Indicazioni per l'abilitazione dell'accesso con smart card con autoritÓ di certificazione di terze parti

Traduzione articoli Traduzione articoli
Identificativo articolo: 281245 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

╚ possibile abilitare un processo di accesso con smart card con Microsoft Windows 2000 e un'autoritÓ di certificazione non Microsoft attenendosi alle istruzioni riportate in questo articolo. Il supporto tecnico fornito per questo tipo di configurazione Ŕ limitato, come specificato pi¨ avanti in questo articolo.

Informazioni

Requisiti

L'autenticazione con smart card in Active Directory richiede che le workstation smart card, Active Directory e i controller di dominio di Active Directory siano configurati correttamente. ╚ necessario che un'autoritÓ di certificazione sia disponibile nell'elenco locale in Active Directory per poter autenticare gli utenti in base ai certificati emessi da tale autoritÓ di certificazione. Sia le workstation smart card che i controller di dominio devono essere configurati con certificati configurati correttamente.

Per quanto riguarda l'eventuale implementazione di un'infrastruttura a chiave pubblica (PKI), tutte le parti devono rendere disponibile nell'elenco locale l'autoritÓ di certificazione (CA) radice alla quale Ŕ concatenata la CA emittente. I controller di dominio e le workstation smart card rendono disponibile nell'elenco locale tale autoritÓ radice.

Configurazione di Active Directory e dei controller di dominio

  • Obbligatorio: per autenticare gli utenti in Active Directory, Ŕ necessario che la CA emittente di terze parti sia inclusa nell'archivio NTAuth di Active Directory.
  • Obbligatorio: per autenticare gli utenti con smart card, Ŕ necessario che i controller di dominio siano configurati con un certificato di controller di dominio.
  • Facoltativo: Ŕ possibile configurare Active Directory per distribuire la CA radice di terze parti all'archivio di CA radice disponibili nell'elenco locale di tutti i membri del dominio utilizzando i Criteri di gruppo.

Requisiti per certificati smart card e workstation

  • Obbligatorio: Ŕ necessario che vengano soddisfatti tutti i requisiti illustrati nella sezione "Istruzioni di configurazione", inclusi quelli relativi alla formattazione del testo dei campi. In caso contrario, l'autenticazione con smart card non viene eseguita.
  • Obbligatorio: Ŕ necessario che la chiave privata e la smart card siano installate nella smart card.

Istruzioni di configurazione

  1. Esportare o scaricare il certificato radice di terze parti. La procedura per ottenere tale certificato dipende dal fornitore. Il certificato deve essere nel formato Codificato Base64 X.509.
  2. Aggiungere la CA radice di terze parti alle autoritÓ di certificazione radice disponibili nell'elenco locale in un oggetto Criteri di gruppo di Active Directory. Per configurare Criteri di gruppo nel dominio di Windows 2000 allo scopo di distribuire la CA di terze parti all'archivio di CA radice disponibili nell'elenco locale di tutti i computer del dominio:
    1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.
    2. Nel riquadro sinistro individuare il dominio al quale sono applicati i criteri che si desidera modificare.
    3. Fare clic con il pulsante destro del mouse sul dominio, quindi scegliere ProprietÓ.
    4. Fare clic sulla scheda Criteri di gruppo.
    5. Fare clic sull'oggetto Criteri di gruppo Criterio dominio predefinito, quindi scegliere Modifica. Viene visualizzata una nuova finestra.
    6. Nel riquadro sinistro espandere i seguenti elementi:
      • Configurazione computer
      • Impostazioni di Windows
      • Impostazioni protezione
      • Criteri chiave pubblica
    7. Fare clic con il pulsante destro del mouse su AutoritÓ di certificazione principale attendibili.
    8. Selezionare Tutte le attivitÓ, quindi scegliere Importa.
    9. Seguire le istruzioni della procedura guidata per importare il certificato.
    10. Scegliere OK.
    11. Chiudere la finestra Criteri di gruppo.
  3. Aggiungere la CA emittente di terze parti all'archivio NTAuth di Active Directory.

    Il certificato per l'accesso con smart card deve essere emesso da una CA inclusa nell'archivio NTAuth. Per impostazione predefinita, all'archivio NTAuth vengono aggiunte le CA globali (enterprise) Microsoft.
    • Se la CA che ha emesso il certificato per l'accesso con smart card o i certificati di controller di dominio non Ŕ inserita correttamente nell'archivio NTAuth, il processo di accesso con smart card non funziona e viene visualizzato il messaggio di errore "Impossibile verificare le credenziali".
    • L'archivio NTAuth si trova nel contenitore Configurazione della foresta. Un possibile esempio di percorso Ŕ il seguente:
      LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com
    • Per impostazione predefinita, questo archivio viene creato quando si installa una CA globale (enterprise) Microsoft. ╚ inoltre possibile creare l'oggetto manualmente utilizzando ADSIedit.msc incluso negli Strumenti di supporto di Windows 2000 oppure utilizzando LDIFDE. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      295663 Importazione di certificati emessi da autoritÓ di certificazione di terze parti nell'archivio NTAuth globale
    • L'attributo rilevante Ŕ cACertificate, un elenco di blocchi multipli di stringhe di ottetti di certificati codificati ASN.

      Dopo aver inserito la CA di terze parti nell'archivio NTAuth, l'oggetto Criteri di gruppo basato sul dominio crea una chiave (un'identificazione personale del certificato) nella seguente posizione del Registro di sistema di tutti computer del dominio:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Tale chiave viene aggiornata ogni otto ore sulle workstation (il tipico intervallo di propagazione dei Criteri di gruppo).
  4. Richiedere e installare un certificato di controller di dominio nei controller di dominio. Ogni controller di dominio che dovrÓ autenticare gli utenti con smart card deve disporre di un certificato di controller di dominio.

    Se si installa una CA globale (enterprise) Microsoft in una foresta di Active Directory, tutti i controller di dominio si registreranno automaticamente per il certificato di controller di dominio. Per ulteriori informazioni sui requisiti relativi ai certificati di controller di dominio rilasciati da una CA di terze parti, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    291010 Requisiti per i certificati di controller di dominio emessi da un'autoritÓ di certificazione di terze parti
    NOTA: il certificato di controller di dominio Ŕ utilizzato per l'autenticazione SSL (Secure Sockets Layer), la crittografia SMTP (Simple Mail Transfer Protocol), la firma RPC (Remote Procedure Call) e il processo di accesso con smart card. L'utilizzo di una CA non Microsoft per il rilascio di un certificato a un controller di dominio pu˛ dare origine a comportamenti imprevisti o risultati non supportati. Un certificato formattato in modo improprio o un certificato con il nome soggetto mancante potrebbe determinare l'arresto di queste o di altre funzionalitÓ.
  5. Richiedere un certificato smart card rilasciato dalla CA di terze parti.

    Registrarsi per un certificato rilasciato dalla CA di terze parti che soddisfi i requisiti indicati. Il metodo di registrazione dipende dal fornitore dell'autoritÓ di certificazione.

    Il certificato smart card deve soddisfare specifici requisiti di formato:
    • La posizione del punto di distribuzione CRL, dove CRL Ŕ l'acronimo di Certification Revocation List ovvero elenco di certificati revocati, deve essere compilata, in linea e disponibile. Ad esempio:
      [1]Punto di distribuzione CRL
      Nome punto distribuzione:
      Nome completo:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • Utilizzo chiave = Firma digitale
    • Restrizioni di base [Tipo soggetto=EntitÓ di fine, Limite lunghezza percorso=Nessuno] (facoltativo)
    • Utilizzo chiavi avanzato =
      • Autenticazione client (1.3.6.1.5.5.7.3.2)
        (l'ID oggetto autenticazione client Ŕ necessario solo se il certificato Ŕ utilizzato per l'autenticazione SSL).
      • Accesso smart card (1.3.6.1.4.1.311.20.2.2)
    • Nome alternativo soggetto = Altro nome: Nome principale = (UPN, Nome principale utente). Ad esempio:
      UPN = user1@name.com
      L'ID oggetto di Altro nome UPN Ŕ: "1.3.6.1.4.1.311.20.2.3"
      Il valore di Altro nome UPN: deve essere una stringa ASN1 UTF8
    • Soggetto= Nome distinto dell'utente. Questo campo Ŕ un'estensione obbligatoria, ma la compilazione di questo campo Ŕ facoltativa.
  6. Esistono due tipi predefiniti di chiavi private, ovvero Solo firma(AT_SIGNATURE) e Scambio chiave(AT_KEYEXCHANGE). I certificati di accesso con smart card devono disporre di una chiave privata Scambio chiave(AT_KEYEXCHANGE) per consentire il corretto funzionamento dell'accesso con smart card.
  7. Installare driver e software smart card nella workstation smart card.

    Assicurarsi che nella workstation smart card siano installati il dispositivo di lettura smart card e i driver appropriati, che possono variare a seconda del fornitore del lettore di smart card.
  8. Installare il certificato smart card di terze parti nella workstation smart card.

    Se la smart card non Ŕ stata ancora inserita nell'archivio personale dell'utente di smart card durante il processo di registrazione descritto al passaggio 4, Ŕ necessario importare il certificato nell'archivio personale dell'utente. Per effettuare questa operazione:
    1. Aprire Microsoft Management Console (MMC) che contiene lo snap-in Certificati.
    2. Nella struttura della console fare clic su Certificati in Personale.
    3. Dal menu Tutte le attivitÓ scegliere Importa per avviare l'Importazione guidata certificati.
    4. Selezionare il file contenente i certificati da importare.

      NOTA: se il file che contiene i certificati Ŕ un file di scambio di informazioni personali (PKCS #12), digitare la password utilizzata per crittografare la chiave privata; se si desidera che la chiave privata possa essere esportata, selezionare la relativa casella di controllo quindi, se lo si desidera, attivare la protezione avanzata della chiave privata.

      NOTA: per attivare la protezione avanzata della chiave privata, utilizzare la modalitÓ di visualizzazione Archivi logici di certificati.
    5. Selezionare l'opzione per inserire automaticamente il certificato in un archivio certificati in base al tipo di certificato.
  9. Installare il certificato smart card di terze parti nella smart card. La procedura dipende dal provider del servizio di crittografia e dal fornitore della smart card. Per istruzioni consultare la documentazione del fornitore.
  10. Accedere alla workstation con la smart card.

Possibili problemi

Durante l'accesso con smart card il messaggio di errore visualizzato pi¨ frequentemente Ŕ il seguente:
Impossibile eseguire la connessione. Impossibile verificare le credenziali.
Si tratta di un messaggio di errore generico che potrebbe essere causato da uno o pi¨ dei problemi elencati di seguito.

Problemi di certificato e configurazione

  • Il controller di dominio non dispone di alcun certificato di controller di dominio.
  • Il campo SubjAltName del certificato smart card Ŕ formattato in modo errato. Se le informazioni del campo SubjAltName appaiono come dati non elaborati esadecimali/ASCII, la formattazione del testo non Ŕ ASN1/UTF-8.
  • Il controller di dominio dispone di un certificato in formato errato o incompleto.
  • Per tutte queste condizioni Ŕ necessario richiedere un nuovo certificato di controller di dominio valido. Se il certificato di controller di dominio Ŕ scaduto, Ŕ possibile rinnovarlo, ma questo processo Ŕ pi¨ complesso e generalmente pi¨ difficile rispetto alla richiesta di un nuovo certificato.
    • Il certificato di controller di dominio Ŕ scaduto.
    • Il controller di dominio dispone di un certificato non disponibile nell'elenco locale. Se l'archivio NTAuth non contiene il certificato dell'autoritÓ di certificazione (CA) che ha rilasciato il certificato di controller di dominio, Ŕ necessario aggiungerlo all'archivio NTAuth oppure ottenere un certificato di controller di dominio da una CA emittente il cui certificato risiede nell'archivio NTAuth.

      Se i controller di dominio o le workstation smart card non rendono disponibile nell'elenco locale la CA radice alla quale Ŕ concatenato il certificato del controller di dominio, Ŕ necessario configurare tali computer affinchÚ rendano disponibile nell'elenco locale la CA radice.
    • La smart card dispone di un certificato non disponibile nell'elenco locale. Se l'archivio NTAuth non contiene il certificato CA dell'autoritÓ di certificazione che ha rilasciato il certificato smart card, Ŕ necessario aggiungerlo all'archivio NTAuth oppure ottenere un certificato smart card da una CA emittente il cui certificato risiede nell'archivio NTAuth.

      Se i controller di dominio o le workstation smart card non rendono disponibile nell'elenco locale la CA radice alla quale Ŕ concatenato il certificato smart card dell'utente, Ŕ necessario configurare tali computer affinchÚ rendano disponibile nell'elenco locale la CA radice.
    • Il certificato della smart card non Ŕ installato nell'archivio dell'utente sulla workstation. Il certificato archiviato nella smart card deve risiedere nella workstation smart card nel profilo dell'utente che sta effettuando l'accesso con la smart card.

      NOTA: non Ŕ necessario archiviare la chiave privata nel profilo dell'utente sulla workstation. ╚ unicamente necessario archiviarla nella smart card.
    • Nella smart card non Ŕ installato il certificato smart card o la chiave privata corretta. ╚ necessario che nella smart card sia installato il certificato smart card valido con la chiave privata e il certificato deve corrispondere al certificato archiviato nel profilo dell'utente smart card sulla workstation smart card.
    • Non Ŕ possibile recuperare il certificato della smart card dal lettore di smart card. Potrebbe essersi verificato un problema a livello di hardware o di driver del lettore di smart card. Verificare di poter utilizzare il software del fornitore del lettore di smart card per visualizzare il certificato e la chiave privata sulla smart card.
    • Il certificato smart card Ŕ scaduto.
    • Nell'estensione SubjAltName del certificato smart card non Ŕ disponibile alcun nome principale utente.
    • Il nome principale utente visualizzato nel campo SubjAltName del certificato smart card Ŕ formattato in modo errato. Se le informazioni del campo SubjAltName appaiono come dati non elaborati esadecimali/ASCII, la formattazione del testo non Ŕ ASN1/UTF-8.
    • La smart card dispone di un certificato in formato errato o incompleto. Per ognuna di queste condizioni Ŕ necessario richiedere un nuovo certificato smart card valido e installarlo nella smart card e nel profilo dell'utente sulla workstation smart card. Il certificato smart card deve soddisfare i requisiti illustrati precedentemente in questo articolo, incluso un nome principale utente formattato correttamente nel campo SubjAltName.

      Se un certificato smart card valido Ŕ scaduto, Ŕ possibile rinnovarlo, ma questo processo Ŕ pi¨ complesso e generalmente pi¨ difficile rispetto alla richiesta di un nuovo certificato.
    • L'utente non dispone di un nome principale utente definito nell'account utente di Active Directory. L'account dell'utente in Active Directory deve disporre di un nome principale utente valido nella proprietÓ userPrincipalName dell'account utente Active Directory dell'utente smart card.
    • Il nome principale utente indicato nel certificato non corrisponde a quello definito nell'account utente di Active Directory dell'utente. ╚ necessario correggere il nome principale utente nell'account utente di Active Directory dell'utente smart card oppure rilasciare di nuovo il certificato smart card in modo che il valore del nome principale utente nel campo SubjAltName corrisponda a quello dell'account utente di Active Directory dell'utente smart card. Si consiglia di fare in modo che il nome utente principale smart card corrisponda all'attributo dell'account utente userPrincipalName per le CA di terze parti. Se, tuttavia, il nome principale utente nel certificato Ŕ il "nome principale utente implicito" dell'account (nel formato samAccountName@domain_FQDN), non Ŕ necesario che il nome principale utente corrisponda esplicitamente alla proprietÓ userPrincipalName.

Problemi di controllo delle revoche

Se durante la convalida del certificato per l'accesso con smart card il controllo delle revoche non riesce, il controller di dominio nega l'accesso. Il controller di dominio potrebbe restituire il messaggio di errore riportato in precedenza oppure il seguente messaggio di errore:
Impossibile eseguire la connessione. Il certificato smart card utilizzato per l'autenticazione non era affidabile.
NOTA: la mancata ricerca e il mancato download dell'elenco dei certificati revocati (CRL), un elenco CRL non valido, un certificato revocato e uno stato di revoca "sconosciuto" sono considerate tutte condizioni di errore.

Il controllo delle revoche deve avere esito positivo sia sul lato client che sul lato del controller di dominio. Accertarsi che siano vere tutte le seguenti condizioni:
  • Il controllo delle revoche non Ŕ disattivato.

    Non Ŕ possibile disattivare il controllo delle revoche per i provider di revoche incorporati. Se si installa un provider di revoche installabile personalizzato, Ŕ necessario attivarlo.
  • Ogni certificato CA, a eccezione della CA radice, nella catena di certificati contiene un'estensione dei punti di distribuzione CRL valida.
  • L'elenco dei certificati revocati (CRL) include un campo Aggiornamento successivo e l'elenco CRL Ŕ aggiornato. ╚ possibile verificare che l'elenco CRL sia valido e in linea nel punto di distribuzione CRL scaricandolo da Internet Explorer. Dovrebbe essere possibile scaricare e visualizzare l'elenco CRL da qualsiasi punto di distribuzione CRL HTTP (HyperText Transport Protocol) o FTP (File Transfer Protocol) in Internet Explorer sia dalle workstation smart card che dai controller di dominio.
Verificare che ogni punto di distribuzione CRL HTTP e FTP univoco utilizzato da un certificato nell'organizzazione sia in linea e disponibile.

Per verificare che un elenco CRL sia in linea e disponibile da un punto di distribuzione CRL FTP o HTTP:
  1. Aprire il certificato in questione facendo doppio clic sul file con estensione cer o sul certificato nell'archivio.
  2. Scegliere la scheda Dettagli, scorrere l'elenco e selezionare il campo Punto di distribuzione CRL.
  3. Nel riquadro in basso evidenziare l'URL FTP o HTTP completo e copiarlo.
  4. Aprire Internet Explorer e incollare l'URL nella barra degli indirizzi.
  5. Quando viene richiesto, selezionare l'opzione di apertura dell'elenco CRL.
  6. Assicurarsi che nell'elenco CRL sia incluso un campo Aggiornamento successivo e che l'ora indicata nel campo Aggiornamento successivo non sia trascorsa.
Per effettuare il download o verificare che un punto di distribuzione CRL LDAP (Lightweight Directory Access Protocol) sia valido, Ŕ necessario scrivere uno script oppure un'applicazione per scaricare l'elenco CRL. Dopo aver scaricato e aperto l'elenco CRL, assicurarsi che in tale elenco CRL sia incluso un campo Aggiornamento successivo e che l'ora in esso indicata non sia trascorsa.

Supporto

Il Servizio Supporto Tecnico Clienti Microsoft non garantisce assistenza in merito al processo di accesso con smart card con CA di terze parti se il problema Ŕ determinato da una o pi¨ delle seguenti cause:
  • Formato errato del certificato
  • Stato del certificato o stato della revoca non disponibile da parte della CA di terze parti
  • Problemi di registrazione del certificato da parte della CA di terze parti
  • La CA di terze parti non Ŕ in grado di pubblicare in Active Directory
  • Un provider del servizio di crittografia (CSP, Cryptographic Service Provider) di terze parti.

Ulteriori informazioni

Il computer client controlla il certificato del controller di dominio. Il computer locale effettua pertanto il download di un elenco di certificati revocati (CRL) per il certificato del controller di dominio nella cache CRL.

Il processo di accesso non in linea non richiede certificati, ma solo credenziali memorizzate nella cache.

Per forzare la compilazione immediata dell'archivio NTAuth in un computer locale senza attendere la successiva propagazione dei Criteri di gruppo, eseguire il comando riportato di seguito per avviare l'aggiornamento dei Criteri di gruppo:
dsstore.exe -pulse

Inoltre, Ŕ possibile scaricare le informazioni smart card in Windows Server 2003 e in Windows XP utilizzando il comando Certutil.exe -scinfo .

ProprietÓ

Identificativo articolo: 281245 - Ultima modifica: venerdý 12 ottobre 2007 - Revisione: 5.4
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Chiavi:á
kbinfo kbtool kbenv KB281245
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com