Diretrizes para habilitar o logon de cartões inteligentes com autoridades de certificação de terceiros

É possível habilitar um processo de logon de cartão inteligente no Microsoft Windows 2000 e uma autoridade de certificação não Microsoft, seguindo as diretrizes deste artigo. Não há suporte limitado para esta configuração, conforme será descrito posteriormente neste artigo.

Requisitos

A Autenticação de cartões inteligentes no Active Directory requer que as estações de trabalho de Cartão Inteligente, do Active Directory e dos controladores de domínio do Active Directory sejam configuradas corretamente. O Active Directory deve confiar em uma autoridade de certificação para autenticar usuários com base nos certificados dessa autoridade. As estações de trabalho de Cartão Inteligente e os controladores de domínio devem ser configurados com certificados corretamente configurados.

Como ocorre com qualquer implementação de PKI (infra-estrutura de chave pública), todas as partes devem confiar na Autoridade de certificação raiz à qual a autoridade de certificação de emissão está encadeada. Os controladores de domínio e as estações de trabalho de cartão inteligente confiam nesta raiz.

Configuração do Active Directory e dos controladores de domínio

• Necessário: o Active Directory deve ter a autoridade de certificação de emissão de terceiros no armazenamento NTAuth para autenticar usuários para o Active Directory.
• Necessário: os controladores de domínios devem ser configurados com um certificado de controlador de domínio para autenticar os usuários de cartões inteligentes.
• Optional: o Active Directory pode ser configurado para distribuir a autoridade de certificação raiz de terceiros ao armazenamento de autoridades de certificação raiz confiáveis de todos os membros do domínio que usam a diretiva de grupo.

Requisitos do certificado de cartões inteligentes e da estação de trabalho

• Necessário: todos os requisitos de cartões inteligentes descritos na seção "Instruções de configuração" devem ser atendidos, incluindo a formatação de texto dos campos. A autenticação do cartão inteligente falha se eles não forem atendidos.
• Necessário: A chave de cartão inteligente e particular deve estar instalada no cartão inteligente.

Instruções de configuração

1. Exporte ou baixe o certificado raiz de terceiros. A forma de obtenção do certificado raiz de terceiros varia de acordo com o fornecedor. O certificado deve estar no formato Base64 com codificação X.509.
2. Adicione a autoridade de certificação raiz de terceiros às raízes confiáveis em um objeto de diretiva de grupo do Active Directory. Para configurar a diretiva de grupo no domínio do Windows 2000 a fim de distribuir a autoridade de certificação de terceiros no armazenamento de raíz confiável de todos os computadores do domínio:
   1. Clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
   2. No painel à esquerda, localize o domínio ao qual a diretiva a ser editada está aplicada.
   3. Clique com o botão direito do mouse no domínio e clique em Propriedades.
   4. Clique na guia Diretiva de grupo.
   5. Clique no objeto Default Domain Controllers Policy e em Editar. Uma nova janela abre.
   6. No painel à esquerda, expanda os seguintes itens:
      • Configuração do computador
      • Configurações do Windows
      • Configurações de segurança
      • Diretivas de chave pública
   7. Clique com o botão direito do mouse em Autoridades de certificação raiz confiáveis.
   8. Selecione Todas as tarefas e clique em Importar.
   9. Execute as instruções no assistente para importar o certificado.
   10. Clique em OK.
   11. Feche a janela Diretiva de grupo.
3. Adicione a autoridade de certificação de emissão de terceiros ao armazenamento NTAuth no Active Directory.
   
   O certificado de logon do cartão inteligente deve ser emitido por uma autoridade de certificação que está no armazenamento NTAuth. Por padrão, as autoridades de certificação corporativas da Microsoft são adicionadas ao armazenamento NTAuth.
   • Se a autoridade de certificação que emitiu o certificado de logon do cartão inteligente ou os certificados dos controladores de domínio não estiver publicada corretamente no armazenamento NTAuth, o processo de logon do cartão inteligente não funcionará. A resposta correspondente é "Não é possível verificar as credenciais".
   • O armazenamento NTAuth está localizado no contêiner Configuração da floresta. Por exemplo, um local de amostra é o seguinte:
     LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com
   • Por padrão, este armazenamento é criado ao instalar uma autoridade de certificação corporativa da Microsoft. O objeto também pode ser criado manualmente, usando o ADSIedit.msc, nas ferramentas de Suporte do Windows 2000, ou o LDIFDE. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
     295663  (http://support.microsoft.com/kb/295663/ ) Como importar certificados de autoridades de certificação de terceiros para o armazenamento corporativo NTAuth
   • O atributo relevante é cACertificate, que é uma lista com vários valores de seqüências de octeto dos certificados codificados ASN.
     
     Depois de colocar a autoridade de certificação de terceiros no armazenamento NTAuth, a diretiva de grupo com base em domínio introduz uma chave do Registro (uma impressão digital do certificado) no seguinte local de todos os computadores do domínio:
     HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
     Esta chave é atualizada a cada oito horas nas estações de trabalho (o intervalo de pulso comum da diretiva de grupo).
4. Solicite e instale um certificado de controlador de domínio no(s) controlador(es) de domínio. Cada controlador de domínio que autenticará os usuários de cartão inteligente deve ter um certificado de controlador de domínio.
   
   Se você instalar uma autoridade de certificação corporativa da Microsoft em uma floresta do Active Directory, todos os controladores de domínio irão automaticamente se registrar em um certificado de controlador de domínio.
   
   Para obter informações adicionais sobre requisitos para os certificados de controlador de domínio por uma autoridade de certificação de terceiros, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
   291010  (http://support.microsoft.com/kb/291010/PT-BR/ ) Requisitos para certificados de controlador de domínio por uma autoridade de certificação de terceiros
   OBSERVAÇÃO: o certificado de controlador de domínio é usado na autenticação SSL (Secure Sockets Layer), na criptografia SMTP (Simple Mail Transfer Protocol), na assinatura RPC (Chamada de procedimento remoto) e no processo de logon de cartão inteligente. Se você usar uma autoridade de certificação não Microsoft para emitir um certificado a um controlador de domínio, um comportamento inesperado ou resultados não compatíveis podem ser gerados. Um certificado incorretamente formatado ou sem o nome do assunto pode fazer com que estes e outros recursos parem de responder.
5. Solicite um certificado de cartão inteligente da autoridade de certificação de terceiros.
   
   Registre-se para obter um certificado da autoridade de certificação de terceiros que atenda aos requisitos especificados. O método para inscrição varia de acordo com o fornecedor da autoridade de certificação.
   
   O certificado de cartão inteligente tem requisitos de formato específicos:
   • O local CDP (Pontos de distribuição da lista de certificados revogados) (em que CRL corresponde à Lista de revogação de certificação) deve estar preenchido, online e disponível. Por exemplo:
     [1]CDP
     Nome do ponto de distribuição:
     Nome completo:
     URL=http://server1.name.com/CertEnroll/caname.crl
   • Uso da chave = Assinatura digital
   • Restrições básicas [Tipo de entidade=Entidade final, Restrição de comprimento de caminho=Nenhuma] (Opcional)
   • Uso avançado de chave =
     • Autenticação de cliente (1.3.6.1.5.5.7.3.2)
       (O OID da autenticação de cliente) apenas será necessário se um certificado for usado na autenticação SSL).
     • Logon do cartão inteligente (1.3.6.1.4.1.311.20.2.2)
   • Nome alternativo para o usuário = Outro nome: Nome principal= (UPN). Por exemplo:
     UPN = usuário1@nome.com
     O OID de OutroNome para UPN é: "1.3.6.1.4.1.311.20.2.3"
     O valor OutroNome para UPN deve ser uma seqüência de caracteres UTF8 com codificação ASN1
   • Assunto = Nome distinto do usuário. Este campo é uma extensão obrigatória, mas seu preenchimento é opcional.
6. Instale drivers e softwares de cartão inteligente na estação de trabalho do cartão inteligente.
   
   Verifique se o dispositivo da leitora de cartões inteligentes e o software de driver corretos estão instalados na estação de trabalho do cartão inteligente. Estes itens variam de acordo com o fornecedor da leitora de cartões inteligentes.
7. Instale o certificado de cartão inteligente de terceiros na estação de trabalho do cartão inteligente.
   
   Se o cartão inteligente ainda não estiver no armazenamento pessoal do usuário, de acordo com o processo de inscrição na etapa 4, será necessário importar o certificado para esse armazenamento. Para fazer isso:
   1. Abra o MMC (Console de gerenciamento Microsoft) que contenha o snap-in Certificados.
   2. Na árvore de console, em Pessoal, clique em Certificados.
   3. No menu Todas as tarefas, clique em Importar para iniciar o Assistente para importação de certificados.
   4. Clique no arquivo que contenha os certificados que estão sendo importados.
      
      OBSERVAÇÃO: se o arquivo que contém os certificados for um arquivo PFX (PKCS nº 12), digite a senha usada para criptografar a chave particular, marque a caixa de seleção correta, se quiser que a chave particular possa ser exportada, e ative a proteção de alta segurança para chaves particulares (se quiser usar este recurso).
      
      OBSERVAÇÃO: para ativar a proteção de alta segurança para chaves particulares, é necessário usar o modo de exibição Armazenamentos lógicos de certificados.
   5. Selecione a opção para colocar automaticamente o certificado em um armazenamento de certificados com base no tipo de certificado.
8. Instale o certificado de cartão inteligente de terceiros no cartão inteligente. Como isto é feito varia de acordo com o CSP (Provedor de serviços de criptografia) e com o fornecedor do cartão inteligente. Consulte a documentação do fornecedor para obter instruções.
9. Faça logon na estação de trabalho com o cartão inteligente.

Possíveis problemas

Durante o logon no cartão inteligente, a mensagem de erro mais comum exibida é: Esta é mensagem de erro genérica e pode ser o resultado de um ou mais dos vários problemas descritos abaixo.

Problemas de certificado e configuração

• O controlador de domínio não tem um certificado de controlador de domínio.
• O campo SubjAltName do certificado de cartão inteligente está incorretamente formatado. Se as informações no campo SubjAltName aparecerem como dados não processados Hexadecimais/ASCII, a formatação do texto não é ASN1/UTF-8.
• O controlador de domínio tem um certificado corrompido ou incompleto.
• Para cada uma das condições a seguir, é necessário solicitar um novo certificado de controlador de domínio válido. Se o certificado de controlador de domínio válido tiver expirado, será possível renová-lo, mas este processo é mais complexo e, em geral, mais difícil que a simples solicitação de um novo certificado de controlador de domínio.
  • O certificado de controlador de domínio expirou.
  • O controlador de domínio tem um certificado não confiável. Se o armazenamento NTAuth não contiver o certificado de autoridade de certificação da autoridade de certificação de emissão do controlador de domínio, será necessário adicioná-lo ao armazenamento NTAuth ou obter um certificado de controlador de domínio por uma autoridade de certificação de emissão, cujo certificado resida no armazenamento NTAuth.
    
    Se os controladores de domínio ou as estações de trabalho de cartão inteligente não confiarem na autoridade de certificação raiz à qual o certificado do controlador de domínio está encadeado, será necessário configurar esses computadores para confiar nessa autoridade de certificação raiz.
  • O cartão inteligente tem um certificado não confiável. Se o armazenamento NTAuth não contiver o certificado de autoridade de certificação da autoridade de certificação de emissão do certificado de cartão inteligente, será necessário adicioná-lo ao armazenamento NTAuth ou obter um certificado de cartão inteligente por uma autoridade de certificação de emissão, cujo certificado resida no armazenamento NTAuth.
    
    Se os controladores de domínio ou as estações de trabalho de cartão inteligente não confiarem na autoridade de certificação raiz no qual o certificado de cartão inteligente está encadeado, será necessário configurar esses computadores para confiar nessa autoridade de certificação raiz.
  • O certificado do cartão inteligente não é instalado no armazenamento do usuário na estação de trabalho. O certificado armazenado no cartão inteligente deve residir na estação de trabalho de cartão inteligente, no perfil do usuário que está fazendo logon com o cartão inteligente.
    
    OBSERVAÇÃO: não é necessário armazenar a chave particular no perfil do usuário da estação de trabalho. Ela apenas deve ser armazenada no cartão inteligente.
  • O certificado de cartão inteligente ou chave particular correto não é instalado no cartão inteligente. O certificado de cartão inteligente válido deve ser instalado no cartão inteligente com a chave particular, e o certificado deve corresponder a um certificado armazenado no perfil do usuário do cartão inteligente da respectiva estação de trabalho.
  • O certificado do cartão inteligente não pode ser recuperado pela leitora de cartão inteligente. Isto pode causar um problema no hardware ou no software do driver da leitora de cartão inteligente. Verifique se você consegue usar o software do fornecedor da leitora de cartão inteligente para exibir o certificado e a chave particular no cartão inteligente.
  • O certificado de cartão inteligente expirou.
  • Nenhum UPN está disponível na extensão SubjAltName do certificado de cartão inteligente.
  • O UPN, no campo SubjAltName do certificado de cartão inteligente, está incorretamente formatado. Se as informações em SubjAltName aparecerem como dados não processados Hexadecimais/ASCII, a formatação do texto não é ASN1/UTF-8.
  • O cartão inteligente tem um certificado corrompido ou incompleto. Para cada uma destas condições, é necessário solicitar um novo certificado de cartão inteligente válido e instalá-lo no cartão inteligente, no perfil do usuário na estação de trabalho de cartão inteligente. O certificado de cartão inteligente deve atender aos requisitos descritos anteriormente neste artigo, incluindo um campo UPN corretamente formatado no campo SubjAltName.
    
    Se o certificado de cartão inteligente válido tiver expirado, também será possível renová-lo, embora isto seja, em geral, mais complexo e difícil que solicitar um novo certificado de cartão inteligente.
  • O usuário não precisa ter um UPN definido na conta de usuário do Active Directory. A conta de usuário no Active Directory deve ter um UPN válido na propriedade userPrincipalName da conta de usuário Active Directory do usuário do cartão inteligente.
  • O UPN no certificado não corresponde ao UPN definido na conta de usuário do Active Directory. É necessário corrigir o UPN na conta do Active Directory do usuário do cartão inteligente ou emitir novamente o certificado de cartão inteligente para que o valor do UPN no campo SubjAltName corresponda ao UPN da conta de usuário do Active Directory dos usuários do cartão inteligente. É aconselhável que o UPN do cartão inteligente corresponda ao atributo de conta de usuário userPrincipalName das autoridades de certificação de terceiros. No entanto, se o UPN no certificado for o "UPN implícito" da conta (no formato samNome_da_conta@domínio_FQDN), o UPN não precisará corresponder explicitamente à propriedade userPrincipalName.

Problemas de verificação de revogação

Se a verificação de revogação falhar quando o controlador de domínio validar o certificado de logon de cartão inteligente, o controlador de domínio negará o logon. O controlador de domínio pode retornar a mensagem de erro mencionada anteriormente ou a seguinte mensagem de erro: OBSERVAÇÃO: a falha ao localizar e ao baixar a CRL, uma CRL inválida, um certificado revogado e um status de revogação "desconhecido" são considerados falhas de revogação.

A verificação de revogação deve ter êxito pelo cliente e pelo controlador de domínio. Verifique se as seguintes condições são verdadeiras:

• A verificação da revogação não está desativada.
  
  A verificação de revogação para os provedores de revogação internos não pode ser desativada. Se um provedor de revogação instalável personalizado estiver instalado, deverá ser ativado.
• Cada certificado de autoridade de certificação, com exceção da autoridade de certificação raiz na cadeia de certificados, contém uma extensão CDP válida no certificado.
• A CRL tem um campo Próxima atualização e está atualizada. É possível verificar se a CRL está online e válida na CRL, baixando-a pelo Internet Explorer. Deve ser possível baixar e exibir a CRL de qualquer um dos CDPs do protocolo HTTP ou do protocolo FTP, no Internet Explorer, pelas estações de trabalho de cartão inteligente pelos controladores de domínio.

Verifique se cada CDP HTTP e FTP exclusivo usado por um certificado na empresa está online e disponível.

Para verificar se uma CRL está online e disponível por um CDP FTP ou HTTP:

1. Para abrir o certificado em questão, clique duas vezes no arquivo .cer ou clique duas vezes no certificado do armazenamento.
2. Clique na guia Detalhes, role para baixo e selecione o campo Ponto de distribuição de CRL.
3. No painel inferior, destaque a URL FTP ou HTTP completa e copie-a.
4. Abra o Internet Explorer e cole a URL na barra de Endereço.
5. Ao receber o prompt, selecione a opção para Abrir a CRL.
6. Verifique se existe um campo Próxima atualização na CRL e se o horário no campo Próxima atualização não foi ultrapassado.

Para baixar ou verificar se um CDP do protocolo LDAP é válido, é necessário gravar um script ou um aplicativo para baixar a CRL. Depois de baixar e abrir a CRL, verifique se existe um campo Próxima atualização na CRL e se o horário no campo nesse campo não foi ultrapassado.

Suporte

O Atendimento Microsoft não dará suporte ao processo de logon de cartão inteligente da autoridade de certificação de terceiros se for determinado que um ou mais dos itens a seguir contribui com o problema:

• Formato incorreto de certificado.
• O status do certificado ou o status de revogação não foi disponibilizado pela autoridade de certificação de terceiros.
• Problemas de inscrição de certificados por uma autoridade de certificação de terceiros.
• A autoridade de certificação de terceiros não pode ser publicada no Active Directory.
• Um CSP de terceiros.

Informações adicionais

O computador cliente verifica o certificado do controlador de domínio. Portanto, o computador local baixa uma CRL para esse certificado no cache da CRL.

O processo de logon offline não envolve certificados, apenas credenciais em cache.

Para forçar o armazenamento NTAuth a ser imediatamente preenchido em um computador local em vez de aguardar a divulgação da próxima diretiva de grupo, execute o seguinte comando para iniciar uma atualização de diretiva de grupo:
Também é possível despejar as informações do cartão inteligente no Windows Server 2003 e no Windows XP, usando o comando Certutil.exe -scinfo.

Para obter informações adicionais, visite o seguinte site da Microsoft para exibir o informe "Solucionando problemas de implantação PKI e de logon do cartão inteligente no Windows 2000" (em inglês):