offline nie obejmuje certyfikatów, tylko poświadczeń buforowanych.

Aby wymusić natychmiastowe wypełnienie magazynu NTAuth na komputerze lokalnym zamiast czekać na następną propagację zasady grupy, uruchom następujące polecenie, aby zainicjować aktualizację zasady grupy:

  dsstore.exe -pulse

Informacje o karcie inteligentnej można również zrzucić w systemie Windows Server 2003 i Windows XP przy użyciu polecenia Certutil.exe -scinfo.