Pedoman untuk mengaktifkan kartu pintar logon dengan pihak ketiga sertifikasi otoritas

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 281245 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Anda dapat mengaktifkan proses logon kartu pintar dengan Microsoft Windows 2000 dan non-Microsoft sertifikasi authority (CA) dengan mengikuti petunjuk dalam artikel ini. Ada dukungan terbatas untuk konfigurasi, seperti dijelaskan selanjutnya dalam artikel ini.

INFORMASI LEBIH LANJUT

Persyaratan

Smart Card otentikasi ke Active Directory memerlukan Smartcard workstation, direktori aktif, dan pengontrol domain direktori aktif yang dikonfigurasi dengan benar. Active Directory harus percaya otoritas sertifikasi untuk mengotentikasi pengguna berdasarkan sertifikat dari CA itu. Smartcard workstation dan pengontrol domain harus dikonfigurasi dengan sertifikat dikonfigurasi dengan benar.

Seperti dengan setiap pelaksanaan PKI, semua pihak harus percaya CA akar yang mengeluarkan CA rantai. Kontroler domain dan workstation smartcard kepercayaan akar ini.

Active Directory dan domain controller konfigurasi

  • Data diperlukan: Active Directory harus CA mengeluarkan pihak ketiga toko NTAuth untuk mengotentikasi pengguna untuk active directory.
  • Data diperlukan: Pengontrol Domain harus dikonfigurasi dengan sertifikat kontroler domain untuk mengotentikasi pengguna smartcard.
  • Opsional: Active Directory dapat dikonfigurasi untuk mendistribusikan akar pihak ketiga CA ke toko terpercaya akar CA semua anggota domain yang menggunakan kebijakan grup.

Smartcard sertifikat dan workstation persyaratan

  • Data diperlukan: Semua smartcard persyaratan yang diuraikan dalam bagian "Petunjuk konfigurasi" harus dipenuhi, termasuk pemformatan teks bidang. Smartcard otentikasi gagal jika mereka tidak terpenuhi.
  • Data diperlukan: Smartcard dan kunci privat harus diinstal pada smartcard.

Konfigurasi petunjuk

  1. Ekspor atau men-download sertifikat root pihak ketiga. Bagaimana untuk mendapatkan Partai akar sertifikat bervariasi oleh vendor. Sertifikat harus dalam format Base64 dikodekan X.509.
  2. Tambahkan akar pihak ketiga CA ke akar terpercaya dalam objek kebijakan grup direktori aktif. Untuk mengkonfigurasi kebijakan grup dalam Windows 2000 domain untuk mendistribusikan CA pihak ketiga untuk toko terpercaya akar dari semua domain komputer:
    1. Klik Mulai, arahkan ke Program, arahkan ke Alat administratif, lalu klik Direktori pengguna dan komputer active.
    2. Dalam pane kiri, mencari domain yang Anda ingin mengedit kebijakan yang diterapkan.
    3. Klik kanan domain, dan kemudian klik Properti.
    4. Klik Kebijakan Grup tab.
    5. Klik Kebijakan default Domain kebijakan grup objek, dan kemudian klik Mengedit. Jendela baru akan terbuka.
    6. Dalam pane kiri, memperluas item berikut:
      • Konfigurasi komputer
      • Pengaturan Windows
      • Pengaturan keamanan
      • Kebijakan kunci publik
    7. Klik kanan Otoritas sertifikasi akar yang dipercaya.
    8. Pilih Semua tugas, lalu klik Impor.
    9. Ikuti petunjuk dalam Wisaya impor sertifikat.
    10. Klik Oke.
    11. Dekat Kebijakan Grup jendela.
  3. Tambahkan pihak ketiga mengeluarkan CA NTAuth toko di Active Directory.

    Kartu pintar logon sertifikat harus dikeluarkan dari CA yang ada di toko NTAuth. Secara default, Microsoft Enterprise CAs ditambahkan ke toko NTAuth.
    • Jika CA yang mengeluarkan kartu pintar logon sertifikat atau domain controller sertifikat tidak benar diposting di toko NTAuth, proses logon kartu pintar tidak bekerja. Sesuai jawabannya adalah "Tidak dapat memverifikasi kredensial".
    • Toko NTAuth terletak di wadah konfigurasi untuk hutan. Sebagai contoh, lokasi sampel adalah sebagai berikut:
      LDAP://server1.name.com/cn=NTAuthCertificates,cn=Public kunci layanan, CN = layanan, CN = konfigurasi, DC = nama, DC = com
    • Secara default, toko ini dibuat ketika Anda menginstal Microsoft Enterprise CA. Objek juga dapat dibuat secara manual dengan menggunakan ADSIedit.msc dalam alat dukungan Windows 2000 atau dengan menggunakan LDIFDE.Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      295663Bagaimana untuk mengimpor sertifikat otoritas (CA) pihak ketiga sertifikasi ke toko Enterprise NTAuth
    • Atribut yang relevan adalah cACertificate, yang merupakan oktet String, senilai beberapa daftar dikodekan ASN sertifikat.

      Setelah Anda menempatkan CA pihak ketiga di toko NTAuth, Domain berbasis kebijakan grup tempat kunci registri (cap jempol sertifikat) di lokasi berikut pada semua komputer dalam domain:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Ini refresh setiap delapan jam pada workstation (khas kebijakan grup pulsa interval).
  4. Minta dan instal sertifikat kontroler domain pada domain controller (s). Setiap kontroler domain yang akan untuk mengotentikasi pengguna smartcard harus memiliki sertifikat kontroler domain.

    Jika Anda menginstal Microsoft Enterprise CA di forest Active Directory, semua pengontrol domain secara otomatis mendaftar untuk sertifikat kontroler domain. Untuk informasi selengkapnya tentang persyaratan untuk domain controller sertifikat dari CA pihak ketiga, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    291010Persyaratan untuk domain controller sertifikat dari pihak ketiga CA
    CATATAN: Sertifikat kontroler domain digunakan untuk Secure Sockets Layer (SSL) otentikasi, protokol Transfer surat sederhana (SMTP) enkripsi, Remote prosedur Call (RPC) menandatangani dan proses logon smart card. Menggunakan non - Microsoft CA untuk mengeluarkan sertifikat untuk kontroler domain dapat menyebabkan perilaku yang tidak diharapkan atau hasil tidak didukung. Sertifikat tidak semestinya diformat atau sertifikat dengan nama subjek yang menghilang mungkin menyebabkan ini atau kemampuan lain berhenti merespons.
  5. Meminta kartu pintar sertifikat dari pihak ketiga CA.

    Mendaftar untuk sertifikat dari CA pihak ketiga yang memenuhi persyaratan yang dinyatakan. Metode untuk pendaftaran bervariasi oleh CA vendor.

    Sertifikat kartu pintar memiliki persyaratan tertentu format:
    • Lokasi CRL distribusi titik (CDP) (di mana CRL adalah daftar pencabutan sertifikat) harus penduduknya, online, dan tersedia. Misalnya:
      [1]Titik distribusi CRL
      Nama titik distribusi:
      Nama lengkap:
      URL=http://server1.name.com/CertEnroll/caname.CRL
    • Penggunaan utama = Tanda tangan digital
    • Kendala dasar [Subjek Type = akhir entitas, jalan panjang kendala = tidak ada] (Opsional)
    • Peningkatan penggunaan kunci =
      • Otentikasi klien (1.3.6.1.5.5.7.3.2)
        (OID otentikasi klien) adalah hanya diperlukan jika sertifikat digunakan untuk SSL.)
      • Kartu pintar Logon (1.3.6.1.4.1.311.20.2.2)
    • Nama Alternatif subjek = Nama lain: Nama utama = (UPN). Misalnya:
      UPN = user1@name.com
      UPN OtherName OID adalah: "1.3.6.1.4.1.311.20.2.3"
      Nilai UPN OtherName: harus dikodekan ASN1 UTF8 string
    • Subjek = Nama dibedakan dari pengguna. Bidang ini adalah ekstensi wajib, tetapi penduduk dari bidang ini opsional.
  6. Ada dua jenis kunci privat yang standar. Kunci Tanda tangan Only(AT_SIGNATURE) dan Kunci Exchange(AT_KEYEXCHANGE). Smartcard logon sertifikat harus Kunci Exchange(AT_KEYEXCHANGE) swasta kunci tipe agar smartcard logon untuk berfungsi dengan benar.
  7. Menginstal smartcard driver dan software ke smartcard workstation.

    Pastikan bahwa sesuai smartcard pembaca perangkat dan pengandar perangkat lunak diinstal pada smartcard workstation. Ini bervariasi oleh smartcard pembaca vendor.
  8. Menginstal sertifikat smartcard pihak ketiga ke smartcard. Bagaimana melakukan ini bervariasi menurut penyedia layanan kriptografi (CSP) dan oleh smartcard vendor. Lihat dokumentasi penjual untuk petunjuk.
  9. Logon ke komputer dengan smartcard.

Mungkin masalah

Selama smartcard masuk, pesan kesalahan yang paling umum yang dilihat adalah:
Sistem dapat login Anda. Kredensial Anda tidak dapat diverifikasi.
Ini adalah pesan galat generik dan dapat hasil dari satu atau lebih dari beberapa masalah yang dijelaskan di bawah ini.

Sertifikat dan konfigurasi masalah

  • Kontroler domain telah tidak ada sertifikat kontroler domain.
  • The SubjAltName bidang sertifikat smartcard buruk diformat. Jika informasi dalam bidang SubjAltName muncul sebagai heksadesimal / data mentah ASCII, format teks tidak ASN1 / UTF-8.
  • Kontroler domain telah sertifikat sebaliknya Ping atau tidak lengkap.
  • Untuk masing-masing kondisi berikut, Anda harus meminta sertifikat kontroler domain yang valid baru. Jika Anda kontroler domain yang valid sertifikat telah kedaluwarsa, Anda dapat memperbarui sertifikat kontroler domain, namun proses ini lebih kompleks dan biasanya lebih sulit daripada jika Anda meminta sertifikat kontroler domain baru.
    • Domain controller sertifikat telah kedaluwarsa.
    • Kontroler domain telah sertifikat tidak terpercaya. Jika toko NTAuth berisi sertifikat otoritas (CA) sertifikasi sertifikat kontroler domain mengeluarkan CA, Anda harus menambahkannya ke NTAuth toko atau mendapatkan sertifikat DC dari CA mengeluarkan sertifikat yang tinggal di toko NTAuth.

      Jika pengontrol domain atau smartcard workstation tidak percaya CA akar yang kontroler domain sertifikat rantai, maka Anda harus mengkonfigurasi komputer mereka untuk percaya bahwa akar CA.
    • Smartcard memiliki sertifikat tidak terpercaya. Jika toko NTAuth berisi sertifikat CA sertifikat smartcard mengeluarkan CA, Anda harus menambahkannya ke NTAuth toko atau mendapatkan sertifikat smartcard dari CA mengeluarkan sertifikat yang tinggal di toko NTAuth.

      Jika pengontrol domain atau smartcard workstation tidak percaya CA akar yang pengguna smartcard sertifikat rantai, maka Anda harus mengkonfigurasi komputer mereka untuk percaya bahwa akar CA.
    • Sertifikat kartu pintar tidak diinstal di toko pengguna pada workstation. Sertifikat yang disimpan pada smartcard harus berada pada smartcard workstation di profil pengguna yang logon dengan kartu pintar.

      CATATAN: Anda tidak perlu menyimpan kunci pribadi di profil pengguna di komputer. Hanya diperlukan untuk disimpan pada smartcard.
    • Benar smartcard sertifikat atau kunci pribadi tidak diinstal pada smartcard. Sertifikat sah smartcard harus diinstal pada smartcard dengan kunci privat dan sertifikat harus cocok dengan sertifikat yang disimpan dalam profil pengguna smartcard pada smartcard workstation.
    • Sertifikat kartu pintar tidak dapat diperoleh dari pembaca smartcard. Ini bisa menjadi masalah dengan pembaca smartcard perangkat keras atau perangkat lunak pembaca smartcard sopir. Verifikasi bahwa Anda dapat menggunakan smartcard pembaca vendor perangkat lunak untuk melihat sertifikat dan kunci privat di smartcard.
    • Smartcard sertifikat telah kedaluwarsa.
    • Tidak ada pengguna utama nama (UPN) tersedia di perpanjangan SubjAltName sertifikat smartcard.
    • UPN bidang SubjAltName sertifikat smartcard buruk diformat. Jika informasi dalam SubjAltName muncul sebagai heksadesimal / data mentah ASCII, format teks tidak ASN1 / UTF-8.
    • Smartcard memiliki sertifikat sebaliknya Ping atau tidak lengkap. Untuk masing-masing kondisi ini, Anda harus meminta sertifikat sah smartcard baru dan menginstalnya ke smartcard dan ke profil pengguna pada smartcard workstation. Sertifikat smartcard harus memenuhi persyaratan yang dijelaskan sebelumnya dalam artikel ini, yang meliputi bidang UPN telah diformat dengan benar di bidang SubjAltName.

      Jika Anda berlaku smartcard sertifikat telah kedaluwarsa, Anda juga dapat memperbarui sertifikat smartcard, tapi ini biasanya lebih rumit dan sulit daripada meminta sertifikat smartcard baru.
    • Pengguna tidak memiliki UPN didefinisikan dalam account pengguna direktori aktif mereka. Account pengguna di direktori aktif harus berlaku UPN milik userPrincipalName smartcard pengguna account pengguna direktori aktif.
    • UPN dalam Sertifikat tidak cocok UPN didefinisikan dalam pengguna account pengguna direktori aktif. Anda harus benar UPN smartcard pengguna account pengguna direktori aktif atau smartcard sertifikat sehingga UPN nilai di bidang SubjAltName pertandingan ulang UPN di smartcard pengguna account pengguna direktori aktif. Kami merekomendasikan bahwa kartu pintar UPN match atribut userPrincipalName pengguna account untuk pihak ketiga CAs. Namun, jika UPN dalam sertifikat "implict UPN" account (format samAccountName@domain_FQDN), UPN tidak harus cocok userPrincipalName properti secara eksplisit.

Pencabutan memeriksa masalah

Jika pembatalan memeriksa gagal ketika kontroler domain memvalidasi kartu pintar logon sertifikat, kontroler domain menyangkal masuk. Kontroler domain dapat mengembalikan pesan galat yang disebutkan sebelumnya atau pesan galat berikut:
Sistem dapat login Anda. Sertifikat smartcard digunakan untuk otentikasi adalah tidak terpercaya.
CATATAN: Gagal untuk menemukan dan men-download daftar pencabutan sertifikat (CRL), CRL tidak sah, sertifikat dicabut, dan pembatalan status "tidak diketahui" adalah semua dianggap pencabutan kegagalan.

Periksa pencabutan harus berhasil dari klien dan kontroler domain. Pastikan berikut ini benar:
  • Pencabutan memeriksa tidak dimatikan.

    Pencabutan memeriksa pencabutan built-in penyedia tidak dapat dimatikan. Jika penyedia kustom diinstal pencabutan terinstal, itu harus diaktifkan.
  • Sertifikat CA setiap kecuali akar CA pada rantai sertifikat berisi ekstensi CDP berlaku dalam sertifikat.
  • CRL memiliki lapangan Update berikutnya dan CRL up to date. Anda dapat memeriksa bahwa CRL online di CDP dan berlaku dengan men-download dari Internet Explorer. Anda harus dapat men-download dan melihat CRL dari HyperText Transport Protocol (HTTP) atau File Transfer Protocol (FTP) CDPs di Internet Explorer dari smartcard workstation(s) dan domain controller (s).
Verifikasi bahwa masing-masing unik HTTP dan FTP CDP yang digunakan oleh sertifikat dalam perusahaan Anda online dan tersedia.

Untuk memverifikasi bahwa CRL online dan tersedia dari FTP atau HTTP CDP:
  1. Untuk membuka sertifikat tersebut, klik dua kali pada .cer file atau klik dua kali sertifikat di toko.
  2. Klik Rincian tab, gulir ke bawah dan pilih Titik distribusi CRL lapangan.
  3. Dalam pane bawah, sorot penuh FTP atau HTTP Uniform Resource Locator (URL) dan menyalinnya.
  4. Buka Internet Explorer dan paste URL ke Alamat bar.
  5. Ketika Anda menerima prompt, pilih opsi untuk Terbuka CRL.
  6. Pastikan bahwa ada Update berikutnya lapangan di CRL dan waktu di Update berikutnya lapangan belum lulus.
Untuk men-download atau memverifikasi bahwa Lightweight Directory Access Protocol (LDAP) CDP sah, Anda harus menulis naskah atau aplikasi untuk men-download CRL. Setelah Anda men-download dan membuka CRL, pastikan bahwa ada Update berikutnya bidang dalam CRL dan waktu di bidang Update berikutnya tidak berlalu.

Dukungan

Layanan dukungan produk Microsoft tidak mendukung proses logon kartu pintar CA pihak ketiga jika ditentukan bahwa satu atau lebih item berikut berkontribusi terhadap masalah:
  • Sertifikat salah format.
  • Sertifikat status atau pembatalan status tidak tersedia dari pihak ketiga CA.
  • Pendaftaran sertifikat masalah dari pihak ketiga CA.
  • CA pihak ketiga tidak dapat mempublikasikan ke Active Directory.
  • CSP pihak ketiga.

Informasi tambahan

Komputer klien memeriksa sertifikat kontroler domain. Komputer lokal karena itu download CRL sertifikat kontroler domain ke CRL cache.

Proses offline logon tidak melibatkan sertifikat, hanya cache kredensial.

Untuk memaksa NTAuth toko segera diisi pada komputer lokal bukannya menunggu untuk propagasi kebijakan grup berikutnya, jalankan perintah berikut untuk memulai pembaruan kebijakan grup:
dsstore.exe-pulsa

Anda dapat juga membuang informasi kartu pintar pada Windows Server 2003 dan Windows XP dengan menggunakan Certutil.exe - scinfo perintah.

Properti

ID Artikel: 281245 - Kajian Terakhir: 23 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
Kata kunci: 
kbenv kbinfo kbtool kbmt KB281245 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:281245

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com