Κατευθυντήριες γραμμές για την ενεργοποίηση της σύνδεσης έξυπνης κάρτας με αρχές έκδοσης πιστοποιητικών τρίτου

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 281245 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Μπορείτε να ενεργοποιήσετε μια διαδικασία σύνδεσης έξυπνης κάρτας με Microsoft Windows 2000 και μια αρχή έκδοσης πιστοποιητικών δεν είναι της Microsoft (CA), ακολουθώντας τις οδηγίες αυτού του άρθρου. Υπάρχει περιορισμένη υποστήριξη για αυτήν τη ρύθμιση, όπως περιγράφεται παρακάτω σε αυτό το άρθρο.

Περισσότερες πληροφορίες

Απαιτήσεις

Απαιτείται έλεγχος ταυτότητας έξυπνης κάρτας για την υπηρεσία καταλόγου Active Directory που σταθμούς εργασίας έξυπνης κάρτας, υπηρεσία καταλόγου Active Directory και ελεγκτές τομέα υπηρεσίας καταλόγου Active Directory έχουν ρυθμιστεί σωστά. Υπηρεσία καταλόγου Active Directory πρέπει να θεωρήσετε αξιόπιστη μια αρχή έκδοσης πιστοποιητικών για τον έλεγχο ταυτότητας που βασίζεται σε πιστοποιητικά από CA που οι χρήστες. Σταθμοί εργασίας έξυπνης κάρτας και ελεγκτές τομέα πρέπει να ρυθμιστεί με πιστοποιητικά που έχουν ρυθμιστεί σωστά.

Όπως με οποιαδήποτε εφαρμογή PKI, όλα τα μέρη πρέπει να θεωρήσετε αξιόπιστη αρχή έκδοσης Πιστοποιητικών ρίζας που εξέδωσε αλυσίδες CA. Οι ελεγκτές τομέα και τους σταθμούς εργασίας έξυπνης κάρτας εμπιστεύεστε αυτήν τη ρίζα.

Ενεργό παραμέτρων ελεγκτή καταλόγου και τομέα

  • Απαιτείται: Υπηρεσίας καταλόγου Active Directory πρέπει να έχει την αρχή έκδοσης Πιστοποιητικών τρίτων κατασκευαστών στο χώρο αποθήκευσης NTAuth έλεγχο ταυτότητας χρηστών στον κατάλογο active directory.
  • Απαιτείται: Οι ελεγκτές τομέα πρέπει να ρυθμιστεί με ένα πιστοποιητικό ελεγκτή τομέα για έλεγχο ταυτότητας χρηστών έξυπνης κάρτας.
  • Προαιρετικά: Active Directory μπορεί να ρυθμιστεί για τη διανομή άλλου κατασκευαστή ρίζας στο χώρο αποθήκευσης αξιόπιστης ρίζας CA από όλα τα μέλη τομέα χρησιμοποιώντας την πολιτική ομάδας.

Απαιτήσεις πιστοποιητικού και του σταθμού εργασίας έξυπνης κάρτας

  • Απαιτείται: Όλες τις απαιτήσεις της έξυπνης κάρτας που περιγράφονται στην ενότητα "Οδηγίες ρύθμισης παραμέτρων" πρέπει να πληρούνται, καθώς και τη μορφοποίηση του κειμένου των πεδίων. Ο έλεγχος ταυτότητας έξυπνης κάρτας αποτυγχάνει εάν δεν πληρούνται.
  • Απαιτείται: Έξυπνης κάρτας και το ιδιωτικό κλειδί πρέπει να εγκατασταθεί από την έξυπνη κάρτα.

Οδηγίες ρύθμισης παραμέτρων

  1. Εξαγωγή ή λήψη πιστοποιητικού ρίζας άλλου κατασκευαστή. Πώς να λάβει μέρος ρίζα πιστοποιητικού ποικίλλει από τον προμηθευτή. Το πιστοποιητικό πρέπει να είναι σε μορφή Base64 κωδικοποιημένο X.509.
  2. Προσθέστε την αρχή έκδοσης Πιστοποιητικών ρίζας τρίτων κατασκευαστών αξιόπιστες ρίζες σε ένα αντικείμενο πολιτικής ομάδας Active Directory. Για να ρυθμίσετε τις παραμέτρους πολιτικής ομάδας στον τομέα των Windows 2000 για να διανείμετε CA τρίτων κατασκευαστών στο χώρο αποθήκευσης αξιόπιστης ρίζας όλων των υπολογιστών του τομέα:
    1. Κάντε κλικ στο κουμπί Έναρξη, έπειτα στην επιλογή Προγράμματα, έπειτα στην επιλογή Εργαλεία διαχείρισης, και στη συνέχεια κάντε κλικ στο κουμπί Active Directory Users and Computers.
    2. Στο αριστερό τμήμα του παραθύρου, εντοπίστε τον τομέα στον οποίο εφαρμόζεται η πολιτική που θέλετε να επεξεργαστείτε.
    3. Κάντε δεξιό κλικ στον τομέα και στη συνέχεια κάντε κλικ στο κουμπί Ιδιότητες.
    4. Κάντε κλικ στην επιλογή του Πολιτική ομάδας στην καρτέλα.
    5. Κάντε κλικ στην επιλογή του Πολιτική προεπιλεγμένου τομέα πολιτικής ομάδας το αντικείμενο και στη συνέχεια κάντε κλικ Επεξεργασία. Ανοίγει ένα νέο παράθυρο.
    6. Στο αριστερό παράθυρο, αναπτύξτε τα ακόλουθα στοιχεία:
      • Ρύθμιση παραμέτρων υπολογιστή
      • Ρυθμίσεις των Windows
      • Ρυθμίσεις ασφαλείας
      • Πολιτική δημόσιου κλειδιού
    7. Κάντε δεξιό κλικ Αξιόπιστες αρχές έκδοσης πιστοποιητικών ρίζας.
    8. Επιλέξτε Όλες οι εργασίες, και στη συνέχεια κάντε κλικ στο κουμπί Εισαγωγή.
    9. Ακολουθήστε τις οδηγίες του Οδηγού εισαγωγής πιστοποιητικού.
    10. Κάντε κλικ στο κουμπί OK.
    11. Κλείσιμο του Πολιτική ομάδας το παράθυρο.
  3. Η προσθήκη του τρίτου έκδοση της αρχής έκδοσης Πιστοποιητικών στο χώρο αποθήκευσης NTAuth στον κατάλογο Active Directory.

    Το πιστοποιητικό έξυπνης κάρτας σύνδεσης πρέπει να εκδοθεί από μια αρχή έκδοσης Πιστοποιητικών που βρίσκεται στο χώρο αποθήκευσης NTAuth. Από προεπιλογή, τα Microsoft Enterprise CAs προστίθενται στο χώρο αποθήκευσης NTAuth.
    • Εάν δεν έχει καταχωρηθεί σωστά την CA που εξέδωσε το πιστοποιητικό έξυπνης κάρτας σύνδεσης ή τον τομέα ελεγκτή πιστοποιητικά στο χώρο αποθήκευσης NTAuth δεν λειτουργεί η διαδικασία σύνδεσης έξυπνης κάρτας. Η αντίστοιχη απάντηση είναι "Δεν είναι δυνατή Η επαλήθευση των πιστοποιήσεων".
    • Στο χώρο αποθήκευσης NTAuth βρίσκεται στο κοντέινερ ρύθμισης παραμέτρων για το σύμπλεγμα δομών. Για παράδειγμα, ένα δείγμα θέση είναι ως εξής:
      Υπηρεσίες κλειδί LDAP://SERVER1.name.com/CN=NTAuthCertificates,CN=Public, CN υπηρεσίες, CN = Configuration, DC = = όνομα, DC = com
    • Από προεπιλογή, αυτός ο χώρος αποθήκευσης δημιουργείται όταν εγκαθιστάτε το Microsoft εταιρική CA. Το αντικείμενο μπορούν επίσης να δημιουργηθούν με μη αυτόματο τρόπο χρησιμοποιώντας ADSIedit.msc στα εργαλεία υποστήριξης των Windows 2000 ή με χρήση του LDIFDE.Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
      295663Τρόπος εισαγωγής άλλου κατασκευαστή πιστοποίησης (CA) αρχής έκδοσης πιστοποιητικών στο χώρο αποθήκευσης Enterprise NTAuth
    • Το χαρακτηριστικό σχετικό είναι cACertificate, η οποία είναι μια συμβολοσειρά, η εκτίμηση πολλών λίστα πιστοποιητικών κωδικοποίηση ASN οκτάδα.

      Αφού τοποθετήσετε CA τρίτων κατασκευαστών στο χώρο αποθήκευσης NTAuth, πολιτική ομάδας που βασίζεται σε τομέα τοποθετεί ένα κλειδί μητρώου (αποτύπωση πιστοποιητικού) στην ακόλουθη θέση σε όλους τους υπολογιστές του τομέα:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Αυτό ανανεώνεται κάθε οκτώ ώρες σε σταθμούς εργασίας (το τυπικό πολιτικής ομάδας παλμική διάστημα).
  4. Αίτηση και να εγκαταστήσετε ένα πιστοποιητικό ελεγκτή τομέα σε ελεγκτή(-ών) τομέα. Κάθε ελεγκτής τομέα που πρόκειται για έλεγχο ταυτότητας χρηστών έξυπνης κάρτας πρέπει να έχετε ένα πιστοποιητικό ελεγκτή τομέα.

    Εάν εγκαταστήσετε ένα εταιρικό CA Microsoft σε ένα σύμπλεγμα δομών υπηρεσίας καταλόγου Active Directory, όλοι οι ελεγκτές τομέα αυτόματη εγγραφή για πιστοποιητικό ελεγκτή τομέα. Για περισσότερες πληροφορίες σχετικά με τις απαιτήσεις για τα πιστοποιητικά ελεγκτή τομέα από μια αρχή έκδοσης Πιστοποιητικών τρίτων κατασκευαστών, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    291010Απαιτήσεις για τα πιστοποιητικά του ελεγκτή τομέα από μια αρχή έκδοσης Πιστοποιητικών τρίτου
    ΣΗΜΕΊΩΣΗ: Το πιστοποιητικό ελεγκτή τομέα χρησιμοποιείται για έλεγχο ταυτότητας Secure Sockets Layer (SSL), κρυπτογράφησης Simple Mail Transfer Protocol (SMTP), απομακρυσμένη διαδικασία κλήσης (RPC) υπογραφή και η διαδικασία σύνδεσης έξυπνης κάρτας. Χρήση μη CA Microsoft - για να εκδώσετε ένα πιστοποιητικό σε έναν ελεγκτή τομέα ενδέχεται να προκαλέσει απροσδόκητη συμπεριφορά ή τα αποτελέσματα που δεν υποστηρίζεται. Ένα σωστά διαμορφωμένο πιστοποιητικό ή ένα πιστοποιητικό με το όνομα θέματος απουσία μπορεί να προκαλέσει αυτές ή για άλλες δυνατότητες να σταματήσει να ανταποκρίνεται.
  5. Αίτηση πιστοποιητικού έξυπνης κάρτας από την αρχή έκδοσης Πιστοποιητικών τρίτου.

    Εγγραφή για ένα πιστοποιητικό από την CA τρίτων κατασκευαστών που πληροί τις απαιτήσεις. Η μέθοδος για την εγγραφή ποικίλλει από τον προμηθευτή της αρχής έκδοσης Πιστοποιητικών.

    Το πιστοποιητικό έξυπνης κάρτας έχει συγκεκριμένη μορφή απαιτήσεις:
    • Θέση σημείου διανομής CRL (CDP) (όπου CRL είναι η λίστα ανάκλησης πιστοποιητικών) πρέπει να είναι συμπληρωμένο, λειτουργία και διαθέσιμο. Για παράδειγμα:
      [1]Σημείο διανομής CRL
      Όνομα σημείου διανομής:
      Ονοματεπώνυμο:
      URL=HTTP://SERVER1.name.com/CertEnroll/CAName.CRL
    • Χρήση κλειδιού = Ψηφιακή υπογραφή
    • Βασικοί περιορισμοί [Τύπος θέματος = Τέλος οντότητας, περιορισμός μήκους διαδρομής = None] (Προαιρετικό)
    • Βελτιωμένη χρήση κλειδιού =
      • Έλεγχος ταυτότητας υπολογιστή-πελάτη (1.3.6.1.5.5.7.3.2)
        (Το πρόγραμμα-πελάτης ταυτότητας OID) είναι απαραίτητη μόνο εάν ένα πιστοποιητικό χρησιμοποιείται για έλεγχο ταυτότητας SSL).
      • Σύνδεση έξυπνης κάρτας (1.3.6.1.4.1.311.20.2.2)
    • Εναλλακτικό όνομα θέματος = Όνομα άλλες: Κύριο όνομα = (UPN). Για παράδειγμα:
      UPN = user1@name.com
      Το OID UPN OtherName είναι: "1.3.6.1.4.1.311.20.2.3"
      Η τιμή UPN OtherName: πρέπει να είναι συμβολοσειρά UTF8 κωδικοποίησης ASN1 δεν είναι έγκυρη
    • Θέμα = Αποκλειστικό όνομα του χρήστη. Αυτό το πεδίο είναι μια υποχρεωτική επέκταση αλλά πληθυσμού σε αυτό το πεδίο είναι προαιρετικό.
  6. Υπάρχουν δύο τύποι προκαθορισμένες των ιδιωτικών κλειδιών. Αυτά τα κλειδιά Υπογραφή Only(AT_SIGNATURE) και Πλήκτρο Exchange(AT_KEYEXCHANGE). Τα πιστοποιητικά σύνδεσης έξυπνης κάρτας πρέπει να έχετε ένα Πλήκτρο Exchange(AT_KEYEXCHANGE) Τύπος ιδιωτικού κλειδιού για σύνδεση έξυπνης κάρτας για να λειτουργήσουν σωστά.
  7. Εγκατάσταση προγραμμάτων οδήγησης έξυπνης κάρτας και λογισμικό στο σταθμό εργασίας έξυπνης κάρτας.

    Βεβαιωθείτε ότι το λογισμικό ανάγνωσης έξυπνης κάρτας κατάλληλη συσκευή και το πρόγραμμα οδήγησης είναι εγκατεστημένο στο σταθμό εργασίας έξυπνης κάρτας. Αυτό διαφέρει από τον προμηθευτή μονάδα ανάγνωσης έξυπνης κάρτας.
  8. Εγκαταστήστε το πιστοποιητικό έξυπνης κάρτας κατασκευαστών σε την έξυπνη κάρτα. Πώς να το κάνετε ποικίλλει σύμφωνα με την υπηρεσία παροχής κρυπτογράφησης (CSP) και από τον προμηθευτή έξυπνης κάρτας. Δείτε φακέλου του προμηθευτή για οδηγίες.
  9. Συνδεθείτε στο σταθμό εργασίας με την έξυπνη κάρτα.

Πιθανά προβλήματα

Κατά τη διάρκεια της σύνδεσης έξυπνης κάρτας είναι το πιο κοινό μήνυμα λάθους που εμφανίζεται:
Δεν ήταν δυνατή η σύνδεσή σας το σύστημα. Δεν ήταν δυνατή η επαλήθευση των πιστοποιήσεών σας.
Αυτό είναι ένα γενικό μήνυμα λάθους και μπορεί να είναι αποτέλεσμα ενός ή περισσότερων διάφορα ζητήματα που περιγράφονται παρακάτω.

Προβλήματα πιστοποιητικού και ρύθμισης παραμέτρων

  • Ο ελεγκτής τομέα έχει κανένα πιστοποιητικό ελεγκτή τομέα.
  • Το SubjAltName το πεδίο του πιστοποιητικού έξυπνης κάρτας έχουν εσφαλμένη μορφή. Εάν οι πληροφορίες στο πεδίο SubjAltName εμφανίζεται ως δεκαεξαδικό / ASCII ανεπεξέργαστα δεδομένα, τη μορφοποίηση του κειμένου δεν είναι ASN1 / UTF-8.
  • Ο ελεγκτής τομέα έχει ένα πιστοποιητικό άλλως ακατάλληλη ή είναι ελλιπείς.
  • Για κάθε μία από τις ακόλουθες συνθήκες, πρέπει να ζητήσει ένα νέο πιστοποιητικό έγκυρο τομέα ελεγκτή. Εάν το πιστοποιητικό ελεγκτή έγκυρο τομέα έχει λήξει, μπορεί να ανανεώσει το πιστοποιητικό ελεγκτή τομέα, αλλά αυτή η διαδικασία είναι πιο σύνθετη και συνήθως είναι πιο δύσκολο από εάν αίτηση νέου πιστοποιητικού ελεγκτή τομέα.
    • Το πιστοποιητικό ελεγκτή τομέα έχει λήξει.
    • Ο ελεγκτής τομέα έχει μη αξιόπιστο πιστοποιητικό. Εάν στο χώρο αποθήκευσης NTAuth περιέχει το πιστοποιητικό αρχή έκδοσης (CA) πιστοποιητικών του πιστοποιητικού του ελεγκτή τομέα αρχή έκδοσης Πιστοποιητικών, πρέπει να προσθέσετε στο χώρο αποθήκευσης NTAuth ή απόκτησης ενός πιστοποιητικού ελεγκτή Τομέα από μια αρχή Έκδοσης πιστοποιητικών των οποίων βρίσκεται στο χώρο αποθήκευσης NTAuth.

      Εάν το ελεγκτές τομέα ή σε σταθμούς εργασίας έξυπνης κάρτας δεν θεωρείτε αξιόπιστη αρχή έκδοσης Πιστοποιητικών ρίζας που chains το πιστοποιητικό στον ελεγκτή τομέα, πρέπει να ρυθμίσετε αυτούς τους υπολογιστές να εμπιστευτείτε αυτήν την αρχή έκδοσης Πιστοποιητικών ρίζας.
    • Η έξυπνη κάρτα έχει ένα μη αξιόπιστο πιστοποιητικό. Εάν στο χώρο αποθήκευσης NTAuth περιέχουν πιστοποιητικού αρχής έκδοσης Πιστοποιητικών του πιστοποιητικού έξυπνης κάρτας αρχή έκδοσης Πιστοποιητικών, πρέπει να προσθέσετε στο χώρο αποθήκευσης NTAuth ή αποκτήσετε ένα πιστοποιητικό έξυπνης κάρτας από μια αρχή Έκδοσης πιστοποιητικών των οποίων βρίσκεται στο χώρο αποθήκευσης NTAuth.

      Εάν το ελεγκτές τομέα ή σε σταθμούς εργασίας έξυπνης κάρτας δεν θεωρείτε αξιόπιστη αρχή έκδοσης Πιστοποιητικών ρίζας που chains το πιστοποιητικό έξυπνης κάρτας στο χρήστη, πρέπει να ρυθμίσετε αυτούς τους υπολογιστές να εμπιστευτείτε αυτήν την αρχή έκδοσης Πιστοποιητικών ρίζας.
    • Το πιστοποιητικό έξυπνης κάρτας δεν εγκατασταθεί στο χώρο αποθήκευσης του χρήστη στο σταθμό εργασίας. Το πιστοποιητικό το οποίο είναι αποθηκευμένο το έξυπνης κάρτας πρέπει να βρίσκονται στο σταθμό εργασίας έξυπνης κάρτας στο προφίλ χρήστη που συνδέονται με την έξυπνη κάρτα.

      ΣΗΜΕΊΩΣΗ: Δεν πρέπει να αποθηκεύσετε το ιδιωτικό κλειδί στο προφίλ του χρήστη στο σταθμό εργασίας. Απαιτείται μόνο για να αποθηκευτούν σε την έξυπνη κάρτα.
    • Το πιστοποιητικό έξυπνης κάρτας σωστό ή το ιδιωτικό κλειδί δεν είναι εγκατεστημένο στον την έξυπνη κάρτα. Το πιστοποιητικό έξυπνης κάρτας έγκυρη πρέπει να εγκατασταθεί σε της έξυπνης κάρτας με το ιδιωτικό κλειδί και το πιστοποιητικό πρέπει να ταιριάζει με ένα πιστοποιητικό αποθηκευμένο προφίλ χρήστη έξυπνης κάρτας στο σταθμό εργασίας έξυπνης κάρτας.
    • Το πιστοποιητικό έξυπνης κάρτας δεν είναι δυνατό να ανακτηθεί από τη μονάδα ανάγνωσης έξυπνης κάρτας. Αυτό είναι ένα πρόβλημα με το υλικό μονάδα ανάγνωσης έξυπνης κάρτας ή το λογισμικό προγράμματος οδήγησης της μονάδας ανάγνωσης έξυπνης κάρτας. Βεβαιωθείτε ότι μπορείτε να χρησιμοποιήσετε το λογισμικό του προμηθευτή μονάδα ανάγνωσης έξυπνης κάρτας για να προβάλετε το πιστοποιητικό και το ιδιωτικό κλειδί για την έξυπνη κάρτα.
    • Το πιστοποιητικό έξυπνης κάρτας έχει λήξει.
    • Κανένα χρήστη κύριο όνομα (UPN) είναι διαθέσιμη για την επέκταση SubjAltName του πιστοποιητικού έξυπνης κάρτας.
    • Έχουν εσφαλμένη μορφή UPN στο πεδίο SubjAltName του πιστοποιητικού έξυπνης κάρτας. Εάν οι πληροφορίες της SubjAltName εμφανίζεται ως δεκαεξαδικό / ASCII ανεπεξέργαστα δεδομένα, τη μορφοποίηση του κειμένου δεν είναι ASN1 / UTF-8.
    • Η έξυπνη κάρτα έχει ένα πιστοποιητικό άλλως ακατάλληλη ή είναι ελλιπείς. Για κάθε μία από αυτές τις συνθήκες, πρέπει να ζητήσετε ένα νέο πιστοποιητικό έξυπνης κάρτας έγκυρη και εγκατάσταση σε την έξυπνη κάρτα και στο προφίλ χρήστη στο σταθμό εργασίας έξυπνης κάρτας. Το πιστοποιητικό έξυπνης κάρτας πρέπει να πληρούν τις απαιτήσεις που περιγράφονται παραπάνω σε αυτό το άρθρο, τα οποία περιλαμβάνουν ένα σωστά μορφοποιημένο πεδίο UPN στο πεδίο SubjAltName.

      Εάν το πιστοποιητικό έξυπνης κάρτας έγκυρη σας έχει λήξει, μπορεί επίσης να ανανεώσετε το πιστοποιητικό έξυπνης κάρτας, αλλά αυτό είναι συνήθως πιο περίπλοκη και δύσκολη από την αίτηση για νέο πιστοποιητικό έξυπνης κάρτας.
    • Ο χρήστης δεν διαθέτει μια UPN ορίζεται τους λογαριασμό χρήστη της υπηρεσίας καταλόγου Active Directory. Ο λογαριασμός χρήστη της υπηρεσίας καταλόγου Active Directory πρέπει να έχετε ένα έγκυρο UPN στην ιδιότητα userPrincipalName λογαριασμός χρήστη της υπηρεσίας καταλόγου Active Directory ο χρήστης έξυπνης κάρτας.
    • UPN στο πιστοποιητικό δεν ταιριάζει UPN ορίζονται στο λογαριασμό χρήστη της υπηρεσίας καταλόγου Active Directory του χρήστη. Πρέπει να διορθώσετε UPN λογαριασμός χρήστη της υπηρεσίας καταλόγου Active Directory ή επανέκδοσης πιστοποιητικό της έξυπνης κάρτας, έτσι ώστε το UPN τιμή στο πεδίο SubjAltName αποτελέσματα με το χρήστη έξυπνης κάρτας UPN στο λογαριασμό χρήστη υπηρεσίας καταλόγου Active Directory users έξυπνης κάρτας. Συνιστάται η έξυπνη κάρτα UPN συμφωνεί με το χαρακτηριστικό του λογαριασμού χρήστη userPrincipalName για CAs τρίτων κατασκευαστών. Ωστόσο, εάν UPN στο πιστοποιητικό είναι "implict UPN" του λογαριασμού (μορφής samAccountName@domain_FQDN), το UPN πρέπει να ταιριάζει με την ιδιότητα userPrincipalName ρητά.

Προβλήματα ελέγχου ανάκλησης

Εάν η ανάκληση αποτυγχάνει όταν ο ελεγκτής τομέα επικυρώνει το πιστοποιητικό έξυπνης κάρτας σύνδεσης, ο ελεγκτής τομέα αρνείται τη σύνδεση. Ο ελεγκτής τομέα μπορεί να επιστρέψει το μήνυμα λάθους που αναφέρθηκε νωρίτερα ή το ακόλουθο μήνυμα λάθους:
Δεν ήταν δυνατή η σύνδεσή σας το σύστημα. Το πιστοποιητικό έξυπνης κάρτας που χρησιμοποιείται για έλεγχο ταυτότητας δεν ήταν αξιόπιστο.
ΣΗΜΕΊΩΣΗ: Αποτυχία για την εύρεση και λήψη λίστας ανάκλησης πιστοποιητικών (CRL), ένα μη έγκυρο CRL, ένα πιστοποιητικό που έχει ανακληθεί και η κατάσταση ανάκλησης "Άγνωστο" είναι όλα θεωρούνται αποτυχίες ανάκλησης.

Έλεγχος ανάκλησης πρέπει να ολοκληρωθεί με επιτυχία από το πρόγραμμα-πελάτη και του ελεγκτή τομέα. Βεβαιωθείτε ότι οι παρακάτω είναι αληθές:
  • Έλεγχος ανάκλησης δεν απενεργοποιείται.

    Ο έλεγχος ανάκλησης για ενσωματωμένες ανάκληση παροχής δεν μπορεί να απενεργοποιηθεί. Εάν είναι εγκατεστημένη η υπηρεσία παροχής προσαρμοσμένης εγκατάστασης ανάκλησης, πρέπει να ενεργοποιηθεί.
  • Κάθε πιστοποιητικό CA, εκτός από την αρχή έκδοσης Πιστοποιητικών ρίζας της αλληλουχίας πιστοποιητικών περιέχει μια έγκυρη επέκταση CDP του πιστοποιητικού.
  • Το ΚΕΑ έχει ένα πεδίο επόμενη ενημερωμένη έκδοση και η CRL είναι ενημερωμένο. Μπορείτε να ελέγξετε ότι η CRL είναι ηλεκτρονικά από το CDP και έγκυρη κάνοντας λήψη από το Internet Explorer. Θα πρέπει να κάνετε λήψη και να προβάλετε CRL από οποιαδήποτε HyperText Transport Protocol (HTTP) ή File Transfer Protocol (FTP) CDPs του Internet Explorer από την έξυπνη κάρτα ή τις θέσεις εργασίας και ελεγκτή(-ών) τομέα.
Βεβαιωθείτε ότι κάθε μοναδικό HTTP και FTP CDP που χρησιμοποιείται από το πιστοποιητικό στην εταιρεία σας είναι συνδεδεμένες και διαθέσιμες.

Για να επαληθεύσετε ότι μια CRL είναι συνδεδεμένες και διαθέσιμες από HTTP CDP ή FTP:
  1. Για να ανοίξετε το εν λόγω πιστοποιητικό, κάντε διπλό κλικ στο αρχείο .cer ή κάντε διπλό κλικ στο πιστοποιητικό στο χώρο αποθήκευσης.
  2. Κάντε κλικ στην επιλογή του Λεπτομέρειες καρτέλα, μετακινηθείτε προς τα κάτω και επιλέξτε το Σημείο διανομής CRL το πεδίο.
  3. Στο κάτω παράθυρο, επισημάνετε το πλήρες FTP ή HTTP ομοιόμορφου εντοπισμού πόρων (URL) και αντιγράψτε το.
  4. Ανοίξτε τον Internet Explorer και να επικολλήσετε τη διεύθυνση URL σε το Διεύθυνση γραμμή.
  5. Όταν εμφανιστεί η προτροπή, ενεργοποιήστε την επιλογή Άνοιγμα το ΚΕΑ.
  6. Βεβαιωθείτε ότι υπάρχει ένα Επόμενη ενημέρωση το ΚΕΑ και την ώρα στο πεδίο της Επόμενη ενημέρωση το πεδίο δεν έχει περάσει.
Για να κάνετε λήψη ή να επαληθεύσετε ότι μια Lightweight Directory Access Protocol (LDAP) CDP είναι έγκυρη, πρέπει να συντάξετε μια δέσμη ενεργειών ή μια εφαρμογή λήψης το ΚΕΑ. Μετά τη λήψη και το άνοιγμα της CRL, βεβαιωθείτε ότι υπάρχει ένα Επόμενη ενημέρωση το πεδίο της CRL και την ώρα στο πεδίο επόμενη ενημερωμένη έκδοση δεν έχει περάσει.

Υποστήριξη

Υπηρεσίες υποστήριξης προϊόντων της Microsoft δεν υποστηρίζει τη διαδικασία σύνδεσης κατασκευαστών CA έξυπνης κάρτας εάν καθορίζεται ένα ή περισσότερα από τα ακόλουθα στοιχεία συμβάλλει στο πρόβλημα:
  • Πιστοποιητικό εσφαλμένη μορφή.
  • Κατάσταση πιστοποιητικού ή κατάσταση ανάκλησης δεν είναι διαθέσιμες από την αρχή έκδοσης Πιστοποιητικών τρίτου.
  • Θέματα εγγραφής πιστοποιητικού από μια αρχή έκδοσης Πιστοποιητικών άλλου κατασκευαστή.
  • CA άλλου κατασκευαστή δεν είναι δυνατό να δημοσιεύσετε υπηρεσίας καταλόγου Active Directory.
  • Ένα τρίτο CSP.

Πρόσθετες πληροφορίες

Ο υπολογιστής-πελάτης ελέγχει το πιστοποιητικό στον ελεγκτή τομέα. Ο τοπικός υπολογιστής λαμβάνει επομένως CRL για το πιστοποιητικό ελεγκτή τομέα στην CRL cache.

Η διαδικασία σύνδεσης χωρίς σύνδεση περιλαμβάνει πιστοποιητικά, μόνο προσωρινά αποθηκευμένες πιστοποιήσεις.

Για να επιβάλετε στο χώρο αποθήκευσης NTAuth να συμπληρώνεται αμέσως στον τοπικό υπολογιστή αντί να περιμένετε την επόμενη μεταβίβαση πολιτικής ομάδας, εκτελέστε την ακόλουθη εντολή για την προετοιμασία μιας ενημέρωσης πολιτικής ομάδας:
dsstore.exe-παλμική κλήση

Επίσης να ένδειξης πληροφορίες έξυπνης κάρτας στον Windows Server 2003 και στα Windows XP, χρησιμοποιώντας το Certutil.exe - scinfo η εντολή.

Ιδιότητες

Αναγν. άρθρου: 281245 - Τελευταία αναθεώρηση: Κυριακή, 29 Μαΐου 2011 - Αναθεώρηση: 4.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
Λέξεις-κλειδιά: 
kbenv kbinfo kbtool kbmt KB281245 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:281245

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com