Wskazówki dotyczące włączania logowania karty inteligentnej za pomocą niezależnych urzędów certyfikacji

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 281245 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Logowanie karty inteligentnej za pomocą urzędu certyfikacji (CA, Certification Authority) systemu Microsoft Windows 2000 lub niezależnego urzędu certyfikacji można włączyć, stosując się do następujących wskazówek zawartych w tym artykule. Obsługa takiej konfiguracji jest ograniczona, jak to opisano w dalszej części tego artykułu.

Więcej informacji

Wymagania

Uwierzytelnienie karty inteligentnej w usłudze Active Directory wymaga poprawnej konfiguracji stacji roboczych karty inteligentnej, usługi Active Directory i kontrolerów domeny w usłudze Active Directory. Usługa Active Directory musi ufać danemu urzędowi certyfikacji, aby certyfikaty wystawione przez ten urząd mogły służyć do uwierzytelniania użytkowników. Zarówno stacje robocze karty inteligentnej, jak i kontrolery domeny należy poprawnie skonfigurować przy użyciu odpowiednio skonfigurowanych certyfikatów.

Tak jak we wszystkich implementacjach infrastruktury klucza publicznego, wszystkie strony muszą ufać głównemu urzędowi certyfikacji, do którego są dołączone urzędy certyfikacji wystawiające certyfikaty. Zarówno kontrolery domeny, jak i stacje robocze karty inteligentnej ufają temu urzędowi głównemu.

Konfiguracja usługi Active Directory i kontrolera domeny

  • Wymagane: W usłudze Active Directory musi istnieć niezależny urząd certyfikacji, wystawiający certyfikaty w magazynie NTAuth służące do uwierzytelniania użytkowników w usłudze Active Directory.
  • Wymagane: Aby uwierzytelnić użytkowników karty inteligentnej, kontrolery domeny należy skonfigurować za pomocą certyfikatu kontrolera domeny.
  • Opcjonalne: Za pomocą zasad grupy można skonfigurować usługę Active Directory do rozpowszechniania niezależnego głównego urzędu certyfikacji w magazynie zaufanego głównego urzędu certyfikacji wszystkich członków domeny.

Wymagania dotyczące certyfikatu i stacji roboczej karty inteligentnej

  • Wymagane: Spełnione muszą być wszystkie wymagania dotyczące karty inteligentnej, które podano w sekcji „Instrukcje dotyczące konfiguracji”, w tym dotyczące formatowania tekstu w polach. Jeżeli nie zostaną one spełnione, uwierzytelnienie karty inteligentnej zakończy się niepowodzeniem.
  • Wymagane: Klucz karty inteligentnej i klucz prywatny muszą być zainstalowane na karcie inteligentnej.

Instrukcje dotyczące konfiguracji

  1. Wyeksportuj lub pobierz główny certyfikat niezależnego urzędu certyfikacji. Sposób uzyskiwania głównego certyfikatu niezależnego różni się w zależności od dostawcy. Certyfikat musi mieć format X.509 zaszyfrowany algorytmem Base64.
  2. Dodaj główny niezależny urząd certyfikacji do zaufanych głównych urzędów certyfikacji w obiekcie zasad grupy w usłudze Active Directory. Aby skonfigurować zasady grupy w domenie systemu Windows 2000 do rozpowszechniania niezależnego urzędu certyfikacji w zaufanym głównym magazynie wszystkich komputerów domeny:
    1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
    2. W lewym okienku zlokalizuj domenę, w której zastosowano zasadę przeznaczoną do edycji.
    3. Kliknij domenę prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
    4. Kliknij kartę Zasady grupy.
    5. Kliknij obiekt Default Domain Policy, a następnie kliknij przycisk Edytuj. Otworzy się nowe okno.
    6. W lewym okienku rozwiń następujące pozycje:
      • Konfiguracja komputera
      • Ustawienia systemu Windows
      • Ustawienia zabezpieczeń
      • Zasady kluczy publicznych
    7. Kliknij prawym przyciskiem myszy pozycję Zaufane główne urzędy certyfikacji.
    8. Zaznacz opcję Wszystkie zadania, a następnie kliknij przycisk Importuj.
    9. Postępuj zgodnie z instrukcjami kreatora, aby zaimportować certyfikat.
    10. Kliknij przycisk OK.
    11. Zamknij okno Zasady grupy.
  3. Dodaj niezależny urząd certyfikacji do magazynu NTAuth w usłudze Active Directory.

    Wystawcą certyfikatu logowania karty inteligentnej musi być urząd certyfikacji, który znajduje się w magazynie NTAuth. Do magazynu NTAuth domyślnie są dodawane urzędy certyfikacji przedsiębiorstwa należące do firmy Microsoft (Microsoft Enterprise CA).
    • Jeżeli urząd certyfikacji, który wystawił certyfikat logowania karty inteligentnej lub certyfikaty kontrolera domeny, został niepoprawnie ogłoszony w magazynie NTAuth, proces logowania karty inteligentnej zakończy się niepowodzeniem. W takim wypadku odpowiedzią jest „Nie można zweryfikować poświadczeń”.
    • Magazyn NTAuth znajduje się w kontenerze Konfiguracja związanym z lasem. Na przykład ścieżka lokalizacji może mieć następującą postać:
      LDAP://serwer1.nazwa.com/CN=Certyfikaty_NTAuth,CN=Usługi klucza publicznego,CN=Usługi,CN=Konfiguracja,DC=nazwa,DC=com
    • Domyślnie magazyn zostaje utworzony podczas instalacji urzędu certyfikacji Microsoft Enterprise CA. Można go również utworzyć ręcznie, korzystając z konsoli ADSIedit.msc narzędzi obsługi systemu Windows 2000 lub używając narzędzia LDIFDE. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      295663 How to import third-party certification authority (CA) certificates into the Enterprise NTAuth store
    • Istotnym atrybutem jest cACertificate, który ma postać ciągu oktetowego, wielowartościowej listy certyfikatów zaszyfrowanych algorytmem ASN.

      Po umieszczeniu niezależnego urzędu certyfikacji w magazynie NTAuth zasady grupy dotyczące domeny spowodują umieszczenie klucza rejestru (odcisk palca certyfikatu) w następującej lokalizacji na wszystkich komputerach w domenie:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Klucz ten będzie odświeżany na stacjach roboczych co osiem godzin (typowy interwał odświeżania zasad grupy).
  4. Zażądaj certyfikatu kontrolera domeny i zainstaluj go na kontrolerach domeny. Na każdym kontrolerze domeny, który ma służyć do uwierzytelniania użytkowników karty inteligentnej, musi się znajdować certyfikat kontrolera domeny.

    Po zainstalowaniu urzędu certyfikacji Microsoft Enterprise CA w lesie usługi Active Directory, certyfikat kontrolera domeny zostanie automatycznie zarejestrowany na wszystkich kontrolerach domeny.

    Aby uzyskać dodatkowe informacje na temat wymagań dotyczących certyfikatów kontrolera domeny, które zostały wystawione przez niezależny urząd certyfikacji, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    291010 Requirements for Domain Controller Certificates from a Third-Party CA
    UWAGA: Certyfikat kontrolera domeny służy do uwierzytelniania za pomocą protokołu SSL (Secure Sockets Layer), szyfrowania za pomocą protokołu SMTP (Simple Mail Transfer Protocol), podpisywania wywołań procedury zdalnej (RPC, Remote Procedure Call) oraz logowania karty inteligentnej. Wystawienie certyfikatu kontrolera domeny przy użyciu urzędu certyfikacji nienależącego do firmy Microsoft może stać się przyczyną nieoczekiwanego zachowania lub nieobsługiwanych wyników. Niewłaściwie sformatowany certyfikat lub certyfikat, który nie ma nazwy podmiotu, mogą spowodować, że te lub inne funkcje przestaną odpowiadać.
  5. Zażądaj certyfikatu karty inteligentnej od niezależnego urzędu certyfikacji.

    Zarejestruj certyfikat z niezależnego urzędu certyfikacji, który spełnia podane wymagania. Metoda rejestracji różni się w zależności od dostawcy certyfikatu.

    Certyfikat karty inteligentnej musi spełniać określone wymagania dotyczące formatu:
    • Lokalizacja punktu dystrybucji list CRL (gdzie CRL, Certification Revocation List, oznacza listę odwołań certyfikatów) musi być wypełniona, online i dostępna. Na przykład:
      [1]CRL Distribution Point
      Nazwa punktu dystrybucji:
      Pełna nazwa:
      URL=http://serwer1.nazwa.com/CertEnroll/nazwa_urzędu_certyfikacji.crl
    • Użycie klucza = Sygnatura cyfrowa
    • Podstawowe ograniczenia [Typ podmiotu=Podmiot końcowy, Ograniczenie długości ścieżki=Brak] (Opcjonalne)
    • Użycie klucza rozszerzonego =
      • Uwierzytelnienie klienta (1.3.6.1.5.5.7.3.2)
        [Identyfikator definicji obiektu (OID) uwierzytelniania klienta jest wymagany tylko wtedy, gdy certyfikat służy do uwierzytelniania za pomocą protokołu SSL.]
      • Logowanie karty inteligentnej (1.3.6.1.4.1.311.20.2.2)
    • Alternatywna nazwa podmiotu = Inna_nazwa: Nazwa główna= (UPN). Na przykład:
      UPN = użytkownik1@nazwa.com
      Ciąg UPN Inna_nazwa OID ma postać: "1.3.6.1.4.1.311.20.2.3"
      Wartość UPN Inna_nazwa: musi być ciągiem UTF8 zakodowanym za pomocą algorytmu ASN1
    • Podmiot = Nazwa wyróżniająca użytkownika. To pole jest rozszerzeniem obowiązkowym, jednak jego wypełnienie jest opcjonalne.
  6. Zainstaluj sterowniki i oprogramowanie karty inteligentnej na stacji roboczej karty inteligentnej.

    Sprawdź, czy na stacji roboczej karty inteligentnej zainstalowano odpowiedni czytnik kart inteligentnych i oprogramowanie sterujące. Oprogramowanie różni się w zależności od producenta czytnika kart inteligentnych.
  7. Zainstaluj niezależny certyfikat karty inteligentnej na stacji roboczej karty inteligentnej.

    Jeśli w trakcie procesu rejestrowania w kroku 4 nie umieszczono jeszcze karty inteligentnej w osobistym magazynie użytkownika karty inteligentnej, należy zaimportować certyfikat do tego magazynu. Aby to zrobić:
    1. Otwórz konsolę MMC (Microsoft Management Console) zawierającą przystawkę Certyfikaty.
    2. W drzewie konsoli, w folderze Osobiste, kliknij węzeł Certyfikaty.
    3. W menu Wszystkie zadania kliknij polecenie Importuj, aby uruchomić Kreatora importu certyfikatów.
    4. Kliknij plik zawierający certyfikaty do zaimportowania.

      UWAGA: Jeśli plik zawierający certyfikaty jest plikiem typu Wymiana informacji osobistych (PKCS #12), należy wpisać hasło użyte do zaszyfrowania klucza prywatnego, kliknąć w celu zaznaczenia odpowiedniego pola wyboru (jeśli ma być możliwe eksportowanie klucza prywatnego), a następnie włączyć silną ochronę klucza prywatnego (jeśli chce się korzystać z tej funkcji).

      UWAGA: Aby włączyć silną ochronę klucza prywatnego, należy użyć trybu widoku Logiczne magazyny certyfikatów.
    5. Wybierz opcję, która umożliwia automatyczne umieszczanie certyfikatu w magazynie certyfikatów na podstawie typu certyfikatu.
  8. Zainstaluj niezależny certyfikat karty inteligentnej na karcie inteligentnej. Sposób wykonania tej czynności różni się w zależności od dostawcy usług kryptograficznych i dostawcy karty inteligentnej. Instrukcje można znaleźć w dokumentacji dostarczonej przez sprzedawcę.
  9. Zaloguj się do stacji roboczej za pomocą karty inteligentnej.

Możliwe problemy

W trakcie logowania karty inteligentnej najczęściej pojawia się następujący komunikat o błędzie:
Logowanie nie powiodło się. Nie można zweryfikować poświadczeń.
Jest to uniwersalny komunikat o błędzie i przyczyną jego pojawienia się może być jeden lub kilka problemów, które opisano poniżej.

Problemy dotyczące certyfikatu i konfiguracji

  • Kontroler domeny nie ma żadnego certyfikatu kontrolera domeny.
  • Pole SubjAltName certyfikatu karty inteligentnej zostało źle sformatowane. Jeśli informacje w polu SubjAltName mają postać nieprzetworzonych danych szesnastkowych/danych ASCII, formatowanie tekstu jest różne od ASN1/UTF-8.
  • Certyfikat kontrolera domeny jest zniekształcony lub niekompletny.
  • Jeśli którykolwiek z następujących warunków jest spełniony, należy zażądać nowego ważnego certyfikatu kontrolera domeny. Po wygaśnięciu ważności prawidłowego certyfikatu kontrolera domeny można go odnowić, ale jest to proces bardziej skomplikowany i zwykle trudniejszy niż zażądanie nowego certyfikatu.
    • Wygasła ważność certyfikatu kontrolera domeny.
    • Kontroler domeny ma certyfikat niezaufany. Jeśli w magazynie NTAuth nie ma certyfikatu urzędu certyfikacji wystawiającego certyfikaty kontrolera domeny, należy go dodać lub uzyskać certyfikat kontrolera domeny z urzędu certyfikacji, którego certyfikat znajduje się w magazynie NTAuth.

      Jeśli kontrolery domeny lub stacje robocze karty inteligentnej nie ufają głównemu urzędowi certyfikacji, do którego jest dołączony certyfikat kontrolera domeny, należy skonfigurować te komputery tak, aby ufały one głównemu urzędowi certyfikacji.
    • Certyfikat karty inteligentnej jest niezaufany. Jeśli w magazynie NTAuth nie ma certyfikatu urzędu certyfikacji wystawiającego certyfikaty karty inteligentnej, należy go dodać lub uzyskać certyfikat karty inteligentnej z urzędu certyfikacji, którego certyfikat znajduje się w magazynie NTAuth.

      Jeśli kontrolery domeny lub stacje robocze karty inteligentnej nie ufają głównemu urzędowi certyfikacji, do którego jest dołączony certyfikat karty inteligentnej użytkownika, należy skonfigurować te komputery tak, aby ufały one głównemu urzędowi certyfikacji.
    • Certyfikat karty inteligentnej nie został zainstalowany w magazynie użytkownika na stacji roboczej. Certyfikat przechowywany na karcie inteligentnej musi się znajdować na stacji roboczej karty inteligentnej w profilu użytkownika, który do logowania używa karty inteligentnej.

      UWAGA: W profilu użytkownika na stacji roboczej nie trzeba zapisywać klucza prywatnego. Musi on jednak znajdować się na karcie inteligentnej.
    • Na karcie inteligentnej brakuje poprawnego certyfikatu karty inteligentnej lub klucza prywatnego. Na karcie inteligentnej należy zainstalować ważny certyfikat karty inteligentnej z kluczem prywatnym, który jest zgodny z certyfikatem przechowywanym w profilu użytkownika karty inteligentnej na stacji roboczej karty inteligentnej.
    • Nie można pobrać certyfikatu karty inteligentnej z czytnika kart inteligentnych. Być może problem dotyczy sprzętu samego czytnika kart inteligentnych lub jego sterownika. Sprawdź, czy za pomocą oprogramowania, które zostało dostarczone przez producenta czytnika kart inteligentnych, można wyświetlić certyfikat i klucz prywatny karty inteligentnej.
    • Wygasła ważność certyfikatu karty inteligentnej.
    • Brak głównej nazwy użytkownika (UPN, User Principal Name) w rozszerzeniu pola SubjAltName certyfikatu karty inteligentnej.
    • Rozszerzenie UPN w polu SubjAltName zostało źle sformatowane. Jeśli informacje w polu SubjAltName mają postać nieprzetworzonych danych szesnastkowych/danych ASCII, formatowanie tekstu jest różne od ASN1/UTF-8.
    • Certyfikat karty inteligentnej jest zniekształcony lub niekompletny. Jeśli którykolwiek z tych warunków jest spełniony, należy zażądać nowego ważnego certyfikatu karty inteligentnej i zainstalować go na karcie inteligentnej oraz w profilu użytkownika na stacji roboczej karty inteligentnej. Certyfikat karty inteligentnej musi spełniać wymagania opisane wcześniej w tym artykule, do których należy poprawne sformatowanie rozszerzenia UPN w polu SubjAltName.

      Po wygaśnięciu ważności prawidłowego certyfikatu karty inteligentnej można go odnowić, ale jest to proces bardziej skomplikowany i zwykle trudniejszy niż zażądanie nowego certyfikatu.
    • W koncie użytkownika usługi Active Directory nie zdefiniowano głównej nazwy użytkownika. Prawidłowa główna nazwa użytkownika konta w usłudze Active Directory musi się znajdować we właściwości userPrincipalName konta użytkownika karty inteligentnej w usłudze Active Directory.
    • Główna nazwa użytkownika w certyfikacie jest niezgodna z główną nazwą użytkownika, którą zdefiniowano w koncie użytkownika usługi Active Directory. Należy poprawić główną nazwę użytkownika w koncie użytkownika usługi Active Directory karty inteligentnej lub ponownie wystawić certyfikat karty inteligentnej, aby wartość UPN w polu SubjAltName była zgodna z wartością UPN w koncie użytkownika karty inteligentnej w usłudze Active Directory. Firma Microsoft zaleca korzystanie z głównej nazwy użytkownika (UPN) zgodnej z atrybutem userPrincipalName konta użytkownika w przypadku niezależnych urzędów certyfikacji. Jeżeli jednak główną nazwą użytkownika (UPN) w certyfikacie jest „domniemana nazwa UPN” konta (format samNazwaKonta@domena_w_pełni_kwalifikowana_nazwa_domeny), nazwa UPN nie musi być jawnie zodna z właściwością userPrincipalName.

Problemy dotyczące sprawdzania odwołań

Jeśli sprawdzanie odwołań, które miało miejsce podczas weryfikacji certyfikatu karty inteligentnej przez kontroler domeny, nie powiodło się, kontroler domeny nie zezwoli na logowanie. Kontroler domeny może zwrócić komunikat o błędzie, o którym wspomniano wcześniej, lub następujący komunikat o błędzie:
Logowanie nie powiodło się. Certyfikat karty inteligentnej używany do uwierzytelniania jest niezaufany.
UWAGA: Odwołanie zakończy się niepowodzeniem, jeśli nie można odnaleźć i pobrać listy odwołań certyfikatów CRL, lista CRL jest nieważna, certyfikat został odwołany lub stan odwołania jest „nieznany”.

Pomyślnie musi się zakończyć zarówno sprawdzanie odwołań z klienta, jak i kontrolera domeny. Sprawdź, czy zostały spełnione następujące warunki:
  • Sprawdzanie odwołań nie zostało wyłączone.

    Nie można wyłączyć sprawdzania odwołań wykonywanego przez wbudowanych dostawców odwołań. Po zainstalowaniu niestandardowego instalowalnego dostawcy odwołań należy go włączyć.
  • W każdym łańcuchu certyfikatu urzędu certyfikacji, z wyjątkiem głównego urzędu certyfikacji, znajduje się ważne rozszerzenie CDP.
  • Lista CRL zawiera pole Następna aktualizacja i jest aktualna. Pobierając listę CRL z programu Internet Explorer, można sprawdzić, czy lista CRL jest dostępna online w punkcie CDP i czy jest ważna. Zarówno dla stacji roboczych karty inteligentnej, jak i kontrolerów domeny, musi istnieć możliwość pobrania i wyświetlenia listy CRL z dowolnego punktu CDP protokołu HTTP lub FTP.
Sprawdź, czy każdy unikatowy punkt CDP protokołów HTTP i FTP używany w certyfikacie przedsiębiorstwa ma status online i jest dostępny.

Aby z punktu CDP protokołu FTP lub HTTP sprawdzić, czy lista CRL ma status online i czy jest dostępna:
  1. Kliknij dwukrotnie plik .cer lub kliknij dwukrotnie certyfikat w magazynie, aby otworzyć dany certyfikat.
  2. Kliknij kartę Szczegóły, przewiń ekran w dół i wybierz pole Punkt dystrybucji listy CRL (CDP).
  3. W dolnym okienku wyróżnij pełny adres URL protokołu FTP lub HTTP i skopiuj go.
  4. Otwórz program Internet Explorer i wklej adres URL na pasku Adres.
  5. Po pojawieniu się monitu wybierz opcję otwarcia listy CRL.
  6. Sprawdź, czy na liście CRL istnieje pole Następna aktualizacja i czy data znajdująca się w polu Następna aktualizacja nie upłynęła.
Aby pobrać punkt CDP protokołu LDAP i sprawdzić, czy jest ważny, należy napisać skrypt lub aplikację do pobrania listy CRL. Po pobraniu i otwarciu listy CRL sprawdź, czy istnieje na niej pole Następna aktualizacja i czy data znajdująca się w polu Następna aktualizacja nie upłynęła.

Pomoc techniczna

Dział Pomocy technicznej firmy Microsoft nie zapewnia pomocy technicznej dotyczącej logowania karty inteligentnej urzędu certyfikacji, jeśli problem wystąpił z powodu jednej z następujących przyczyn:
  • Niewłaściwy format certyfikatu.
  • Status certyfikatu lub status odwołania jest niedostępny z niezależnego urzędu certyfikacji.
  • Wystąpiły problemy z rejestracją certyfikatu z niezależnego urzędu certyfikacji.
  • Niezależny urząd certyfikacji nie może publikować w usłudze Active Directory.
  • Niezależny dostawca usług kryptograficznych (CSP).

Dodatkowe informacje

Komputer kliencki sprawdza certyfikat kontrolera domeny. Dlatego komputer lokalny pobiera listę CRL dotyczącą certyfikatu kontrolera domeny do pamięci podręcznej listy CRL.

Proces wylogowywania w trybie offline nie dotyczy certyfikatów, a jedynie zbuforowanych poświadczeń.

Aby nie czekać na kolejną propagację zasad grupy i wymusić natychmiastowe wypełnienie magazynu NTAuth na komputerze lokalnym, uruchom następujące polecenie w celu zainicjowania aktualizacji zasad grupy:
dsstore.exe -pulse

Można również usunąć informacje o karcie inteligentnej w systemie Windows Server 2003 lub Windows XP za pomocą polecenia Certutil.exe -scinfo

Aby uzyskać dodatkowe informacje, odwiedź następującą witrynę firmy Microsoft w sieci Web w celu przejrzenia oficjalnego dokumentu „Troubleshooting Windows 2000 PKI Deployment and Smart Card Logon”:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/support/smrtcrdtrbl.mspx

Właściwości

Numer ID artykułu: 281245 - Ostatnia weryfikacja: 27 lipca 2006 - Weryfikacja: 5.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbenv kbinfo kbtool KB281245

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com