คำแนะนำสำหรับการเปิดใช้งานการเข้าสู่ระบบของสมาร์ทการ์ดกับหน่วยงานจัดเก็บใบรับรองอื่น

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 281245 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

คุณสามารถเปิดใช้งานเป็นกระบวนการเข้าสู่ระบบสมาร์ทการ์ดกับ Microsoft Windows 2000 และไม่ใช่ Microsoft รับรอง (CA) ตามคำแนะนำในบทความนี้ ไม่มีการสนับสนุนที่จำกัดสำหรับการกำหนดค่านี้ ตามที่อธิบายไว้ในบทความนี้

ข้อมูลเพิ่มเติม

ความต้องการ

ต้องการพิสูจน์ตัวจริงของสมาร์ทการ์ดกับ Active Directory ที่เวิร์กสเตชันของสมาร์ทการ์ด Active Directory และตัวควบคุมโดเมน Active Directory มีการกำหนดค่าอย่างถูกต้อง ไดเรกทอรีที่ใช้งานอยู่ต้องเชื่อถือเป็นใบรับรองการรับรองความถูกต้องของผู้ใช้ที่ขึ้นอยู่กับใบรับรองจาก CA นั้น เวิร์กสเตชันของสมาร์ทการ์ดและตัวควบคุมโดเมนต้องถูกกำหนดค่า ด้วยใบรับรองที่มีการกำหนดค่าไว้อย่างถูกต้อง

ตามไว้ ด้วยการใช้งาน PKI ใด ๆ ทุกฝ่ายต้องใจ CA หลักที่ chains CA ออก คอนโทรลเลอร์ของโดเมนและเวิร์กสเตชันสมาร์ทการ์ดเชื่อถือรากนี้

การกำหนดใช้งาน active Directory และโดเมนคอนโทรลเลอร์ค่า

  • ต้องการ: Active Directory ต้องมี CA การออกแบบของบริษัทในเก็บ NTAuth การรับรองความถูกต้องของผู้ใช้ active directory
  • ต้องการ: ตัวควบคุมโดเมนต้องถูกกำหนดค่า ด้วยตัวควบคุมโดเมนใบรับรองการรับรองความถูกต้องของผู้ใช้สมาร์ทการ์ด
  • ไม่จำเป็น: Active Directory สามารถกำหนดค่าการกระจายของบริษัทอื่น root CA ไปยังเก็บ CA รากที่เชื่อถือของสมาชิกโดเมนทั้งหมดที่ใช้นโยบายกลุ่ม

ข้อกำหนดใบรับรองและเวิร์กสเตชันของสมาร์ทการ์ด

  • จำเป็นต้องใช้: ทั้งหมดของความต้องการสมาร์ทการ์ดที่ outlined ในส่วน "คำแนะนำการตั้งค่าคอนฟิก" ต้องเป็นไปตาม รวมทั้งรูปแบบข้อความของเขตข้อมูล การรับรองความถูกต้องของสมาร์ทการ์ดล้มเหลวถ้าพวกเขาไม่เป็นไปตาม
  • ต้องการ: สมาร์ทการ์ดและคีย์ส่วนตัวจะต้องติดตั้งบนสมาร์ทการ์ด

คำแนะนำการตั้งค่าคอนฟิก

  1. ส่งออก หรือดาวน์โหลดใบรับรองหลักของบริษัทอื่น แตกต่างกันอย่างไรกับรากของบริษัทที่ได้รับ ใบรับรองไปตามผู้จัดจำหน่าย ใบรับรองต้องอยู่ในรูปแบบ x.509 แบบเข้ารหัส Base64
  2. เพิ่มหลักของบริษัทอื่น CA รากที่เชื่อถือได้ในวัตถุ Active Directory Group Policy เมื่อต้องการตั้งค่า Group Policy ในโดเมน Windows 2000 การกระจาย CA ของบริษัทอื่นไปยังเก็บหลักที่เชื่อถือได้ของคอมพิวเตอร์โดเมนทั้งหมด:
    1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์.
    2. ในบานหน้าต่างด้านซ้าย ค้นหาโดเมนที่ใช้นโยบายคุณต้องการแก้ไข
    3. คลิกขวาที่โดเมน และจากนั้น คลิกคุณสมบัติ.
    4. คลิกการนโยบายกลุ่มแท็บ
    5. คลิกการนโยบายการเริ่มต้น Group Policy ของโดเมนวัตถุ แล้วคลิกแก้ไข. เปิดหน้าต่างใหม่
    6. ในบานหน้าต่างด้านซ้าย ขยายรายการต่อไปนี้:
      • การกำหนดค่าคอมพิวเตอร์
      • การตั้งค่า windows
      • การตั้งค่าการรักษาความปลอดภัย
      • นโยบายของคีย์สาธารณะ
    7. คลิกขวาผู้ใบรับรองหลักที่เชื่อถือได้.
    8. เลือกงานทั้งหมดแล้ว คลิกนำเข้า.
    9. ทำตามคำแนะนำในตัวช่วยสร้างการนำเข้าใบรับรอง
    10. คลิกตกลง.
    11. ปิดการนโยบายกลุ่มหน้าต่าง
  3. เพิ่มบริษัทออก CA นั้นไปยังเก็บ NTAuth ใน Active Directory

    ใบรับรองการเข้าสู่ระบบของสมาร์ทการ์ดที่ต้องถูกออกจาก CA ที่อยู่ในเก็บ NTAuth โดยค่าเริ่มต้น CAs องค์กรของ Microsoft จะเพิ่มไปยังเก็บ NTAuth
    • ถ้าลงรายการบัญชี CA ที่ออกใบรับรองการเข้าสู่ระบบของสมาร์ทการ์ดหรือโดเมนคอนโทรลเลอร์การใบรับรอง จะไม่ได้อย่างถูกต้องแล้วในเก็บ NTAuth กระบวนการเข้าสู่ระบบของสมาร์ทการ์ดไม่ทำงาน คำตอบที่เกี่ยวข้องเป็น "ไม่สามารถตรวจสอบข้อมูลประจำตัว"
    • เก็บ NTAuth จะอยู่ในการตั้งค่าคอนฟิกทคอนเทนเนอร์ของฟอเรสต์ ตัวอย่างเช่น ตำแหน่งที่ตั้งของตัวอย่างจะเป็นดังนี้:
      บริการคีย์ LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public, CN =บริการ CN =การตั้งค่าคอนฟิก DC =ชื่อ DC = com
    • โดยค่าเริ่มต้น เก็บนี้ถูกสร้างเมื่อคุณติดตั้ง CA องค์กรของ Microsoft วัตถุสามารถจะถูกสร้างด้วยตนเอง โดยใช้ ADSIedit.msc ในเครื่องมือที่ฝ่ายสนับสนุนของ Windows 2000 หรือ โดยใช้ LDIFDEสำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
      295663วิธีการนำเข้าใบรับรองการรับรอง (CA) ของใบรับรองของบริษัทอื่นลงในเก็บ NTAuth ไซต์องค์กร
    • แอตทริบิวต์ที่เกี่ยวข้องคือ cACertificate ซึ่งก็คือ octet สตริงการ valued หลายรายการของใบรับรองการเข้ารหัส ASN

      หลังจากที่คุณย้าย CA ของบริษัทอื่นในเก็บ NTAuth, Group Policy ที่ขึ้นอยู่กับโดเมนจะคีย์รีจิสทรี (ประจำตัวที่ของใบรับรอง) ในตำแหน่งที่ตั้งต่อไปนี้บนคอมพิวเตอร์ทั้งหมดในโดเมน:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      ซึ่งกำลังฟื้นฟูทุก ๆ ชั่วโมงแปดบนเวิร์กสเตชัน (โดยทั่วไป'นโยบายกลุ่ม'หมุนช่วง)
  4. ร้องขอ และการติดตั้งใบรับรองของตัวควบคุมโดเมนบน controller(s) โดเมน แต่ละตัวควบคุมโดเมนที่กำลังจะรับรองความถูกต้องของผู้ใช้สมาร์ทการ์ดต้องมีใบรับรองของตัวควบคุมโดเมน

    ลงถ้าคุณติดตั้ง CA องค์กร Microsoft ในฟอเรสต์มี Active Directory ตัวควบคุมโดเมนทั้งหมดโดยอัตโนมัติทะเบียนขอใบรับรองของตัวควบคุมโดเมนสำหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดของใบรับรองตัวควบคุมโดเมนจาก CA ของบริษัทอื่น คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    291010ข้อกำหนดของใบรับรองตัวควบคุมโดเมนจาก CA ของบริษัทอื่น
    หมายเหตุ:: The domain controller certificate is used for Secure Sockets Layer (SSL) authentication, Simple Mail Transfer Protocol (SMTP) encryption, Remote Procedure Call (RPC) signing, and the smart card logon process. Using a non-Microsoft CA to issue a certificate to a domain controller may cause unexpected behavior or unsupported results. An improperly formatted certificate or a certificate with the subject name absent may cause these or other capabilities to stop responding.
  5. Request a smart card certificate from the third-party CA.

    Enroll for a certificate from the third-party CA that meets the stated requirements. The method for enrollment varies by the CA vendor.

    The smart card certificate has specific format requirements:
    • The CRL Distribution Point (CDP) location (where CRL is the Certification Revocation List) must be populated, online, and available. ตัวอย่าง::
      [1]CRL Distribution Point
      Distribution Point Name:
      Full Name:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • Key Usage= Digital Signature
    • Basic Constraints[Subject Type=End Entity, Path Length Constraint=None] (Optional)
    • Enhanced Key Usage=
      • Client Authentication (1.3.6.1.5.5.7.3.2)
        (The client authentication OID) is only required if a certificate is used for SSL authentication.)
      • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
    • Subject Alternative Name= Other Name: Principal Name= (UPN). ตัวอย่าง::
      UPN = user1@name.com
      The UPN OtherName OID is : "1.3.6.1.4.1.311.20.2.3"
      The UPN OtherName value: Must be ASN1-encoded UTF8 string
    • หัวเรื่อง:= Distinguished name of user. This field is a mandatory extension, but the population of this field is optional.
  6. There are two predefined types of private keys. These keys areSignature Only(AT_SIGNATURE)และKey Exchange(AT_KEYEXCHANGE). Smartcard logon certificates must have aKey Exchange(AT_KEYEXCHANGE)private key type in order for smartcard logon to function correctly.
  7. Install smartcard drivers and software to the smartcard workstation.

    Make sure that the appropriate smartcard reader device and driver software is installed on the smartcard workstation. This varies by smartcard reader vendor.
  8. Install the third-party smartcard certificate to the smartcard workstation.

    If the smartcard was not already put into the smartcard user's personal store in the enrollment process in step 4, then you must import the certificate into the user's personal store. โดย::
    1. Open the Microsoft Management Console (MMC) that contains the Certificates snap-in.
    2. In the console tree, underส่วนบุคคลคลิกใบรับรอง.
    3. ในการงานทั้งหมดเมนู คลิกนำเข้าto start the Certificate Import Wizard.
    4. Click the file that contains the certificates that you are importing.

      หมายเหตุ:: ถ้าแฟ้มที่ประกอบด้วยใบรับรองเป็นแฟ้มแลกเปลี่ยนข้อมูลส่วนบุคคล (PKCS #12) พิมพ์รหัสผ่านที่คุณใช้ในการเข้ารหัสลับคีย์ส่วนตัว คลิกเพื่อเลือกกล่องกาเครื่องหมายที่เหมาะสมถ้าคุณต้องการให้คีย์ส่วนตัวเพื่อให้สามารถส่งออก และเปิดป้องกันคีย์ส่วนตัวที่รัดกุม (ถ้าคุณต้องการใช้คุณลักษณะนี้)

      หมายเหตุ:: การเปิดการป้องกันคีย์ส่วนตัวที่เข้มงวด คุณต้องใช้โหมดมุมมองของร้านค้าใบรับรอง Logical
    5. เลือกตัวเลือกโดยอัตโนมัติทำให้ใบรับรองในที่เก็บใบรับรองที่ขึ้นอยู่กับชนิดของใบรับรอง
  9. ติดตั้งใบรับรองสมาร์ทการ์ดของบริษัทอื่นลงในสมาร์ทการ์ด วิธีการนี้แตกต่างกันไปตามการเข้ารหัสลับบริการผู้ให้บริการ (CSP) และ โดยผู้จัดจำหน่ายของสมาร์ทการ์ด See the vendor's documentations for instructions.
  10. Log on to the workstation with the smartcard.

Possible issues

During smartcard logon, the most common error message seen is:
The system could not log you on. Your credentials could not be verified.
This is a generic error message and can be the result of one or more of several issues described below.

Certificate and configuration problems

  • The domain controller has no domain controller certificate.
  • กระบวนการSubjAltNamefield of the smartcard certificate is badly formatted. If the information in the SubjAltName field appears as Hexadecimal / ASCII raw data, the text formatting is not ASN1 / UTF-8.
  • The domain controller has an otherwise malformed or incomplete certificate.
  • For each of the following conditions, you must request a new valid domain controller certificate. If your valid domain controller certificate has expired, you may renew the domain controller certificate, but this process is more complex and typically more difficult than if you request a new domain controller certificate.
    • The domain controller certificate has expired.
    • The domain controller has an untrusted certificate. If the NTAuth store does not contain the certification authority (CA) certificate of the domain controller certificate’s issuing CA, you must add it to the NTAuth store or obtain a DC certificate from an issuing CA whose certificate resides in the NTAuth store.

      If the domain controllers or smartcard workstations do not trust the Root CA to which the domain controller’s certificate chains, then you must configure those computers to trust that Root CA.
    • The smartcard has an untrusted certificate. If the NTAuth store does not contain the CA certificate of the smartcard certificate’s issuing CA, you must add it to the NTAuth store or obtain a smartcard certificate from an issuing CA whose certificate resides in the NTAuth store.

      If the domain controllers or smartcard workstations do not trust the Root CA to which the user’s smartcard certificate chains, then you must configure those computers to trust that Root CA.
    • The certificate of the smart card is not installed in the user’s store on the workstation. The certificate that is stored on the smartcard must reside on the smartcard workstation in the profile of the user who is logging on with the smart card.

      หมายเหตุ:: You do not have to store the private key in the user’s profile on the workstation. It is only required to be stored on the smartcard.
    • The correct smartcard certificate or private key is not installed on the smartcard. The valid smartcard certificate must be installed on the smartcard with the private key and the certificate must match a certificate stored in the smartcard user’s profile on the smartcard workstation.
    • The certificate of the smart card cannot be retrieved from the smartcard reader. This can be a problem with the smartcard reader hardware or the smartcard reader’s driver software. Verify that you can use the smartcard reader vendor’s software to view the certificate and the private key on the smartcard.
    • The smartcard certificate has expired.
    • No User Principal Name (UPN) is available in the SubjAltName extension of the smartcard certificate.
    • The UPN in SubjAltName field of the smartcard certificate is badly formatted. If the information in the SubjAltName appears as Hexadecimal / ASCII raw data, the text formatting is not ASN1 / UTF-8.
    • The smartcard has an otherwise malformed or incomplete certificate. For each of these conditions, you must request a new valid smartcard certificate and install it onto the smartcard and into the profile of the user on the smartcard workstation. The smartcard certificate must meet the requirements described earlier in this article, which include a correctly formatted UPN field in the SubjAltName field.

      If your valid smartcard certificate has expired, You may also renew the smartcard certificate, but this is usually more complex and difficult than requesting a new smartcard certificate.
    • The user does not have a UPN defined in their Active Directory user account. The user’s account in the Active Directory must have a valid UPN in the userPrincipalName property of the smartcard user’s Active Directory user account.
    • The UPN in the certificate does not match the UPN defined in the user's Active Directory user account. You must correct the UPN in the smartcard user’s Active Directory user account or re-issue the smartcard certificate so that the UPN value in the SubjAltName field the matches the UPN in smartcard users’ Active Directory user account. We recommend that the smart card UPN match the userPrincipalName user account attribute for third-party CAs. However, if the UPN in the certificate is the “implict UPN” of the account (format samAccountName@domain_FQDN), the UPN does not have to match the userPrincipalName property explicitly.

Revocation checking problems

If the revocation checking fails when the domain controller validates the smart card logon certificate, the domain controller denies the logon. The domain controller may return the error message mentioned earlier or the following error message:
The system could not log you on. The smartcard certificate used for authentication was not trusted.
หมายเหตุ:: Failing to find and download the Certificate Revocation List (CRL), an invalid CRL, a revoked certificate, and a revocation status of "unknown" are all considered revocation failures.

The revocation check must succeed from both the client and the domain controller. Make sure the following are true:
  • Revocation checking is not turned off.

    Revocation check for the built-in revocation providers cannot be turned off. If a custom installable revocation provider is installed, it must be turned on.
  • Every CA Certificate except the root CA in the certificate chain contains a valid CDP extension in the certificate.
  • The CRL has a Next Update field and the CRL is up to date. You can check that the CRL is online at the CDP and valid by downloading it from Internet Explorer. You should be able to download and view the CRL from any of the HyperText Transport Protocol (HTTP) or File Transfer Protocol (FTP) CDPs in Internet Explorer from both the smartcard workstation(s) and the domain controller(s).
Verify that each unique HTTP and FTP CDP that is used by a certificate in your enterprise is online and available.

To verify that a CRL is online and available from a FTP or HTTP CDP:
  1. To open the Certificate in question, double-click on the .cer file or double-click the certificate in the store.
  2. คลิกการรายละเอียดtab, scroll down and select theCRL Distribution Pointเขตข้อมูล:
  3. In the bottom pane, highlight the full FTP or HTTP Uniform Resource Locator (URL) and copy it.
  4. Open Internet Explorer and paste the URL into theที่อยู่bar.
  5. When you receive the prompt, select the option toOPENthe CRL.
  6. Make sure that there is aNext Updatefield in the CRL and the time in theNext Updatefield has not passed.
To download or verify that a Lightweight Directory Access Protocol (LDAP) CDP is valid, you must write a script or an application to download the CRL. After you download and open the CRL, make sure that there is aNext Updatefield in the CRL and the time in the Next Update field has not passed.

การสนับสนุน

บริการการสนับสนุนผลิตภัณฑ์ของ Microsoft ไม่สนับสนุนกระบวนเข้าสู่ระบบของสมาร์ทการ์ด CA ของบริษัทอื่นถ้าถูกกำหนดได้จัดสรรที่อย่างน้อยหนึ่งรายการต่อไปนี้สำหรับปัญหา:
  • รูปแบบใบรับรองที่ไม่เหมาะสม
  • สถานะของใบรับรองหรือไม่พร้อมใช้งานจาก CA ของบุคคลสามสถานะการเพิกถอน
  • ลงทะเบียนใบรับรองออกจาก CA ของบริษัทอื่น
  • CA ของบริษัทอื่นไม่สามารถประกาศไปยัง Active Directory
  • CSP ของบริษัทอื่น

Additional information:

คอมพิวเตอร์ไคลเอนต์ตรวจสอบใบรับรองของตัวควบคุมโดเมน คอมพิวเตอร์เฉพาะที่ดาวน์โหลด CRL ที่สำหรับใบรับรองของตัวควบคุมโดเมนลงในแคช CRL ดังนั้น

กระบวนการเข้าสู่ระบบที่ออฟไลน์ไม่เกี่ยวข้องกับใบรับรอง ข้อมูลที่เก็บไว้ชั่วคราวเท่านั้น

เมื่อต้องการบังคับให้เก็บ NTAuth การบรรจุโดยทันทีในคอมพิวเตอร์ภายในเครื่องแทนการรอการเผยแพร่'นโยบายกลุ่ม'ถัดไป รันการคำสั่งต่อไปนี้เพื่อเริ่มการปรับปรุง Group Policy ต่อไปนี้:
dsstore.exe - หมุน

การถ่ายโอนคุณสามารถจะข้อมูลออกจากข้อมูลสมาร์ทการ์ด ใน Windows Server 2003 และ ใน Windows XP โดยใช้การCertutil.exe - scinfoคำสั่ง

คุณสมบัติ

หมายเลขบทความ (Article ID): 281245 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
Keywords: 
kbenv kbinfo kbtool kbmt KB281245 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:281245

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com