Instrucciones para habilitar el inicio de sesión mediante tarjeta inteligente con entidades emisoras de certificados terceras

Id. de artículo: 281245 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E281245
Expandir todo | Contraer todo

En esta página

Resumen

Si sigue las instrucciones de este artículo puede habilitar un proceso de inicio de sesión mediante tarjeta inteligente con Microsoft Windows 2000 y una entidad emisora de certificados (CA) distinta de Microsoft. Hay compatibilidad limitada para esta configuración, como se describe más adelante en este artículo.
Volver al principio | Enviar comentarios

Más información

Requisitos

La autenticación mediante tarjeta inteligente en Active Directory requiere que las estaciones de trabajo con tarjeta inteligente, Active Directory y los controladores de dominio de Active Directory estén configurados correctamente. Active Directory debe confiar en una entidad de certificación para autenticar a usuarios en función de los certificados de esa CA. Las estaciones de trabajo con tarjeta inteligente y los controladores de dominio se deben configurar con certificados configurados correctamente.

Como ocurre con cualquier implementación de PKI, todas las partes deben confiar en la CA raíz a la que está encadenada la CA emisora. Tanto los controladores de dominio como las estaciones de trabajo con tarjeta inteligente confían en esta raíz.

Active Directory y la configuración de los controladores de dominio

  • Necesario: Active Directory debe tener la CA emisora de terceros en el almacén NTAuth para poder autenticar a los usuarios en el directorio activo.
  • Necesario: Los controladores de dominio deben configurarse con un certificado de controlador de dominio para autenticar a usuarios de tarjeta inteligente.
  • Opcional: Active Directory se puede configurar para distribuir la CA raíz de terceros en el almacén de la CA raíz de confianza de todos los miembros del dominio utilizando la Directiva de grupo.

Requisitos de los certificados con tarjeta inteligente y estaciones de trabajo

  • Necesario: Se deben cumplir todos los requisitos de tarjeta inteligente descritos en la sección "Instrucciones de configuración", incluyendo el formato de texto de los campos. Se produce un error en la autenticación mediante tarjeta inteligente si no se cumplen esos requisitos.
  • Necesario: La clave privada y de la tarjeta inteligente se deben instalar en la tarjeta inteligente.

Instrucciones de configuración

  1. Exporte o descargue el certificado raíz de terceros. La forma de obtener el certificado raíz de terceros varía según el proveedor. El certificado debe tener formato X.509 codificado en Base64.
  2. Agregue la CA raíz de terceros a las raíces de confianza en un objeto de directiva de grupo de Active Directory. Para configurar Directiva de grupo en el dominio de Windows 2000 con el fin de distribuir la CA de terceros en el almacén raíz de confianza de todos los equipos del dominio:
    1. Haga clic en Inicio, seleccione Programas y Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
    2. En el panel izquierdo, busque el dominio en el que se aplica la directiva que desea editar.
    3. Haga clic con el botón secundario del mouse (ratón) en el dominio y, a continuación, haga clic en Propiedades.
    4. Haga clic en la ficha Directiva de grupo.
    5. Haga clic en el objeto Directiva de dominio predeterminada y, a continuación, haga clic en Editar. Se abrirá una nueva ventana.
    6. En el panel izquierdo, expanda los elementos siguientes:
      • Configuración del equipo
      • Configuración de Windows
      • Configuración de seguridad
      • Directiva de claves públicas
    7. Haga clic con el botón secundario del mouse en Entidades emisoras raíz de confianza.
    8. Seleccione Todas las tareas y haga clic en Importar.
    9. Siga las instrucciones del asistente para importar el certificado.
    10. Haga clic en Aceptar.
    11. Cierre la ventana Directiva de grupo.
  3. Agregue la CA emisora de otro fabricante al almacén NTAuth en Active Directory.

    El certificado de inicio de sesión mediante tarjeta inteligente debe emitirlo una CA que esté en el almacén NTAuth. De forma predeterminada, las CA de empresa de Microsoft se agregan al almacén NTAuth.
    • Si la CA que emitió el certificado de inicio de sesión mediante tarjeta inteligente o los certificados de controlador de dominio no se envía correctamente al almacén NTAuth, el proceso de inicio de sesión mediante tarjeta inteligente no funcionará. La respuesta correspondiente es "No se pueden comprobar las credenciales".
    • El almacén NTAuth se encuentra en el contenedor Configuration para el bosque. Por ejemplo, he aquí una ubicación de ejemplo:
      LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com
    • De forma predeterminada, este almacén se crea al instalar una CA de empresa de Microsoft. El objeto también se puede crear manualmente con ADSIedit.msc, incluida en las herramientas de soporte de Windows 2000, o con LDIFDE. Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      295663
      (http://support.microsoft.com/kb/295663/ )
      Cómo importar certificados de entidades de certificación terceras en el almacén Enterprise NTAuth
    • El atributo relevante es cACertificate, que es una lista de cadenas en octetos con múltiples valores de certificados codificados en ASN.

      Después de poner la CA de terceros en el almacén NTAuth, Directiva de grupo basada en el dominio coloca una clave del Registro (una huella del certificado) en la siguiente ubicación en todos los equipos del dominio:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Este sitio se actualiza cada ocho horas en las estaciones de trabajo (el intervalo de Directiva de grupo típico).
  4. Solicite e instale un certificado de controlador de dominio en los controladores de dominio. Cada controlador de dominio que vaya a autenticar a usuarios de tarjeta inteligente debe tener un certificado de controlador de dominio.

    Si instala una CA de empresa de Microsoft en un bosque de Active Directory, todos los controladores de dominio solicitarán automáticamente un certificado de controlador de dominio. Para obtener más información acerca de los requisitos para los certificados de controlador de dominio de una CA de terceros, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    291010
    (http://support.microsoft.com/kb/291010/ )
    Requisitos de los certificados de controlador de dominio de una CA de terceros
    NOTA
     El certificado de controlador de dominio se utiliza para la autenticación de Capa de sockets seguros (SSL), el cifrado del Protocolo simple de transferencia de correo (SMTP), la firma de Llamada a procedimiento remoto (RPC) y el proceso de inicio de sesión mediante tarjeta inteligente. El uso de una CA que no sea de Microsoft para emitir un certificado a un controlador de dominio puede producir un comportamiento inesperado o resultados no admitidos. Un certificado con formato incorrecto o un certificado donde no figure el nombre del asunto puede hacer que éstas u otras funciones dejen de responder.
  5. Solicite un certificado de tarjeta inteligente a la CA de terceros.

    Solicite un certificado de la CA de terceros que cumpla los requisitos establecidos. El método para la solicitud varía según el proveedor de la CA.

    El certificado de tarjeta inteligente tiene unos requisitos de formato concretos:
    • La ubicación del Punto de distribución de CRL (CDP), donde CRL es la Lista de revocación de certificados, debe estar llena, en conexión y disponible. Por ejemplo:
      [1]Punto de distribución CRL
      Nombre del punto de distribución:
      Nombre completo:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • Uso de claves = firma digital
    • Restricciones básicas [Tipo de asunto=Entidad final, Restricción de longitud de ruta=Ninguna] (Opcional)
    • Uso mejorado de claves =
      • Autenticación del cliente (1.3.6.1.5.5.7.3.2)
        (El OID de autenticación del cliente sólo es necesario si se utiliza un certificado para la autenticación SSL.)
      • Inicio de sesión de tarjeta inteligente (1.3.6.1.4.1.311.20.2.2)
    • Nombre alternativo del sujeto = Otro nombre: Nombre principal= (UPN). Por ejemplo:
      UPN = usuario1@nombre.com
      El OID OtherName UPN es: "1.3.6.1.4.1.311.20.2.3"
      El valor OtherName UPN: debe ser una cadena UTF8 codificada en ASN1
    • Asunto = Nombre completo del usuario. Este campo es una extensión obligatoria, pero es opcional rellenarlo.
  6. Hay dos tipos predefinidos de claves privadas. Estas claves son Sólo de firma (AT_SIGNATURE) y clave de intercambio (AT_KEYEXCHANGE). Los certificados de inicio de sesión con tarjeta inteligente deben tener una clave de intercambio (AT_KEYEXCHANGE) privada para que el inicio de sesión con tarjeta inteligente funcione correctamente.
  7. Instale controladores y software de tarjeta inteligente en la estación de trabajo con tarjeta inteligente.

    Asegúrese de que el dispositivo lector de tarjeta inteligente y el software de controlador adecuados estén instalados en la estación de trabajo con tarjeta inteligente. Esto varía según el proveedor del lector de tarjetas inteligentes.
  8. Instale el certificado de tarjeta inteligente de terceros en la estación de trabajo con tarjeta inteligente.

    Si la tarjeta inteligente no está ya en el almacén personal del usuario de la tarjeta inteligente en el proceso de solicitud del paso 4, debe importar el certificado en el almacén personal del usuario. Para ello:
    1. Abra la Microsoft Management Console (MMC) que contiene el complemento Certificados.
    2. En el árbol de consola, bajo Personal, haga clic en Certificados.
    3. En el menú Todas las tareas, haga clic en Importar para iniciar el Asistente para importación de certificados.
    4. Haga clic en el archivo que contiene los certificados que está importando.

      NOTA
       Si el archivo que contiene los certificados es un archivo de Intercambio de información personal (PKCS #12), escriba la contraseña que utilizó para cifrar la clave privada, haga clic para activar la casilla de verificación adecuada si desea que la clave privada sea exportable y, a continuación, active la protección de la clave privada con una contraseña (si desea utilizar esta característica).

      NOTA
       Para activar la protección de la clave privada con una contraseña, debe utilizar el modo de vista Almacenes lógicos de certificados.
    5. Seleccione la opción para poner automáticamente el certificado en un almacén de certificados según el tipo de certificado.
  9. Instale el certificado de tarjeta inteligente de terceros en la tarjeta inteligente. La forma de hacerlo varía según el Proveedor de servicios de cifrado (CSP) y el proveedor de la tarjeta inteligente. Consulte la documentación del proveedor para ver instrucciones al respecto.
  10. Inicie sesión en la estación de trabajo con la tarjeta inteligente.

Problemas posibles

Durante el inicio de sesión mediante tarjeta inteligente, el mensaje de error que suele aparecer con más frecuencia es:
El sistema no puede iniciar su sesión. No se pudieron comprobar sus credenciales.
Se trata de un mensaje de error genérico y puede ser el resultado de uno o varios de los problemas que se describen a continuación.

Problemas con el certificado y la configuración

  • El controlador de dominio no tiene ningún certificado de controlador de dominio.
  • El campo SubjAltName del certificado de tarjeta inteligente tiene un formato erróneo. Si la información del campo SubjAltName aparece como datos sin procesar hexadecimales/ASCII, el formato del texto no es ASN1/UTF-8.
  • El controlador de dominio tiene un certificado mal formado o incompleto.
  • Para cada una de las condiciones siguientes, debe solicitar un nuevo certificado de controlador de dominio válido. Si su certificado de controlador de dominio válido ha caducado puede renovarlo, pero este proceso es más complejo y suele ser más difícil que solicitar un nuevo certificado de controlador de dominio.
    • El certificado de controlador de dominio ha caducado.
    • El controlador de dominio tiene un certificado que no es de confianza. Si el almacén NTAuth no contiene el certificado de la entidad emisora de certificados (CA) que emite el certificado de controlador de dominio, debe agregarlo al almacén NTAuth u obtener un certificado de DC de una CA emisora cuyo certificado resida en el almacén NTAuth.

      Si los controladores de dominio o las estaciones de trabajo con tarjeta inteligente no confían en la CA raíz a la que se encadena el certificado de controlador de dominio, debe configurar esos equipos para que confíen en esa CA raíz.
    • La tarjeta inteligente tiene un certificado que no es de confianza. Si el almacén NTAuth no contiene el certificado de la CA que emite el certificado de tarjeta inteligente, debe agregarlo al almacén NTAuth u obtener un certificado de tarjeta inteligente de una CA emisora cuyo certificado resida en el almacén NTAuth.

      Si los controladores de dominio o las estaciones de trabajo con tarjeta inteligente no confían en la CA raíz a la que se encadena el certificado de tarjeta inteligente del usuario, debe configurar esos equipos para que confíen en esa CA raíz.
    • El certificado de la tarjeta inteligente no está instalado en el almacén del usuario en la estación de trabajo. El certificado almacenado en la tarjeta inteligente debe residir en la estación de trabajo con tarjeta inteligente en el perfil del usuario que está iniciando sesión con la tarjeta inteligente.

      NOTA
       No tiene que almacenar la clave privada en el perfil del usuario en la estación de trabajo. Sólo tiene que estar almacenado en la tarjeta inteligente.
    • El certificado de tarjeta inteligente o la clave privada correctos no están instalados en la tarjeta inteligente. El certificado de tarjeta inteligente válido debe instalarse en la tarjeta inteligente con la clave privada y el certificado debe coincidir con un certificado almacenado en el perfil del usuario de la tarjeta inteligente en la estación de trabajo con tarjeta inteligente.
    • El certificado de la tarjeta inteligente no se puede recuperar del lector de tarjetas inteligentes. Puede tratarse de un problema con el hardware del lector de tarjetas inteligentes o con el software de controlador del lector de tarjetas inteligentes. Compruebe que puede utilizar el software del proveedor del lector de tarjetas inteligentes para ver el certificado y la clave privada de la tarjeta inteligente.
    • El certificado de tarjeta inteligente ha caducado.
    • No hay ningún Nombre principal del usuario (UPN) en la extensión SubjAltName del certificado de tarjeta inteligente.
    • El UPN del campo SubjAltName del certificado de tarjeta inteligente tiene un formato incorrecto. Si la información del campo SubjAltName aparece como datos sin procesar hexadecimales/ASCII, el formato del texto no es ASN1/UTF-8.
    • La tarjeta inteligente tiene un certificado incorrecto o incompleto. Para cada una de estas condiciones, debe solicitar un nuevo certificado de tarjeta inteligente válido e instalarlo en la tarjeta inteligente y en el perfil del usuario en la estación de trabajo con tarjeta inteligente. El certificado de tarjeta inteligente debe cumplir los requisitos descritos anteriormente en este artículo, que incluyen un campo UPN con un formato correcto en el campo SubjAltName.

      Si su certificado de tarjeta inteligente válido ha caducado puede renovarlo, pero suele ser más complejo y más difícil que solicitar un nuevo certificado de tarjeta inteligente.
    • El usuario no tiene un UPN definido en su cuenta de usuario de Active Directory. La cuenta del usuario en Active Directory debe tener un UPN válido en la propiedad userPrincipalName de la cuenta de usuario de Active Directory del usuario de la tarjeta inteligente.
    • El UPN del certificado no coincide con el UPN definido en la cuenta de usuario de Active Directory del usuario. Debe corregir el UPN en la cuenta de usuario de Active Directory del usuario de la tarjeta inteligente o volver a emitir el certificado de tarjeta inteligente para que el valor UPN del campo SubjAltName coincida con el UPN de la cuenta de usuario de Active Directory del usuario de la tarjeta inteligente. Recomendamos que el UPN de la tarjeta inteligente se corresponda con el atributo de cuenta de usuario userPrincipalName de las CA de terceros. Sin embargo, si el UPN del certificado es el "UPN implícito" de la cuenta (con el formato nombreCuentaSam@dominio_FQDN), el UPN no tiene que coincidir explícitamente con la propiedad userPrincipalName.

Problemas al comprobar la revocación

Si la comprobación de las revocaciones fracasa cuando el controlador de dominio valida el certificado de inicio de sesión mediante tarjeta inteligente, el controlador de dominio deniega el inicio de sesión. El controlador de dominio puede devolver el mensaje de error mencionado anteriormente o el mensaje de error siguiente:
El sistema no puede iniciar su sesión. El certificado de tarjeta inteligente utilizado para autenticación no es de confianza.
NOTA
 Si no se puede encontrar y descargar la Lista de revocación de certificados (CRL), una CRL no válida, un certificado revocado y un estado de revocación "desconocido" se consideran todos errores de revocación.

La comprobación de revocación debe tener éxito tanto en el cliente como en el controlador de dominio. Asegúrese de que lo siguiente es cierto:
  • La comprobación de revocación no está desactivada.

    La comprobación de revocación para los proveedores de revocación integrados no se puede desactivar. Si se instala un proveedor de revocación instalable personalizado, debe estar activado.
  • Todos los certificados de CA, excepto la CA raíz de la cadena de certificados, contienen una extensión CDP válida en el certificado.
  • La CRL tiene un campo Próxima actualización y está actualizada. Puede comprobar que la CRL está en conexión en el CDP y es válida descargándola desde Internet Explorer. Debe poder descargar y ver la CRL desde cualquiera de los CDP del Protocolo de transporte de hipertexto (HTTP) o del Protocolo de transferencia de archivos (FTP) en Internet Explorer tanto desde las estaciones de trabajo con tarjeta inteligente como desde los controladores de dominio.
Compruebe que todos los CDP HTTP y FTP únicos utilizados por un certificado en su empresa están en conexión y disponibles.

Para comprobar que una CRL está en conexión y disponible desde un CDP FTP o HTTP:
  1. Para abrir el certificado en cuestión, haga doble clic en el archivo .cer o haga doble clic en el certificado en el almacén.
  2. Haga clic en la ficha Detalles, desplácese hacia abajo y seleccione el campo Punto de distribución CRL.
  3. En el panel inferior, resalte toda la dirección URL FTP o HTTP y cópiela.
  4. Abra Internet Explorer y pegue la dirección URL en la barra Dirección.
  5. Cuando reciba el indicador, seleccione la opción para Abrir la CRL.
  6. Asegúrese de que hay un campo Próxima actualización en la CRL y que no se ha superado la hora que figura en el campo Próxima actualización.
Para descargar o comprobar que un CDP del Protocolo ligero de acceso a directorios (LDAP) es válido, debe escribir una secuencia de comandos o una aplicación para descargar la CRL. Después de descargar y abrir la CRL, asegúrese de que hay un campo Próxima actualización en la CRL y que no se ha superado la hora que figura en dicho campo.

Soporte técnico

Los servicios de soporte técnico de Microsoft no abarcan el proceso de inicio de sesión mediante tarjeta inteligente de una CA de terceros si se determina que uno o varios de los elementos siguientes contribuye al problema:
  • Formato del certificado incorrecto.
  • Estado del certificado o estado de revocación no disponible en la CA de terceros.
  • Problemas de solicitud de certificado de una entidad emisora de terceros.
  • La CA de terceros no puede publicar en Active Directory.
  • Un CSP de otro fabricante.

Información adicional

El equipo cliente comprueba el certificado del controlador de dominio. Por tanto, el equipo local descarga una CRL para el certificado de controlador de dominio en la caché de CRL.

En el proceso de inicio de sesión sin conexión no se utilizan certificados, sólo credenciales almacenadas en caché.

Para forzar que el almacén NTAuth se llene inmediatamente en un equipo local en lugar de esperar a la siguiente propagación de Directiva de grupo, ejecute el comando siguiente para iniciar una actualización de Directiva de grupo:
dsstore.exe -pulse

También puede volcar la información de la tarjeta inteligente en Windows Server 2003 y en Windows XP utilizando el comando Certutil.exe -scinfo.

Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 281245 - Última revisión: viernes, 12 de octubre de 2007 - Versión: 5.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbinfo kbtool kbenv KB281245
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio