Instructions pour l'activation de l'ouverture de session par carte à puce avec des autorités de certification tierces

Traductions disponibles Traductions disponibles
Numéro d'article: 281245 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Les instructions fournies dans cet article vous permettent d'activer le processus d'ouverture de session par carte à puce avec Microsoft Windows 2000 et une autorité de certification non-Microsoft. Cette configuration n'est prise en charge que de façon limitée, comme décrit plus loin dans cet article.

Plus d'informations

Conditions requises

Dans Active Directory, l'authentification par carte à puce requiert que les stations de travail à carte à puce, Active Directory et les contrôleurs de domaine Active Directory soient correctement configurés. Active Directory doit approuver une autorité de certification de manière à authentifier les utilisateurs à l'aide des certificats délivrés par cette dernière. Les stations de travail à carte à puce et les contrôleurs de domaine doivent être configurés à l'aide de certificats correctement configurés.

Comme avec toute implémentation PKI, toutes les parties concernées doivent approuver l'autorité de certification racine à laquelle est liée l'autorité de certification émettrice. Les contrôleurs de domaine et les stations de travail à carte à puce approuvent cette autorité racine.

Configuration d'Active Directory et du contrôleur de domaine

  • Configuration requise : Dans Active Directory, l'autorité de certification émettrice tierce qui figure dans le magasin NTAuth doit authentifier les utilisateurs.
  • Configuration requise : Les contrôleurs de domaine doivent être configurés avec un certificat de contrôleur de domaine afin d'authentifier les utilisateurs de carte à puce.
  • Facultatif : Active Directory peut être configuré de manière à distribuer l'autorité de certification racine tierce dans le magasin d'autorités de certification racines de confiance de tous les membres du domaine à l'aide de la Stratégie de groupe.

Configuration requise pour les certificats et les stations de travail pour cartes à puce

  • Configuration requise : Toutes les conditions requises pour les cartes à puce, telles que définies dans la section « Instructions de configuration » doivent être remplies, y compris la mise en forme du texte des champs. Dans le cas contraire, l'authentification de carte à puce échouera.
  • Configuration requise : La clé de carte à puce et la clé privée doivent être installées sur la carte à puce.

Instructions de configuration

  1. Exportez ou téléchargez le certificat racine tiers. La méthode d'obtention du certificat racine tiers varie en fonction du fournisseur. Il doit s'agir d'un certificat X.509 codé en Base64.
  2. Ajoutez l'autorité de certification racine tierce aux autorités racines de confiance dans un objet Stratégie de groupe Active Directory. Pour configurer la Stratégie de groupe dans le domaine Windows 2000 de manière à distribuer l'autorité de certification tierce dans le magasin d'autorités de certification racines de confiance de tous les ordinateurs du domaine :
    1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
    2. Dans le volet gauche, recherchez le domaine dans lequel est appliquée la stratégie que vous voulez modifier.
    3. Cliquez avec le bouton droit sur le domaine, puis cliquez sur Propriétés.
    4. Cliquez sur l'onglet Stratégie de groupe.
    5. Cliquez sur l'objet Stratégie de groupe de la stratégie de domaine par défaut, puis sur Modifier. Une nouvelle fenêtre s'affiche.
    6. Dans le volet gauche, développez les éléments suivants :
      • Configuration ordinateur
      • Paramètres Windows
      • Paramètres de sécurité
      • Stratégie de clé publique
    7. Cliquez avec le bouton droit sur Autorités de certification racines de confiance.
    8. Sélectionnez Toutes les tâches, puis cliquez sur Importer.
    9. Suivez les instructions de l'Assistant pour importer le certificat.
    10. Cliquez sur OK.
    11. Fermez la fenêtre Stratégie de groupe.
  3. Ajoutez l'autorité de certification émettrice tierce au magasin NtAuth dans Active Directory.

    Le certificat d'ouverture de session par carte à puce doit être délivré par une autorité de certification figurant dans le magasin NTAuth. Par défaut, les autorités de certification Microsoft Enterprise sont ajoutées au magasin NTAuth.
    • Si l'autorité de certification qui a délivré le certificat d'ouverture de session par carte à puce ou les certificats de contrôleur de domaine n'est pas correctement ajoutée au magasin NTAuth, le processus d'ouverture de session par carte à puce échoue. Dans ce cas, un message indique qu'il n'a pas été possible de vérifier les informations d'identification de l'utilisateur.
    • Le magasin NTAuth se trouve dans le conteneur Configuration de la forêt. Par exemple, il peut se trouver à l'emplacement suivant :
      LDAP://nom.serveur1.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com
    • Par défaut, ce magasin est créé lorsque vous installez un autorité de certification Microsoft Enterprise. L'objet peut également être créé manuellement à l'aide de ADSIedit.msc (inclus dans les outils d'assistance Windows 2000) ou de LDIFDE. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
      295663 Comment faire pour importer des certificats délivrés par des autorités de certification tierces dans le magasin NTAuth de Microsoft Enterprise
    • L'attribut approprié est cACertificate : il s'agit d'une chaîne octet qui est une liste à plusieurs valeurs contenant des certificats codés en ASN.

      Après avoir placé l'autorité de certification tierce dans le magasin NTAuth, la Stratégie de groupe du domaine place une clé de Registre (une empreinte numérique du certificat) à l'emplacement suivant sur tous les ordinateurs du domaine :
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Les stations de travail sont actualisées toutes les 8 heures (intervalle standard de la Stratégie de groupe).
  4. Demandez et installez un certificat de contrôleur de domaine sur les contrôleurs de domaine. Chaque contrôleur de domaine devant authentifier des utilisateurs de carte à puce doit disposer d'un certificat de contrôleur de domaine.

    Si vous installez une autorité de certification Microsoft Enterprise dans une forêt Active Directory, tous les contrôleurs de domaine s'inscrivent automatiquement pour un certificat de contrôleur de domaine.

    Pour plus d'informations sur les conditions requises pour les certificats de contrôleur de domaine délivrés par une autorité de certification tierce, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    291010 Conditions requises pour les certificats de contrôleur de domaine délivrés par une autorité de certification tierce
    REMARQUE : le certificat de contrôleur de domaine est utilisé pour l'authentification SSL (Secure Sockets Layer), le chiffrement SMTP (Simple Mail Transfer Protocole), la signature d'appel de procédure distante (RPC) et le processus d'ouverture de session par carte à puce. La délivrance d'un certificat de contrôleur de domaine par une autorité de certification non-Windows peut provoquer un comportement inattendu et des résultats non pris en charge. Un certificat dont la mise en forme est incorrecte ou dont le nom d'objet est manquant peut provoquer l'arrêt de ces fonctionnalités, voire d'autres fonctionnalités.
  5. Obtenez un certificat de carte à puce auprès d'une autorité de certification tierce.

    Inscrivez-vous pour un certificat délivré par une autorité de certification tierce répondant aux conditions spécifiées. La méthode d'inscription varie en fonction de l'autorité de certification.

    Le certificat de carte à puce doit avoir un format spécifique :
    • L'emplacement correspondant aux points de distribution de la liste de révocation de certificats (CRL) doit être rempli, en ligne et disponible. Par exemple :
      [1]Point de distribution de la liste de révocation de certificats
      Nom du point de distribution :
      Nom complet :
      URL=http://nom.serveur1.com/CertEnroll/caname.crl
    • Utilisation de la clé = Signature numérique
    • Contraintes de base [Type d'objet=Entité finale, Contrainte de longueur de chemin d'accès=Aucune] (Facultatif)
    • Utilisation avancée de la clé =
      • Authentification du client (1.3.6.1.5.5.7.3.2)
        (L'OID d'authentification du client est requis uniquement en cas d'utilisation d'un certificat pour l'authentification SSL.)
      • Ouverture de session par carte à puce (1.3.6.1.4.1.311.20.2.2)
    • Autre nom de l'objet = Autre nom : Nom principal = (UPN). Par exemple :
      UPN = utilisateur1@nom.com
      L'OID de l'autre nom de l'objet UPN est : "1.3.6.1.4.1.311.20.2.3"
      Valeur d'Autre nom de l'objet UPN : doit être une chaîne UTF8 codée en ASN1
    • Objet = Nom unique de l'utilisateur. Ce champ est une extension obligatoire, mais son remplissage est facultatif.
  6. Installez les pilotes et le logiciel de carte à puce sur la station de travail à carte à puce.

    Assurez-vous que le lecteur de carte à puce approprié et son logiciel pilote sont installés sur la station de travail à carte à puce. Cela varie en fonction du fournisseur du lecteur de carte à puce.
  7. Installez le certificat de carte à puce tiers sur la station de travail à carte à puce.

    Si la carte à puce n'a pas déjà été mise dans le magasin personnel de l'utilisateur de carte à puce au cours de l'étape 4 du processus d'inscription, vous devez importer le certificat dans le magasin personnel de l'utilisateur. Pour cela, procédez comme suit :
    1. Ouvrez la console MMC (Microsoft Management Console) contenant le composant logiciel enfichable Certificats.
    2. Dans l'arborescence de la console, sous Personnel, cliquez sur Certificats.
    3. Dans le menu Toutes les tâches, cliquez sur Importer pour démarrer l'Assistant Importation de certificat.
    4. Cliquez sur le fichier contenant les certificats à importer.

      REMARQUE : si le fichier contenant les certificats est un fichier de type Personal Informations Exchange (PKCS #12), tapez le mot de passe utilisé pour chiffrer la clé privée, cliquez pour activer la case à cocher appropriée si vous voulez que la clé privée soit exportable, puis activez la protection renforcée de clés privées (si vous souhaitez utiliser cette fonctionnalité).

      REMARQUE : pour activer la protection renforcée de clés privées, vous devez utiliser le mode d'affichage Magasins de certificats logiques.
    5. Sélectionnez l'option permettant de mettre automatiquement le certificat dans un magasin de certificats en fonction du type du certificat.
  8. Installez le certificat de carte à puce tiers sur la carte à puce. La procédure d'installation varie en fonction du fournisseur de services de chiffrement (CSP) et de celui de la carte à puce. Consultez la documentation du fournisseur pour obtenir des instructions.
  9. Ouvrez une session sur la station de travail à l'aide de la carte à puce.

Problèmes éventuels

Lors de l'ouverture de session à l'aide de la carte à puce, le message d'erreur qui s'affiche le plus souvent est le suivant :
Le système n'a pas pu ouvrir votre session. Impossible de vérifier vos informations d'identification.
Ce message d'erreur générique peut résulter d'un ou de plusieurs des problèmes détaillés ci-après.

Problèmes liés aux certificats et à la configuration

  • Le contrôleur de domaine n'a pas de certificat de contrôleur de domaine.
  • La mise en forme du champ SubjAltName du certificat de carte à puce est incorrecte. Si le contenu du champ SubjAltName s'affiche sous forme de données brutes hexadécimales/ASCII, la mise en forme du texte n'utilise pas le format ASN1/UTF-8.
  • Le certificat du contrôleur de domaine est incorrect ou incomplet.
  • Pour chacune des conditions suivantes, vous devez demander un nouveau certificat de contrôleur de domaine valide. Si votre certificat de contrôleur de domaine valide a expiré, vous pouvez le renouveler, mais ce processus est plus complexe et en général plus difficile que la demande d'un nouveau certificat de contrôleur de domaine.
    • Le certificat de contrôleur de domaine a expiré.
    • Le certificat du contrôleur de domaine n'est pas de confiance. Si le magasin NTAuth ne contient pas le certificat délivré par l'autorité de certification du contrôleur de domaine, vous devez l'ajouter au magasin NTAuth ou obtenir un certificat de contrôleur de domaine d'une autorité de certification émettrice dont le certificat se trouve dans le magasin NTAuth.

      Si les contrôleurs de domaine ou les stations de travail à carte à puce n'approuvent pas l'autorité de certification racine à laquelle est lié le certificat du contrôleur de domaine, vous devez configurer ces ordinateurs de manière à ce qu'ils approuvent cette autorité de certification racine.
    • Le certificat de la carte à puce n'est pas de confiance. Si le magasin NTAuth ne contient pas le certificat délivré par l'autorité de certification de la carte à puce, vous devez l'ajouter au magasin NTAuth ou obtenir un certificat de carte à puce d'une autorité de certification émettrice dont le certificat se trouve dans le magasin NTAuth.

      Si les contrôleurs de domaine ou les stations de travail à carte à puce n'approuvent pas l'autorité de certification racine à laquelle est lié le certificat de la carte à puce, vous devez configurer ces ordinateurs de manière à ce qu'ils approuvent cette autorité de certification racine.
    • Le certificat de la carte à puce n'est pas installé dans le magasin de l'utilisateur sur la station de travail. Le certificat qui est stocké sur la carte à puce doit résider sur la station de travail à carte à puce, dans le profil de l'utilisateur qui ouvre une session à l'aide de la carte à puce.

      REMARQUE : il n'est pas nécessaire de stocker la clé privée dans le profil de l'utilisateur sur la station de travail. Elle doit uniquement être stockée sur la carte à puce.
    • Le certificat de carte à puce ou la clé privée approprié n'est pas installé sur la carte à puce. Le certificat de carte à puce valide doit être installé sur la carte à puce avec la clé privée et le certificat doit correspondre à un certificat stocké dans le profil de l'utilisateur de la carte à puce sur la station de travail à carte à puce.
    • Le certificat de carte à puce ne peut pas être récupéré sur le lecteur de carte à puce. Le problème peut provenir du matériel du lecteur de carte à puce ou de son logiciel pilote. Assurez-vous que vous pouvez utiliser le logiciel du fournisseur du lecteur de carte à puce pour vérifier le certificat et la clé privée sur la carte à puce.
    • Le certificat de la carte à puce a expiré.
    • Aucun nom d'utilisateur principal (UPN) ne figure dans l'extension SubjAltName du certificat de carte à puce.
    • La mise en forme du nom d'utilisateur principal (UPN) est incorrecte dans le champ SubjAltName. Si le contenu du champ SubjAltName s'affiche sous forme de données brutes hexadécimales/ASCII, la mise en forme du texte n'utilise pas le format ASN1/UTF-8.
    • Le certificat de la carte à puce est incorrect ou incomplet. Pour chacune de ces conditions, vous devez demander un nouveau certificat de carte à puce valide et l'installer sur la carte à puce et dans le profil de l'utilisateur, sur la station de travail à carte à puce. Le certificat de carte à puce doit satisfaire aux conditions décrites précédemment dans cet article, notamment comporter un nom d'utilisateur principal (UPN) correctement mis en forme dans le champ SubjAltName.

      Si votre certificat de carte à puce valide a expiré, vous pouvez le renouveler, mais cette opération s'avère généralement plus complexe que la demande d'un nouveau certificat de carte à puce.
    • Aucun nom d'utilisateur principal n'a été défini pour l'utilisateur dans son compte d'utilisateur Active Directory. Dans Active Directory, le compte de l'utilisateur doit comporter un nom d'utilisateur principal (UPN) valide dans la propriété userPrincipalName du compte d'utilisateur Active Directory de l'utilisateur de la carte à puce.
    • Le nom d'utilisateur principal du certificat ne correspond pas à celui défini dans le compte d'utilisateur Active Directory de l'utilisateur. Vous devez rectifier le nom d'utilisateur principal dans le compte d'utilisateur Active Directory de l'utilisateur de la carte à puce ou redélivrer le certificat de carte à puce de manière à ce que le nom d'utilisateur principal figurant dans le champ SubjAltName corresponde au nom d'utilisateur principal du compte d'utilisateur Active Directory de l'utilisateur de la carte à puce. Il est recommandé de faire correspondre le nom d'utilisateur principal de la carte à puce à l'attribut userPrincipalName du compte d'utilisateur pour les autorités de certification tierces. Toutefois, si le nom d'utilisateur principal du certificat est le « nom d'utilisateur principal implicite » du compte (avec le format samAccountName@domain_FQDN), il n'est pas nécessaire que le nom d'utilisateur principal corresponde explicitement à la propriété userPrincipalName.

Problèmes liés à la vérification de révocation

Si la vérification de révocation échoue lorsque le contrôleur de domaine valide le certificat d'ouverture de session par carte à puce, celui-ci refuse l'ouverture de session. Le contrôleur de domaine peut retourner le message d'erreur mentionné plus haut ou le message d'erreur suivant :
Le système n'a pas pu vous ouvrir de session. Le certificat de la carte à puce utilisé pour l'authentification n'a pas été jugé digne de confiance.
REMARQUE : le fait de ne pas rechercher et télécharger la liste de révocation de certificats (CRL), une liste de révocation de certificats non valide, un certificat révoqué ou un état de révocation « inconnu » sont tous considérés comme des erreurs de révocation.

La vérification de révocation doit réussir tant au niveau du contrôleur du client qu'à celui du contrôleur du domaine. Assurez-vous que les conditions suivantes sont vraies :
  • La vérification de révocation n'est pas désactivée.

    La vérification de révocation ne peut pas être désactivée pour les fournisseurs de vérification de révocation intégrés. Si un fournisseur de vérification de révocation installable personnalisé est installé, il doit être activé.
  • Chaque certificat d'autorité de certification dans la chaîne de certificats, hormis l'autorité de certification racine, contient une extension CDP valide.
  • La liste de révocation de certificats est à jour et elle comporte un champ Prochaine mise à jour. Vous pouvez vérifier que la liste de révocation de certificats est en ligne au point de distribution de liste de révocation de certificats (CDP) et qu'elle est valide en la téléchargeant à partir d'Internet Explorer. À partir des stations de travail à carte à puce et des contrôleurs de domaine, vous devez être en mesure de télécharger et consulter la liste de révocation de certificats à partir de n'importe quel point de distribution de liste de révocation de certificats HTTP ou FTP dans Internet Explorer.
Vérifiez que chaque point de distribution de liste de révocation de certificats HTTP et FTP unique utilisé par un certificat dans votre entreprise est en ligne et disponible.

Pour vérifier qu'une liste de révocation de certificats est en ligne et disponible à partir d'un point de distribution de liste de révocation de certificats FTP ou HTTP :
  1. Pour ouvrir le certificat en question, double-cliquez sur le fichier .cer ou sur le certificat dans le magasin.
  2. Cliquez sur l'onglet Détails, faites défiler vers le bas et sélectionnez le champ Point de distribution de la liste de révocation de certificats.
  3. Dans le volet inférieur, mettez en surbrillance l'ensemble de l'URL FTP ou HTTP et copiez-la.
  4. Ouvrez Internet Explorer et collez l'URL dans la barre d'adresse.
  5. Lorsque vous y êtes invité, sélectionnez l'option pour Ouvrir la liste de révocation de certificats.
  6. Vérifiez que la liste de révocation de certificats comporte un champ Prochaine mise à jour et que la date spécifiée dans ce champ n'est pas dépassée.
Pour télécharger ou vérifier qu'une liste de révocation de certificats LDAP (Lightweight Directory Access Protocol) est valide, vous devez écrire un script ou une application afin de pouvoir télécharger la liste. Après avoir téléchargé et ouvert la liste de révocation de certificats, assurez-vous que celle-ci comporte un champ Prochaine mise à jour et que la date spécifiée dans ce champ n'est pas dépassée.

Prise en charge

Les services de support technique de Microsoft ne prennent pas en charge le processus d'ouverture de session par carte à puce d'autorités de certification tierces s'il s'avère que le problème est dû à l'un ou plusieurs des causes suivantes :
  • Le format de certificat est incorrect.
  • L'état du certificat ou l'état de révocation n'est pas disponible auprès de l'autorité de certification tierce.
  • L'inscription d'un certificat pose problème au niveau d'une autorité de certification tierce.
  • L'autorité de certification tierce ne peut pas publier le certificat dans Active Directory.
  • Le problème est lié à un fournisseur de services de chiffrement tiers.

Informations supplémentaires

L'ordinateur client vérifie le certificat du contrôleur de domaine. Par conséquent, l'ordinateur local télécharge une liste de révocation de certificats pour le certificat du contrôleur de domaine dans le cache de listes de révocation de certificats.

Le processus d'ouverture de session hors connexion ne requiert pas de certificats, mais uniquement des informations d'identification mises en cache.

Pour forcer le remplissage immédiat du magasin NTAuth sur un ordinateur local au lieu d'attendre la prochaine propagation de la Stratégie de groupe, exécutez la commande suivante afin d'initialiser une mise à jour de la Stratégie de groupe :
dsstore.exe -pulse

Dans Windows Server 2003 et Windows XP, vous pouvez également vider les informations des cartes à puce à l'aide de la commande Certutil.exe - scinfo.

Propriétés

Numéro d'article: 281245 - Dernière mise à jour: vendredi 12 octobre 2007 - Version: 5.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
Mots-clés : 
kbinfo kbtool kbenv KB281245
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com