Pokyny pro povolení přihlášení pomocí karty smart card s výrobců certifikačních úřadů

Překlady článku Překlady článku
ID článku: 281245 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Podle pokynů v tomto článku můžete povolit proces přihlašování karty Smart Card se systémem Windows 2000 a jiných výrobců certifikačního úřadu (CÚ). Jak je popsáno dále v tomto článku je omezenou podporu pro tuto konfiguraci.

Další informace

Požadavky

Ověřování Smart Card do služby Active Directory vyžaduje dané pracovní stanice SmartCard, Active Directory a řadiče domény Active Directory správně nakonfigurována. Služba Active Directory musí důvěryhodnosti certifikačního úřadu ověřovat uživatele na základě certifikáty z tohoto ÚŘADU. Pracovní stanice SmartCard a řadiče domény musí být nakonfigurován s správně nakonfigurované certifikáty.

Jako s implementací jakékoli PKI všechny strany musí důvěřovat kořenový CÚ do které vystavujícího CERTIFIKAČNÍHO řetězce. Řadiče domén a pracovních stanic karty smartcard důvěryhodnosti tohoto kořenového adresáře.

Active Directory a domény konfigurace řadiče

  • Požadováno: Active Directory musí mít k výrobců VYSTAVOVATELEM v úložišti NTAuth ověřování uživatelů služby active directory.
  • Požadováno: Řadiče domény musí být nakonfigurován s certifikátu řadiče domény k ověřování uživatelů pomocí karty smartcard.
  • Volitelné: Active Directory může být nakonfigurován k distribuci výrobců kořenového CÚ do úložiště důvěryhodného kořenového certifikačního ÚŘADU Zásady skupiny pomocí všech členů domény.

Požadavky na certifikát a pracovní stanice SmartCard

  • Požadováno: Všechny karty smartcard požadavkům v části "Konfigurace pokyny" musí být splněny, včetně formátování textu polí. SmartCard ověření se nezdaří, pokud nejsou splněna.
  • Požadováno: Uvedené karty smartcard a soukromý klíč musí být nainstalována na karty smartcard.

Konfigurace, pokyny

  1. Exportovat nebo stáhnout výrobců kořenový certifikát. K získání kořenových úřadů se jak certifikátu liší podle dodavatele. Certifikát musí být ve formátu X.509 kódování Base64.
  2. Přidat důvěryhodné kořenové adresáře v objektu Active Directory Group Policy výrobců kořenový certifikační ÚŘAD. V doméně Windows 2000 distribuovat výrobců CÚ do úložiště důvěryhodných kořenových všech počítačů domény konfigurace Zásady skupiny:
    1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správu a potom klepněte na tlačítko Active Directory uživatelé a počítače.
    2. V levém podokně vyhledejte doménu, ve kterém je použita zásada, kterou chcete upravit.
    3. Klepněte pravým tlačítkem myši na doménu a klepněte na příkaz Vlastnosti.
    4. Klepněte na kartu Zásady skupiny.
    5. Klepněte na objekt Default Domain Policy Group Policy a potom klepněte na tlačítko Upravit. Otevře nové okno.
    6. V levém podokně rozbalte následující položky:
      • Konfigurace počítače
      • Nastavení systému Windows
      • Nastavení zabezpečení
      • Zásady veřejných klíčů
    7. Klepněte pravým tlačítkem myši Důvěryhodné kořenové certifikační úřady.
    8. Vyberte Všechny úkoly a klepněte na tlačítko Importovat.
    9. Postupujte podle pokynů průvodce importujte certifikát.
    10. Klepněte na tlačítko OK.
    11. Zavřete okno Zásady skupiny.
  3. Přidat výrobců, vydávání CÚ v úložišti NTAuth služby Active Directory.

    Z CÚ v úložišti NTAuth je musí být vydán certifikát karty smart card přihlášení. Ve výchozím nastavení jsou přidána Microsoft Enterprise CÚ v úložišti NTAuth.
    • Pokud certifikační ÚŘAD, který vydal certifikát karty smart card přihlášení nebo domény řadič certifikáty správně zaúčtována v úložišti NTAuth proces přihlášení karty smart card nepracuje. Odpovídající odpověď je "Nelze ověřit pověření".
    • Úložiště NTAuth je umístěn v kontejneru konfigurace doménové struktury. Například ukázkový umístění je následující:
      LDAP://server1.Name.com/CN=NTAuthCertificates,CN=Public Key Services, CN = Services, CN = Configuration, DC = název, DC = com
    • Ve výchozím nastavení je toto úložiště vytvořen při instalaci CÚ rozlehlé sítě Microsoft. Objekt lze také vytvořit ručně pomocí ADSIedit.msc v nástrojích podpory Windows 2000 nebo pomocí nástroje LDIFDE.Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
      295663Jak importovat certifikáty výrobců certifikačního úřadu (CÚ) do úložiště Enterprise NTAuth
    • Odpovídající atribut je cACertificate, což je oktet řetězec hodnotou více seznam kódování ASN certifikátů.

      Po přepnutí výrobců CÚ v úložišti NTAuth Domain-based Zásady skupiny umístí klíč registru (Miniatura certifikátu) v následujícím umístění na všech počítačích v doméně:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Toto je aktualizována každých osm hodin na pracovních stanicích (typické Zásady skupiny pulsní interval).
  4. Vyžádat a nainstalovat certifikát řadiče domény na řadičů domény. Každý řadič domény, který bude k ověřování uživatelů pomocí karty smartcard musí mít certifikát řadiče domény.

    Pokud v doménové struktuře Active Directory nainstalovat CÚ rozlehlé sítě Microsoft, všechny řadiče domény automaticky zapsat certifikát řadiče domény. Další informace o požadavcích na certifikáty řadič domény z ÚŘADU jiného výrobce klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    291010Požadavky na certifikáty řadič domény z ÚŘADU jiného výrobce
    Poznámka: Tento certifikát řadiče domény je použit pro protokol SSL (Secure Sockets Layer) (SSL) ověřování Simple Mail Transfer Protocol (SMTP) šifrování, podepisování vzdálené volání procedur (RPC) a přihlašovací proces karty Smart Card. Použití jiných ÚŘADU Microsoft-k vystavení certifikátu řadiče domény může způsobit neočekávané chování nebo nepodporovaný výsledky. Nesprávně formátovaný certifikát nebo certifikát s chybějící název subjektu může způsobit tyto nebo jiné funkce přestane reagovat.
  5. Vyžádání certifikátu karty smart card od ÚŘADU jiného výrobce.

    Zápis certifikátu z ÚŘADU jiného výrobce, který splňuje požadavky uvedeného. Metoda pro zápis se liší podle dodavatele CÚ.

    Certifikát karty smart card má konkrétní formát požadavky:
    • Umístění distribuční bod CRL (CDP) (CRL je seznam odvolaných certifikační) musí být vyplněnými, online a k dispozici. Například:
      [1]Distribuční bod CRL
      Název distribuční bod:
      Úplný název:
      URL=http://server1.Name.com/CertEnroll/caname.CRL
    • Použití klíče = digitální podpis
    • Základní omezení [Typ předmětu = koncová entita, omezení délky cesty = žádný] (nepovinný)
    • Rozšířené použití klíče =
      • Ověření klienta (1.3.6.1.5.5.7.3.2)
        (Klient ověřování OID) je pouze požadované Jestliže certifikát se používá k ověřování SSL.)
      • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
    • Alternativní název subjektu = jiné name: hlavní název = (UPN). Například:
      UPN = user1@name.com
      OID OtherName UPN je: "1.3.6.1.4.1.311.20.2.3"
      Hodnota UPN OtherName: musí být řetězec UTF8 kódování ASN1
    • Předmět = rozlišující jméno uživatele. Toto pole je povinná přípona, ale populace toto pole je volitelné.
  6. Existují dva předdefinované typy soukromých klíčů. Tyto klíče jsou Only(AT_SIGNATURE) podpis a Klíč Exchange(AT_KEYEXCHANGE). Přihlašovacích certifikátů SmartCard musí mít typ soukromého klíče Exchange(AT_KEYEXCHANGE) klíčů v pořadí pro přihlášení pomocí karty smartcard fungovat správně.
  7. Nainstalujte ovladače karty smartcard a software pracovní stanice pomocí karty smartcard.

    Ujistěte se, že na pracovní stanici pomocí karty smartcard je nainstalován software zařízení a ovladače čtecího zařízení příslušné karty smartcard. Se liší podle dodavatele čtecí zařízení karet smartcard.
  8. Instalace certifikátu karty smartcard výrobců pracovní stanice pomocí karty smartcard.

    Pokud čipové kartě není již přepnout do osobního úložiště uživatel karty smartcard v procesu zápisu v kroku 4, musíte certifikát importovat do osobního úložiště uživatele. Postup:
    1. Otevřete konzola Microsoft Management Console (MMC), která obsahuje certifikáty snap-in.
    2. Ve stromu konzoly pod osobní, klepněte na tlačítko certifikáty.
    3. V nabídce Všechny úkoly klepněte na příkaz Import spustit Průvodce importem certifikátu.
    4. Klepněte na soubor obsahující certifikáty, které importujete.

      Poznámka: Pokud je soubor obsahující certifikáty souboru Personal Information Exchange (PKCS č. 12), zadejte heslo, které je použito k zašifrování soukromého klíče, klepnutím zaškrtněte příslušné políčko, pokud chcete, aby soukromý klíč exportovatelný, a potom zapněte silnou ochranu soukromého klíče (Pokud chcete použít tuto funkci).

      Poznámka: Chcete-li zapnout ochranu silným soukromým klíčem, je třeba použít režimu zobrazení Logická úložiště certifikátů.
    5. Vyberte možnost automaticky umístit certifikátu do úložiště certifikátů na základě typu certifikátu.
  9. Instalace certifikátu karty smartcard výrobců do karty smartcard. Postup se liší podle zprostředkovatel kryptografických služeb (CSP) a podle dodavatele karty smartcard. Viz documentations dodavatele pokyny.
  10. Přihlaste se k pracovní stanici s karty smartcard.

Možné problémy

Během přihlášení pomocí karty smartcard je nejběžnější vidět chybová zpráva:
Systém vás nemohl přihlásit. Pověření nelze ověřit.
Toto je obecná chybová zpráva a může být výsledkem jeden nebo více několik problémů, které jsou popsány níže.

Certifikát a konfigurační problémy

  • Řadič domény má žádný certifikát řadiče domény.
  • Pole SubjAltName certifikátu karty smartcard je chybně formátován. Pokud se zobrazí informace v poli SubjAltName jako hexadecimálně nezpracovaná data ASCII formátování textu není ASN1 / UTF-8.
  • Řadič domény má certifikát jinak poškozené nebo neúplné.
  • Pro každou z následujících podmínek musí požádat o nový certifikát řadiče domény platný. Pokud vypršela platnost certifikátu řadiče domény platný certifikát řadiče domény může obnovit, ale tento proces je složitější a obvykle obtížnější než Pokud vyžádání nového certifikátu řadiče domény.
    • Vypršela platnost certifikátu řadiče domény.
    • Řadič domény má nedůvěryhodný certifikát. Pokud úložiště NTAuth neobsahuje certifikátu certifikačního úřadu (CÚ) certifikátu řadiče domény uživatele vydávání CÚ, musíte přidat do úložiště NTAuth nebo získat DC certifikátu z vystavujícího certifikačního ÚŘADU jehož certifikát se nachází v úložišti NTAuth.

      Pokud řadiče domény nebo pracovní stanice pomocí karty smartcard nedůvěřujete kořenový CÚ, na který zřetězí certifikátu řadiče domény, je nutné nakonfigurovat těchto počítačů důvěřovat, že kořenový CÚ.
    • Kartě Smart Card má nedůvěryhodný certifikát. Pokud úložiště NTAuth neobsahuje certifikát CÚ certifikát karty Smart Card uživatele vydávání CÚ, musíte přidat do úložiště NTAuth nebo od jehož certifikát se nachází v úložišti NTAuth vystavujícího certifikačního ÚŘADU získat certifikát čipové karty.

      Pokud řadiče domény nebo pracovní stanice pomocí karty smartcard nedůvěřujete kořenový CÚ, na který zřetězí certifikátu karty smartcard uživatele, je nutné nakonfigurovat těchto počítačů důvěřovat, že kořenový CÚ.
    • Certifikát karty smart card není nainstalován v úložišti uživatele na pracovní stanici. Certifikát uložený čipové kartě musí nacházet na pracovní stanici pomocí karty smartcard v profilu uživatele, kteří přihlašování pomocí karty Smart Card.

      Poznámka: nemáte uložení soukromého klíče v profilu uživatele v pracovní stanici. Pouze je vyžadován uložen na karty smartcard.
    • Pomocí karty smartcard správný certifikát nebo soukromý klíč není nainstalován na karty smartcard. Pomocí karty smartcard platný certifikát musí být nainstalován na karty smartcard pomocí soukromého klíče a certifikátu musí odpovídat certifikát uložený v profilu uživatele karty Smart Card na pracovní stanici pomocí karty smartcard.
    • Z čtecího zařízení karty Smart Card nelze načíst certifikát karty smart card. To může být problém s hardwarem čtecího zařízení karty Smart Card nebo software ovladače čtecího zařízení karty Smart Card. Ověřte dodavatele čtecí zařízení karet smartcard softwaru můžete použít k zobrazení certifikát a soukromý klíč na karty smartcard.
    • Vypršela platnost certifikátu karty smartcard.
    • Žádné User Principal Name (UPN) je k dispozici v SubjAltName rozšíření certifikátu karty smartcard.
    • UPN v SubjAltName pole certifikátu karty smartcard je chybně formátován. Pokud se zobrazí informace v SubjAltName jako hexadecimálně nezpracovaná data ASCII formátování textu není ASN1 / UTF-8.
    • Kartě Smart Card má certifikát jinak poškozené nebo neúplné. Pro každý z těchto podmínek požádat o nový certifikát platný karty smartcard a nainstalujte jej do karty smartcard a do profilu uživatele na pracovní stanici pomocí karty smartcard. Certifikát čipové karty musí splňovat požadavky popsané dříve v tomto článku, které zahrnují správně formátovaný pole UPN v poli SubjAltName.

      Vypršela platnost certifikátu karty smartcard platný, se může také obnovení certifikátu karty smartcard, ale to je obvykle více složité a obtížné než vyžádání nového certifikátu karty smartcard.
    • Uživatel nemá UPN definována v jejich uživatelský účet služby Active Directory. Platné UPN musí mít účet uživatele v aktivním adresáři v vlastnost userPrincipalName uživatelský účet služby Active Directory uživatel karty smartcard.
    • UPN v certifikátu neodpovídá UPN definován uživatelský účet uživatele služby Active Directory. Musíte opravit UPN v uživatelský účet služby Active Directory uživatele karty Smart Card nebo certifikátu čipové kartě tak, aby název UPN hodnota v poli SubjAltName odpovídající re-issue UPN v ’ karty smartcard uživatelé uživatelský účet služby Active Directory. Doporučujeme karty smart card UPN odpovídají atribut userPrincipalName uživatelského účtu pro úřady třetích stran. Však Pokud UPN v certifikátu je text implict UPN ” účtu (samAccountName@domain_FQDN formátu), název UPN nemá explicitně odpovídající vlastnost userPrincipalName.

Odvolání kontrola problémů

Pokud kontroly odvolání selže při přihlášení certifikát karty smart card ověřuje řadič domény, řadiče domény odepře přihlášení. Řadič domény může vrátit chybovou zprávu zmíněných nebo následující chybová zpráva:
Systém vás nemohl přihlásit. Certifikátu karty smartcard použitého pro ověření nebylo důvěryhodné.
Poznámka: fragmentované vyhledat a stáhnout seznam odvolaných certifikátů (CRL), neplatný CRL, odvolaný certifikát a stav odvolání "Neznámý" jsou všechny považovány za selhání odvolání.

Kontrola odvolání musí úspěšně z klienta a řadiče domény. Zkontrolujte, zda jsou: true
  • Kontrola odvolání vypnuta nebude.

    Odvolání kontrola odvolání vestavěné zprostředkovatelů nelze vypnout. Pokud je nainstalován zprostředkovatel vlastní instalovatelný odvolání ji musí být zapnuto.
  • Každý certifikát CÚ s výjimkou kořenový certifikační ÚŘAD v řetězu certifikátů obsahuje platné rozšíření CDP v certifikátu.
  • Má CRL příští aktualizace pole a seznamu CRL je aktuální. Můžete zkontrolovat, CRL je online na CDP a platné stažením z aplikace Internet Explorer. Měli byste moci stáhnout a zobrazit CRL z libovolného HyperText Transport Protocol (HTTP) nebo File Transfer Protocol (FTP) CDP v aplikaci Internet Explorer z workstation(s) karty smartcard a řadičů domény.
Ověřte, zda každý jedinečný HTTP a FTP CDP použitý certifikát v rozlehlé síti je online a k dispozici.

Ověřit, zda je online a k dispozici z FTP nebo HTTP CDP seznamu CRL:
  1. Otevřít dotyčný certifikátu, poklepejte na soubor CER nebo poklepejte na certifikát v úložišti.
  2. Klepněte na kartu Podrobnosti, přejděte dolů a vyberte pole Distribučního bodu CRL.
  3. V dolním podokně zvýraznit úplné FTP nebo HTTP Uniform Resource Locator (URL) a zkopírujte jej.
  4. Otevřete aplikaci Internet Explorer a vložte URL do adresního řádku.
  5. Při zobrazení výzvy vyberte možnost Otevřít seznam CRL.
  6. Zkontrolujte, zda je v seznamu CRL Příští aktualizace pole a čas v poli Příští aktualizace není prošel.
Ke stažení nebo ověřte, zda je platný LDAP Lightweight Directory Access Protocol () CDP zapisovat skriptu nebo aplikace stažení seznamu CRL. Po stažení a otevření seznamu CRL Ujistěte se, že je seznam CRL Příští aktualizace pole a není prošel čas v pole další aktualizace.

Podpora

Technické podpory společnosti nepodporuje proces přihlášení výrobců CÚ karty smart card, pokud je určeno, že jeden nebo více následujících položek přispívá problém:
  • Formát nesprávné certifikátu.
  • Stav certifikátu nebo není k dispozici CÚ výrobců stav odvolání.
  • Zápis certifikátu problémy z ÚŘADU jiného výrobce.
  • Active Directory nelze publikovat výrobců CÚ.
  • CSP výrobců.

DALŠÍ INFORMACE

Klientský počítač kontroluje certifikát řadiče domény. Místní počítač proto stáhne CRL certifikátu řadiče domény do mezipaměti CRL.

Proces přihlášení offline nezahrnuje certifikáty pouze pověření v mezipaměti.

Vynutit v úložišti NTAuth místního počítače namísto čekání na dalšího šíření Zásady skupiny být okamžitě naplněna, spusťte následující příkaz k zahájení aktualizace Zásady skupiny:
dsstore.exe - impuls

Je možné také vypsat informace karty smart card v systému Windows Server 2003 a Windows XP pomocí příkazu certutil.exe - scinfo.

Vlastnosti

ID článku: 281245 - Poslední aktualizace: 7. května 2009 - Revize: 6.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
Klíčová slova: 
kbmt kbenv kbinfo kbtool KB281245 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:281245

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com