Richtlinien für die Aktivierung von Smart Karte Anmeldung bei Zertifizierungsstellen von Drittanbietern

  • Artikel

Dieser Artikel enthält einige Richtlinien zum Aktivieren von Smart Karte Anmeldung bei Zertifizierungsstellen von Drittanbietern.

Gilt für: Windows Server 2012 R2, Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 281245

Zusammenfassung

Sie können einen Smart Karte Anmeldeprozess mit Microsoft Windows 2000 und einer Nicht-Microsoft-Zertifizierungsstelle aktivieren, indem Sie die Richtlinien in diesem Artikel befolgen. Die eingeschränkte Unterstützung für diese Konfiguration wird weiter unten in diesem Artikel beschrieben.

Weitere Informationen

Anforderungen

Die Smartcardauthentifizierung bei Active Directory erfordert, dass Smartcardarbeitsstationen, Active Directory und Active Directory-Domänencontroller ordnungsgemäß konfiguriert sind. Active Directory muss einer Zertifizierungsstelle vertrauen, um Benutzer basierend auf Zertifikaten dieser Zertifizierungsstelle zu authentifizieren. Sowohl Smartcardarbeitsstationen als auch Domänencontroller müssen mit ordnungsgemäß konfigurierten Zertifikaten konfiguriert werden.

Wie bei jeder PKI-Implementierung müssen alle Parteien der Stammzertifizierungsstelle vertrauen, der die ausstellende Zertifizierungsstelle zugeordnet ist. Sowohl die Domänencontroller als auch die Smartcardarbeitsstationen vertrauen diesem Stamm.

Active Directory- und Domänencontrollerkonfiguration

  • Erforderlich: Active Directory muss über die ausstellende Drittanbieter-Zertifizierungsstelle im NTAuth-Speicher verfügen, um Benutzer bei Active Directory zu authentifizieren.
  • Erforderlich: Domänencontroller müssen mit einem Domänencontrollerzertifikat konfiguriert werden, um Smartcardbenutzer zu authentifizieren.
  • Optional: Active Directory kann so konfiguriert werden, dass die Stammzertifizierungsstelle eines Drittanbieters mithilfe des Gruppenrichtlinie an den vertrauenswürdigen Stammzertifizierungsstellenspeicher aller Domänenmitglieder verteilt wird.

Anforderungen an Smartcardzertifikat und Arbeitsstation

  • Erforderlich: Alle smartcard-Anforderungen, die im Abschnitt "Konfigurationsanweisungen" beschrieben sind, müssen erfüllt sein, einschließlich der Textformatierung der Felder. Die Smartcardauthentifizierung schlägt fehl, wenn sie nicht erfüllt wird.
  • Erforderlich: Die Smartcard und der private Schlüssel müssen auf der Smartcard installiert sein.

Konfigurationsanweisungen

  1. Exportieren sie das Stammzertifikat eines Drittanbieters, oder laden Sie es herunter. Die Vorgehensweise zum Abrufen des Parteistammzertifikats variiert je nach Anbieter. Das Zertifikat muss im Base64-codierten X.509-Format vorliegen.

  2. Fügen Sie die Stammzertifizierungsstelle eines Drittanbieters den vertrauenswürdigen Stammelementen in einem Active Directory-Gruppenrichtlinie-Objekt hinzu. So konfigurieren Sie Gruppenrichtlinie in der Windows 2000-Domäne so, dass die Drittanbieterzertifizierungsstelle an den vertrauenswürdigen Stammspeicher aller Domänencomputer verteilt wird:

    1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.
    2. Suchen Sie im linken Bereich die Domäne, in der die Richtlinie angewendet wird, die Sie bearbeiten möchten.
    3. Klicken Sie mit der rechten Maustaste auf die Domäne, und klicken Sie dann auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    5. Klicken Sie auf das Objekt Standarddomänenrichtlinie Gruppenrichtlinie, und klicken Sie dann auf Bearbeiten. Ein neues Fenster wird geöffnet.
    6. Erweitern Sie im linken Bereich die folgenden Elemente:
      • Computerkonfiguration
      • Windows-Einstellungen
      • Sicherheitseinstellungen
      • Richtlinie für öffentliche Schlüssel
    7. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen.
    8. Wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Importieren.
    9. Befolgen Sie die Anweisungen im Assistenten, um das Zertifikat zu importieren.
    10. Klicken Sie auf OK.
    11. Schließen Sie das fenster Gruppenrichtlinie.

  3. Fügen Sie den Drittanbieter, der die Zertifizierungsstelle ausgibt, dem NTAuth-Speicher in Active Directory hinzu.

    Das Smart Karte Anmeldezertifikat muss von einer Zertifizierungsstelle ausgestellt werden, die sich im NTAuth-Speicher befindet. Standardmäßig werden Microsoft Enterprise-Zertifizierungsstellen dem NTAuth-Speicher hinzugefügt.

    • Wenn die Zertifizierungsstelle, die das Smart Karte-Anmeldezertifikat ausgestellt hat, oder die Domänencontrollerzertifikate nicht ordnungsgemäß im NTAuth-Speicher bereitgestellt wurde, funktioniert der Anmeldeprozess der intelligenten Karte nicht. Die entsprechende Antwort lautet "Die Anmeldeinformationen können nicht überprüft werden".

    • Der NTAuth-Speicher befindet sich im Konfigurationscontainer für die Gesamtstruktur. Beispiel: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Standardmäßig wird dieser Speicher erstellt, wenn Sie eine Microsoft Enterprise-Zertifizierungsstelle installieren. Das Objekt kann auch manuell mithilfe von ADSIedit.msc in den Windows 2000-Supporttools oder mithilfe von LDIFDE erstellt werden. Weitere Informationen finden Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

      295663 Importieren von Zertifikaten einer Zertifizierungsstelle von Drittanbietern in den NTAuth-Speicher für Unternehmen

    • Das relevante Attribut ist cACertificate, eine Oktettzeichenfolge, eine mehrwertige Liste von ASN-codierten Zertifikaten.

      Nachdem Sie die Drittanbieterzertifizierungsstelle im NTAuth-Speicher abgelegt haben, platziert domänenbasierte Gruppenrichtlinie einen Registrierungsschlüssel (einen Fingerabdruck des Zertifikats) an folgendem Speicherort auf allen Computern in der Domäne:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Es wird alle acht Stunden auf Arbeitsstationen aktualisiert (das typische Gruppenrichtlinie Impulsintervall).

  4. Fordern Sie ein Domänencontrollerzertifikat an, und installieren Sie es auf den Domänencontrollern. Jeder Domänencontroller, der Smartcardbenutzer authentifiziert, muss über ein Domänencontrollerzertifikat verfügen.

    Wenn Sie eine Microsoft Enterprise-Zertifizierungsstelle in einer Active Directory-Gesamtstruktur installieren, werden alle Domänencontroller automatisch für ein Domänencontrollerzertifikat registriert. Weitere Informationen zu den Anforderungen für Domänencontrollerzertifikate von einer Drittanbieterzertifizierungsstelle finden Sie im folgenden Artikel der Microsoft Knowledge Base:

    291010 Anforderungen für Domänencontrollerzertifikate von einer Drittanbieterzertifizierungsstelle

    Hinweis

    Das Domänencontrollerzertifikat wird für die SSL-Authentifizierung (Secure Sockets Layer), SMTP-Verschlüsselung (Simple Mail Transfer Protocol), RPC-Signatur (Remote Procedure Call) und den Anmeldeprozess für intelligente Karte verwendet. Die Verwendung einer Nicht-Microsoft-Zertifizierungsstelle zum Ausstellen eines Zertifikats für einen Domänencontroller kann zu unerwartetem Verhalten oder nicht unterstützten Ergebnissen führen. Ein falsch formatiertes Zertifikat oder ein Zertifikat mit fehlendem Antragstellernamen kann dazu führen, dass diese oder andere Funktionen nicht mehr reagieren.

  5. Fordern Sie ein Smart Karte-Zertifikat von der Drittanbieterzertifizierungsstelle an.

    Registrieren Sie sich für ein Zertifikat der Drittanbieterzertifizierungsstelle, das die angegebenen Anforderungen erfüllt. Die Registrierungsmethode variiert je nach Anbieter der Zertifizierungsstelle.

    Für das Smart Karte-Zertifikat gelten bestimmte Formatanforderungen:

    • Der CdP-Speicherort (CRL Distribution Point, CRL) (CRL ist die Zertifizierungssperrliste) muss aufgefüllt, online und verfügbar sein. Zum Beispiel:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Schlüsselverwendung = Digitale Signatur

    • Basic Constraints [Subject Type=End Entity, Path Length Constraint=None] (Optional)

    • Erweiterte Schlüsselverwendung =

      • Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
        (Die Clientauthentifizierungs-OID ist nur erforderlich, wenn ein Zertifikat für die SSL-Authentifizierung verwendet wird.)
      • Smartcardanmeldung (1.3.6.1.4.1.311.20.2.2)

    • Alternativer Antragstellername = Anderer Name: Principal Name= (UPN). Zum Beispiel:
      UPN = user1@name.com
      Die UPN OtherName-OID lautet: "1.3.6.1.4.1.311.20.2.3"
      Der UPN OtherName-Wert: Muss ASN1-codierte UTF8-Zeichenfolge sein.

    • Subject = Distinguished name of user. Dieses Feld ist eine obligatorische Erweiterung, aber die Auffüllung dieses Felds ist optional.

  6. Es gibt zwei vordefinierte Typen von privaten Schlüsseln. Diese Schlüssel sind Signature Only(AT_SIGNATURE) und Key Exchange(AT_KEYEXCHANGE). Smartcard-Anmeldezertifikate müssen einen privaten Schlüsseltyp vom Typ Key Exchange(AT_KEYEXCHANGE) aufweisen, damit die Smartcardanmeldung ordnungsgemäß funktioniert.

  7. Installieren Sie Smartcardtreiber und Software auf der Smartcard-Arbeitsstation.

    Stellen Sie sicher, dass das entsprechende Smartcardlesegerät und die Treibersoftware auf der Smartcardarbeitsstation installiert sind. Dies variiert je nach Anbieter von Smartcardleser.

  8. Installieren Sie das Drittanbieter-Smartcardzertifikat auf der Smartcardarbeitsstation.

    Wenn die Smartcard nicht bereits im persönlichen Speicher des Smartcardbenutzers im Registrierungsprozess in Schritt 4 abgelegt wurde, müssen Sie das Zertifikat in den persönlichen Speicher des Benutzers importieren. Gehen Sie hierzu folgendermaßen vor:

    1. Öffnen Sie die Microsoft Management Console (MMC), die das Zertifikat-Snap-In enthält.

    2. Klicken Sie in der Konsolenstruktur unter Persönlich auf Zertifikate.

    3. Klicken Sie im Menü Alle Aufgaben auf Importieren, um den Zertifikatimport-Assistenten zu starten.

    4. Klicken Sie auf die Datei, die die zu importierenden Zertifikate enthält.

      Hinweis

      Wenn die Datei, die die Zertifikate enthält, eine PKCS #12-Datei (Personal Information Exchange) ist, geben Sie das Kennwort ein, das Sie zum Verschlüsseln des privaten Schlüssels verwendet haben, aktivieren Sie das entsprechende Kontrollkästchen, wenn der private Schlüssel exportierbar sein soll, und aktivieren Sie dann den starken Schutz privater Schlüssel (wenn Sie dieses Feature verwenden möchten).

      Hinweis

      Zum Aktivieren des starken Schutzes privater Schlüssel müssen Sie den Ansichtsmodus logische Zertifikatspeicher verwenden.

    5. Wählen Sie die Option aus, um das Zertifikat basierend auf dem Zertifikattyp automatisch in einem Zertifikatspeicher abzulegen.

  9. Installieren Sie das Drittanbieter-Smartcardzertifikat auf der Smartcard. Diese Installation variiert je nach Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) und Smartcardanbieter. Anweisungen finden Sie in den Dokumentationen des Anbieters.

  10. Melden Sie sich mit der Smartcard bei der Arbeitsstation an.

Mögliche Probleme

Während der Smartcardanmeldung wird die folgende Fehlermeldung am häufigsten angezeigt:

Das System konnte Sie nicht anmelden. Ihre Anmeldeinformationen konnten nicht überprüft werden.

Diese Meldung ist ein allgemeiner Fehler und kann das Ergebnis eines oder mehrerer der folgenden Probleme sein.

Probleme mit Zertifikaten und Konfigurationen

  • Der Domänencontroller verfügt über kein Domänencontrollerzertifikat.

  • Das Feld SubjAltName des Smartcardzertifikats ist falsch formatiert. Wenn die Informationen im Feld SubjAltName als Hexadezimal-/ASCII-Rohdaten angezeigt werden, ist die Textformatierung nicht ASN1/UTF-8.

  • Der Domänencontroller verfügt über ein anderweitig falsch formatiertes oder unvollständiges Zertifikat.

  • Für jede der folgenden Bedingungen müssen Sie ein neues gültiges Domänencontrollerzertifikat anfordern. Wenn Ihr gültiges Domänencontrollerzertifikat abgelaufen ist, können Sie das Domänencontrollerzertifikat verlängern. Dieser Vorgang ist jedoch komplexer und in der Regel schwieriger, als wenn Sie ein neues Domänencontrollerzertifikat anfordern.

    • Das Domänencontrollerzertifikat ist abgelaufen.
    • Der Domänencontroller verfügt über ein nicht vertrauenswürdiges Zertifikat. Wenn der NTAuth-Speicher nicht das Zertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Domänencontrollerzertifikats enthält, müssen Sie es dem NTAuth-Speicher hinzufügen oder ein DC-Zertifikat von einer ausstellenden Zertifizierungsstelle abrufen, deren Zertifikat sich im NTAuth-Speicher befindet.

    Wenn die Domänencontroller oder Smartcardarbeitsstationen der Stammzertifizierungsstelle, der die Zertifikatketten des Domänencontrollers zugeordnet sind, nicht vertrauen, müssen Sie diese Computer so konfigurieren, dass sie dieser Stammzertifizierungsstelle vertrauen.

  • Die Smartcard verfügt über ein nicht vertrauenswürdiges Zertifikat. Wenn der NTAuth-Speicher nicht das Zertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Smartcardzertifikats enthält, müssen Sie es dem NTAuth-Speicher hinzufügen oder ein Smartcardzertifikat von einer ausstellenden Zertifizierungsstelle abrufen, deren Zertifikat sich im NTAuth-Speicher befindet.

    Wenn die Domänencontroller oder Smartcardarbeitsstationen der Stammzertifizierungsstelle, der die Smartcard des Benutzers zugeordnet ist, nicht vertrauen, müssen Sie diese Computer so konfigurieren, dass sie dieser Stammzertifizierungsstelle vertrauen.

  • Das Zertifikat der intelligenten Karte ist nicht im Speicher des Benutzers auf der Arbeitsstation installiert. Das zertifikat, das auf der Smartcard gespeichert ist, muss sich auf der Smartcardarbeitsstation im Profil des Benutzers befinden, der sich mit dem smarten Karte anmeldet.

    Hinweis

    Sie müssen den privaten Schlüssel nicht im Profil des Benutzers auf der Arbeitsstation speichern. Es muss nur auf der Smartcard gespeichert werden.

  • Das richtige Smartcardzertifikat oder der private Schlüssel ist nicht auf der Smartcard installiert. Das gültige Smartcardzertifikat muss auf der Smartcard mit dem privaten Schlüssel installiert werden, und das Zertifikat muss mit einem Zertifikat übereinstimmen, das im Profil des Smartcardbenutzers auf der Smartcardarbeitsstation gespeichert ist.

  • Das Zertifikat des smarten Karte kann nicht vom Smartcardleser abgerufen werden. Es kann ein Problem mit der Hardware des Smartcardlesers oder der Treibersoftware des Smartcardlesers sein. Vergewissern Sie sich, dass Sie die Software des Smartcardlesers verwenden können, um das Zertifikat und den privaten Schlüssel auf der Smartcard anzuzeigen.

  • Das Smartcardzertifikat ist abgelaufen.

  • In der SubjAltName-Erweiterung des Smartcardzertifikats ist kein Benutzerprinzipalname (User Principal Name, UPN) verfügbar.

  • Das Feld UPN in SubjAltName des Smartcardzertifikats ist falsch formatiert. Wenn die Informationen in SubjAltName als Hexadezimal-/ASCII-Rohdaten angezeigt werden, ist die Textformatierung nicht ASN1/UTF-8.

  • Die Smartcard verfügt über ein anderweitig falsch formatiertes oder unvollständiges Zertifikat. Für jede dieser Bedingungen müssen Sie ein neues gültiges Smartcardzertifikat anfordern und es auf der Smartcard und im Profil des Benutzers auf der Smartcard-Arbeitsstation installieren. Das Smartcardzertifikat muss die weiter oben in diesem Artikel beschriebenen Anforderungen erfüllen, die ein ordnungsgemäß formatiertes UPN-Feld im Feld SubjAltName enthalten.

    Wenn Ihr gültiges Smartcardzertifikat abgelaufen ist, können Sie auch das Smartcardzertifikat verlängern. Dies ist komplexer und schwieriger als das Anfordern eines neuen Smartcardzertifikats.

  • Für den Benutzer ist in ihrem Active Directory-Benutzerkonto kein UPN definiert. Das Konto des Benutzers in Active Directory muss über einen gültigen UPN in der userPrincipalName-Eigenschaft des Active Directory-Benutzerkontos des Smartcardbenutzers verfügen.

  • Der UPN im Zertifikat stimmt nicht mit dem UPN überein, der im Active Directory-Benutzerkonto des Benutzers definiert ist. Korrigieren Sie den UPN im Active Directory-Benutzerkonto des Smartcardbenutzers, oder stellen Sie das Smartcardzertifikat erneut aus, sodass der UPN-Wert im SubjAltName-Feld mit dem UPN im Active Directory-Benutzerkonto von Smartcardbenutzern übereinstimmt. Es wird empfohlen, dass der smarte Karte UPN mit dem Benutzerkonto-Attribut userPrincipalName für Zertifizierungsstellen von Drittanbietern übereinstimmt. Wenn der UPN im Zertifikat jedoch der "implizite UPN" des Kontos ist (Format samAccountName@domain_FQDN), muss der UPN nicht explizit mit der userPrincipalName-Eigenschaft übereinstimmen.

Probleme bei der Sperrüberprüfung

Wenn die Sperrüberprüfung fehlschlägt, wenn der Domänencontroller das Smart Karte Anmeldezertifikat überprüft, verweigert der Domänencontroller die Anmeldung. Der Domänencontroller gibt möglicherweise die zuvor erwähnte Fehlermeldung oder die folgende Fehlermeldung zurück:

Das System konnte Sie nicht anmelden. Das für die Authentifizierung verwendete Smartcardzertifikat war nicht vertrauenswürdig.

Hinweis

Wenn die Zertifikatsperrliste (Certificate Revocation List, CRL) nicht gefunden und heruntergeladen werden kann, werden eine ungültige Zertifikatsperrliste, ein widerrufenes Zertifikat und eine Sperrung status "unbekannt" als Sperrfehler betrachtet.

Die Sperrüberprüfung muss sowohl vom Client als auch vom Domänencontroller aus erfolgreich sein. Stellen Sie sicher, dass Folgendes zutrifft:

  • Die Sperrüberprüfung ist nicht deaktiviert.

    Die Sperrüberprüfung für die integrierten Sperranbieter kann nicht deaktiviert werden. Wenn ein benutzerdefinierter installierbarer Sperranbieter installiert ist, muss er aktiviert sein.

  • Jedes Zertifizierungsstellenzertifikat mit Ausnahme der Stammzertifizierungsstelle in der Zertifikatkette enthält eine gültige CDP-Erweiterung im Zertifikat.

  • Die Zertifikatsperrliste enthält das Feld Nächstes Update, und die Zertifikatsperrliste ist auf dem neuesten Stand. Sie können überprüfen, ob die Zertifikatsperrliste beim CDP online und gültig ist, indem Sie sie aus dem Internet Explorer herunterladen. Sie sollten in der Lage sein, die Zertifikatsperrliste von jedem der HTTP- oder FTP-CDPs (HyperText Transport Protocol) in Internet-Explorer sowohl von den Smartcard-Arbeitsstationen als auch von den Domänencontrollern herunterzuladen und anzuzeigen.

Stellen Sie sicher, dass jedes eindeutige HTTP- und FTP-CDP, das von einem Zertifikat in Ihrem Unternehmen verwendet wird, online und verfügbar ist.

So überprüfen Sie, ob eine Zertifikatsperrliste online und über ein FTP- oder HTTP-CDP verfügbar ist:

  1. Um das betreffende Zertifikat zu öffnen, doppelklicken Sie auf die .cer Datei, oder doppelklicken Sie im Speicher auf das Zertifikat.
  2. Klicken Sie auf die Registerkarte Details, und wählen Sie das Feld CRL-Verteilungspunkt aus.
  3. Markieren Sie im unteren Bereich den vollständigen FTP- oder HTTP Uniform Resource Locator (URL), und kopieren Sie ihn.
  4. Öffnen Sie Internet Explorer, und fügen Sie die URL in die Adressleiste ein.
  5. Wenn Sie die Eingabeaufforderung erhalten, wählen Sie die Option CRL öffnen aus.
  6. Stellen Sie sicher, dass das Feld Nächstes Update in der Zertifikatsperrliste enthalten ist und die Zeit im Feld Nächstes Update nicht abgelaufen ist.

Um ein LDAP-CDP (Lightweight Directory Access Protocol) herunterzuladen oder zu überprüfen, müssen Sie ein Skript oder eine Anwendung schreiben, um die Zertifikatsperrliste herunterzuladen. Nachdem Sie die Zertifikatsperrliste heruntergeladen und geöffnet haben, stellen Sie sicher, dass das Feld Nächstes Update in der Zertifikatsperrliste enthalten ist und die Zeit im Feld Nächstes Update nicht abgelaufen ist.

Support

Microsoft Product Support Services unterstützt den Smart Karte Anmeldeprozess der Drittanbieter-Zertifizierungsstelle nicht, wenn festgestellt wird, dass mindestens eines der folgenden Punkte zum Problem beiträgt:

  • Falsches Zertifikatformat.
  • Zertifikats-status oder Sperrung status von der Drittanbieterzertifizierungsstelle nicht verfügbar.
  • Probleme bei der Zertifikatregistrierung von einer Drittanbieterzertifizierungsstelle.
  • Die Drittanbieterzertifizierungsstelle kann nicht in Active Directory veröffentlichen.
  • Ein Drittanbieter-CSP.

Weitere Informationen

Der Clientcomputer überprüft das Zertifikat des Domänencontrollers. Der lokale Computer lädt daher eine Zertifikatsperrliste für das Domänencontrollerzertifikat in den CRL-Cache herunter.

Der Offlineanmeldungsprozess umfasst keine Zertifikate, nur zwischengespeicherte Anmeldeinformationen.

Um zu erzwingen, dass der NTAuth-Speicher sofort auf einem lokalen Computer aufgefüllt wird, anstatt auf die nächste Gruppenrichtlinie Weitergabe zu warten, führen Sie den folgenden Befehl aus, um ein Gruppenrichtlinie Update zu initiieren:

  dsstore.exe -pulse

Sie können die Informationen zum intelligenten Karte auch in Windows Server 2003 und Windows XP mithilfe des Befehls Certutil.exe -scinfo sichern.