Правила допуска входа в систему с помощью смарт-карт при участии независимых центров сертификации

Переводы статьи Переводы статьи
Код статьи: 281245 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Чтобы включить функцию входа в систему с помощью смарт-карты в Microsoft Windows 2000 и независимого центра сертификации, можно воспользоваться рекомендациями из этой статьи. Как сказано далее в этой статье, поддержка для такой конфигурации ограничена.

Дополнительная информация

Требования

Для проверки подлинности с помощью смарт-карты в Active Directory необходимо, чтобы рабочие станции со смарт-картами, Active Directory и контроллеры доменов Active Directory были правильно настроены. Чтобы выполнить проверку подлинности пользователей на основе сертификатов от центра сертификации, нужно, чтобы приложение Active Directory доверяло этому центру сертификации. И рабочие станции со смарт-картами, и контроллеры доменов должны быть настроены с правильно настроенными сертификатами.

При любой реализации инфраструктуры открытого ключа (PKI) необходимо, чтобы все участники доверяли корневому центру сертификации, к которому привязывается выпускающий центр сертификации. И контроллеры доменов, и рабочие станции со смарт-картами доверяют этому корневому центру.

Настройка Active Directory и контроллера домена

  • Необходимо: Чтобы выполнить проверку подлинности пользователей в Active Directory, сторонние выпускающие центры сертификации должны находиться в хранилище NTAuth.
  • Необходимо: Чтобы выполнять проверку подлинности пользователей с помощью смарт-карт, контроллеры доменов должны быть настроены с сертификатом контроллера домена.
  • Дополнительно: Можно настроить Active Directory так, чтобы независимые корневые центры сертификации распространялись в хранилища доверенных корневых центров сертификации всех членов домена с помощью групповой политики.

Требования к сертификатам и рабочим станциям со смарт-картами

  • Необходимо: Необходимо выполнять все требования к смарт-картам, изложенные в «Указаниях по настройке», включая текстовое форматирование полей. Если они не выполняются, проверка подлинности смарт-карт завершается сбоем.
  • Необходимо: На смарт-карте должны быть установлены ключ смарт-карты и закрытый ключ.

Указания по настройке

  1. Экспортируйте или загрузите независимый корневой сертификат. Получение сделанных поставщиками изменений независимого корневого сертификата. Сертификат должен иметь кодировку Base64 X.509.
  2. Добавьте независимый корневой центр сертификации к доверенным корневым центрам в объект групповой политики службы Active Directory. Настройка групповой политики в домене Windows 2000 для распространения независимых корневых центров сертификации в хранилища доверенных корневых центров всех компьютеров домена:
    1. Нажмите кнопку Пуск, выберите последовательно пункты Программы, Администрирование, а затем Active Directory — пользователи и компьютеры.
    2. На левой панели найдите домен, к которому относится политика, требующая изменения.
    3. Щелкните домен правой кнопкой мыши и выберите команду Свойства.
    4. Перейдите на вкладку Групповая политика.
    5. Выберите политику Групповая политика домена по умолчанию и нажмите кнопку Изменить. Откроется новое окно.
    6. В левой области разверните следующие пункты:
      • Конфигурация компьютера
      • Конфигурация Windows
      • Параметры безопасности
      • Политики открытого ключа
    7. Откройте вкладку Доверенные корневые центры сертификации.
    8. Выберите команду Все задачи, а затем — Импорт.
    9. Импортируйте сертификат, следуя указаниям мастера.
    10. Нажмите кнопку ОК.
    11. Закройте окно Групповая политика.
  3. Добавьте сторонние выпускающие центры сертификации в хранилище NTAuth службы Active Directory.

    Сертификат входа по смарт-карте должен быть выпущен центром сертификации, находящимся в хранилище NTAuth. По умолчанию центры сертификации Microsoft Enterprise добавляются в хранилище NTAuth.
    • Если центр сертификации, выпустивший сертификат входа по смарт-карте или сертификаты контроллеров домена, не помещен в хранилище NTAuth, то процесс входа по смарт-карте осуществляться не будет. Сответствующий ответ: «Невозможно проверить учетные данные».
    • Хранилище NTAuth для всего леса находится в контейнере конфигурации. Примерное расположение:
      LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com
    • По умолчанию это хранилище создается при установке центра сертификации Microsoft Enterprise. Объект можно также создать вручную, используя ADSIedit.msc в Средствах поддержки Windows 2000 или LDIFDE. Для получения дополнительных сведений щелкните приведенный ниже номер статьи базы знаний Майкрософт:
      295663 Импорт сертификатов независимого центра сертификации в хранилище Enterprise NTAuth. (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
    • Соответствующий атрибут - cACertificate, который является строкой октета, списком сертификатов в кодировке ASN, имеющим множество значений.

      После помещения сертификатов независимого центра сертификации в хранилище NTAuth групповая политика на базе домена размещает раздел реестра (отпечаток сертификата) на всех компьютерах домена в следующем разделе:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Обновление на рабочих станциях происходит каждые восемь часов (стандартный интервал групповой политики).
  4. Запрос и установка сертификата контроллеров домена на контроллер(ы) домена. Каждый контроллер домена, выполняющий проверку подлинности пользователей по смарт-картам, должен иметь сертификат контроллера домена.

    При установке центра сертификации Microsoft Enterprise в лес службы Active Directory все контроллеры домена отмечаются в сертификате контроллеров домена автоматически.

    Для получения дополнительных сведений об этом требовании щелкните следующий номер статьи базы знаний Майкрософт:
    291010 Требования к сертификатам контроллеров домена, выпущенных независимым центром сертификации (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
    ПРИМЕЧАНИЕ. Сертификат контроллера домена используется для проверки подлинности по протоколу SSL, шифрования SMTP, подписывания удаленного вызова процедуры (RPC) и процесса входа в систему с помощью смарт-карты. Использование независимых центров сертификации для выдачи сертификатов контроллерам домена может привести к неожиданному поведению и непредсказуемым результатам. Сертификат неправильного формата или с отсутствующим общим именем может стать причиной того, что эти или другие функции перестанут отвечать.
  5. Запрос сертификата смарт-карт от независимого центра сертификации.

    Регистрация сертификата независимого центра сертификации, соответствующего установленным требованиям. Метод регистрации зависит от поставщиков центров сертификации.

    У сертификатов смарт-карт есть дополнительные требования к формату:
    • Точка распространения CRL (где CRL - список отзыва сертификата) должна быть заполнена, доступна и находиться в оперативном режиме. Например:
      [1]Точка распространения CRL
      Имя точки распространения:
      Полное имя:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • Использование ключа = Цифровая подпись
    • Основные ограничения [Тип темы=Конечный субъект, Ограничения длины пути=нет] (Необязательно)
    • Использование улучшенного ключа =
      • Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
        (Проверка подлинности клиента (OID) требуется только в случаях, когда сертификат используется для проверки подлинности по протоколу SSL.)
      • Вход в систему с помощью смарт-карты (1.3.6.1.4.1.311.20.2.2)
    • Дополнительное имя субъекта = другое имя: Основное имя пользователя= (UPN). Например:
      основное имя пользователя = user1@name.com
      UPN Другое имя OID: "1.3.6.1.4.1.311.20.2.3"
      UPN Другое имя значение: Это должна быть ASN1-кодированная строка UTF8
    • Тема = Различающееся имя пользователя. Это поле является обязательным дополнением, но заполнять его необязательно.
  6. Установите программное обеспечение и драйверы смарт-карт на рабочей станции со смарт-картами.

    Убедитесь, что соответствующее оборудование для чтения смарт-карт и программное обеспечение для него установлены на рабочей станции. Разновидности программного обеспечения зависят от поставщика оборудования.
  7. Установите независимый сертификат смарт-карт на рабочей станции.

    Если на этапе 4 процесса регистрации смарт-карта не была помещена в личное хранилище пользователя, необходимо импортировать сертификат в личное хранилище. Для этого выполните следующие действия:
    1. Запустите консоль управления (MMC), в которую входит оснастка «Сертификаты».
    2. В дереве консоли выберите элемент Личные, затем щелкните Сертификаты
    3. В меню Все задачи щелкните Импорт для запуска мастера импорта сертификатов.
    4. Щелкните файл, содержащий сертификаты, которые вы импортируете.

      ПРИМЕЧАНИЕ. Если сертификаты находятся в файле обмена личной информацией (PKCS #12), введите пароль, которым зашифрован закрытый ключ, установите соответствующий флажок, если хотите, чтобы закрытый ключ допускал экспорт, а затем включите стойкую защиту закрытого ключа (если хотите использовать эту возможность).

      ПРИМЕЧАНИЕ. Для включения стойкой защиты закрытого ключа нужно использовать режим просмотра хранилищ логических сертификатов.
    5. Выберите команду для автоматического размещения сертификата в хранилище сертификатов в зависимости от его типа.
  8. Установите независимый сертификат смарт-карт на смарт-карте. Порядок действий зависит от поставщика служб шифрования и поставщика смарт-карты. Инструкции см. в документации, предоставленной производителем.
  9. Войдите на рабочую станцию с помощью смарт-карты.

Возможные проблемы

Типичное сообщение об ошибке в процессе входа:
Вход в систему невозможен. Ваши учетные данные не прошли проверку.
Причиной этого сообщения об ошибке может быть одна или несколько проблем, описанных далее.

Ошибки сертификатов и настройки

  • У контроллера домена нет сертификата контроллера домена.
  • Неправильный формат поля SubjAltName сертификата смарт-карт. Если в поле SubjAltName информация выводится как шестнадцатеричная / необработанные данные ASCII, то формат текста не является ASN1 / UTF-8.
  • Сертификат контроллера домена неправильно составлен или неполон.
  • Необходимо запрашивать новый действующий сертификат контроллера домена при каждом из следующих условий. Если срок действия сертификата контроллера домена истек, его можно обновить, но этот процесс будет более сложным и длительным, чем получение нового сертификата.
    • Срок действия сертификата контроллера домена истек.
    • Сертификат контроллера доменов не вызывает доверия. Если в хранилище NTAuth нет сертификата центра сертификации, выдавшего сертификат контроллера доменов, необходимо добавить его в хранилище или получить сертификат контроллера от того центра сертификации, который уже добавлен в хранилище.

      Если контроллеры домена или рабочие станции со смарт-картами не доверяют корневому центру сертификации, к которому относится сертификат контроллера доменов, нужно настроить компьютеры так, чтобы они доверяли корневому центру.
    • Сертификат смарт-карты не вызывает доверия. Если в хранилище NTAuth нет сертификата центра сертификации, выпустившего сертификат смарт-карты, необходимо добавить его в хранилище или получить сертификат смарт-карты от того центра сертификации, который уже добавлен в хранилище.

      Если контроллеры домена или рабочие станции смарт-карт не доверяют корневому центру сертификации, к которому относится сертификат смарт-карты, нужно настроить компьютеры так, чтобы они доверяли корневому центру.
    • Сертификат смарт-карты не установлен в личное хранилище пользователя на рабочей станции. Сертификат, размещенный на смарт-карте, необходимо переместить на рабочую станцию со смарт-картами в профиль того пользователя, который входит в систему с помощью смарт-карты.

      ПРИМЕЧАНИЕ. Хранить закрытый ключ в профиле пользователя на рабочей станции не обязательно. Необходимо только, чтобы он находился на смарт-карте.
    • Действующий сертификат смарт-карты или закрытый ключ не установлен на смарт-карту. Действующий сертификат должен быть установлен на смарт-карту вместе с закрытым ключом и совпадать с сертификатом, находящимся в профиле пользователя смарт-карты на рабочей станции.
    • Сертификат смарт-карты не может быть извлечен из устройства для чтения смарт-карт. Это может быть проблемой оборудования или программного обеспечения устройства. Убедитесь, что с помощью программного обеспечение производителя вы видите сертификат и закрытый ключ смарт-карты.
    • Срок действия сертификата смарт-карты истек.
    • Недоступно основное имя пользователя (UPN) в расширении SubjAltName сертификата смарт-карты.
    • Неправильный формат основного имени пользователя в поле SubjAltName сертификата смарт-карт. IЕсли в поле SubjAltName информация выводится как Шестнадцатеричная / ASCII raw, то формат текста не является требуемым ASN1 / UTF-8.
    • Сертификат смарт-карты неправильно составлен или неполон. В каждом из этих случаев необходимо запросить новый действующий сертификат смарт-карты и установить его на смарт-карту и в профиль пользователя на рабочей станции. Сертификат смарт-карты должен соответствовать требованиям, описанным ранее в этой статье, включая правильный формат имени участника-пользователя в поле SubjAltName.

      Если срок действия сертификата смарт-карты истек, его можно обновить, но этот процесс будет более сложным и длительным, чем получение нового сертификата.
    • У пользователя нет основного имени (UPN), определяемого в учетной записи пользователя Active Directory. В учетной записи пользователя Active Directory в свойствах UPN должно быть действующее основное имя пользователя.
    • Основное имя пользователя в сертификате не совпадает с основным именем, определяемым в учетной записи Active Directory. Необходимо исправить основное имя пользователя (UPN) в профиле пользователя Active Directory или выдать новый сертификат, в котором UPN в поле SubjAltName будет совпадать с учетной записью пользователя Active Directory. Рекомендуется следить, чтобы основное имя пользователя смарт-карты совпадало с соответствующим атрибутом учетной записи для независимых центров сертификации. Однако если основное имя пользователя в сертификате является неявным именем учетной записи (формат samAccountName@domain_FQDN), оно не обязательно должно четко совпадать с соответствующим атрибутом.

Неполадки проверки отзыва

Если в процессе проверки контроллером домена сертификата входа по смарт-карте проверка отзыва заканчивается неудачей, в доступе будет отказано. В этом случае может появиться сообщение об ошибке, описанное ранее, или следующее сообщение:
Вход в систему невозможен. Сертификат смарт-карты, использованный для проверки подлинности, не имеет доверия.
ПРИМЕЧАНИЕ. Невозможность найти и загрузить список отзыва сертификата (CRL), недопустимый CRL, отозванный сертификат и неизвестный статус отзыва - это известные неполадки отзыва.

Успешность проверки отзыва зависит как от клиента, так и от контроллера домена. Убедитесь, что соблюдаются следующие условия:
  • Проверка отзыва не отключена.

    Проверка отзыва для встроенных поставщиков проверки не может быть отключена. Если пользователем установлен поставщик проверки, он должен быть включен.
  • Все сертификаты независимых центров в цепочках сертификатов, кроме корневого, имеют допустимое расширение точки распространения CDP.
  • Cписок отзыва сертификата (CRL) обновлен и имеет поле Next Update. Проверить, находится ли CRL в оперативном режиме на точке распространения CDP и доступен ли он, можно с помощью обозревателя Internet Explorer. Необходимо, чтобы загрузка и просмотр списка отзыва (CRL) с любой точки распространения CDP с помощью протоколов HTTP и FTP были доступны в обозревателе Internet Explorer как с рабочих станций смарт-карт, так и с контроллеров домена.
Убедитесь, что все точки распространения CDP, действующие с помощью протоколов HTTP и FTP, которые используются сертификатом, доступны и находятся в оперативном режиме.

Как убедиться в доступности списка отзыва (CRL) с точки распространения CDP:
  1. Для открытия рассматриваемого сертификата дважды щелкните файл с расширением cer или сертификат в хранилище.
  2. Щелкните панель Сведения и выберите поле Точка распространения списков отзыва (CDP)
  3. В нижней части панели выделите полный указатель информационного ресурса (URL) и скопируйте его.
  4. Откройте обозреватель Internet Explorer и вставьте URL в строку Адрес.
  5. Получив запрос, выберите вариант Открыть список отзыва.
  6. Убедитесь, что в списке отзыва CRL есть поле Следующее обновление и что время, указанное в поле Следующее обновление, не истекло.
Чтобы убедиться, что точка распространения действует или чтобы загрузить ее, необходимо создать сценарий или приложение для загрузки списка отзыва CRL. Убедитесь, что в списке отзыва CRL есть поле Следующее обновление и что время, указанное в этом поле, не истекло.

Поддержка

Служба поддержки корпорации Майкрософт не поддерживает процесс входа по смарт-карте независимого центра сертификации, если причины неполадок заключаются в следующем:
  • Несоответствующий формат сертификата.
  • Состояние сертификата или состояние отзыва не подтверждается независимым центром сертификации.
  • Регистрация сертификата в независимом ЦС вызывает затруднения.
  • Не удается опубликовать независимый ЦС в службе Active Directory.
  • Сторонний поставщик криптографии (CSP).

Дополнительные сведения

Клиентский компьютер проверяет сертификат контроллера домена. В результате локальный компьютер загружает список отзыва (CRL) для контроллера домена в CRL-кэш.

Вход в систему в автономном режиме не задействует сертификаты, для этого нужны только кэшированные учетные данные.

Чтобы заполнить хранилище NTAuth на локальном компьютере, не дожидаясь очередного распространения групповой политики, запустите обновление групповой политики следующей командой:
dsstore.exe -pulse

Можно также скопировать информацию о смарт-карте в системы Windows Server 2003 и Windows XP, используя команду Certutil.exe -scinfo .

Для получения дополнительных сведений найдите документ «Troubleshooting Windows 2000 PKI Deployment and Smart Card Logon» на следующем веб-узле корпорации Майкрософт:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/support/smrtcrdtrbl.mspx

Свойства

Код статьи: 281245 - Последний отзыв: 13 сентября 2006 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Операционная система Microsoft Windows 2000 Professional
Ключевые слова: 
kbenv kbinfo kbtool KB281245

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com